[gelöst] Probleme mit DNS

[kruemelmonster]

Hallo,

ich habe derzeit ein Problem mit meinem DNS.

Ich habe mehrere vlans eingerichtet. Jedes vlan ist ausgehend gesperrt, ich öffne bei den betreffenden "Ziel"-vlans nur die benötigten Verbindungen.  Erscheint mir einfacher, weil ich mir gegenüber den eingehenden Sperren die Freigaben für die gehend benötigten Dienste sparen kann.

Die Opnsense macht auf allen vlans (mit Ausnahme vlan/Subnetz 8 [192.168.8.0/24]) DHCP und DNS.
Zusätzlich habe ich auf einem Raspi noch DNS mit Pi-Hole unter der IP 192.168.8.3 zu laufen, dessen Forwarder die Opnsense ist. Funktioniert innerhalb des von meinen Rechnern verwendeten Subnetzes 192.168.8.0/24 absolut klaglos.

Wenn ich für mein Android-Handy im vlan 28 mit fester IP-Zuweisung DNS auf dem  Gateway (192.168.128.1) belasse, geht alles. Wenn ich dem Gerät aber als DNS-Server die 192.168.8.3 zuordne, geht kein DNS. Alles andere auf dem Raspi-DNS-Server 192.168.8.3 (ICMP, 2 Webserver) geht in diesem Fall über die IP des Raspis auch, aber eben nicht über Namensauflösung. Damit aber auch kein Internet für's Handy.

Muss ich bei der festen IP-Reservierung in DHCP noch mehr eintragen als nur den veränderten DNS-Server? Ich hatte dort auch das Gateway eingetragen. Aber auf dem Handy zeigt er die korrekten Einstellungen an, kann den DNS aber nicht nutzen.

Gibt es zwischen DHCP und DNS Abhängigkeiten, die ich übersehe?  Kann ich mich da irgendwo (deutschsprachig) belesen?

[JeGr]

Wenn es über Netzgrenzen hinweg nicht mit Zugriff auf den DNS klappt, dann vermute ich Regelwerk oder Routing. Da davon leider nichts gepostet ist, kann ich nichts dazu sagen, aber es klingt schon sehr eindeutig danach, wenn das Handy mit Sense als DNS läuft und bei korrekter Zuweisung des DNS dann aber nichts mehr klappt und das Handy nicht zum PiHole kommt.

Da scheinen für mich die Regeln nicht zu passen oder das Routing läuft schief was aber bei Netzen die alle auf der Sense aufliegen eher nicht wirklich der Punkt sein kann.

Cheers

[Tuxtom007]

Du musst aus den VLAN's raus auch DNS zu deinem VLAN, wo der PiHole hängt erlaubt, sonst funktioniert das nicht.

Ich hab dazu eine Regel im "Floating" eingetragen auf die IP's der Piholes und DNS-Ports.

[kruemelmonster]

...
Da scheinen für mich die Regeln nicht zu passen oder das Routing läuft schief was aber bei Netzen die alle auf der Sense aufliegen eher nicht wirklich der Punkt sein kann.
...

Seltsamerweise kann ich den DNS-Server über die IP aber über ICMP und http usw. erreichen. Ich habe mal einen Screenshot der FW-Regeln des vlan 8 (192.168.8.0/24) angefügt. Entscheidend dürften m. E. die letzte und die 2. Regel sein. Ausgehend ist das vlan dicht, sofern nicht davor was erlaubt ist. Funktioniert für alles, außer eben DNS. Warum DNS da aber eine Ausnahme von TCP/UDP macht, ist mir unklar.

[kruemelmonster]

Du musst aus den VLAN's raus auch DNS zu deinem VLAN, wo der PiHole hängt erlaubt, sonst funktioniert das nicht.

Ich hab dazu eine Regel im "Floating" eingetragen auf die IP's der Piholes und DNS-Ports.

Warum muss ich DNS aus dem vlan  heraus separat erlauben, wenn ich das betreffende vlan eingehend nicht gesperrt habe? Oder meinst Du das vlan mit dem PiHole?  Alle vlan's sind eingehend in alle Richtungen offen, nur ausgehend sind sie alle zu, damit ich die "Querzugriffe" zwischen den vlan's kontrollieren kann. Und das vlan mit dem PiHole habe ich ausgehend entsprechend offen, sonst würde ich die weiteren Dienste auf dem PiHole ja über seine IP nicht erreichen können.

[Tuxtom007]

Warum muss ich DNS aus dem vlan  heraus separat erlauben, wenn ich das betreffende vlan eingehend nicht gesperrt habe? Oder meinst Du das vlan mit dem PiHole?  Alle vlan's sind eingehend in alle Richtungen offen, nur ausgehend sind sie alle zu, damit ich die "Querzugriffe" zwischen den vlan's kontrollieren kann. Und das vlan mit dem PiHole habe ich ausgehend entsprechend offen, sonst würde ich die weiteren Dienste auf dem PiHole ja über seine IP nicht erreichen können.

Wenn deine VLAN ausgehende zu anderen VLAN's zu sind, wie soll dann von einem VLAN aus eine DNS-Anfrage zu deinem PiHole in ein andere VLAN funktionieren ?
Zudem solltest du DNS Richtung OPNSense / Internet erlauben vom PiHole aus.

Ich verstehe dein Konfig nicht, alle VLAN eingehend offen zu machen, ausgehend macht man alles dicht und erlaubt nur das was erlaubt sein soll - so hab ich das mal gelernt.

[kruemelmonster]

Habe jetzt die Lösung gefunden. Hat was mit "Trick 17 = Selbstüberlistung" 
Der PiHole ist standardmäßig so konfiguriert, das der Anfragen von außerhalb seine lokalen Netzwerks (=dem auf der Schnittstelle) verwirft. Hatte also absolut nichts mit dem Routing oder dem Regelwerk auf der OpnSense zu tun. Aber da ich das mit dem PiHole nicht wusste...

Ich verstehe dein Konfig nicht, alle VLAN eingehend offen zu machen, ausgehend macht man alles dicht und erlaubt nur das was erlaubt sein soll - so hab ich das mal gelernt.

EIngehender bzw. ausgehender Verkehr ist - soweit ich das richtig begriffen habe - bei der OpnSense aus Sicht des Systems zu betrachten. Eingehend = Alles was in die OpnSense rein geht, Ausgehend = dementsprechend alls was raus geht.

Dementsprechend ist in den vlans eingehend alles was vom angeschlossenen Gerät zur Sense rein geht und ausgehend, was von wo auch immer über die OpnSense zum Gerät raus geht.

Du hast mit deinem Ansatz eigentlich recht. Alles ist verboten (=gesperrt) , außer es wird explizit erlaubt (=Regel zur Freigabe). Das hätte aber zur Folge, dass ich für jedes Protokoll eine Regel zwecks erlauben einbauen müsste. Ist mir für den Heimgebrauch mit fast ausschließlich Linux-und Android-Systemen zu aufwendig. Ich sperre da lieber den Zugriff zwischen den vlans untereinander, weil mir das wichtiger erscheint. Abgesehen davon ist es so gut wie unmöglich jeden unerwünschten Datenverkehr auf FW-Ebene zu beschränken. Deshalb habe ich ja zusätzlich den PiHole als DNS-Filter.

Vielen Dank nochmal an die Tippgeber.

[Tuxtom007]

EIngehender bzw. ausgehender Verkehr ist - soweit ich das richtig begriffen habe - bei der OpnSense aus Sicht des Systems zu betrachten. Eingehend = Alles was in die OpnSense rein geht, Ausgehend = dementsprechend alls was raus geht.

Ja, bezieht sich jeweils auf das Interface
Man kann beides filter, aber dann sollte man es konsequenz durchziehen.


An den PiHole hab ich ehrlich gesagt auch nicht gedacht, da ich den per Standart immer erlauben, Anfragen über alle Interface und Netze anzunehmen :-)