PiHole wird am eigenen segmentierten Interface geblockt

[bread]

Hi,

ich wusste nicht, wie ichs besser beschreiben soll.
Ich habe PiHole (192.168.5.250) am segmentierten Interface (192.168.5.1) laufen.

PiHole gehört zu privateDevices, die über Floating-Regel per !Private_Networks ins Internet dürfen.
PiHole selbst nutzt unbound mit 127.0.0.1#5335 als DNS-Resolver.

Jetzt werden ständig anfragen von PiHole zum Interface mit der Portnummer 5351 und 1900 geblockt.
Die DNS-Auflösung über PiHole scheint aber dennoch zu funktionieren (habs mal über so ne AdBlocker-Seite gecheckt).

Was sind das für scheinbar unnötige Anfragen, die PiHole da startet?

Edit:
ich habe jetzt ein viel größeren Problem festgestellt
PiHole ist in Settings general als DNS eingetragen.
Unter unbound query forwarding sehe ich PiHole IP "use system name servers" ist aktiviert.

Wenn ich jetzt aber PiHole bei Aliases aus den Devices rausnehme, die ins Internet dürfen, dann funktioniert die DNS-Auflösung dennoch! Hä???

Was löst dann da auf??

Bei den Logs sehe ich lauter geblockte Anfragen von PiHole.

Edit:
ich vermute, es hat etwas mit dem Unbound von OPNsense zu tun?
Wahrscheinlich ignoriert er den Eintrag für PiHole und löst einfach selbst direkt auf.... doch warum??

Bei unbound steht
- enabled
- all Interfaces
- enabled DNSSEC
- transparent local zone

Grüße
bread

[JeGr]

Hi!

> PiHole gehört zu privateDevices, die über Floating-Regel per !Private_Networks ins Internet dürfen.

Warum eine Floating Regel? Sehe ich grundsätzlich immer kritischer sowas alles per Float zu machen.

> PiHole selbst nutzt unbound mit 127.0.0.1#5335 als DNS-Resolver.

Also einen unbound auf dem eigenen Host? Normalerweise nutzt PiHole aber doch pihole-ftl auf der eigenen VM/Maschine und hat dort dann Forwarder eingetragen? Oder ist das damit gemeint? Dann kann es aber ja nicht 127.0.0.1 sein? Das müsstest du bitte erklären.

> Jetzt werden ständig anfragen von PiHole zum Interface mit der Portnummer 5351 und 1900 geblockt.

Das sind keine Ports mit denen PiHole standardmäßig arbeitet? Das eine könnte SSDP sein - da hat Pihole aber nichts mit zu tun - und was mit NAT Mapping - aber auch das macht PiHole normalerweise nicht. Klingt eher nach falschem Alarm, komischem Setup der PiHole Kiste oder was anderem.

> PiHole ist in Settings general als DNS eingetragen.

Huh? Das macht ja gar keinen Sinn. Die Sense ist ja das Gerät am äußersten Rand des Netzes, dann sendet man doch den DNS nicht wieder rein ins Netz, sondern raus?

Ich werde da aus deinem ganzen Ansatz nicht richtig schlau. Könntest du da mal etwas detaillierter auch mit Screens ggf. deine Konfig zeigen?

Zum Vergleich:

Ich habe hier eine Sense mit unbound. Unbound macht RESOLVER - keinen Forwarder, nutzt also Root Server für die Auflösung und cached auch Einträge. Außer der Sense selbst und meinen beiden PiHole im Infra Netz nutzt aber niemand die Sense als DNS, sondern alle Kisten in allen VLANs bekommen die beiden PiHoles im Infra als DNS1/2 gepusht. Die beiden haben dann als DNS die Sense drin und die löst dann über unbound und Root Server brav den DNS auf.
Einzige Ausnahme sind ein paar interne Host Overrides, die dann auf der Sense definiert wurden. Die sind aber kein Problem, da die PiHoles ja alles via Sense+Unbound via ROOT Server auflösen und wenn Overrides definiert sind, dann werden die natürlich vor dem Roots abgegriffen. Das klappt dann auch Bestens und ohne Probleme. Und für die Kasper-Geräte, die versuchen DNS drumherum zu tunneln ist DoT und DoH geblockt und DNS auf andere IPs wird via NAT eingefangen und auf die PIs umgebogen.

So ist auch die Auflöse Hiearchie dann sauber:

Internet (SOA DNSe, ROOTs) -> Firewall (unbound) -> PiHoles (pihole-ftl/dnsmasq) -> Endgeräte

Wenn was schief hängt ists entweder pihole-ftl oder unbound mal durchstarten.

Cheers
\jens

[bread]

Warum eine Floating Regel? Sehe ich grundsätzlich immer kritischer sowas alles per Float zu machen.

Na dafür sind sie doch da, um Systemübergreifende Regeln zu machen. Wenn Devices auf verschiedenen Interfaces hocken, warum dann nicht?

Also wenn man unbound auf PiHole einrichtet, dann ist es PiHole selbst, also 127.0.0.1#5335
https://docs.pi-hole.net/guides/dns/unbound/

Das sind keine Ports mit denen PiHole standardmäßig arbeitet? Das eine könnte SSDP sein - da hat Pihole aber nichts mit zu tun - und was mit NAT Mapping - aber auch das macht PiHole normalerweise nicht. Klingt eher nach falschem Alarm, komischem Setup der PiHole Kiste oder was anderem.

Ja, das dachte ich auch, dass es irgendwie keinen Sinn macht. Muss mal in mich gehen, was da eingestellt wurde.

Huh? Das macht ja gar keinen Sinn. Die Sense ist ja das Gerät am äußersten Rand des Netzes, dann sendet man doch den DNS nicht wieder rein ins Netz, sondern raus?

Ok, sicherheitstechnisch wäre es besser, wenn OPNsense ins Netz mit DNS geht. Gedacht war es aber, dass PiHole im unbound auflöst. Aber dann mach ichs andersrum.

Dann weg mit unbound bei pihole, da kommt als resolver dann die IP von OPNsense rein, oder?
Und was kommt bei OPNsense unter settings->general als DNS rein, wenn ich unbound nutzen will? Nichts oder die OPNsense selbst?