Messages

436

German - Deutsch / Forcing Pi-hole routing

« on: February 20, 2021, 10:21:07 am »

Hello,
is it realistic to think I can force any DNS traffic in my network through the Pi-hole? Even if some machine decides, for to me unknown reason, to contact google DNS, which is what is happening right now (my docker container VM), I think I'd like it to go to the Pi-hole.

So I created these rules (see screenshots). Basically trying to move everything to the Pi-hole.

Of course, clients have Pi-hole set as DNS. However, I still get these google-dns leaks.

Should this work?

(how do I embed the screenshots into the post?)

437

German - Deutsch / Re: WireGuard VPN, kein Surfen

« on: February 19, 2021, 01:45:11 pm »

Na dann. Bin aktuell super-happy. Pi-hole geht, DNS routing überall richtig.
DNS leak test scheint auch zu bestehen: vom normalen rechner, kommt nur meine eigene IP, kein ISP oder öffentlich, und aus dem VPN-VLAN kommt nur was aus USA... ich schätze sind's PIA DNS (denn diese sind eingetragen).
Kill-Switch funkt auch, hab's mit NAT gemacht. VPN runter, Maschine offline.
Ich sag auch vielen Dank für die tolle Hilfe!

Ich gruble allerdings noch immer darüber wie ich den Unbound am Pi dazu bringe, die DNS abfragen an die Firmen Domains an eine IP adresse zu geben (Firmen DC). Mit stub zones funkt nicht... aber ich denke das ist nicht der Platz das zu fragen. Die Frage habe ich im Linux Forum gepostet.

Als nächstes dran sind noch das Verfeinern der Rules und Sensei... bin gespannt was das Ding kann.

438

German - Deutsch / Re: WireGuard VPN, kein Surfen

« on: February 19, 2021, 01:17:14 pm »

Danke. War leider nur ein Baustein von mehreren.
Falscher DNS am Client (hab gestern ja Pi-hole aufgesetzt)... Firewall-Rules gefehlt... aber zumindest aktuell funkt die Anzeige im Live Log tadellos, da konnte ich gut troubleshooten.

Hier aber eine Zusatzfrage:
Wenn ich ein Pass-Rule für Internet machen will, zB. Wireguard -> All -> Internet, gibt es was eleganteres als Invert RFC1918? Bin nur von der Sophos etwas verwöhnt "Internet" gehabt zu haben.

439

German - Deutsch / WireGuard VPN, kein Surfen

« on: February 19, 2021, 10:37:55 am »

Hallo,

ich habe eine WireGuard Anbindung vom Handy zu der OPNsense. Ich kann auf die lokalen Ressourcen zu Hause zugreifen, zb. die NAS.
Aber, ich kann am Handy dann nicht mehr surfen.
Bestimmt brauche ich ne NAT Regel. Hab versucht, WG Interface Translation zu WAN Interface. Funkt nicht.
Was fehlt mir denn?

Danke

440

German - Deutsch / Re: Das Buch

« on: February 19, 2021, 09:54:10 am »

Ich würde mich als "etwas fortgeschritten" beschreiben, mit sicherlich einigen Löchern zu füllen.
Den Lab baue ich natürlich auch nach. Wenn schon, dann mache ich es richtig. Sonst ist das eine Zeitverschwendung.

441

German - Deutsch / Das Buch

« on: February 19, 2021, 07:38:39 am »

Hallo,
habe mir das Buch OPNsense-Praktiker bestellt. Allerdings festgestellt dass das Buch aus 2019 ist und auf 19.1 basiert. Macht das was aus? Ist der Unterschied zu 21.1 enorm, sodass das Buch nicht mehr als "aktuell" gilt?
Danke

442

German - Deutsch / DNSmasq vs Unbound

« on: February 18, 2021, 11:58:21 pm »

Hallo,
ich hab also jetzt meine Pi-hole mit Unbound laufen. Daher fände ich jetzt die Unbound am OPNsense etwas unnötig. Wollte auflösen. DNSmasq aktiviert, denke richtige Einstellungen getroffen und würde folgendes erwarten:
Die Domain Overrides funktionieren und die Anfragen die vom Client an die OPNsense gehen eben umgeleitet werden, und da DNSmasq eigentlich ein Forwarder ist, rest eben auf meine Pi geht.
Aber, damit habe ich wieder das Problem mit dem Override: die IP in der Firma (IPsec Tunnel) kann ich pingen aber nicht auflösen.
Sollte das so nicht funktionieren?

443

German - Deutsch / Re: Logging - Live View

« on: February 18, 2021, 09:29:18 pm »

Ich denke es ist ein anderer Skin. Bei mir ist halt gelb oder grün (Skin ist cicada glaub ich). Und ja, ist alles grün.

Aber ja, jetzt weiß ich warum ich es nicht sehe. Es ist im VLAN wo ich Rule für "Alles über VPN" habe, und natürlich, schickt er "grün" ins Tunnel... klar
Hab !NAS gemacht und jetzt kommen's.

Mea culpa bitte.

So neben bei: Pi-hole installiert und ich kann nur sagen zum aktuellen System: 

444

German - Deutsch / Re: Logging - Live View

« on: February 18, 2021, 08:43:12 pm »

Ich hab schon versucht zu canceln und nochmals initiieren.
Das habe ich schon gemacht, sogar 1000, und wähle in der Regel nur Block mir anzeigen.
Trotzdem kommt nix...
Die Ports 111 und 2049 habe ich auf "gut Glück" versucht... (Google halt)

445

German - Deutsch / Logging - Live View

« on: February 18, 2021, 08:13:43 pm »

Hallo,

bisschen Hilfe bitte:
NAS ist in VLAN1, Server ist in VLAN2, sagen wir als Beispiel.
Server aus VLAN2 will ein NAS-NFS-Share aus VLAN1 mounten.
Mounten geht nicht und hängt.
Schaue ich im Live-View - nix geblockt.
Mache ich ein Rule der sagt "alles IP4* aus VLAN2 mit Dest VLAN1 erlauben", und Share wird gemountet.
Dann habe ich es etwas eingegrenzt, Port TCP/UDP 111 und 2049 Dest, und will mounten. Passt.
Ich weiß nicht was fehlt, aber Krux an der Sache: warum zeigt mir Live Log nix an, wenn Ports fehlen? Logging ist auf allen Rules in Beiden Netzen auf grün.
Was fehlt mir bitte?

446

German - Deutsch / Re: OPNsense und DNS, mit VPN

« on: February 18, 2021, 12:47:34 pm »

Danke, mein Problem ist offensichtlich: ich denke einfach nicht simpel. Ich habe ganze Zeit nachgedacht was ich an der FW machen muss, wobei die DNS geht vom Client aus. Naja... wenn man sich damit nicht allzuviel beschäftigt, dann kommt dabei das raus.
Besten Dank.

447

German - Deutsch / Re: OPNsense und DNS, mit VPN

« on: February 18, 2021, 12:13:15 pm »

Und noch was:
Wenn ich das was du geschrieben hast, eingebe, startet der Unbound nicht mehr.

448

German - Deutsch / Re: OPNsense und DNS, mit VPN

« on: February 18, 2021, 10:45:08 am »

Mmmh, rewind.
Ich möchte dem Unbound keine Forwarder für das ganze Netz eingeben.
Wäre mir lieber wenn der Unbound wie auch jetzt der Resolver bleibt, der die Root-Server kontaktiert.
Wie ich das lese und verstehe, ist das sinnvoller?
Was OK wäre, nur den Clients die über VPN sollen, auch die DNS Server der VPN zu vergeben.
Daher würde ich das so machen (als Beispiel):
route 209.222.18.222 192.168.170.0
route 209.222.18.218 192.168.170.0
(jedoch finde ich keine Doku zu "route", daher weiß ich die Syntaxe für das Netz nicht, wo hast du das her? CIDR?)

Ist aber wohl nicht die Dauerlösung:
"This option will be removed in the future due to being insecure by nature. In the mean time only full administrators are allowed to change this setting."

Und wenn ich ne eigene VLAN habe, dann kann ich den ja locker über das VPN Interface rausschicken...?

449

German - Deutsch / Re: OPNsense und DNS, mit VPN

« on: February 18, 2021, 10:27:37 am »

Ahhh OK, perfekt. Werde mich gleich an die Arbeit machen!

Es sollten überhaupt keine anderen Clients über VPN gehen, außer wie gesagt, 1-2 VMs. Hier geht es ja nur um das anonymisieren (="nicht eigene IP") der einzelnen Clients. Von die Clients wird auch nicht gesurft oder was auch immer. Werden ziemlich sicher einzelne schlanke Ubuntu Server VMs.

Dann weise ich diesen Clients die DNS Server von die VPN Betreiber, ich werde eh nur einen haben (vermutlich bleibe bei PIA, NordVPN wird gekündigt).

Diese Clients sind zur Zeit allerdings nicht im eigenen VLAN (sie existieren auch noch nicht, sondern nur Test-VMs). Könnte ich aber tun. Sie müssen auf die NAS zugreifen können, aber das kann ich per FW regeln.

Ich versuche es mal einzurichten und berichte dann! Danke!

450

German - Deutsch / OPNsense und DNS, mit VPN

« on: February 18, 2021, 10:01:30 am »

Hallo,

ich kämpfe noch immer etwas mit DNS und es ganz zu verstehen, aber denke ich habe es schon relativ gut im Griff.
In der Konstellation habe ich ein Problem, den ich denke ich so einfach nicht lösen kann. Oder vielleicht schon, aber ich sehe noch keinen Weg.

Grundlegend habe ich in der OPNsense ein IPsec Tunnel mit meiner Firma. Die Domäne dort wird in Unbound via Overrides gefunden. Das funktioniert tadellos.
Seit gestern habe ich auch einen OpenVPN Tunnel mit PIA/NordVPN erstellt, und das funktioniert auch gut.
Aber, hier das Problem:
Damit die DNS-Auflösung in der Firma funktioniert, müssen die Anfragen bei OPNsense über LAN rausgehen. Kein Forwarding.
Damit aber die Pakete bei der Verwendung des Tunnels (nur ein paar VMs) sauber nur über dem Tunnel gehen, und keine DNS Leaks vorkommen, muss ich Port Forwarding anhaken und die entsprechenden Server bei System-Settings-General eingeben (die vom VPN-Provider). Aber, dann es es natürlich mit der Auflösung in der Firma vorbei.
Wie kann ich das am saubersten lösen? Brauche ich einen zweiten DNS wie zB. Pi-Hole (den ich aber ohnehin mal installieren will)? Oder ist das über Firewall Regeln zu regeln?
Netzwerk-Plan, falls notwendig, kann ich liefern.