OPNsense
  • Home
  • Help
  • Search
  • Login
  • Register

  • OPNsense Forum »
  • International Forums »
  • German - Deutsch »
  • Sensei, Pi-hole und Wireguard
« previous next »
  • Print
Pages: [1]

Author Topic: Sensei, Pi-hole und Wireguard  (Read 2091 times)

kosta

  • Hero Member
  • *****
  • Posts: 540
  • Karma: 2
    • View Profile
Sensei, Pi-hole und Wireguard
« on: February 28, 2021, 04:44:51 pm »
Hallo,

ich bringe gerade noch eine Komponente in meine Konfiguration: Sensei.
Heute aktiviert. Im LAN funktioniert es tadellos. Über Wireguard, nicht wirklich.
Der Grund dafür: Pi-hole ist als primärer DNS für alle Geräte eingetragen.
Im Wireguard habe ich full Tunnel eingerichtet (0.0.0.0/0).
Ich sehe die Anfragen auf Pi auch ankommen. Aber Sensei tut nix. Scheinbar "sitzt" Sensei davor.
Einzige Lösung sozusagen ist OPNsense als DNS einzutragen und Pi als Forwarder. Ja, es gibt ein Topic schon dazu, aber das Thema hier ist etwas anders.
Ich hab grundsätzlich kein Problem OPNsense als primären DNS einzutragen, aber ich hab hier einfach ein Problem, ich kann entweder:
1) OPNsense als DNS: Sensi funkt, Pi zeigt mir keine Hostnames/IPs
2) Pi als DNS: Sensei funkt via Wireguard nicht, Pi zeigt Hostnames/IPs

Kann man die zwei glücklich verheiraten?

Bzw. ist Pi-Hole neben Sensei überhaupt notwendig?
« Last Edit: February 28, 2021, 05:17:02 pm by kosta »
Logged

foresthus

  • Newbie
  • *
  • Posts: 17
  • Karma: 1
    • View Profile
Re: Sensei, Pi-hole und Wireguard
« Reply #1 on: March 15, 2021, 01:16:39 pm »
Hallo,
eine Kombiantion ist durchaus möglich. Deine Firewall gibt den Clients als DNS den pihole und die Firewall mit. In der Firewall defininierst Du eine Regel, die nur die Firewall und den pihole für Port 53 nach außen zuläßt. Alle anderen DNS-Anfragen aus Deinem Netz werden geblockt. Im Piohole stellt Du folgendes ein:

Settings >> DNS >> Upstream DNS Servers: Deine Firewall
Settings >> DNS >> Advanced DNS settings: Never forward non-FQDNs,
Settings >> DNS >> Advanced DNS settings: Never forward reverse lookups for private IP ranges
Settings >> DNS >> Advanced DNS settings: Use DNSSEC (wenn Du das auch in der Firewall aktiv hast)
Settings >> DNS >> Use Conditional Forwarding: Local network in CIDR notation
Settings >> DNS >> Use Conditional Forwarding: IP address of your DHCP server (router)
Settings >> DNS >> Use Conditional Forwarding: Local domain name (optional)

Fertig. Wenn Du dann noch in der Firewall den ARP-Eintrag pro MAC setzt. wird alles noch runder ;)

Dann kannst Du im pihole pro IP Regeln definieren und Gruppen generieren. z.B. Malware oder VPN. Diese Gruppen kannst Du dann wieder Deinen IPs zuweisen. Man könnte fast von einer DNS-Firewall sprechen, wenn Deine Clients keine DNS extern nutzen können (Regel dafür einbauen).

Achja und wenn Du Deinen pihole noch optimieren möchtest: Nimm die Distro dietpi. Installiere diese und schließe eine externe SSD an. Verlagere das Filesystem mit Hilfe der mitgeliferten Tools auf die SSD. Dann bist Du auch in der Lage einen SWAP-Bereich auf der SSD einzurichten.
Danach rennt Dein Pihole fast 10 mal schneller. ;(
Auch die SDCard hält länger, da die Schreibzyklen nun auf der SSD sind.

Viele Spass weiter mit Deinem Pihole und Deiner Firewall OPNsense (läuft auch mit der pfsense)
Logged
  • Print
Pages: [1]
« previous next »
  • OPNsense Forum »
  • International Forums »
  • German - Deutsch »
  • Sensei, Pi-hole und Wireguard
 

OPNsense is an OSS project © Deciso B.V. 2015 - 2024 All rights reserved
  • SMF 2.0.19 | SMF © 2021, Simple Machines
    Privacy Policy     | XHTML | RSS | WAP2