Configurar correctamente DNS

ptt

Si tienes el Unbound en "modo Resolver" y los usuarios de la LAN/VLAN  tienen al pfSense como DNS, no vas a utilizar los DNS de tu proveedor

https://doc.pfsense.org/index.php/Unbound_DNS_Resolver#Configuration

Por cierto, las imágenes la puedes adjuntar directamente  tu post (subirlas l foro) en lugar de utilizar links externos.

Edit:
        agregar capturas de pantalla.

En las imágenes adjuntas puedes ver cómo lo tengo configurado, y no he tenido problemas, aunque no utilizo squid ni soy cliente de movistar.

jopeme

Ante todo muchas gracias por vuestra ayuda.
Entonces, ¿ como consulta a los dns externos?.Veo que tu configuracion es pfsense el dns de tu red, pero no veo que utilize ningun otro dns para hacer las consultas externas.

ptt

@jopeme:

Entonces, ¿ como consulta a los dns externos?.

Veo que tu configuracion es pfsense el dns de tu red, pero no veo que utilize ningun otro dns para hacer las consultas externas.

Unbound "habla" directamente a los "Root Servers"

https://doc.pfsense.org/index.php/Unbound_DNS_Resolver#Configuration

jopeme

Como decia yo no puedo utilizar el forwarding mode, porque mi proveedor me obliga a pasar por su dns si o si.

periko

Mira, creo que te comente anteriormente que todos tus clientes consulten a pfsense como dns solamente y bloquea cuaquier otro trafico hacia otros dns.

Checa la imagen, son 3 reglas, una analisis.

1. Mi LAN solo puede consultar a mi pfsense que es el  dns resolver u el otro no importa.
2. Mi DHCP tiene como gw a pfsense nadie mas.
3. La 2da regla bloquea cualquier otra consulta a dns que no sea pfsense.
4. En este caso aqui solo habilito accesar a paginas web http y https.

Recuerda que tu WAN debe tener los dns de tu proveedor, asegura eso.

Si tienes smartphones muchos tratan de salir por google(android) aqui no se puede hacer nada, ya vienen asi de fabrica, tu proveedor debe saberlo, si el proveedor se pone chistoso pues tienes 2 opciones o cambias o adios telefonos de tu red.

El resto es bloqueado, checale si te sirve.

Saludos.

ptt

@jopeme:

no puedo utilizar el forwarding mode, porque mi proveedor me obliga a pasar por su dns si o si.

Disculpa pero estás equivocado, si NO utilizas Unbound en Modo Forwarding, vas directo a los "Root server's"  Sin Pasar por los DNS de tu ISP

Si quieres/debes utilizar los DNS provistos por tu ISP, tienes que habilitar el modo "Forwarding" en el Unbound, y agegar los DNS de tu ISP en "System –> General Setup --> DNS servers"  o si obtienes IP mediante DHCP o PPPoE, dejas habilitada la opción Allow DNS server list to be overridden by DHCP/PPP on WAN

De esa manera el Resolver (Unbound) enviará (Forward) las "consultas" de los Hosts de tu LAN (que utilizan pfSense como DNS) a los DNS de tu ISP.

jopeme

Muchas gracias, por tu aclaracion. No tenia ni idea de estas opciones. Lo probaré en cuanto pueda y os cuento.

SAludos.

jopeme

Ya lo he configurado asi y ahora navego mas o menos aceptablemente, pero instalo nuestro antivirus corporativo panda endpoint protection y no consigue conectar dando error 5000. Según panda hay que hacer esto:

URLs necesarias - Consola, Actualizaciones y Comunicación con el servidor

https://.pandacloudsecurity.com
https://.pandasecurity.com
http://.pandasecurity.com
https://pandasecurity.logtrust.com
http://.pandasoftware.com
http://.intego.com (sistemas OS X)
https://.intego.com (sistemas OS X)
http://www.integodownload.com (sistemas OS X)
https://pac100pacprodpcop.table.core.windows.net
http://beaglecommunity.appspot.com (Panda Cloud Cleaner)
waspproxy.googlemail.com (Panda Cloud Cleaner)
Si la conexión con la URL falla, el producto intentará establecer conexión con http://www.iana.org.
Para tráfico entrante y saliente (Antispam y Filtrado de URL de Endpoint Protection Plus)

http://*.pand.ctmail.com
http://download.ctmail.com
Puertos necesarios

Es necesario habilitar los puertos (intranet del cliente) TCP 18226 y UDP 21226 para el correcto funcionamiento de la tecnología P2P y centralización de conexiones con el servidor a través de un equipo. Además, es necesario que el cliente tenga abiertos los puertos 443 y 80 en el proxy.

He creado un alias para esos puertos 18226 y 21226 y luego los he abierto en las reglas, pero sigue dando el error. Incluso he puesto como primera regla  que deje pasar todo el trafico por cualquier puerto y tampoco.
Teniendo en cuenta que obligo a pasar todo el trafico por el squid y que entiendo tengo los puertos 443 y 80 abiertos, puesto que navego en paginas https y http, imagino que el problema puede estar ahi en el squid. Squidguard tambien lo tengo activo, pero solo bloqueo porno,anonvpn y anuncios.

Alguna idea?
Gracias.

ptt

No utilizo Squid, pero creo que deberías indicar que  las "URL" de "Panda" NO pasen por el Squid/Proxy (revisa las opciones del Squid)

periko

Hola, si no tienes experiencia en squid en este momento, te recomiendo que tu servidor de AV salga a Internet sin proxy, a veces la solucion es mas facil de lo que parece, quitate esa piedra del camino.

Yo saco algunos servidores sin proxy, esta mas enfocado a los usarios que los servidores.

Saludos.