Home
Help
Search
Login
Register
OPNsense Forum
»
International Forums
»
German - Deutsch
»
DNS in anderem Subnet funktioniert nicht
« previous
next »
Print
Pages: [
1
]
Author
Topic: DNS in anderem Subnet funktioniert nicht (Read 3426 times)
Gafzgarrr
Newbie
Posts: 38
Karma: 0
DNS in anderem Subnet funktioniert nicht
«
on:
May 18, 2021, 10:38:45 pm »
Hallo,
ich habe seit kurzem auch meine OpnSense über ein APU Board am laufen und habe ein Problem, das ich mit Google nicht lösen konnte.
Ich habe auf Port 1 ein LAN 192.168.178.0/24 und auf Port 2 ein VLAN für WLAN 192.168.100.0/24.
Im LAN sitzt der DNS Server (PiHole).
Im LAN Netzwerk funktioniert alles wunderbar.
Im WLAN Netzwerk, kann ich den DNS Server nicht nutzen. Er ist zwar Pingbar, aber (fast) alle Geräte im WLAN haben DNS-Error. Interessanter weise funktioniert aber Whatsapp (aber sonnst nix) und die Amazon-Echos gehen auch!
Smartphones, Tablets, Laptop: alle haben DNS Errors.
Android Geräte melden: Kein Internet
Ich habe den DNS über DHCP eingetragen --> Keine Funktion
Ich habe den DNS händisch eingetragen --> Keine Funktion
Ich habe jetzt DNS Unbound gemacht. Jetzt kommen die Geräte am WLAN-Gateway (192.168.100.1) als DNS Eintrag online, und diese nutzt den PiHole als DNS, da er über das System verteilt wird.
Das ist aber nicht das Ziel, da ich jetzt die Clients nicht mehr direkt am PiHole sehe sondern nur noch das Gateway.
Warum können die Clients im WLAN nicht den DHCP im LAN nutzen?
Firewall block auch nichts, habe ich überprüft. Ich bekomme auch die Meldung, dass der Client die Anfrage zum DNS herstellt und diese "pass" läuft.
Habe auch mal ein "Scheunentor" eingebaut, und alles geöffent, um das auszuschließen.
Bitte um Hilfe.
Viele Grüße
Gafzgarrr
Logged
sewo
Newbie
Posts: 27
Karma: 0
Re: DNS in anderem Subnet funktioniert nicht
«
Reply #1 on:
May 19, 2021, 07:31:59 am »
Hi,
hatte das Problem auch bzw. ähnlich.
https://forum.opnsense.org/index.php?topic=22751.msg108438#msg108438
Gruß
Logged
Gafzgarrr
Newbie
Posts: 38
Karma: 0
Re: DNS in anderem Subnet funktioniert nicht
«
Reply #2 on:
May 19, 2021, 01:40:56 pm »
Hi Sewo,
ich sehe irgendwie in dem Threat keine Lösung für mein Problem?!
Die Firewallregeln habe ich so auch schon aktiv.
Ich sehe aber am DNS leider die Clients nicht, da diese nicht direkt auf den DNS zugreifen, sondern sich erstmal dem Gateway als Zwischenstation bedienen und das Gateway fragt dann die DNS-Einträge am PiHole an.
Ich möchte aber die Clients direkt am DNS sehen können.
Ich hatte vorher einen Unifi USG, dort ging das auch soweit ohne Probleme (selbe Netzwerk Konstellation), von daher muss es ja möglich sein. Die Frage ist nur, welche Einträge ich dazu (vermutlich im Unbound DNS) tätigen muss.
Viele Grüße
Logged
sewo
Newbie
Posts: 27
Karma: 0
Re: DNS in anderem Subnet funktioniert nicht
«
Reply #3 on:
May 19, 2021, 03:28:04 pm »
Hi,
deswegen "ähnlich"
bei mir ist AdGuard auf dem OpnSense Rechner Installiert. DNS Unbound nutze ich nicht.
Ich musste neben FW Regel auch eine Weiterleitung auf Port 53 einrichten. (Glaube ich
) Muss ich nochmal gucken.
Gruß
Logged
JeGr
Hero Member
Posts: 1945
Karma: 227
old man standing
Re: DNS in anderem Subnet funktioniert nicht
«
Reply #4 on:
May 25, 2021, 10:43:00 pm »
> Warum können die Clients im WLAN nicht den DHCP im LAN nutzen?
Ohne wesentlich mehr Details und Screenshots kann da keiner hellsehen oder helfen. Deine Beschreibung "PiHole geht da aus anderen Netzen nicht" ist zwar schön, aber nicht hilfreich. Geht nicht ist keine Fehlerbeschreibung.
- Sind in den anderen Netzen Regeln drin, die den Zugriff auf den PiHole überhaupt erlauben?
- Stimmen die bzw. sind korrekt eingerichtet?
- Ist der PiHole korrekt konfiguriert?
- Screenshots der Regeln auf den Interfaces
etc. etc.
Ich habe hier bspw. eine MultiWAN Kiste mit nem Dutzend VLANs sowie OpenVPN etc. und in meinem "Infrastruktur" VLAN stehen 2 PiHoles als Mini-Cluster und diese sind aus jedem VLAN (LAN, Work, Lab, Media, etc.) erreich- und nutzbar.
Funktioniert also bei korrekter Konfiguration ganz fein, aber ohne dass du was von deiner Config postest, kann da keiner helfen.
Cheers
\jens
Logged
"It doesn't work!" is no valid error description!
- Don't forget to [applaud] those offering time & brainpower to help you!
Better have some *sense as no(n)sense!
If you're interested in german-speaking business support, feel free to reach out via PM.
Gafzgarrr
Newbie
Posts: 38
Karma: 0
Re: DNS in anderem Subnet funktioniert nicht
«
Reply #5 on:
May 27, 2021, 10:56:17 am »
Hallo,
Hier mal Screenshots meiner Netzwerke:
https://drive.google.com/file/d/1ViA_o5sPWoKxiZGsWfI4_IOaRHAjQAgr/view?usp=sharing
https://drive.google.com/file/d/1h72CbVimjNWHU_oJYYRvSH8ou15pAqsv/view?usp=sharing
https://drive.google.com/file/d/1BT4zKx6wVANtukx4bLb0IuvS8ypmMwbV/view?usp=sharing
Aus meiner Sicht sind alle Regeln dafür eingerichtet.
Wie beschrieben sehe ich auch einen "Pass" im Firewall Protokoll.
Dennoch bekommen die Clients aus dem VLAN99_WLAN keine DNS Einträge geliefert und jeder Client meldet "DNS-Error".
Was meinst du mit "PiHole korrekt konfiguriert"?
Wie beschrieben, ging diese Konfig vor dem Wechsel zur OPNSence mit Unifi-USG ohne Probleme.
Von daher nehme ich an, der PiHole läuft richtig.
Viele Grüße
«
Last Edit: May 27, 2021, 11:00:06 am by Gafzgarrr
»
Logged
JeGr
Hero Member
Posts: 1945
Karma: 227
old man standing
Re: DNS in anderem Subnet funktioniert nicht
«
Reply #6 on:
May 27, 2021, 01:04:24 pm »
Der erste Screen vom LAN macht keinen Sinn, weil da eh bereits alles erlaubt wurde wegen der Default Rule. Da braucht es dann keine zusätzlichen. Zumal eingehend SOURCE des PIs keinen Sinn macht. Und ausgehend wird nicht benötigt, da stateful, also genügt es das auf dem anderen Interface eingehend zuzulassen.
Auf dem VLAN ist auch eine any any Regel drin, macht also auch keinen Sinn DANACH noch irgendwelche anderen Rules zu definieren.
Also ja, Rules müssten passen. Ansonsten müsste man dann mal schauen ob die Requests überhaupt beim PiHole ankommen. DNS Error würde ja heißen dass man gar keine Antwort bekommt oder nen Fail. Also nen Ping und nen host/nslookup etc machen und schauen ob der ankommt auf dem PiHole (tcpdump?).
Viele Grüße
Logged
"It doesn't work!" is no valid error description!
- Don't forget to [applaud] those offering time & brainpower to help you!
Better have some *sense as no(n)sense!
If you're interested in german-speaking business support, feel free to reach out via PM.
Gafzgarrr
Newbie
Posts: 38
Karma: 0
Re: DNS in anderem Subnet funktioniert nicht
«
Reply #7 on:
May 27, 2021, 07:55:10 pm »
Ja das mit den Scheunentor Regeln habe ich mit Absicht so, um hier fehler auszuschließen, das passe ich dann später mal an :-)
Also ich habe jetzt tcpdump auf dem PiHole gemacht, und dort kommen Pakete von einem Host aus dem WLAN-Netzwerk auch an:
19:47:20.775759 IP 192.168.100.128.9655 > PiHole.domain: 45815+ A? safebrowsing.google.com. (41)
19:47:20.775776 IP 192.168.100.128.14775 > PiHole.domain: 54685+ A? m.notebooksbilliger.de. (40)
19:47:21.759981 IP 192.168.100.128.34735 > PiHole.domain: 17165+ A? accounts.google.com. (37)
19:47:21.940377 IP 192.168.100.128.33459 > PiHole.domain: 59940+ A? android.clients.google.com. (44)
19:47:23.159494 IP 192.168.100.128.48502 > PiHole.domain: 27702+ A? play.googleapis.com. (37)
19:47:23.840056 IP 192.168.100.128.30261 > PiHole.domain: 11777+ A? accounts.google.com. (37)
19:47:24.862486 IP 192.168.100.128.64231 > PiHole.domain: 33416+ A? m.notebooksbilliger.de. (40)
19:47:24.862521 IP 192.168.100.128.9126 > PiHole.domain: 54855+ A? optimizationguide-pa.googleapis.com. (53)
19:47:24.998755 IP 192.168.100.128.36740 > PiHole.domain: 48127+ A? forum.opnsense.org. (36)
19:47:25.165973 IP 192.168.100.128.6301 > PiHole.domain: 55749+ A? connectivitycheck.gstatic.com. (47)
19:47:25.166019 IP 192.168.100.128.27144 > PiHole.domain: 59115+ A?
www.google.com
. (32)
19:47:25.914014 IP 192.168.100.128.53297 > PiHole.domain: 62344+ A? optimizationguide-pa.googleapis.com. (53)
19:47:25.914561 IP 192.168.100.128.23469 > PiHole.domain: 48578+ A? m.notebooksbilliger.de. (40)
19:47:27.967963 IP 192.168.100.128.62730 > PiHole.domain: 35043+ A? optimizationguide-pa.googleapis.com. (53)
19:47:27.968008 IP 192.168.100.128.25515 > PiHole.domain: 32957+ A? m.notebooksbilliger.de. (40)
19:47:28.175574 IP 192.168.100.128.48502 > PiHole.domain: 27702+ A? play.googleapis.com. (37)
19:47:28.827538 IP 192.168.100.128.30261 > PiHole.domain: 11777+ A? accounts.google.com. (37)
19:47:30.200990 IP 192.168.100.128.63730 > PiHole.domain: 16105+ A? connectivitycheck.gstatic.com. (47)
19:47:30.201037 IP 192.168.100.128.43100 > PiHole.domain: 9849+ A?
www.google.com
. (32)
19:47:32.934552 IP 192.168.100.128.62730 > PiHole.domain: 35043+ A? optimizationguide-pa.googleapis.com. (53)
19:47:32.934599 IP 192.168.100.128.25515 > PiHole.domain: 32957+ A? m.notebooksbilliger.de. (40)
19:47:33.837073 IP 192.168.100.128.49605 > PiHole.domain: 53984+ A? accounts.google.com. (37)
19:47:33.843257 IP 192.168.100.128.63698 > PiHole.domain: 41251+ A? accounts.google.com. (37)
19:47:34.875797 IP 192.168.100.128.30840 > PiHole.domain: 24324+ A? accounts.google.com. (37)
19:47:35.200134 IP 192.168.100.128.63730 > PiHole.domain: 16105+ A? connectivitycheck.gstatic.com. (47)
19:47:35.200180 IP 192.168.100.128.43100 > PiHole.domain: 9849+ A?
www.google.com
. (32)
19:47:36.920813 IP 192.168.100.128.25134 > PiHole.domain: 2075+ A? accounts.google.com. (37)
19:47:37.538469 IP 192.168.100.128.53208 > PiHole.domain: 24372+ A? update.googleapis.com. (39)
19:47:37.664934 IP 192.168.100.128.22454 > PiHole.domain: 52410+ A?
www.google.com
. (32)
19:47:37.938274 IP 192.168.100.128.22103 > PiHole.domain: 12835+ A? m.notebooksbilliger.de. (40)
19:47:37.938330 IP 192.168.100.128.26739 > PiHole.domain: 12355+ A? optimizationguide-pa.googleapis.com. (53)
19:47:37.941030 IP 192.168.100.128.14460 > PiHole.domain: 24826+ A? optimizationguide-pa.googleapis.com. (53)
19:47:38.599952 IP 192.168.100.128.7705 > PiHole.domain: 48397+ A? update.googleapis.com. (39)
19:47:38.671158 IP 192.168.100.128.42366 > PiHole.domain: 45872+ A?
www.google.com
. (32)
19:47:38.844651 IP 192.168.100.128.49605 > PiHole.domain: 53984+ A? accounts.google.com. (37)
19:47:38.971723 IP 192.168.100.128.22729 > PiHole.domain: 29503+ A? optimizationguide-pa.googleapis.com. (53)
19:47:40.660225 IP 192.168.100.128.53491 > PiHole.domain: 58051+ A? update.googleapis.com. (39)
19:47:40.723561 IP 192.168.100.128.50425 > PiHole.domain: 21958+ A?
www.google.com
. (32)
19:47:41.040825 IP 192.168.100.128.55500 > PiHole.domain: 24638+ A? optimizationguide-pa.googleapis.com. (53)
19:47:41.934018 IP 192.168.100.128.25134 > PiHole.domain: 2075+ A? accounts.google.com. (37)
19:47:42.967966 IP 192.168.100.128.26739 > PiHole.domain: 12355+ A? optimizationguide-pa.googleapis.com. (53)
19:47:42.968001 IP 192.168.100.128.22103 > PiHole.domain: 12835+ A? m.notebooksbilliger.de. (40)
19:47:43.852545 IP 192.168.100.128.21651 > PiHole.domain: 9507+ A? accounts.google.com. (37)
19:47:45.663242 IP 192.168.100.128.53491 > PiHole.domain: 58051+ A? update.googleapis.com. (39)
19:47:45.741237 IP 192.168.100.128.50425 > PiHole.domain: 21958+ A?
www.google.com
. (32)
19:47:46.067317 IP 192.168.100.128.55500 > PiHole.domain: 24638+ A? optimizationguide-pa.googleapis.com. (53)
19:47:47.990935 IP 192.168.100.128.40073 > PiHole.domain: 2669+ A? optimizationguide-pa.googleapis.com. (53)
19:47:48.212450 IP 192.168.100.128.51995 > PiHole.domain: 30350+ A? connectivitycheck.gstatic.com. (47)
19:47:48.872962 IP 192.168.100.128.21651 > PiHole.domain: 9507+ A? accounts.google.com. (37)
Aber das Smartphone (hier die 192.168.100.128) meldet wie immer "DNS_PROBE_FINISHED_BAD_CONFIG:
Und auch in der Client-List vom PiHole (Web-Gui) taucht diese IP nicht auf.
Ping und Portscan von Smartphone zu PiHole sind gut (Ports 22, 53 und 80 sind offen und erreichbar).
Auch die Firewall sieht den Traffic als "pass" in der Live Übersicht:
https://drive.google.com/file/d/1847pG0niZTtJfnw24lRCaDvVNCDfHq9t/view?usp=sharing
Was mach ich falsch? Wo kann ich noch suchen?
Logged
JeGr
Hero Member
Posts: 1945
Karma: 227
old man standing
Re: DNS in anderem Subnet funktioniert nicht
«
Reply #8 on:
May 28, 2021, 09:30:40 am »
> Also ich habe jetzt tcpdump auf dem PiHole gemacht, und dort kommen Pakete von einem Host aus dem WLAN-Netzwerk auch an:
OK Frage: ist das die tatsächliche Ansicht vom TCPDump? Ich sehe da nur eingehende Pakete aber nichts was raus geht? Stimmt die Einstellung auf deinem PiHole was Netzwerk angeht vielleicht nicht? Ich sehe ihn nämlich keine Antworten schicken?
Ich verstehe auch den Live Traffic Match nicht. Da sollte eigentlich die Regel vom Interface matchen und nicht "let out anything from the firewall itself". Irgendwie macht das keinen richtigen Sinn für mich.
Wie ist das Netz aufgebaut und konfiguriert? Irgendwie vermute ich da falsches/asymmetrisches Routing oder falsche Netzkonfiguration.
«
Last Edit: May 28, 2021, 09:32:19 am by JeGr
»
Logged
"It doesn't work!" is no valid error description!
- Don't forget to [applaud] those offering time & brainpower to help you!
Better have some *sense as no(n)sense!
If you're interested in german-speaking business support, feel free to reach out via PM.
Gafzgarrr
Newbie
Posts: 38
Karma: 0
Re: DNS in anderem Subnet funktioniert nicht
«
Reply #9 on:
May 28, 2021, 12:30:05 pm »
Ja das ist der tcpdump direkt am PiHole (bzw. auf der Maschine).
Ich habe nur auf den Host gefiltert.
Hätte das beim tcpdump (tcpdump host 192.168.100.128) anders aussehen müssen, oder muss ich einen Anderen befehl machen?
Ich habe auch tcpdump net 192.168.100.0/24 gemacht, selbes ergebniss.
Hier mein Netzwerkaufbau schematisch:
https://drive.google.com/file/d/1i2eyuxgJByYY9l414RUpdXyVRBhxVXo8/view?usp=sharing
Viel kann man da eigentlich nicht falsch machen.
Die beiden Netze (192.168.178.0/24 und 192.168.100.0/24) sind als Static IPv4 Netze eingestellt.
Logged
Gafzgarrr
Newbie
Posts: 38
Karma: 0
Re: DNS in anderem Subnet funktioniert nicht
«
Reply #10 on:
May 28, 2021, 12:46:04 pm »
Okay ich habe es Lösen können.
Ich weiß zwar nicht, warum es früher funktioniert hat und heute nicht mehr, aber egal.
Der Fehler lag am PiHole!.
Ich habe im Eintrag Settings/DNS/Interface listening behavior den Eintrag auf "Listen on all interfaces" gehabt.
Dort steht aber im Kleingedruckten: "Allows only queries from devices that are at most one hop away (local devices)".
Ich habe jetzt auf "Listen only on interface eth0" gestellt, und es funktioniert.
Danke für die Hinweise!
Viele Grüße - Kann geschlossen werden
Logged
Print
Pages: [
1
]
« previous
next »
OPNsense Forum
»
International Forums
»
German - Deutsch
»
DNS in anderem Subnet funktioniert nicht