Configurar correctamente DNS

jopeme

Hola a todos.
Configuré mi pfsense 2.4.2 como servidor de DNS y mi direccion wan con la dns de mi proveedor. Mi proveedor tiene muy controlado su dns y me dice que cuando llega alguna peticion con cierta modificacion la rechaza y por eso no me funciona. Me explico mejor, si en un pc cliente tengo configurado como dns el de mi proveedor, funciona perfectamente, pero meto a este pc para que salga por mi pfsense este no consigue salir. Como puedo configurar las reglas para que mi pc cliente tenga configurado como dns a mi pfsense y este consulte al dns de mi proveedor como si fuese el pc directamente?.
Mis reglas en una vlan serian:
PROTOCOL            SOURCE    PORT    DESTINATION    PORT
ipv4 TCP/UDP    VLAN102 net      *      vlan102 address    53

He probado a hacer NAT donde destination ahora seria el dns de mi proveedor y la regla quedaria:

PROTOCOL            SOURCE    PORT    DESTINATION    PORT
ipv4 TCP/UDP    VLAN102 net      *      213.0.55.43      53

En este ultimo caso funciona pero no va muy bien que digamos.

Algun consejo?
Gracias.

periko

Mira este caso, yo tengo un proveedor X, este me entrega por PPPoE.

A mi pfsense cuando lo configuro, mi WAN toma los DNS  de mi proveedor.

De ahi configuro el dns resolver para que actue como dns de mi LAN.

De ahi en mis reglas del fw-lan solo permito a mi red LAN que haga queries a mi propio pfsense que es mi dns de la red.

Con esto garantizo que si pfsense dns resolver no tiene la respuesta solo podra consultar los dns mi proveedor.

Nadie puede brincarse esta regla.

Los unicos que lo hacen son los smartphones, algunos se aferran a irse por los de google, pero eso tu proveedor debe saberlo, para ellos los pongo en un alias y ellos solo pueden tocar los dns de google.

Creo que es todo lo que necesitas, si tienes dudas quedamos a la orden, saludos.

larrysys

Pues no soy un experto en el tema, pero me confundio un poco el POST,, jejejejej.

Yo usualmente hago es Habilitar el PFSENSE como router con su tipica "NAT OVERLOAD", y le activo al Pool de DHCP para que apunte los DNS a mi PFSENSE local y le digo a PFSENSE que reenvie las peticiones a OPENDNS o los de google, los de proveedores de servicios muchas veces tienen problemas por eso los evito.

Mi duda seria para que quieres ir a fuerzas por los DNS de tu proveedor de servicio mejor reenvia tus peticiones OPENDNS que aparte te permite tener un cierto filtrado de contenido en general, jejejee, muy bueno por cierto.

Mi confusion tambie es que dices que quieres que:  "Como puedo configurar las reglas para que mi pc cliente tenga configurado como dns a mi pfsense y este consulte al dns de mi proveedor como si fuese el pc directamente".  Digo eso se podria hacer con un NAT ESTATICO pero ocuparias varias IPS Publicas, creo… El caso es que no veo practico nada de eso y mucho menos que tengas que soportar a tu proveedor de servicio solo reenvia tus peticiones  a otro servidor DNS y san se acabo dales una patada,,, jaajajaj.

Si aun cambiando tus reenviadores a los DNS de google digamos u OPENDNS y persisten las molestias, consulte a su medico. jejjejejeje

ptt

@jopeme:

Configuré mi pfsense 2.4.2 como servidor de DNS y mi direccion wan con la dns de mi proveedor.

• Utilizas DNS Forwarder (dnsmasq)  o Resolver (unbound) ?

• Si utilizas Unbound,  está en modo "Forwarder" o "Resolver" ?

• Utilizas DHCP (server) en la "VLAN102" ?

• Esa "VLAN102" es tu "LAN" o una Interface adicional (OPT) ?

Adjunta capturas de pantalla de la configuración del DNS Forwarder/Resolver (según corresponda), del DHCP server, de los DNS en "    System –> General Setup" y de las Reglas de FW de la "VLAN102"

Cuanto mas Clara, Completa y Detallada sea la Información que proveas, mas fácil será ayudarte/orientarte

ptt

@larrysys:

Yo usualmente hago es Habilitar el PFSENSE como router con su tipica "NAT OVERLOAD",

Disculpa pero a que te refieres con "NAT OVERLOAD" ?  ???

larrysys

Hola ptt, me refiero a la nat que enmascara toda la red con una sola ip publica, es que así la conozco pero creo que se llama también nat con sobrecarga o PAT, es que así la recuerdo por los de cisco, jejejej. Igual me equivoco en el nombre.

jopeme

Respondo:

• Utilizas DNS Forwarder (dnsmasq)  o Resolver (unbound) ?

Resolver

• Si utilizas Unbound,  está en modo "Forwarder" o "Resolver" ?

Supongo que esta en modo resolver ya que la opcion "DNS Query Forwarding" esta deshabilitada.

• Utilizas DHCP (server) en la "VLAN102" ?

No. Uso direccionamiento estatico.

• Esa "VLAN102" es tu "LAN" o una Interface adicional (OPT) ?

Todas mis vlan estan en la LAN.

Adjunta capturas de pantalla de la configuración del DNS Forwarder/Resolver (según corresponda), del DHCP server, de los DNS en "    System –> General Setup" y de las Reglas de FW de la "VLAN102".
En general setup tengo la 127.0.0.1 y la 213.0.88.85 como mis dns. Ese dns es externo a mi red, pero salimos por una vlan de nuestro proveedor de fibra y no podemos elegir otra cosa. Es si o si nuestro proveedor. Al probar por una linea adsl convencional antes de hacer nat del dns funciona correctamente, es decir, pfsense resuelve y si no consulta a los dns de movistar y funciona bien. Tambien utilizo squid y fuerzo que todos los clientes vayan a traves de squid para filtrar trafico y cachear.

http://servyarte.com/25-Firewallrulesvlan102paravlan100.jpg
http://servyarte.com/32-Servicesdnsresolver1.jpg
http://servyarte.com/32-Servicesdnsresolver2.jpg

ptt

Si tienes el Unbound en "modo Resolver" y los usuarios de la LAN/VLAN  tienen al pfSense como DNS, no vas a utilizar los DNS de tu proveedor

https://doc.pfsense.org/index.php/Unbound_DNS_Resolver#Configuration

Por cierto, las imágenes la puedes adjuntar directamente  tu post (subirlas l foro) en lugar de utilizar links externos.

Edit:
        agregar capturas de pantalla.

En las imágenes adjuntas puedes ver cómo lo tengo configurado, y no he tenido problemas, aunque no utilizo squid ni soy cliente de movistar.

jopeme

Ante todo muchas gracias por vuestra ayuda.
Entonces, ¿ como consulta a los dns externos?.Veo que tu configuracion es pfsense el dns de tu red, pero no veo que utilize ningun otro dns para hacer las consultas externas.

ptt

@jopeme:

Entonces, ¿ como consulta a los dns externos?.

Veo que tu configuracion es pfsense el dns de tu red, pero no veo que utilize ningun otro dns para hacer las consultas externas.

Unbound "habla" directamente a los "Root Servers"

https://doc.pfsense.org/index.php/Unbound_DNS_Resolver#Configuration

jopeme

Como decia yo no puedo utilizar el forwarding mode, porque mi proveedor me obliga a pasar por su dns si o si.

periko

Mira, creo que te comente anteriormente que todos tus clientes consulten a pfsense como dns solamente y bloquea cuaquier otro trafico hacia otros dns.

Checa la imagen, son 3 reglas, una analisis.

1. Mi LAN solo puede consultar a mi pfsense que es el  dns resolver u el otro no importa.
2. Mi DHCP tiene como gw a pfsense nadie mas.
3. La 2da regla bloquea cualquier otra consulta a dns que no sea pfsense.
4. En este caso aqui solo habilito accesar a paginas web http y https.

Recuerda que tu WAN debe tener los dns de tu proveedor, asegura eso.

Si tienes smartphones muchos tratan de salir por google(android) aqui no se puede hacer nada, ya vienen asi de fabrica, tu proveedor debe saberlo, si el proveedor se pone chistoso pues tienes 2 opciones o cambias o adios telefonos de tu red.

El resto es bloqueado, checale si te sirve.

Saludos.

ptt

@jopeme:

no puedo utilizar el forwarding mode, porque mi proveedor me obliga a pasar por su dns si o si.

Disculpa pero estás equivocado, si NO utilizas Unbound en Modo Forwarding, vas directo a los "Root server's"  Sin Pasar por los DNS de tu ISP

Si quieres/debes utilizar los DNS provistos por tu ISP, tienes que habilitar el modo "Forwarding" en el Unbound, y agegar los DNS de tu ISP en "System –> General Setup --> DNS servers"  o si obtienes IP mediante DHCP o PPPoE, dejas habilitada la opción Allow DNS server list to be overridden by DHCP/PPP on WAN

De esa manera el Resolver (Unbound) enviará (Forward) las "consultas" de los Hosts de tu LAN (que utilizan pfSense como DNS) a los DNS de tu ISP.

jopeme

Muchas gracias, por tu aclaracion. No tenia ni idea de estas opciones. Lo probaré en cuanto pueda y os cuento.

SAludos.

jopeme

Ya lo he configurado asi y ahora navego mas o menos aceptablemente, pero instalo nuestro antivirus corporativo panda endpoint protection y no consigue conectar dando error 5000. Según panda hay que hacer esto:

URLs necesarias - Consola, Actualizaciones y Comunicación con el servidor

https://.pandacloudsecurity.com
https://.pandasecurity.com
http://.pandasecurity.com
https://pandasecurity.logtrust.com
http://.pandasoftware.com
http://.intego.com (sistemas OS X)
https://.intego.com (sistemas OS X)
http://www.integodownload.com (sistemas OS X)
https://pac100pacprodpcop.table.core.windows.net
http://beaglecommunity.appspot.com (Panda Cloud Cleaner)
waspproxy.googlemail.com (Panda Cloud Cleaner)
Si la conexión con la URL falla, el producto intentará establecer conexión con http://www.iana.org.
Para tráfico entrante y saliente (Antispam y Filtrado de URL de Endpoint Protection Plus)

http://*.pand.ctmail.com
http://download.ctmail.com
Puertos necesarios

Es necesario habilitar los puertos (intranet del cliente) TCP 18226 y UDP 21226 para el correcto funcionamiento de la tecnología P2P y centralización de conexiones con el servidor a través de un equipo. Además, es necesario que el cliente tenga abiertos los puertos 443 y 80 en el proxy.

He creado un alias para esos puertos 18226 y 21226 y luego los he abierto en las reglas, pero sigue dando el error. Incluso he puesto como primera regla  que deje pasar todo el trafico por cualquier puerto y tampoco.
Teniendo en cuenta que obligo a pasar todo el trafico por el squid y que entiendo tengo los puertos 443 y 80 abiertos, puesto que navego en paginas https y http, imagino que el problema puede estar ahi en el squid. Squidguard tambien lo tengo activo, pero solo bloqueo porno,anonvpn y anuncios.

Alguna idea?
Gracias.

ptt

No utilizo Squid, pero creo que deberías indicar que  las "URL" de "Panda" NO pasen por el Squid/Proxy (revisa las opciones del Squid)

periko

Hola, si no tienes experiencia en squid en este momento, te recomiendo que tu servidor de AV salga a Internet sin proxy, a veces la solucion es mas facil de lo que parece, quitate esa piedra del camino.

Yo saco algunos servidores sin proxy, esta mas enfocado a los usarios que los servidores.

Saludos.