Gelöst (????): pfsense 2.3.4 Namensauflösung (DNS) funktioniert nicht mehr
-
Hi,
du hast scheinbar nur wild geklickt bis es ging. Aber du hast das Gegenteil von dem erreicht, was du bedenklich findestWelche DNS-Server sind vetrauenswürdig und zuverlässig? googles DNS-Server zu nutzen ist ja nicht unbedingt dem Datenschutz förderlich, oder…?
Du hattest einen recursiven Resolver laufen, der alles selbst macht, d.h. alle DNS Server vom Root aufwärts zu befragen. Dann hast du den Haken "Forward" gesetzt. Jetzt benutzt der unbound, der hier der Resolver auf pfsense ist, deine eingetragenen DNS-Server die aber nur Cachen und keine authoritative DNS sind. Alle DNS Einträge in Clients, die nicht auf deine PFsense zeigen, haben nichts damit zu tun, da sie halt einen anderen DNS-Server befragen.
Schau mal hier https://calomel.org/unbound_dns.html für den Anfang und schalte erstmal DNSSEC ab.
Gruß
pfadmin -
pfadmin hat völlig Recht. Da ist einiges nicht ganz korrekt.
1. Sobald du den Forwarding Modus im Resolver einschaltest, ist DNSSEC hinfällig.
2. Willst du im Forwarding Modus arbeiten ist unter System -> General es nicht notwendig, dass du für jeden DNS Server ein Interface auswählst. Man gibt das Interface nur für den Gateway Monitor im Multiwan an. Steht ja auch in der Beschreibung. Beispielkonfig: siehe Bild im Anhang
3. System - General -> DNS Server Override -> Häckchen raus. Macht ja gar keinen Sinn, wenn du selbst definierte DNS Server nutzen möchtest
 -
2. Willst du im Forwarding Modus arbeiten ist unter System -> General es nicht notwendig, dass du für jeden DNS Server ein Interface auswählst. Man gibt das Interface nur für den Gateway Monitor im Multiwan an. Steht ja auch in der Beschreibung. Beispielkonfig: siehe Bild im Anhang
Das stimmt so aber nicht. Wenn man hier einen DNS explizit einem Interface zuweist, wird die IP des DNS fix als Hostroute über dieses Interface gebunden. Heißt: er wird definitiv NUR über dieses Interface funktionieren. Das ist zum einen gut bei MultiWAN, aber auch fehleranfällig wenn:
- die DNS IP bspw. beim Monitoring Gateway bei einem ANDEREN WAN eingetragen ist - dann beißen sich die beiden Routen und es gibt Chaos (hatten wir schonmal bei Kunden!)
- wenn das Gerät hochfährt und beide WANs noch nicht sauber online sind, dann hat das Gerät KEINEN DNS wenn hier alle DNS Server fix zugewiesen sind.
Die Einstellungen unter System/General sind zudem meist nur für das Gerät selbst und seine Dienste zuständig, und auch nur dann, wenn der Haken noch drin ist, dass für lokale Lookups der Resolver/Forwarder NICHT genutzt werden soll. Ansonsten ist localhost als primärer DNS drin und danach erst die Einstellungen aus System/General. Es ist also stark konfigurationsabhängig, welche DNSe WO genutzt werden. Per DHCP bspw. wird gern die eigene Sense IP gepusht, ergo der Resolver/Forwarder genutzt. Es kann aber auch sein, dass dann Daten aus System/General genutzt werden.
Hier sollte man also alle Stellen bedenken, wo DNS reinspielt UND was man erreichen möchte bzw. wen man eigentlich fragen will :)
-
@JeGr: was genau stimmt denn jetzt an meiner Aussage nicht? Ich habe ja nur geschrieben, dass es nicht notwendig ist ein Interface auszuwählen. Es ist ja eher hinderlich. Beispiel: ich frage mit Interface 1 den Google DNS 8.8.8.8 ab und mit Interface 2 den Google DNS 8.8.4.4. Wenn jetzt Interface 1 Down ist, kann ich nicht mehr 8.8.8.8 anfragen.
Wähle ich kein Interface aus, wird das Interface genommen welches verfügbar ist bzw. das Interface welches als Default GW gesetzt ist.Den DNS Resolver als Forwarder nutzen und unter System -> General die beliebigen DNS hinterlegen, sollte erstmal einen Großteil aller Konfigurationen abdecken. DNS ist vielleicht nicht das einfachste Thema mit allen Features welche pfSense+pfblockerng bieten aber ich finde, es ist alles sauber in der Oberfläche erklärt und lässt kaum Interpretationsspielraum.
-
Willst du im Forwarding Modus arbeiten ist unter System -> General es nicht notwendig, dass du für jeden DNS Server ein Interface auswählst.
Das hat nur einfach nichts miteinander zu tun. Ob Forwarding oder nicht müssen unter System / General DNS Server definiert werden, damit die Sense selbst DNS Server hat zum Auflösen, auch wenn der Resolver/Forwarder Service NICHT da ist. Das hat jetzt nichts mit dem einen oder anderen Modus vom Resolver oder mit dem Forwarder (dnsmasq) zu tun. DNS Server sollten da angegeben sein. Fertig :)
Zudem:
Man gibt das Interface nur für den Gateway Monitor im Multiwan an.
Ist das ebenfall mißverständlich/falsch. Man gibt hier nicht wegen einem Gateway Monitor ein Interface an (den Satz verstehe ich sowieso nicht wirklich). Man gibt hier ein festes Interface Binding für den DNS an. Das ist auch absolut OK. Wenn für jedes WAN ein DNS angegeben ist. Zusätzlich ists aber eine gute Idee, noch einen mit "None" anzugeben der also das Default GW des Systems nutzt. Für den Fall, dass man bspw. intern noch einen DNS hat (PiHole, AD DNS bspw.) und diesen dann eintragen kann für interne Namensauflösung. Gerade wenn das Gateway mal spinnt/flappt, ist das dann ganz gut, noch einen zu haben, der nicht fix gebunden ist.
Und zudem war die Anmerkung nicht spezifisch "gegen" irgendwen/dich, sondern mehr auch allgemein zur Prüfung, was man wo hinterlegt hat und in welcher Reihenfolge aufgerufen wird.
-
Hallo zusammen,
ich fürchte, ich stehe komplett auf dem Schlauch und kapiere eher nix…
Auslöser für meine Konfigurationsänderung war, dass die Namensauflösung ohne für mich ersichtlichen Grund und ohne einer Konfigurationsänderung nicht mehr funktionierte. Die DNS-Einstellungen waren ursprünglich im Auslieferungszustand.
Ich bin jetzt trotz eurer Posts - oder gerade wegen, wenn man von der Materie so gar keine Ahnung hat ;-) - zu dem Thema mehr als ratlos was die korrekte Einstellung in Sachen DNS ist. Ich möchte eine möglichst sichere Variante in Sachen Datenschutz und Verfügbarkeit bei einem Multi-WAN-Setup einrichten.
Würde mich riesig freuen, wenn ihr mir nochmal konkret bei der Konfiguration helfen könntet. ,-)
Grüsse
Ralf
-
Hi,
hast du pfBlocker laufen?
Ich hatte Ähnliche Problem und genau nach dem Upgrade auf 2.3.4, ich nutze OpenDNS und dies wurde geblockt bei mir, hat etwas gedauert bis dahinter gekommen bin.
Grüße
-
Hallo Rob,
pfblocker nutze ich nicht.
Ich habe mir die Posts in diesem Thread mehrmals durchgelesen und die Konfigurationsänderungen durchgeführt, die ich herausgelesen habe.
Gibt es an dieser Konfiguration etwas auszusetzen oder zu verbessern?
Grüsse
Ralf
-
@JeGr: vielleicht haben wir aneinander vorbei gelesen. ;) Ich habe nirgends geschrieben, dass man unter System - General Setup keine DNS Server hinterlegen sollte sondern nur die Zurodnung von DNS Server zum Interface aus meiner Sicht nicht notwendig ist. Habe gerade mehrere Möglichkeiten durchgespielt und bleibe nach wie vor bei dieser Aussage.
Fakt ist (my 2 cents):
1. Ist der DNS Resolver/Forwarder deaktiviert, fungiert die pfSense nur noch als reiner DNS Client und benötigt mind. 1 DNS Server unter System - General Setup für seine eigenen DNS Auflösungen.
2. Ist der DNS Resolver aktiviert und arbeitet im Forwarding Modus ist ebenfalls mind. 1 DNS Server unter System - General Setup einzutragen, damit Clients welche die pfSense als DNS Server nutzen, ebenfalls DNS Anfragen beantwortet bekommen.
3. Ist der DNS Resolver aktiviert und arbeitet im Resolver Modus ist theoretisch kein DNS Server unter System - General Setup notwendig, da die pfSense selber und auch die Clients, welche die pfSense anfragen, die Anfragen beantwortet bekommen. So lange der DNS Resolver nicht crasht, wäre also alles gut. Das heißt aber nicht, dass man unter System - General Setup keine DNS Server eintragen sollte….Deine Konfig funktioniert jetzt oder nicht? Für mich sind da nach wie vor noch Probleme zu erkennen bzw. überflüssiges drin.
1. Unter System - General Setup den 127.0.0.1 DNS Server raus.
2. Du arbeitest (nach deinen Screenshots) im Resolver Modus. Anzahl der DNS Server und Zuordnung zu den Interfaces sind vielleicht nicht zwingend notwendig aber sollte funktionieren.
3. Du solltest unter DNS Resolver - Access Lists noch dein lokales Subnet eintragen. Habe es zwar eben nicht nachgestellt aber theoretisch sollten lokale Clients im LAN die pfSense aktuell nicht anfragen dürfen. -
@m0nji: deine 3 Punkte sind sicherlich richtig, wobei ich 3) ergänzen würde um "Vorsicht beim Haken, dass der Resolver/Forwarder für die FW selbst NICHT genutzt wird". Ist der aktiv, sollte natürlich noch ein DNS eingestellt sein.
Die Aussage, dass pro WAN ein DNS eingestellt werden sollte, ist übrigens in den Dokus, das schneide ich mir nicht aus den Rippen ;)
