DNS Auflösung Richtung Internet funktioniert nicht

[ahlewurscht]

Hallo,

ich haben auf meiner opnsense (steht hinter einem DSL Router) mehrere Netze eingerichtet die keine Kommunikation untereinander haben sollen, aber jedes Netz soll Zugang zum Internet haben.
Ich habe als erstes für jedes Interface ein Block Rule gesetzt die die Kommunikation in die anderen Netze unterbindet außer Richtung WAN Interface. Danach erfolgen die Regel für den Zugriff auf das Internet (http, https, dns allow -> destination any).
Unter System->General->Settings habe ich meine bevorzugten DNS Server eingetragen. In der Konfig des Unbound DNS haben query forwardings aktiviert.
Mein Problem:
Wenn ein Client eine Namensauflösung durchführen möchte funktioniert diese nicht. In der Live log der Firewall ist zu erkennen das meine Block Rule die ich als erstes für jedes Interface angelegt habe zuschlägt, deaktiviere ich die Rule funktioniert der Zugriff. Ich kann nicht erkennen  wo das Problem liegen soll.

[Patrick M. Hausen]

Zeig doch mal die Regeln und die DHCP-Settings - exemplarisch für eines der Netze oder für alle - wie du willst.

[ahlewurscht]

Hier meine DHCP Settings. Für DNS habe ich keinen Eintrag hinterlegt da, wenn keine kein Eintrag vorliegt, wird das Gateway als DNS genutzt.
 

[Patrick M. Hausen]

Und die Firewall-Regeln an diesem Interface?

[ahlewurscht]

Hier noch das Regelwerk

[Patrick M. Hausen]

Das ist wieder der DHCP-Server ...

[ahlewurscht]

Sorry,

[Patrick M. Hausen]

Irgendeines der Netze in deiner Block-Regel enthält durch irgendeinen Zufall/Typo/Netzmaske/... wahrscheinlich auch den DNS-Server, den deine Clients zu verwenden versuchen.

Ich mach das eher so - ich hab eine Gruppe "Net4_Local" bzw. "Net6_Local", da sind alle lokalen Netze drin, in die jedes dieser jeweiligen Netze keinen Zugriff haben soll. Und dann diesen Regelsatz:



HTH,
Patrick