Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Hohe Latenz und Paketverlust

    Scheduled Pinned Locked Moved Deutsch
    26 Posts 6 Posters 3.2k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • S
      ShaneDeak @viragomann
      last edited by

      @viragomann said in Hohe Latenz und Paketverlust:

      DNS-Forwarder aktiviert und in den General Settings steht dann ausschließlich der lokale DNS Server?

      Ich habe zwei WAN-Gateways und in den General Settings für jedes Gateway einen externen DNS-Server eingetragen. Ist das nicht richtig so?

      V 1 Reply Last reply Reply Quote 0
      • V
        viragomann @ShaneDeak
        last edited by

        @ShaneDeak
        Nein. Das zwingt einen Request über das angegebene Gateway.
        Ein Gateway ist da nur einzutragen, wenn der angegebene DNS ausschließlich über dieses zu erreichen ist. Bspw. der DNS Server des Internet-Providers.

        ABER noch einmal:
        Du hast einen internen DNS Server. Dieser sollte doch auch genutzt werden. Und DNS Lookups sollte doch dann ausschließlich dieser machen.
        Dann konfigurierst du doch am besten alle Geräte so, dass sie direkt diesen Server abfragen. Das kannst du auch per DHCP an die Geräte verteilen.

        Ein Forwarder auf der pfSense ist dann gar nicht nötig. Aber wenn, dann sollte in General Setup der interne DNS Server eingetragen sein, damit die Anfragen dahin weitergeleitet werden.

        Auf der pfSense kannst du dann noch per Filterregel nur dem DNS Server Lookups nach draußen erlauben.

        S 1 Reply Last reply Reply Quote 1
        • S
          ShaneDeak @viragomann
          last edited by

          @viragomann
          Die pfSense ist der DHCP und dort übergebe ich auch den internen DNS-Server an die Geräte. Jetzt habe ich auch im General Setup nur noch den internen DNS, ohne Gateway-Zuweisung, eingetragen.

          Danke!

          1 Reply Last reply Reply Quote 0
          • N
            NOCling
            last edited by

            Würde den AD Server an die Clients als DNS raus geben, im AD aber die Sense als forwarding hinterlegen.
            Die Sense dann als reinen Resolver mit Cache laufen lassen.

            So hast du eine saubere Struktur.

            Aber ja, könnte was unerwünschtes sein, was auf einem Client ausgeführt wird.

            Netgate 6100 & Netgate 2100

            JeGrJ 1 Reply Last reply Reply Quote 0
            • JeGrJ
              JeGr LAYER 8 Moderator @NOCling
              last edited by

              @NOCling said in Hohe Latenz und Paketverlust:

              Würde den AD Server an die Clients als DNS raus geben, im AD aber die Sense als forwarding hinterlegen.
              Die Sense dann als reinen Resolver mit Cache laufen lassen.

              So hast du eine saubere Struktur.

              Aber ja, könnte was unerwünschtes sein, was auf einem Client ausgeführt wird.

              Genau das.

              Ordentlich rekursive Struktur vom Gerät direkt am Internet nach unten. Wenn interner DNS dann gern den nutzen, der macht dann aber kein Forward irgendwo hin sondern schickt an die Sense und die schickts raus - ggf. als Resolver wegen ordentlich dezentral und Co.

              Ansonsten verweise ich da mal an https://malwaretips.com/blogs/remove-s-thebrighttag-com/ wo das Thema u.a. behandelt wurde, dass das als AdFarm auch malicious gern irgendwo injected wird - also sehr ungeil wenn man das so oft im Log sieht, da würde ich aber schonmal den DNS Block auf der Sense reinkloppen und ordentlich die Clients am Standort abfarmen, wer sich da Murks eingetreten hat.

              Ansonsten bei DNS immer möglichst hierarchisch arbeiten. Wenn man eine simple interne Domain hat, kann man auch direkt die Sense als DNS an die Clients geben und macht nur nen Domain override für die DC Domain, aber prinzipiell sollte die Sense das letzte Glied vor dem Internet sein, damit man da ggf. mit pfB nochmal filtern kann um solchen Mist rauszuwerfen. :)

              Cheers

              Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

              If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

              1 Reply Last reply Reply Quote 2
              • S
                ShaneDeak
                last edited by

                Ich konnte den infizierten Client ausfindig machen und habe nun keine Probleme mehr.

                Die Tipps zur DNS-Struktur werde ich auf alle Fälle noch umsetzen! Vielen Dank allen für die Unterstützung!

                1 Reply Last reply Reply Quote 0
                • N
                  NOCling
                  last edited by

                  Dann auch mal einen Blick auf pfBlockerNG werfen und hier ggf. die Firehole 1 und ggf. auch 2 einbauen.
                  Das hält dann schon mal das eine oder andere Böse auf Distanz.

                  Netgate 6100 & Netgate 2100

                  V S 2 Replies Last reply Reply Quote 0
                  • V
                    viragomann @NOCling
                    last edited by

                    @NOCling
                    Das würde aber die Nutzung des DNS Resolvers auf der pfSense voraussetzen. Im Forwarder-Betrieb, wie aktuell, hilft das nicht.

                    1 Reply Last reply Reply Quote 0
                    • S
                      slu @NOCling
                      last edited by

                      @NOCling said in Hohe Latenz und Paketverlust:

                      Dann auch mal einen Blick auf pfBlockerNG werfen und hier ggf. die Firehole 1 und ggf. auch 2 einbauen.

                      Bindest Du die Liste über pfBlockerNG ein?

                      pfSense Gold subscription

                      1 Reply Last reply Reply Quote 0
                      • N
                        NOCling
                        last edited by

                        Ja ich nutze nur den pfBlockerNG hier.

                        Netgate 6100 & Netgate 2100

                        1 Reply Last reply Reply Quote 0
                        • First post
                          Last post
                        Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.