Messages

16

German - Deutsch / Re: DNS - Sonderfall - Secondary DNS löst nicht auf, clientunabhängig

« on: February 15, 2018, 09:34:22 am »

Sodele.

Ich habe heute früh noch mal rumprobiert. Aber, egal welchen Client ich nutze. Ich schaffe es nicht, das der zweite DNS Servereintrag auflöst.

Clients bekommen public-DNS als ersten und sense-DNS als zweiten DNS Eintrag. Aber weder MAC noch Linux (Ubuntu oder Debian) lösen lokale Anfragen auf. In den Einstellungen bzw. /etc/resolv.conf stehen die beiden DNS Server sauber drin.

Geht es vielleicht deshalb nicht, da die Clients die DNS Server nicht sequentiell sondern parallel abrufen? Ich bin echt ratlos ... wollte es mir eigentlich ersparen noch einen zweiten DNS Server hier rein zu stellen. Bislang steht lokal nur die Sense.

Help ... I need somebody

17

German - Deutsch / Re: DNS - Sonderfall

« on: February 14, 2018, 06:20:19 pm »

So. Nach gefühlt 15 Kaffee und ein bissl frische Luft, habe ich meine Gedanken noch einmal sortiert, ein wenig herum experimentiert und ein bissl rumgeschraubt. Es funktioniert jetzt. EDIT: Immer noch nicht

Zum einen fehlte eine NAT, welche Sensen-DNS Anfragen aus der Gruppe der unlimitierten User direkt  an 127.0.0.1 weiter leitet. Damit wird die lokale Domain aufgelöst. Was da nicht klappt, geht an 8.8.8.8.

Zum anderen ist es wichtig, dem Client erst den Sensen-DNS mitzugeben (Feld 1)  und als zweites den externen DNS (Feld 2).

EDIT ... Kommando zurück. Ich muss noch mal schauen.

18

German - Deutsch / Re: DNS - Sonderfall

« on: February 14, 2018, 02:51:04 pm »

Mh ... ich schreibe mal weiter im Stile eines Selbstgesprächs

Wenn ich per DHCP die IP der Firewall als DNS weitergebe, dann erscheint die LAN-IP auch als DNS-Server in den Netzwerkeinstellungen der Clients. Und nur die!

Die Sense geht dann hin und löst fein local Domain Adressen auf bzw. routet Anfragen nach externen Domain Adressen an die unter System/Einstellungen/Allgemein eingetragenen DNSse weiter. Welcher der dort eingetragenen DNSse genommen wird, ist dabei mehr oder weniger vom Zufall abhängig.

Wenn ich per DHCP die IP eines externen DNS angebe, dann wird dieser in den Netzwerkeinstellungen der Clients auch angezeigt. Selbiger löst Anfragen nach externen Domain Adressen dann auch entsprechend auf. Interne Adressen können allerdings nicht weiter aufgelöst werden, die sind dem externen DNS ja gar nicht bekannt. Der DNS der Sense spielt in diesem Szenario keine Rolle, er ist den Clients schlicht unbekannt.

Deswegen der Vorschlag von nasq mit dem Secondary DNS. Der erste DNS ist der externe DNS und der zweite die Sense. In den Clients wird das dann auch so angezeigt. DNS1 = externe IP; DNS2 = Sense. Der DNS der Sense kommt in diesem Szenario zum Tragen, wenn eine Anfrage an selbigen auch tatsächlich gerichtet wird.

ABER: Es gibt nur eine Auflösung der externen Adressen. Ich habe versuchsweise den externen DNS umgestellt. Aber egal ob ich den DNS von AdGuard oder Google oder Telekom angebe. Die Clients finden keinen Weg zum Sense DNS.

ERGÄNZUNG: Auch wenn ich als ersten DNS die Sense im clientspezifischen Eintrag im DHCP Server angebe und den externen DNS in die zweite Zeile, wird lokal nichts aufgelöst. Jetzt bin ich ratlos

19

German - Deutsch / Re: DNS - Sonderfall

« on: February 14, 2018, 01:26:39 pm »

Doofe Frage:

Den sekundären DNS Server gebe ich im DHCP Server in den clientspezifischen Einstellungen unter DNS an, oder?
Also erste Zeile primär und zweite Zeile sekundär?

20

German - Deutsch / Re: DNS - Sonderfall

« on: February 14, 2018, 10:41:44 am »

Mh. Das habe ich eigentlich so gemacht. In den client-spezifischen Einstellungen gibt der DHCP Server die Sense und 8.8.8.8 mit. In beiden Reihenfolgen getestet, ohne, daß die gewünschte Wirkung einsetzt.

Ich werde das am Abend noch mal in Ruhe ausprobieren. DHCP/DNS Server neustarten, Lease erneuern, etc. Mal sehen

Danke nasq!

21

German - Deutsch / DNS - sonderbar - Secondary DNS löst nicht auf, clientunabhängig

« on: February 14, 2018, 09:37:15 am »

Moins,

ich habe einen Knoten im Hirn:

1) Alle Clients in meinem Netzwerk bekommen die Firewall als DNS Server (DHCP oder manuell). Selbige verweist unter System/Einstellungen auf die AdGuard-DNS 176.103.130.132/176.103.130.134 (also Adblock, kein Schweinkram ).

2) Eine NAT Regel routet ALLE DNS Anfragen auf die Firewall (127.0.0.1) zurück. Damit können die AdGuard-DNS am Client nicht umgangen werden.

3) Alle Clients lösen sauber auf. Sowohl ping ins Internet, als auch ping hostname.domain.local. Werbung wird geblockt und Schweinkram ist nicht erreichbar. DNS kann nicht umgangen werden. Soweit so gut.

Problem:

Ich versuche einzelnen Clients vollen Zugriff aufs Internet zu geben. Spiegel Online bspw. wird wegen des Adblocks nicht mehr angezeigt. Was meine Frau auf die Barrikaden bringt

So bin ich vorgegangen:

a) Die NAT, die auf die Firewall für DNS zurückverweist, gilt für ALLE, außer Unlimited-Alias.
b) Die Unlimited-Mitglieder bekommen über den DHCP-Server LAN statisch ihre IP Adresse und explizit 8.8.8.8 als DNS zugeordnet.

Damit funktioniert zwar die Auflösung ins Internet, ABER ... pings an hostname.domain.local funktionieren nicht mehr.

Ich habe bereits versucht, in der DHCP Zuordnung entweder Firewall-DNS/8.8.8.8 oder 8.8.8.8/Firewall-DNS zu setzen. Es bleibt aber dabei. Internet-Ping geht, lokal wird nicht aufgelöst.

Ist das, was ich vorhabe, überhaupt zu machen?

22

General Discussion / Re: Please Make a Donation to OPNsense

« on: February 06, 2018, 08:13:45 am »

Keep up the great work AND spirit here. OPNSense is not only about a peace of software, it is about people as well. It just feels like being home

Donated!

23

Tutorials and FAQs / Re: Fast and easy way to protect your home and/or small office network with OPNsense

« on: February 05, 2018, 10:29:25 pm »

Hi elektroinside,

thanks for this initiative. This is all mega helpful for a beginner like me ! Especially the AdGuard howto is something I highly appreciate


Thanks also to all contributor in this thread.

Cheers

24

18.1 Legacy Series / Re: New Live Firewall log view

« on: February 02, 2018, 10:44:57 am »

Thanks for your feedback, gentlemen.

Well, to be honest, the reduced search field complexity made it in the first instance harder to find my stuff.

However, once I perceive it just like full-text search, I could find almost everything.

Though I yet need to find out how to set more than one filter at a time. F.e. block + LAN doesn't show anything, while block shows LAN items


EDIT: block+lan ... did the trick. Funny how ideas sometimes pop up
EDIT2: this doesn't do the trick completely. F.e. block+192.168.2.1 doesn't show anything, although traffic related to 192.168.2.1 (source and destination) gets blocked.

25

18.1 Legacy Series / Re: New Live Firewall log view

« on: February 01, 2018, 10:08:26 pm »

Yes. That's what I thought as well. Would be great to still have the old "normal" view

26

18.1 Legacy Series / Re: Feature Request: Rules Groups

« on: January 25, 2018, 04:43:56 pm »

I see. Thanks for your clarification

27

18.1 Legacy Series / Re: Feature Request: Rules Groups

« on: January 25, 2018, 01:42:05 pm »

There is no option to build combined aliases for "hostip:port" ... correct? It would be great to have this option as well

Cheers

28

German - Deutsch / Re: Strategie zum Absichern von LAN-Anschlüssen @ Home?

« on: January 23, 2018, 03:20:40 pm »

Teresa O. und VHS Video-Kassetten (!!!) ... wow ... that reminds me

29

German - Deutsch / Re: Strategie zum Absichern von LAN-Anschlüssen @ Home?

« on: January 23, 2018, 02:32:26 pm »

Dank Euch allen !

Wie ich bereits sagte, schaue ich mir das Ganze mehr so aus Neugierde an. Und wenn es einen überschaubaren Weg gibt, da was zu sichern, dann mache ich das. Aber ich werde keine weitere Komplexität in die Infrastruktur daheim rein bringen. Sooo wichtig sind wir dann nu auch nicht

Am Ende sichere ich die Server durch geeignete Passwörter ggf. Zertifikate (auch ein schönes Puzzle ). Die WLANs sind eh gesichert. Und wenn die Kiddies im Haus Pornos schauen wollen, dann wird es ihnen auch gelingen. Nicht heute, mit 10. Aber mit 15 wissen die wahrscheinlich besser, wie sie Webfiltering dann doch leicht umgehen können ... Da hilft am Ende nur Erziehung, Offenheit, Aufklärung und Vertrauen.

30

German - Deutsch / Re: Strategie zum Absichern von LAN-Anschlüssen @ Home?

« on: January 23, 2018, 10:38:15 am »

Wie man so etwas dann Frauenkompatibel bekommt weiß ich aber auch nicht! 

... in der Tat!

Den Aufwand scheue ich nicht. Habe aber bzgl. MAC Adressen gelesen, dass diese in wenigen Minuten ermittelt werden können (spoofing?). Deswegen war meine Annahme, dass eine Regelung über User (Captive Portal) am Ende besser ist? Ggf über 2FA?

Ich denke ich lese erst noch mal ein bissl mehr zum Captive Portal und melde mich, wenn ich eine Idee bzw. Fragen diesbezüglich habe hier noch mal.

BTW: Ich habe keine Paranoia. Aber das Thema ist per se interessant ... und so ein Puzzle hilft die Grauen in Gang zu halten