PiHole DNS erzwingen

Started by carepack, September 01, 2025, 06:48:55 PM

Previous topic - Next topic
Print
Go Down Pages1
User actions
September 01, 2025, 06:48:55 PM
Hallo,
es gibt dafür bereits einige Threads etc. Allerdings hatte ich immer wieder die Schwierigkeit, dass einzeln genommen keine wirklcih funktioniert hat bei mir. Aktuell klappt es mit einem Mix aus mehreren Posts ich würde aber gerne wissen, ob die Einstellungen so korrekt sind.

 
Es geht darum Clients zu zwingen PiHole zu erzwingen und ggf. die Anfragen dahin umzuleiten. Es wurden dazu der Post auf labzilla DNS SmartTV und Threads im hier im Forum verwendet.

Setup: OPNSense ist Gateway, PiHole DHCP und DNS Server

Interface LAN:

1. Regel -> Erlaube DNS Anfragen von PiHole
2. Regel -> Blocke alle DNS anfragen LAN NET

NAT Port forward:

1. Regel: Alle DNS Anfragen  die nicht von PiHole kommen und nicht zu PiHole wollen redirecten zu PiHole DNS Port

Allerdings hatte ich damit nicht den gewünschten Erfolg. Wenn ich auf nem Windows Client nen public DNS Server hinterlegt hatte aber einen nur intern verfügbaren Namen auflösen wollte klappte das nicht.

Also noch eine Outbound Rule hinzugefügt

1. Anfragen mit Source LAN Net mit dem Ziel PiHole und Port DNS erfolgt Translation / Target Interface Adress

Und so funktioniert es dann. Interner Windows Client mit fest eingetragenem externen DNS 8.8.8.8 kann nur intern verfügbare Domains auflösen

Ich würde nun gerne wissen, ob das so sinnig ist (ja, es funktioniert) oder ob man es schöner lösen kann und ob ich für Wireguard Road Warriors (iPhone, Notebook), die sich zu Hause einwhählen auch die Outbound und NAT Port Forward Rule entsprechend analog hinterlegen muss?
September 01, 2025, 07:21:40 PM #1 Last Edit: September 01, 2025, 08:16:17 PM by viragomann
Quote from: carepack on September 01, 2025, 06:48:55 PMIch würde nun gerne wissen, ob das so sinnig ist (ja, es funktioniert)
Ja, alle Settings sind nötig, damit es funktioniert.

Quote from: carepack on September 01, 2025, 06:48:55 PModer ob man es schöner lösen kann
Ja, man könnte den PiHole in ein eigenes Netzwerksegment legen.
Dann wäre die Outbound NAT Regel überflüssig. Damit würde der Pi DNS die tatsächlichen Client IPs sehen anstatt jener der OPNsense.

Quote from: carepack on September 01, 2025, 06:48:55 PMund ob ich für Wireguard Road Warriors (iPhone, Notebook), die sich zu Hause einwhählen auch die Outbound und NAT Port Forward Rule entsprechend analog hinterlegen muss?
Die Road Warriors kannst du erstmal nicht zwingen, DNS Anfragen zum VPN Server zu senden. Sie können das nur freiwillig tun.
Die Outbound NAT Regel ist nicht nötig. Die wird nur benötigt, wenn DNS Clients und Server im selben Netzwerksegment liegen.
Die Port Forwarding Regel macht Sinn für den Fall, dass die DNS Anfrage an der OPNsense ankommt, aber zum Internet raus will. D.h., wenn der gesamte Upstream Traffic der Clients über die VPN geroutet wird.

Edit:
Möchte noch hinzufügen, die Block-Regel ist in meinen Augen überflüssig. Denn alle DNS Anfragen, die von anderen Geräten als dem PiHole kommen und ein anderes Ziel als diesen haben, werden ohnehin umgeleitet und erlaubt.
Was da übrig bleibt, ist gleich null.
Aber ich weiß, manche Leute schlafen dennoch besser, wenn sie das zusätzlich noch blockieren.

Du könntest aber erwägen, DNS ober HTTPS zu blockieren, um hier den Clients keine Alternative zu ermöglichen. Dafür gibt es IP-Listen im Internet.
Today at 10:44:15 AM #2
Quote from: viragomann on September 01, 2025, 07:21:40 PM
Quote from: carepack on September 01, 2025, 06:48:55 PMIch würde nun gerne wissen, ob das so sinnig ist (ja, es funktioniert)
Ja, alle Settings sind nötig, damit es funktioniert.

Quote from: carepack on September 01, 2025, 06:48:55 PModer ob man es schöner lösen kann
Ja, man könnte den PiHole in ein eigenes Netzwerksegment legen.
Dann wäre die Outbound NAT Regel überflüssig. Damit würde der Pi DNS die tatsächlichen Client IPs sehen anstatt jener der OPNsense.

Quote from: carepack on September 01, 2025, 06:48:55 PMund ob ich für Wireguard Road Warriors (iPhone, Notebook), die sich zu Hause einwhählen auch die Outbound und NAT Port Forward Rule entsprechend analog hinterlegen muss?
Die Road Warriors kannst du erstmal nicht zwingen, DNS Anfragen zum VPN Server zu senden. Sie können das nur freiwillig tun.
Die Outbound NAT Regel ist nicht nötig. Die wird nur benötigt, wenn DNS Clients und Server im selben Netzwerksegment liegen.
Die Port Forwarding Regel macht Sinn für den Fall, dass die DNS Anfrage an der OPNsense ankommt, aber zum Internet raus will. D.h., wenn der gesamte Upstream Traffic der Clients über die VPN geroutet wird.

Edit:
Möchte noch hinzufügen, die Block-Regel ist in meinen Augen überflüssig. Denn alle DNS Anfragen, die von anderen Geräten als dem PiHole kommen und ein anderes Ziel als diesen haben, werden ohnehin umgeleitet und erlaubt.
Was da übrig bleibt, ist gleich null.
Aber ich weiß, manche Leute schlafen dennoch besser, wenn sie das zusätzlich noch blockieren.

Du könntest aber erwägen, DNS ober HTTPS zu blockieren, um hier den Clients keine Alternative zu ermöglichen. Dafür gibt es IP-Listen im Internet.

Hi viragomann,
vielen Dank für deinen Input :-). Hilft mir sehr.... DoT hab ich generell geblock und DoH über Blocklisten. Die Blocklisten hab ich auch auf dem PiHole hinterlegt, der da schon einiges wegblockt. Trotzdem hab ich sie auch auf der OPNSense hinterlegt. Da die OPNsense auch den PiHole für DNS nutzt hab ich auf dem PiHole eine neue Group hinterlegt in der nur die OPNsense ist und die DoH Blocklisten nicht angewendet werden, damit OPNsense wiederum die Alias abfrage machen kann und die entsprechenden IPs bekommt.

Print
Go Up Pages1
User actions