OpnSense mit pi-hole als DNS Filter

Started by mossi2000, June 28, 2022, 01:36:47 PM

Previous topic - Next topic
Print
Go Down Pages1
User actions
June 28, 2022, 01:36:47 PM Last Edit: June 29, 2022, 01:22:11 PM by mossi2000
Ja ich weiß, das Theman gibt's in verschiedenen Ausprägungen...

Mir hat es am Wochenende de Sense zerlegt: Irgendwas (ich vermute ntopng oder netflow) hat der Sense (apuc2d4) die root partition komplett zugemüllt
Aufgeräumt und nach dem reboot keine Interfaces mehr (keine IP zuordnung). Config Backup hat nicht geholfen.

Also habe ich, weil ich Internet im Netz für's HomeOffice brauche, die Sense frisch aufgesetzt.
v22.1.2 vom Stick gebootet und installiert, Adressen vergeben und OK.

Dann wollte ich das wie bisher:
Schritt 1:
IPv4 only
Sense hinter einem ISP Fiber Router         192.168.10.10
Sense macht DNS over TLS (Unbound)     192.168.100.3 LAN     bzw. 192.168.10.3  WAN
Sense macht DHCP im 100er Netzwerk
pi-hole macht DNS Filter   192.168.100.13     
DHCP gibt pi-hole als DNS Server aus.

Schritt 2:

UND ich möchte, daß der pi-hole geforced wird. (Also nix mit lokal eingestelltem DNS auf 8.8.8.8 oder so.

Mehrere Anleitungen gelesen und probiert;
Teil 1 klappt.  Ich komme ins Internet und der pi-hole filtert, solange ich den DNS server mit DHCP beziehe.

Nur wenn ich einem Laptop den DNS Server auf 8.8.8.8 setze kommt dieser nicht ins Internet.
Heißt: z.B. nslookup www.spiegel.de kann nicht aufgelöst werden...

PIHOLE ist ein aliias auf 192.168.100.13


Meine Rules:
Firewall NAT: 
LAN    TCP/UDP    *    *    ! LAN address    53 (DNS)    PIHOLE      53 (DNS)    Force DNS trafffic always to PIHOLE    
         LAN    TCP/UDP    *    *    *    53 (DNS)    127.0.0.1    53 (DNS)    FALLBACK:redirect and pass DNS

Firewall DNS:

IPv4 TCP/UDP    PIHOLE     *    LAN address    53 (DNS)    *    *    Allow PIHOLE DNS traffic    
      IPv4 TCP/UDP    *    *    PIHOLE    53 (DNS)    *    *    Allow DNS requests to PIHOLE    
      IPv4 TCP/UDP    *    *    *    53 (DNS)    *    *    Block any DNS traffic not being handled yet



Was fehlt denn da noch?

Nachtrag: Ich habe jetzt gesehen daß:
-der DNS Request an 8.8.8.8 vom Laptop rasugeht, redirected wird zum pi-hole aber ich sehe keine Antwort...
So als ob die Rückrichtung vom NAT nicht ginge... Mhhh...
Sieht nach : "Mit 'nem Wireshark drangehen...." aus


Gruß Axel




July 01, 2022, 12:49:59 AM #1
Habe jetzt nicht komplett gelesen, wenig Zeit aber Evtl. hilft Dir das hier weiter:

https://forum.opnsense.org/index.php?topic=9245.0
July 01, 2022, 12:58:39 AM #2
Quote from: Nambis on July 01, 2022, 12:49:59 AM
Habe jetzt nicht komplett gelesen, wenig Zeit aber Evtl. hilft Dir das hier weiter:

https://forum.opnsense.org/index.php?topic=9245.0

Hast du Unbound eingerichtet und in System -> Allgemein die Pi-Holes eingetragen?
July 23, 2022, 11:52:11 AM #3
Hi,

vielen Dank für die Tips.
Habe dann nach mehrfachem Probieren und Lesen diverser Anleitungen/Posts meinen Fehler gefunden:

Man stellt in den FW Regeln für NAT für DNS "NAT Reflection - disabled" ein.
In FW Settings | Advanced | NAT darf man dann aber NICHT die erste Option "Reflection for Port Forwards" anklicken, sondern muss die 3. Option "Automatic outbound NAT for Reflection" auswählen.
Dann klappt die Chose.
Uff.
Mit den dazu analogen FW Regeln kann man dann auch als NTP Server die Sense forcen... :-)


July 23, 2022, 07:02:40 PM #4
Hey,

danke vielmals für deine Rückmeldung, freut mich das du es hinbekommen hast. Eine Frage nur, funktioniert diese Konfiguration dann auch, wenn im System selbst keine DNS-Server hinterlegt sind?

Deswegen hat vermutlich auch die direkte Weiterleitung bei mir nicht geklappt, weil bei mir die DNS Anfragen direkt auf die Sense selber umgeleitet werden.

Grüße
Print
Go Up Pages1
User actions