(gelöst) FamilyShield mit lokaler Namensauflösung und fremdem DNS



  • Guten Abend

    Ich hab mich dazu entschlossen mein Netzwerk für die Kinder entsprechend fit zu machen. Bezüglich Internet möchte ich dies mittels gesicherter DNS Adressen erreichen. Die passendsten Angebote nennen sich; Cisco Umbrella, Norton ConnectSafe oder OpenDNS FamilyShield. Wer weiter sucht findet womöglich noch andere. Obwohl die Vorgehensweise des Einrichtens recht simpel erscheint, habe ich so meine liebe mühe damit. Zu Erläuterung: Ich hab 1 Wan, und 3 Lan's (Eltern, Gäste, Kinder), letztere sind durch Firewall regel, unterschiedliche IP ranges (10.x , 172.x, 192.x) und VLAN auch über WLAN voneinander getrennt. Was ich nun erreichen möchte ist mittels der DNS Adressen von Norton ConnectSafe (https://dns.norton.com/configureRouter.html) meine 3 Lan's unterschiedlich Abzusichern (Eltern "A", Gäste "B", Kinder "C") ohne die lokalen Namensauflösung opfern zu müssen. Dummerweise ist genau letzteres das Problem. So wie ich bisher vorgegangen bin -Eintragen der DNS Server unter Services/DHCP Server/.. # DNS Servers - habe ich entweder erreicht das die Absicherung oder-aber die lokale Namensauflösung funktioniert. Nicht jedoch beides zu selben Zeit. Als Zwichenlösung hab ich Einzelne Netzwerk-Clients von der Doktrin befreit in dem ich die jeweilige IP der Firewall als DNS Server eingetragen habe. Was ziemlich mühsam ist, und wünsche offen lässt. Doch da ich allein nicht weiterkomme, möchte ich an euch wenden: Jemand da der weiss wie das zu lösen ist? Mit Squit will ich nicht mehr.

    Grüsse Bordi



  • Guten Morgen  ;D

    ..mir kam mittlerweile die Idee die Namensauflösung zum Internet (z.b. 8.8.8.8 ) für die interne IP der Firewall (z.b. 192.168.1.1) zu blocken.  Dumm ist nur das die vom mir dafür gesetzte Firewall rule nicht zu funktionieren scheint.

    IPv4 TCP/UDP     192.168.1.1     53 (DNS)     WAN address     53 (DNS)     *     none
    

    Weiss jemand was ich falsch mache?



  • ich gehe mal davon aus du machst in den 3 Zonen jeweils DHCP ?

    dann gib den 3 Zonen doch jeweils einen eigenen DNS-Server mit - dann wird über die Zone gesteuert wer wo hin darf und alles ist Paletti.

    Das könnten die Kids aber auch leicht aushebeln, wenn sie so clever sind sich lokal auf dem Rechner wieder einen freien DNS ein zu tragen - dazu gibts reichlich you**** videos.



  • @trixters:

    ich gehe mal davon aus du machst in den 3 Zonen jeweils DHCP ?

    Ja das ist richtig, wie zu beginn beschrieben.

    @trixters:

    dann gib den 3 Zonen doch jeweils einen eigenen DNS-Server mit - dann wird über die Zone gesteuert wer wo hin darf und alles ist Paletti.

    Äh ja das schon, nur ist dann die lokale Namensauflösung (drucker.example.org, nas.example.org, connectivitycheck.example.org usw) futsch. Was zum teil problematisch ist, da ich die IP nicht einfach so frei geben will. Daher dachte ich mir es sei besser nebst den externen DNS Server noch den lokalen DNS (forwarder) dazuzugeben. Allerdings soll letzterer dann wirklich nur den lokalen job übernehmen.

    @trixters:

    Das könnten die Kids aber auch leicht aushebeln, wenn sie so clever sind sich lokal auf dem Rechner wieder einen freien DNS ein zu tragen - dazu gibts reichlich you**** videos.

    Jap, ist mir bewusst. Für den Moment reicht das auch (und soll auch so sein). Ob es später mehr braucht wird sich zeigen.  ;)



  • Ich wollte noch schnelle Zwischenmelden dass -soweit ich das bisher beurteilen kann- ich das Problem lösen konnte. Ausschlage geben war der Wikieintrag "Blocking DNS queries to external resolvers". Mit einer kleiner zusätzlichen(!) Variation konnte ich die Mehrheit davon direkt übernehmen. Anstelle in System > General habe ich den DNS Eintrag unter Services DHCP > Server eingetragen, und anstelle LAN Address die Adresse des DNS Server eingetragen (Singel host or alias > 208.67.222.222). Ein zusätzlicher Effekt davon ist, das die Kinder (und Gäste) die Einschränkung nicht so leicht aushebeln können, und -die richtigen DNS Server vorausgesetzt- ist das ganze auch wesentlich schneller als mit squid.  8)

    Jetzt muss ich also nur noch herausfinden wie ich den Netzwerkdrucker für alle drei Netze freigeben kann. Eine erste Idee mit der unten angehängten rule war schon mal falsch.  ::)

    IPv4 TCP    ! 192.168.1.10     443 (HTTPS)     *     *     *     none
    


  • @Bordi:

    Guten Morgen  ;D

    ..mir kam mittlerweile die Idee die Namensauflösung zum Internet (z.b. 8.8.8.8 ) für die interne IP der Firewall (z.b. 192.168.1.1) zu blocken.  Dumm ist nur das die vom mir dafür gesetzte Firewall rule nicht zu funktionieren scheint.

    IPv4 TCP/UDP     192.168.1.1     53 (DNS)     WAN address     53 (DNS)     *     none
    

    Weiss jemand was ich falsch mache?

    Hi,den Source-Port weißt du in der Regel nicht. Deshalb greift diese Rule unabhängig vom Sinn nicht. Du verbietest einer IP von einem pfsense-Interface den Zugriff auf die IP des WAN-Intzerfaces. Macht keinen Sinn für mich.

    Stelle deinen DNS-Service auf Resolver um  und sperre an allen Interfaces (außer WAN)

    
    PASS IPv4/IPv6 TCP/UDP Interface net * Firewall Itself 53 (DNS) * none
    Reject IPv4/IPv6 * * * * 53 (DNS) * none 
    

    Jetzt sollte alles DNS nur noch auf die pfsense erlaubt sein. Da können die Clients eintragen was sie wollen.

    Gruß
    pfadmin



  • So richtig verstand was nun anders sein soll habe ich nicht, aber der umstieg auf den resolver hats gebracht, und deine regeln funktionieren für LAN auch deutlich besser. Vielen dank.  ;D