DNS Anfragen nur an AdGuard erlauben - andere DNS Server am Client verbieten

[_patrick_]

Hallo Leute,

ich habe bei mir 2 AdGuard laufen (10.0.1.250 und 10.0.1.251. Diese werden per DHCP an die Clients verteilt.

Ich möchte jetzt bei den VLANs die Firewall so einstellen das der Internetzugriff nur über die beiden AdGuard laufen darf. Wenn ich am Client einen anderen DNS einstelle soll es keine Verbindung geben.

Ich habe hierzu im VLAN11 (10.0.11.xxx) die Regeln aus dem Screenshot erstellt. Aktiviere ich diese habe ich auf dem Client kein Internet mehr, egal welchen DNS ich einstelle.

Hat jemand einen Tipp für mich, irgendwo ist der Hund drin aber ich finde den Fehler einfach nicht 

Danke und LG
Patrick

[Tuxtom007]

Hallo,

so wie das gerade bei dir aussieht, hast du zwar DNS zum AdBlock per Regel erlaubt, diese aber deaktiviert ( so wie das aussieht ) und danach eine DNS-Blockregel, das wird glaube ich so nicht funktionieren.

Man kann das was du vorhast ( alle DNS-Anfragen zum AdGuard ) per Redirect-Regel machen, so z.b.
https://forum.opnsense.org/index.php?topic=9245.0

[_patrick_]

Hallo,

so wie das gerade bei dir aussieht, hast du zwar DNS zum AdBlock per Regel erlaubt, diese aber deaktiviert ( so wie das aussieht ) und danach eine DNS-Blockregel, das wird glaube ich so nicht funktionieren.

Die Regeln waren nur zwischenzeitlich deaktiviert, da sie eben nicht funktioniert haben 

Man kann das was du vorhast ( alle DNS-Anfragen zum AdGuard ) per Redirect-Regel machen, so z.b.
https://forum.opnsense.org/index.php?topic=9245.0

Herzlichen Dank, das ist es  . Ich habe jetzt die Redirect-Regel angelegt und danach lasse ich die "Block any any DNS" Regel laufen" - wenn ich jetzt am Client den DNS Server ändere und z.B. "8.8.8.8" eintrage habe ich kein Internet mehr. Stelle ich wieder auf DHCP und bekomme somit den AdGuard DNS ist das Internet wieder da 

[Tuxtom007]

Herzlichen Dank, das ist es  . Ich habe jetzt die Redirect-Regel angelegt und danach lasse ich die "Block any any DNS" Regel laufen" - wenn ich jetzt am Client den DNS Server ändere und z.B. "8.8.8.8" eintrage habe ich kein Internet mehr. Stelle ich wieder auf DHCP und bekomme somit den AdGuard DNS ist das Internet wieder da 

Ich hab mal ne Anleitung gehabt, bei der egal welchen DNS man am Client einträgt, alles was DNS-Anfragen sind auf den PiHole ( wars in dem Fall, aber ist ja egal ) weiterleitet. Das wäre die optimale Lösung.

[_patrick_]

Ich hab mal ne Anleitung gehabt, bei der egal welchen DNS man am Client einträgt, alles was DNS-Anfragen sind auf den PiHole ( wars in dem Fall, aber ist ja egal ) weiterleitet. Das wäre die optimale Lösung.

Okay ich muss mich korrigieren, das mit der Block Regel klappt doch nicht. Sobald ich diese aktiviere habe ich am Client kein Internet mehr, egal welcher DNS eingetragen ist. Irgendwo ist also noch ein Fehler drin.

Ich nehme an die Anleitung hast du nicht mehr sonst hättest du sie wahrscheinlich gepostet 

[tiermutter]

https://www.heimnetz.de/anleitungen/firewall/opnsense/opnsense-dns-anfragen-an-eigenen-resolver-umleiten/

Du brauchst nur ein Redirect für normales DNS, keine Block Regel.
Block Regeln brauchst Du für DoT, DoH und DoQ, damit dadurch nicht dein eigener Resolver übergangen werden kann, denn diese DNS kann man nicht umleiten.

[_patrick_]

https://www.heimnetz.de/anleitungen/firewall/opnsense/opnsense-dns-anfragen-an-eigenen-resolver-umleiten/

Du brauchst nur ein Redirect für normales DNS, keine Block Regel.
Block Regeln brauchst Du für DoT, DoH und DoQ, damit dadurch nicht dein eigener Resolver übergangen werden kann, denn diese DNS kann man nicht umleiten.

Die Anleitung habe ich eh auch gefunden. Funktioniert aber bei mir irgendwie nicht. Sobald ich am Client einen anderen DNS manuell eintrage komme ich ins Internet und augenscheinlich auch vorbei am AdGuard (zumindest kann ich geblockte Seiten aufrufen)

[tiermutter]

Dann passt irgendwas noch nicht 
Screenshots der nötigen Einstellungen / Firewall Regeln?

Was stellst du denn anderes am Client ein? Normales DNS oder DoT/DoH?

[_patrick_]

Dann passt irgendwas noch nicht 
Screenshots der nötigen Einstellungen / Firewall Regeln?

Sorry hat ein wenig gedauert, wollte das dann zu Hause in Ruhe machen. Hier aber jetzt die Screenshots
Habe die Redirect Regel erstellt und Opnsense hat dann zusätzlich unter VID10 die Regel angelegt. Unter dem Alias sind die beiden AdGuard IPs hinterlegt (10.0.1.250 und 10.0.1.251). VID10 hat die IP 10.0.10.xxx Der Zugriff und PING aus dem VID10 ins LAN (10.0.1.xxx) funktioniert

Was stellst du denn anderes am Client ein? Normales DNS oder DoT/DoH?

Erstmal normales DNS, wenn das dann funktioniert versuch ich mich am Rest.
Habe es konkret z.B. mit Quad9 am Client probiert also mit 9.9.9.9 und 149.112.112.112


EDIT: Langsam komme ich der Lösung auf die Spur, trage ich bei "Destination" und "Redirect target IP" statt dem Alias die einzelne IP ein also z.B. den ersten AdGuard mit 10.0.1.250 funktioniert alles und die DNS Anfragen werden umgeleitet. Scheinbar kann man hier nicht mit Alias arbeiten. Das Problem ist jetzt nur wenn ich testweise einen Ausfall simuliere und den Adguard mit .250 herunterfahre funktioniert natürlich Garnichts mehr. Eine 2. Redirect Regel mit dem Adguard .251 bringt auch nichts, ich sehe in den Logs wie er weiter versucht auf .250 zu leiten. Gibts da noch eine Lösung?

[tiermutter]

Ich hatte vorhin schon ohne Edit gelesen und mir die Frage gestellt, was denn in dem Alias steckt... Wie sah der denn aus?

[tiermutter]

Also Screenshot bitte... das sagt mehr als das, was man glaubt eingestellt zu haben

[_patrick_]

Also Screenshot bitte... das sagt mehr als das, was man glaubt eingestellt zu haben

In dem Alias sind die beiden IP Adressen der beiden AdGuard Instanzen hinterlegt.

[tiermutter]

Ok, also so wie es eigentlich sein sollte korrekt eingegeben.
Ich stelle mir nur gerade die Frage, ob eine Weiterleitung an zwei IPs überhaupt möglich ist 
Über sowas bin ich noch nie gestolpert, aber prinzipiell kann das ja nur Chaos geben!
Habe da aber auch keine Idee, wie man das als Failover umsetzen kann...

[_patrick_]

Ok, also so wie es eigentlich sein sollte korrekt eingegeben.
Ich stelle mir nur gerade die Frage, ob eine Weiterleitung an zwei IPs überhaupt möglich ist 
Über sowas bin ich noch nie gestolpert, aber prinzipiell kann das ja nur Chaos geben!
Habe da aber auch keine Idee, wie man das als Failover umsetzen kann...

Ja das ist wohl das Problem, in den ganzen Anleitungen ist überall direkt die IP des DNS eingegeben, was ja auch logisch ist und Sinn macht. Habe es wie im Screenshot zu sehen versucht aber das klappt leider nicht, er versucht weiterhin auf 10.0.1.250 aufzulösen und das klappt natürlich nicht wenn der AdGuard Down ist.

Muss ich wohl damit leben das ich manuell umschalten muss sollte der erste AdGuard mal ausfallen. Vielleicht schau ich mir im Zuge dessen auch mal "UpTime Kuma" oder "checkmk"  dann bekomme ich zumindest gleich mit wen der AdGuard ausfällt und kann von unterwegs über die OpnSense umschalten

Im Endeffekt ist es ja eh nur das Worst Case Szenario, bei uns in der Familie hat keiner (ohne beleidigend klingen zu wollen) wirklich das Wissen bzw. die Befindlichkeit den DNS auf seinem Endgerät zu ändern. Ich habe nur irgendwann in einem Facebook Kommentar gelesen, dass es diese Möglichkeit (fremde DNS) auszusperren gibt und wollte es mal testen.

Vielen Dank jedenfalls für deine ausführliche Hilfe, hat mir sehr geholfen 

[tiermutter]

Es müssen ja nicht die "eigenen Leute" sein, die die gewünschten DNS Server umgehen. Das kann auch hardcoded sein, versehentlich eingestellt oder eventuell sogar durch Malware.
Ich denke auch, dass man für daheim nicht zwingend ein DNS Failover braucht. Aber vielleicht kann man die PIs ja auch in HA betreiben, sodass der eine Pi die Konfig und Aufgaben des anderen übernimmt, wenn dieser ausfällt 

Warum eigentlich nicht AGH auf der Sense? Warum DNS von der Sense zum Raspi und wieder zurück schicken?