OPNsense mit Pi-Hole als DNS Server

[guest18611]

Hallo,

Ich habe mich jetzt endlich dazu entschieden eine eigene Firewall für zuhause aufzusetzten.
Natürlich stand auch ich vor der Frage, PFsense oder OPNsense?
Aber ich denke ich habe mich richtig entschieden

Nätürlich habe ich beide getestet und was mir auf den ersten Blick ein wenig fehlte war das "pfBlockerNG" Plugin, aber dafür werde ich mir einen virtuellen "Pi-Hole" installieren und habe so die gleiche Lösung mit einer schönen Weböberfläche.
Aber eine Frage stellt sich mir noch, wie kriege ich es hin das der gesamte DNS Traffic auf die Pi-Hole Adresse umgeletet wird? Habe da etwas mit Port Forwarding gesehen und auch "einfache" Firewall Regeln die nur Port 53 auf die Pi-Hole Adresse zulassen und danach wird alles an Port 53 geblockt.

Aber wie wäre hier der sicherste Weg? und welchen Service muss ich dafür benutzten? Ich schätze mal den DNS Resolver?

Vielen Dank schon einmal im Vorraus

[mimugmail]

Wenn alle deine Geräte im LAN DHCP verwenden kannst du auch Pi als DNS Server verteilen. Oder du trägst die IP als Forwarder bei der OPNsense ein. Dann sollte auch kein NAT oder Ähnliches notwendig sein.

Ich programmier gerade ein neues Plugins was dir die Pi Funktion mehr oder weniger bereitstellt, dauert aber sicher noch 1-2 Monate bis das fertig ist.

[lewald]

Hallo,

ich habe das hier genau so am laufen. Ich habe einen DHCP in der opnsense. Dort wird der pi-hole als dns zum verteilen eingetragen. Mein pi-hole hat dann diverse freie dns Server (über unseren firmen dns Server) zur Auswahl. Läuft super. Ich habe die opnsense und den pi-hole auf proxmox auf einem kleine shuttle am laufen.

[guest18611]

Hallo,

Erstmal Vielen Dank für die Antworten! Das mit dem Plugin hört sich sehr Gut an!
Kann zwar keinen Code oder so etwas beitragen, aber zur gegebener Zeit testen und Feedback geben, wenn erwünscht.

Das mit dem DHCP Server eintragen habe ich zwar zur Zeit auch so, aber wenn meine Kinder merken das ich das über DNS blocke dann tragen Sie einfach 8.8.8.8 als DNS Server ein und schon können Sie auf die Schmuddel Seiten...deswegen war mein Gedanke einfach alle DNS Anfragen auf die Pi-Hole IP zu leiten.

Und irgendwann werden Sie das raus finden... 

[monstermania]

Das mit dem DHCP Server eintragen habe ich zwar zur Zeit auch so, aber wenn meine Kinder merken das ich das über DNS blocke dann tragen Sie einfach 8.8.8.8 als DNS Server ein und schon können Sie auf die Schmuddel Seiten...deswegen war mein Gedanke einfach alle DNS Anfragen auf die Pi-Hole IP zu leiten.

Und irgendwann werden Sie das raus finden... 

Einfach DNS (Port 53) im jeweiligen Netzwerk nur auf die OPNsense erlauben. Dann können die lieben Kleinen als DNS-Server eintragen was Sie wollen, landet dann Alles auf der OPNsense. 
Aber was machst Du auf dem Smartphone oder wenn Sie bei Freunden (im Netz) sind!?
Ich erinnere mich da sehr, sehr Dunkel an mejne Jugend.  Und an entsprechende 'Aufklärungsmedien' (damals Video/Zeitschriften) zu kommen war schon lange vor dem Internet kein Problem. Ach, was hat mir Teresa Orlowski in mancher Nacht für süsse Träume bereitet... 

[guest18611]

Einfach DNS (Port 53) im jeweiligen Netzwerk nur auf die OPNsense erlauben. Dann können die lieben Kleinen als DNS-Server eintragen was Sie wollen, landet dann Alles auf der OPNsense. 
Aber was machst Du auf dem Smartphone oder wenn Sie bei Freunden (im Netz) sind!?
Ich erinnere mich da sehr, sehr Dunkel an mejne Jugend.  Und an entsprechende 'Aufklärungsmedien' (damals Video/Zeitschriften) zu kommen war schon lange vor dem Internet kein Problem. Ach was hat mir Teresa Orlowski in mancher Nacht für süsse Träume bereitet... 

Da wird die App DNS Override installiert und die OpenDNS Server angegeben, Passcode vor und einstellen das Sie keine Apps löschen können. 

Aber ja Aufklärung ist der erste Schritt und einen Weg werden Sie immer finden, aber zu einfach wäre ja langweilig

Zurück zur Frage:
Ich erstelle also eine Firewall Regel Source=KIDS Interface, Protokoll=TCP/UDP, Destination=This Firewall und Port=53. Richtig?

Und eine block Regel brauch ich danach auch nicht mehr weil ja eh im Standart alles geblockt ist.

[mimugmail]

DNS zur OPNsense ist per default erlaubt. Wenn du also keine Accept-Regel für DNS hast dürfte es eh schon nicht funktionieren.

[monstermania]

Hab mal ein Screenshot meiner Regeln für mein GästeWLAN angefügt.

[mimugmail]

Hab mal ein Screenshot meiner Regeln für mein GästeWLAN angefügt.

Da is dann aber DNS ins Internet erlaubt .. kann also jeder seinen lokalen DNS überschreiben

[monstermania]

@mimugmail
Könntest Du das bitte näher erklären!? 
Eigentlich hab ich gedacht, dass mit der DNS-Regel (Regel 1 aus dem Screenshot) alle DNS-Anfragen nur in dem jeweiligen Netzwerk bleiben (WLANGast). Damit landen dann alle DNS-Anfragen automatisch auf der der OPNsense.
Oder hab ich da einen Denkfehler?

Gruß
Dirk

[mimugmail]

Nein, du erlaubst DNS und Ntp auf die Firewall , dann blockst du das Netz auf Ziel private Adressen und dann erlaubst du alles für das Netz. Und in der letzten Regel wäre DNS auf 8.8.8.8 erlaubt.

[monstermania]

Nein, du erlaubst DNS und Ntp auf die Firewall , dann blockst du das Netz auf Ziel private Adressen und dann erlaubst du alles für das Netz. Und in der letzten Regel wäre DNS auf 8.8.8.8 erlaubt.

Ähh,
ja eben. Die ersten Regeln erlauben DNS und NTP nur auf die Firewall.
AFAIK wird das Regelset von Oben nach unten abgearbeitet bis die 1. passende Regel greift. Ergo kommen DNS- und NTP-Anfragen nur bis zur Frewall.
Oder liege ich da jetzt völlig daneben!?

Gruß
Dirk

[mimugmail]

Da liegst du leider völlig daneben. Das Zielpaket ist ja nicht die Firewall, also ist das auch kein match.

[guest18611]

Hi,

Ich glaube ich habe eben die Lösung hier im Forum gefunden:
https://forum.opnsense.org/index.php?topic=5593.msg23692#msg23692

Werde das gleich mal ausprobieren 

[monstermania]

Da liegst du leider völlig daneben. Das Zielpaket ist ja nicht die Firewall, also ist das auch kein match.

Hmm,
also die Regel funktioniert. Wenn ich auf einem Client im Gäste WLAN einen beliebigen DNS Server manuell Eintrage werden die DNS Anfragen dieses Client von der OPNSense geblockt!
Nur wenn die OPNsense als DNS eingetragen ist klappt es mit der Namensauflösung.

Gruß
Dirk

PS: Die Regel kommt nicht von mir. Die hab ich aus irgendeinem Tutorial zu pfsense.