Hohe Latenz und Paketverlust
-
@viragomann said in Hohe Latenz und Paketverlust:
DNS-Forwarder aktiviert und in den General Settings steht dann ausschließlich der lokale DNS Server?
Ich habe zwei WAN-Gateways und in den General Settings für jedes Gateway einen externen DNS-Server eingetragen. Ist das nicht richtig so?
-
@ShaneDeak
Nein. Das zwingt einen Request über das angegebene Gateway.
Ein Gateway ist da nur einzutragen, wenn der angegebene DNS ausschließlich über dieses zu erreichen ist. Bspw. der DNS Server des Internet-Providers.ABER noch einmal:
Du hast einen internen DNS Server. Dieser sollte doch auch genutzt werden. Und DNS Lookups sollte doch dann ausschließlich dieser machen.
Dann konfigurierst du doch am besten alle Geräte so, dass sie direkt diesen Server abfragen. Das kannst du auch per DHCP an die Geräte verteilen.Ein Forwarder auf der pfSense ist dann gar nicht nötig. Aber wenn, dann sollte in General Setup der interne DNS Server eingetragen sein, damit die Anfragen dahin weitergeleitet werden.
Auf der pfSense kannst du dann noch per Filterregel nur dem DNS Server Lookups nach draußen erlauben.
-
@viragomann
Die pfSense ist der DHCP und dort übergebe ich auch den internen DNS-Server an die Geräte. Jetzt habe ich auch im General Setup nur noch den internen DNS, ohne Gateway-Zuweisung, eingetragen.Danke!
-
Würde den AD Server an die Clients als DNS raus geben, im AD aber die Sense als forwarding hinterlegen.
Die Sense dann als reinen Resolver mit Cache laufen lassen.So hast du eine saubere Struktur.
Aber ja, könnte was unerwünschtes sein, was auf einem Client ausgeführt wird.
-
@NOCling said in Hohe Latenz und Paketverlust:
Würde den AD Server an die Clients als DNS raus geben, im AD aber die Sense als forwarding hinterlegen.
Die Sense dann als reinen Resolver mit Cache laufen lassen.So hast du eine saubere Struktur.
Aber ja, könnte was unerwünschtes sein, was auf einem Client ausgeführt wird.
Genau das.
Ordentlich rekursive Struktur vom Gerät direkt am Internet nach unten. Wenn interner DNS dann gern den nutzen, der macht dann aber kein Forward irgendwo hin sondern schickt an die Sense und die schickts raus - ggf. als Resolver wegen ordentlich dezentral und Co.
Ansonsten verweise ich da mal an https://malwaretips.com/blogs/remove-s-thebrighttag-com/ wo das Thema u.a. behandelt wurde, dass das als AdFarm auch malicious gern irgendwo injected wird - also sehr ungeil wenn man das so oft im Log sieht, da würde ich aber schonmal den DNS Block auf der Sense reinkloppen und ordentlich die Clients am Standort abfarmen, wer sich da Murks eingetreten hat.
Ansonsten bei DNS immer möglichst hierarchisch arbeiten. Wenn man eine simple interne Domain hat, kann man auch direkt die Sense als DNS an die Clients geben und macht nur nen Domain override für die DC Domain, aber prinzipiell sollte die Sense das letzte Glied vor dem Internet sein, damit man da ggf. mit pfB nochmal filtern kann um solchen Mist rauszuwerfen. :)
Cheers
-
Ich konnte den infizierten Client ausfindig machen und habe nun keine Probleme mehr.
Die Tipps zur DNS-Struktur werde ich auf alle Fälle noch umsetzen! Vielen Dank allen für die Unterstützung!
-
Dann auch mal einen Blick auf pfBlockerNG werfen und hier ggf. die Firehole 1 und ggf. auch 2 einbauen.
Das hält dann schon mal das eine oder andere Böse auf Distanz. -
@NOCling
Das würde aber die Nutzung des DNS Resolvers auf der pfSense voraussetzen. Im Forwarder-Betrieb, wie aktuell, hilft das nicht. -
@NOCling said in Hohe Latenz und Paketverlust:
Dann auch mal einen Blick auf pfBlockerNG werfen und hier ggf. die Firehole 1 und ggf. auch 2 einbauen.
Bindest Du die Liste über pfBlockerNG ein?
-
Ja ich nutze nur den pfBlockerNG hier.
