Hilfe bei pfblocker + WinDNS
-
Servus Leute,
bräuchte etwas Unterstützung bei der Optimierung meiner DNS Einstellung.
Ich habe in meinem VM Lab einen Win2k16 DNS Server der alle Anfragen meines Labs beantwortet/auflöst.
Nun wollte ich in der Struktur auf der pfSense pfblockerng laufen lassen, was es auch tut.Folgendes habe ich mir vorgestellt, evtl kann man dies anders machen um die Performance zu verbessern:
Alle Anfragen gehen an den WinDNS (dieser soll/kann nur die Lokalen DNS Einträge auflösen), der kann sie nicht auflösen und alles wird an die pfSense weitergeleitet.
Diese sortiert dann durch den pfBlockerNG aus oder eben nicht.Nun habe ich leider folgendes Problem, dass manche Anfragen so lange dauern das der Browser ne Fehlermeldung ausspuckt (DNS Fehler) und man die Seite 2-3 mal aktualisieren muss.
Erst dann wird die Seite angezeigt, alles ist etwas langsamer geworden.Wie kann man das besser machen?
Hier ein paar Einstellungen von pfSense und Win2k16DNS
DNS Server leitet alles an die IP der pfSense weiter.
pfSense schickt alles erst zum Win DNS und bekommt das nicht auflösbare zurück.
pfSense 2.4.3 auf APU4B4 // DSL-Modem: FritzBox 7590 // Switch: TP-Link TL-SG2424 // AP: UniFi AC Light, Mesh
-
Warum trägst du nicht überall nur den Win2k16 DNS Server als DNS, auch bei Services --> DHCP --> Server --> LAN --> DNS Server ein und im Win2k16 trägst Du nur pfSense als DNS ein?
Wenn ich das richtig verstehe schiebt pfSense wieder Anfragen an Deinen Win2k16 DNS Server raus? Also dreht sich alles im Kreis.
Achso, es macht meist keinen Sinn private Adressen zu verschleiern ;-)
-
@tobymcmiller
was ist denn der Hintergrund, dass du die Anfragen vom Windows DNS beantworten lassen willst? Hast du dort eine Domäne laufen?So als Gedankenanstoß würde ich das Ganze nämlich umdrehen. Die pfSense verteilt via DHCP die IP der pfSense an alle Clients für DNS Anfragen. Alle Anfragen werden standardmäßig von der pfSense und den unter "System - General" hinterlegten DNS Servern aufgelöst. Hier auch der Tipp mindesten 2 öffentliche DNS Server zu hinterlegen.
In den DNS Resolver Einstellungen kannst du dann via "Domain Override" einen Suffix bzw. eine Domäne definieren, welche vom Windows DNS Server aufgelöst werden sollen.Ansonsten dreht man sich sehr schnell im Kreis, was bei dir bereits der Fall ist, wie magicteddy auch schon angemerkt hat
-
@magicteddy said in Hilfe bei pfblocker + WinDNS:
Wenn ich das richtig verstehe schiebt pfSense wieder Anfragen an Deinen Win2k16 DNS Server raus?
Achso, es macht meist keinen Sinn private Adressen zu verschleiern ;-)
Habe ich jetzt so gemacht und es scheint daran gelegen zu haben schäm
Unter Allgemeine Einstellungen durfte der WinDNS nicht drin stehen, da es sonst zu dem Kreisläufer gekommen ist.Ja für das Gewissen mit den Adressen :D Aber du hast recht ;)
@m0nji said in Hilfe bei pfblocker + WinDNS:
@tobymcmiller
was ist denn der Hintergrund, dass du die Anfragen vom Windows DNS beantworten lassen willst? Hast du dort eine Domäne laufen?Ja es läuft eine Domäne auf dem Server darum sollen da erst die Anfragen drüber laufen.
-
Also in den meisten Fällen richten wir das genauso bei Kunden ein. Eine interne Domain kommt per Domain Override in den Trichter und alles andere vergibt die Sense per DHCP. DNS/NTP/DHCP macht sie selbst dann hat meine eine sinnvolle zentrale Stelle, die das ganze managed + mit pfBlockerNG dann noch ganz potente Asse im Ärmel um seinen DNS noch weiter zu verschärfen.
