Anfängerprobleme mit DHCP Relay
-
@blinz bei dir wird aber voraus gesetzt, dass noch ein separater DNS-Server läuft? Zu mindestens sieht es ja so aus.
Hast du dann Bind genutzt, oder welchen setzt du dann ein? Warum machst du das nicht über den Forwader? -
@grimson ich hab das noch einmal genau so wie dort probiert, leider ohne Erfolg.
Ich habe das so verstanden, dass man mit dem Forwarder erst einmal die ganze DNS-Kiste in Gang setzt. Ist der an, kann ich ja schon einmal DNS auflösen.
Über den Resolver soll man nun intern umlenken, in dem man dort sagt, wird diese und diese Domain / Subdomain angesprochen, dann lenke es doch bitte auf die IP 192.168.x.x statt es raus ins Netz gehen zu lassen und dort eine DNS-Anfrage zu starten. Liege ich da richtig? -
Ich hab den Fehler gefunden.
Die Geräte im Netzwerk bekommen eine Google DNS Zugewiesen (8.8.8.8 & 8.8.4.4).
Stelle ich jetzt im Gerät auf die IP von pfSense funktioniert alles 1a, nur ab dann ist z.B Google.de nicht mehr erreichbar.
Jetzt muss ich noch mal schauen wie ich den Fehler in Griff bekomme.
Eigentlich hab ich nämlich nirgends die 8.8.8.8 eingetragen :) -
Die pfSense richtet DNS Anfragen, die sie selbst nicht beantworten kann, ihrerseits an die IPs weiter, die im General Setup eingetragen sind.
Achte da darauf, dass du bei den DNS Server kein Gateway angegeben hast, bzw. das Gateway auch richtig ist.Dies kann aber auch durch einige nicht standardmäßige Einstellungen verhindert werden.
Bspw. im Resolver muss als "Outgoing Network Interfaces" das Interface gewählt sein, über das die pfSense den DNS Server erreichen kann. "All" ist da selten ein Fehler. -
@tobiasp said in Anfängerprobleme mit DHCP Relay:
@blinz bei dir wird aber voraus gesetzt, dass noch ein separater DNS-Server läuft? Zu mindestens sieht es ja so aus.
Hast du dann Bind genutzt, oder welchen setzt du dann ein? Warum machst du das nicht über den Forwader?Na meine Lösung war dafür das du deine Sophos UTM als DNS mit einbinden kannst damit deine Ursprünglichen DNS Namen wieder funktionieren. Ja, bei mir läuft noch eine DNS auf deinem Windows-Domänencontroller. Ich wollte das die pfSense den mit fragt um mir z.B. in BandwithD den richtigen Clientnamen anzuzeigen.
Ich nutze den "Default" DNS-Server der pfSense, der kann schon alles was ich brauche. Ich hatte es mit Bind probiert, doch das war unnötig. Gleiches gilt für den Forwarder - wozu? Es geht problemlos ohne, ab pfSense 2.2 ist der ab Default nicht aktiv da der DNS Resolver die Arbeit mit macht. Siehe pfSense Hilfe
Ich verstehe das man entweder oder nutzen soll.Und einen "Forward DNS Server" braucht man eigentlich nicht. Hat auch eine Weile gebraucht bis ich das unter Windows Server begriffen habe. Sowohl der "DNS Resolver" als auch z.B. ein Windows-DNS Server löst die Namen dann halt selbst auf, sucht sich die Antwort über die DNS-Stammserver des Internets selbst heraus.
-
@blinz LoL ja da hätte ich auch mal drauf kommen können :)
Ich werd mal sehen wie die Lösung wird. Werde jetzt erst mal probieren das DNS richtig zu rooten. -
Also bei mir springt die DNS Geschichte einfach nicht an.
Im DHCP war 8.8.8.8 und 8.8.4.4 eingetragen, daher ging es erst nicht.
Nehme ich die DNS Eintragungen im DHCP raus, ist anschließend wieder das Internet nicht zu erreichen.
Anbei die aktuelle Konfig. (nicht vom DNS Eintrag unter DNS täuschen lassen, hab es ohne den Eintrag probiert.)DNS Eintrag in DHCP
General Setup
DNS - Resolver
DNS-Forwarder
-
@tobiasp Musst du deinen Clients per DHCP nicht die IP der pfSense als DNS mitteilen? Die soll doch die Fragen beantworten, nicht google. Wenn die pfSense etwas nicht weis, dann soll diese die Frage an den Google DNS weiterleiten.
Kannst du denn von den Windows Clients aus den 8.8.8.8 überhaupt erreichen?Öffen eine Eingabeaufforderung (cmd.exe) und teste mal:
nslookup forum.netgate.com 8.8.8.8 nslookup forum.netgate.com IP-der-pfsense -
@tobiasp
Was versprichst du dir von DNSSEC?
Nimm den Haken mal weg. -
Ich hatte gestern im DHCP die IP der pf eingetragen, anschließend ging nichts mehr. Es waren nur die internen DNS Eintragungen erreichbar.
Jetzt habe ich es noch einmal probiert die IP der pf im DHCP eingetragen mit einem anschließenden Systemneustart der pf.
Nun geht alles.
Dazu muss ich sagen das ich DNSSEC deaktiviert hab. Es war aktiviert, weil in einem Beitrag im Netz es so empfohlen wurde.Jetzt läuft es auf jeden Fall. Nun kann ich intern wie extern die Hostnames erreichen.
Als nächstes werde ich mich an HA Proxy machen und noch wein wenig mit der DNS rumprobieren.
Ich danke euch auf jeden Fall für eure Hilfe :)
Werde jetzt auch nich einmal nachlesen was DNSSEC genau macht. -
Was treibt ihr denn da mit dem DNS Forwarder/Resolver Gewurschtel? Und warum beide anmachen? Das macht doch in dem kleinen Szenario gar kein Sinn?
Also minimal damit DNS läuft - und deshalb ist das auch per Default Install so gesetzt - muss laufen:
- DNS Resolver (nicht der Forwarder)
- Ob der jetzt als echter Resolver läuft oder im Forwarding Mode ist erstmal zweitrangig
- In General Setup sollte 1-2 DNSe drinstehen wenn Forwarding Mode an ist
- DHCP braucht keinen DNS Server (steht ja auch drin, dann wird die pfSense selbst genutzt)
- Firewall Regeln - sofern welche definiert sind - müssen auch erlauben, dass der Client der DHCP macht die Firewall nach DNS fragen darf
Dann können im Resolver unten die Overrides für Hosts entsprechend gesetzt werden damit die NAS Kisten etc. wieder erreichbar sind. Das ist alles recht simpel. Warum man dazu Resolver mit Forwarder und noch zusätzlich den DNS der Sophos kaskadieren sollte ist mir ein Rätsel :) Und an den Unbound Einstellungen zu DNSSEC und Co. hatte ich noch nicht rumfuchteln müssen, die funktionieren einfach. Da muss man im Normalfall nichts ausschalten.
Gruß
-
Forwader ist schon wieder aus :)
War nur an weil er in einem Tutorial mit beschrieben war.
Das mit dem Override werde ich noch mal ausprobieren :) -
@BLinz, wie hast du denn den ADS DNS konfiguriert, damit er Anfragen von der pfSense beantwortet? Bei mir läuft deine Konfiguration leider nicht. Bekomme bei DNS lookup keine Antwort.
OK, Fehler gefunden. Das LAN Interface muss bei outgoing mit aktiviert werden. Hatte da nur localhost.
-
Ich hab da noch einmal eine Frage. Ich bin grade dabei alles von meiner UTM in die pfSense zu megrieren.
Mein Xpenology System hat 1a funktioniert wenn in HAproxy der Port 5000 konfiguriert war.
Nun habe ich die gleiche Konfig für Port 80 und 443 gemacht, jedoch hat das nicht funktioniert.
Ich vermute das meine FritzBox, die den DSL-Anschluss verwaltet, immer nur einem Gerät den Port 80 weiterleiten kann.Jetzt wollte ich als Testlösung extern einen anderen Port verwenden als intern.
Also z.B. Port 88 -> 80
Geht das ohne weiteres mit HAproxy? Ich hab das irgendwie noch nicht so richtig hin bekommen.
