@NOCling
SSL Zertifikat ist kein Problem, da der interne FQDN meiner pfsense auf meine eigene öffentliche Cloudflaredomain lautet und ich somit via LetsEncrypt und DNS-Challenge automatisiert saubere/gültige Zertifikate ausstellen kann.
Aber ja, intern kann man SSL natürlich abdrehen.
Dann zum Forwarding... Ich würde liebend gerne den echten Resolver-Mode verwenden. Krieg es aber einfach nicht zum Laufen. Hatte hier dazu schon mal nen Thread offen. Sobald ich den aktiviere, funktioniert nach draußen rein gar nichts mehr. Das Lustige ist, ich kann die Root-Server auf UDP 53 erreichen (per nmap). Wenn ich mir den tcpdump der echten DNS-Kommunikation ansehe, sendet meine pfsense brav ihre Requests nach draußen. Jedoch kommen niemals irgendwelche Antworten zurück. Ich vermute mein Provider (A1 Telekom Austria) hat da ne deep Packet Inspaction und droppt meine Anfragen einfach unkommentiert. Falls dazu noch wer nen Lösungsweg kennt... würde mich freuen :)
Zur pfblockerNG-devel Frage des Zeitpunkts. Ich kann jetzt nur schätzen. Würde sagen so vor 2 Jahren? Damals gabs nur den alten pfblocker, der wie gesagt ein Krampf bei der Einrichtung war und hier und auch bei anderen Tutorials zum NG-devel geraten wurde.
EDIT: Hab jetzt auf die non-devel Version migriert.
Ausgehendes SSL abschalten geht leider auch nicht. Wenn ich das mache verweigern mir die Cloudflare oder Google-DNS Server den Dienst.