Anfängerprobleme mit DHCP Relay



  • Hallo alle zusammen.
    Ich bin grade dabei von Sophos UTM Home auf pfsense umzusteigen, somit absolut blutiger Anfänger im Thema pfSense.
    Nun hab ich irgendwie Startprobleme und finde im Netz auch keinen Lösungsansatz.
    pfSense hat 3 Netzwerkschnittstellen von mir zugeteilt bekommen.

    WAN -> Internet
    LAN -> Heimnetz (pfSense DHCP)
    OPT1 -> DMZ (Sophos DHCP Netz)

    Nun macht die pfSense schon einmal im Heimnetz eine gute Figur und funktioniert einwandfrei.
    Nun habe ich Opt1 in das DHCP-Netz der Sophos UTM eingehangen, damit ich eine Schnittstelle in das Netz habe.
    Nun wollte ich dort hin einen DHCP - Relay einrichten, jedoch weiß ich nicht wirklich wie ich das einzustellen habe.
    Gehe ich unter DHCP Relay, sagt er mir:
    DHCP Server is currently enabled. Cannot enable the DHCP Relay service while the DHCP Server is enabled on any interface.

    Nun kann ich auch für Opt1 keinen DHCP starten. Jetzt habe ich im Netz gelesen, dass auf der Netzwerkschnittstelle eine statische IP vorhanden sein muss.
    Richte ich diese ein, ist das DMZ-Netz sofort nicht mehr erreichbar.

    Nun fehlt mir irgendwie total der Ansatz, wie ich das einzurichten habe.

    Ich wäre für Tipp und Hilfe sehr dankbar. :)



  • Hallo und willkommen im Forum!

    Ich verstehe nicht, was du mit dem DHCP-Relay möchtest.

    @tobiasp said in Anfängerprobleme mit DHCP Relay:

    Nun wollte ich dort hin einen DHCP - Relay einrichten

    Wo ist "dort"?
    In der DMZ? Da stellt ja schon die Sophos den DHCP bereit. Und im LAN macht das die pfSense.

    Du kannst am LAN ein DHCP-Relay einrichten, so dass die DHCP anfragen auf die Sophos weitergeleitet werden und diese die IPs vergibt.
    In dem Fall müsstest du natürlich den DHCP-Server auf der pfSense deaktivieren.

    @tobiasp said in Anfängerprobleme mit DHCP Relay:

    Nun kann ich auch für Opt1 keinen DHCP starten.

    Das verstehe ich auch nicht. Du schreibst doch oben, die Sophos macht den DHCP in der DMZ, du brauchst doch keinen zweiten. Und mit dem Wunsch nach einem DHCP-Relay geht das auch nicht zusammen.

    Wenn die pfSense am OPT1 / DMZ Interface einen DHCP-Server ausführen soll, musst du den auf der Sophos deaktivieren und dem OPT1 eine feste IP geben.



  • Achso ... hm ok ... dann war mein Ansatz nicht der richtige.
    Mein Ziel war es eigentlich, dass die pfSense Anfragen an die UTM weiter gibt.
    Ich hab nämlich seit der Trennung der Netzwerke das Problem, dass alle DNS-Anfragen die mit der UTM zu tun haben, dort nicht mehr ankommen, sprich wenn ich jetzt nas.local eingebe, wurde mir vorher mein NAS-Login angezeigt.
    Nun geht das nicht mehr und ich überlege wie ich das wieder hin bekomme.

    Dazu hab ich Hardware am physikalischen LAN Port der pfSense, welche eigentlich zur DMZ gehören die durch die UTM verwaltet werden. Das klappt aktuell auch nicht mehr. Hier vermute ich aber auch noch einen Konfigurationsfehler.



  • Wie gesagt, mit Hilfe von DHCP-Relay ist es ja möglich, Anfragen an die Sophos weiterzuleiten. Allerdings musst du den DHCP-Server auf der pfSense deaktivieren. Sollte doch logisch sein, dass in einem Netz nicht mehrere DHCP-Server aktiv sein können.

    Wenn du den DHCP-Server auf der pfSense deaktiviert hast, kannst du das DHCP-Relay aktivieren und den DHCP-Server (UTM-IP) eintragen und die jeweiligen Interfaces (LAN) angeben.
    Ansonsten ist noch zu beachten, dass die Firewall-Regeln die Zugriffe auf die UTM erlauben, bspw. DNS, denn die Namensauflösung macht ja dann wohl auch die Sophos. Die standardmäßige allow-any Regel am LAN erlaubt aber ohnehin alles, sofern du diese nicht verändert hast, damit sollte es funktionieren.



  • Sorry, glaube ich hab das blöd erklärt :)

    Die pfSense soll für die Netzwerkschnittstelle LAN (IP-Bereich 192.168.x.x) der DHCP sein.
    Für das Netz 172.x.x.x soll es aber die UTM sein. Jetzt wollte ich auf Opt1 die auf das 172er Netzwerk zugreift, den Relay schalten. Also verstehe ich das so, solange für LAN ein DHCP läuft, kann ich für OPT1 keinen Relay setzten?

    Dann wäre, wenn ich das richtig verstehe, nur die Lösung, dass pfSense auch das DHCP der DMZ übernimmt.



  • Wahrscheinlich übersehe ich was. Aber wenn Du der Netzwerkschnittstelle OPT1 eine dynamische Adresse aus dem Netzwerk DMZ geben möchtest das von der UTM mit DCHP versorgt wird dann brauchst Du doch gar kein DHCP Relay. Du sagst einfach der Schnitstelle das die Adresse über DHCP kommt.

    Oder stehen ich hier auf dem Schlauch?

    gruß

    Hagen


  • Moderator

    Ich verstehe vor allem nicht, warum wir hier über DHCP reden ;)

    Das Problem von @TobiasP was er oben beschrieben hat mit seinem nas.local ist ein ganz anderes - nämlich ein DNS Problem. DAS kann man lösen und zwar komplett anders als mit DHCP. Ich sehe da eigentlich überhaupt keinen Grund, irgendwas mit DHCP anzufingern ;) (und nebenbei keinen die Sophos überhaupt da noch groß zu betreiben aber das liegt daran dass ich im OP nichts lese, was sie überhaupt noch macht bzw. später noch machen soll).

    Gruß



  • Ja, offenbar verstehst du den Sinn eines DHCP-Relay falsch.

    Wenn die UTM für das 172er Netz den DHCP macht, an dem die pfsense mit OPT1 dranhängt, dann konfigurierst die einfach das OPT1-Interface auf DHCP. So ist die pfSense hier DHCP-Client.

    Wofür soll nun ein DHCP-Relay benötigt werden?

    Wenn die UTM auch für das LAN den DNS machen soll, jedoch die pfSense den DHCP macht, musst du in der DHCP-Konig. die UTM-IP als DNS Server eintragen.



  • Ich hatte die Hoffnung, dass mit dem Relay sich die Adressen besser ansprechen lassen, bzw das ganze etwas schneller wird und sich eventuell damit auch das DNS-Problem löst :)

    Ich hatte auch schon was gelesen das man den DNS-Forwader einrichten muss, soweit bin ich aber noch nicht gekommen.

    Die UTM soll weiter betrieben werden, da ich sehr viel die WAF-Funktion nutze, die es bei pfSense nicht gibt. :)
    Dazu habe ich an der UTM noch weitere Häuser per VPN dran, die ich noch umstellen müsste. :)



  • Du musst DHCP und DNS auseinanderhalten. Die beiden Services laufen zwar oft am selben System, das ist aber nicht Bedingung.

    DHCP tut nichts anderes als IP-Adressen für Geräte verteilen. Damit da auch nichts durcheinanderkommt, darf es in einem Netzwerk-Segment auch nur einen DHCP geben (bzw. zumindest für einen Adressbereich).
    DNS löst Hostnamen in IP-Adressen auf.

    Es spricht nichts dagegen, dass die UTM für die DMZ den DHCP bereitstellt und die pfSense fürs LAN. Und auch nicht, das trotzdem die UTM das DNS für beide Netzwerk-Segmente bereitstellt.
    Wenn die UTM den DNS macht, gib auf der pfSense im General Setup einfach die UTM IP als ersten DNS an. Die IP gibt die pfSense dann an ihre DHCP-Clients weiter, wenn in der DHCP-Konfig. kein anderer DNS eingetragen ist. Alternativ kannst du die UTM IP auch da eintragen.

    @tobiasp said in Anfängerprobleme mit DHCP Relay:

    Ich hatte die Hoffnung, dass mit dem Relay sich die Adressen besser ansprechen lassen, bzw das ganze etwas schneller wird und sich eventuell damit auch das DNS-Problem löst :)

    Vielleicht solltest du deine tatsächlichen Probleme etwas detaillierte Beschreiben, damit man dir besser helfen kann.


  • Moderator

    @tobiasp said in Anfängerprobleme mit DHCP Relay:

    Ich hatte die Hoffnung, dass mit dem Relay sich die Adressen besser ansprechen lassen, bzw das ganze etwas schneller wird und sich eventuell damit auch das DNS-Problem löst :)

    Dein Problem ist DNS, nicht die IPs. Zumindest lese ich so viel heraus, stimme aber mit Virago überein: schreibe bitte erstmal was deine Probleme genau sind und nicht was du vermutest was sie löst 😉

    Ich hatte auch schon was gelesen das man den DNS-Forwader einrichten muss, soweit bin ich aber noch nicht gekommen.

    Das wäre aber sehr wahrscheinlich eher deiner Problemlösung zuträglich gewesen... 😃 Erstmal das Problem korrekt identifizieren und nicht auf gut Glück ein Problem schaffen :D

    Die UTM soll weiter betrieben werden, da ich sehr viel die WAF-Funktion nutze, die es bei pfSense nicht gibt. :)

    Naja... was man so als "WAF" bezeichnet. Die UTM kocht auch nur mit Wasser. Die Aussage, dass es die bei pfSense nicht gibt ist sehr gewagt! Schonmal einen sinnvoll konfigurierten pfBlockerNG (den hat die UTM eher nicht...) oder auch in Verbindung mit Snort und den neuen Layer 7 Application Guard Regeln genutzt? Ich glaube da braucht es dann keine UTM mehr 😃

    Stichwort OpenAppID -> https://www.netgate.com/blog/application-detection-on-pfsense-software.html

    Dazu habe ich an der UTM noch weitere Häuser per VPN dran, die ich noch umstellen müsste. :)

    Was auch kein großes Problem ist. VPN ist nun wirklich kein Showstopper 😉

    Gruß



  • @jegr Gebe ich dir / euch in allen Punkten recht.

    Merke schon der Ansatz war der falsche :)

    Bestimmt kann man alles identisch einrichten, nur nicht so einfach, zu mindestens mein Eindruck bis jetzt. :)
    Die WAF ist die Web Application Firewall wo rüber man speziell Webseitenanwendungen rootet. Diese Einstellung direkt gibt es als solche nicht, einrichten lässt sich das bestimmt, ist nur die Frage mit welchen Aufwand. :)
    Da ich dort auch alle SSL-Zertifikate verwalte, soll das erst einmal alles bleiben.
    Ich mag es nicht bezweifeln das es mit pfSense zu lösen ist, nur nicht auf anhieb. Die Direktkonfiguration dieses Service wird halt in pfSense nicht geboten :)

    Und das mit VPN habe ich mir schon einmal angesehen. Ist nicht so einfach wie bei Sophos, aber möglich. :)

    Ich musste jetzt nur eine schnelle Lösung finden, da die UTM mir jeden Tag meine IP-Knappheit vorbetet.. :)

    Um auf meine Probleme zurück zukommen.
    Im Endeffekt hab ich das Problem, dass sich seit der Umstellung DMZ-IPs nicht mehr so sauber ansprechen lassen (daher der Relay), dann kann ich alle DNS-Einträge nicht mehr ansprechen (z.B. nas.meinetestumgebung.de , wiki.meinetestumgebung.de usw. ) und ich komme von der UTM wenn ich dort per VPN drin bin, nicht mehr ins LAN - Netz :)

    Das sind so die Dinge die mich grade beschäftigen. Firewallregeln sind Default und müssen auch noch einmal angeschaut werden.
    pfSense ist doch ein wenig dolle anders als UTM 9 :) aber wie bei allem wenn man umsteigt, man muss sich erst mal dran gewöhnen und viel Lesen :)



  • @tobiasp said in Anfängerprobleme mit DHCP Relay:

    Im Endeffekt hab ich das Problem, dass sich seit der Umstellung DMZ-IPs nicht mehr so sauber ansprechen lassen

    Verstehe leider immer noch nicht, was du damit meinst. Gibt es Probleme IPs der DMZ aus dem LAN zu erreichen?

    @tobiasp said in Anfängerprobleme mit DHCP Relay:

    und ich komme von der UTM wenn ich dort per VPN drin bin, nicht mehr ins LAN - Netz :)

    Du hast nun das Problem, dass du in deinem Netzwerk zwei Router hast. Da ist die Konfiguration etwas aufwändiger.
    Und ich denke, dass auch deine anderen Probleme wie Zugriff auf DMZ mit dem Routing zu tun haben.

    Zwei Router sollten nämlich nicht im selben Netzwerksegment sein.
    Wenn möglich solltest du die beiden Router über ein eigenes Netz verbinden, also die pfSense nicht in die DMZ hängen, sondern (wenn die DMZ auf der UTM bleiben soll) die pfSense auf ein eigenes Interface der UTM hängen, wenn du noch eines frei hast.
    Dann kannst du auf den beiden Router vernünftig statische Routen einrichten, und die meisten Probleme wären wohl behoben.


  • Moderator

    Geht mir genauso wie @viragomann - die IP Problematik ist vermutlich einfach selbst gebaut, da die UTM bislang eben alle IPs verwaltet hat und dort genauso wie die pfSense einfach die angemeldeten Clients bzw. Server mit DNS vom eigenen Resolver/Forwarder versorgt hat. Ist einfach zu lösen, muss aber klar definiert werden, was genau gemeint ist mit "geht nicht mehr".

    Beim letzten Absatz bzgl. UTM und Sense nicht im gleichen Segment bin ich auch der Meinung. Wenn schon beide - und den ganzen WAF Krempel halte ich jetzt mal richtig für überzogen ;) - dann lass doch jedes Device sein Segment verwalten.

    Frage ist: wer hat momentan das wirkliche WAN, die UTM oder pfSense? Oder ein anderes Gerät? Wenn ein externes Gerät oder Router (vom Provider bspw.) im Spiel ist: Einfach in das Segment die UTM und die pfSense hängen und dahinter das jeweilige Netz. Dann ist jeder der Router für sein Netz (DMZ/LAN) und man kann ordentlich Routen setzen wie Virago schreibt. Oder eine Kiste macht WAN, dann so wie es virago schreibt, die andere Kiste dann an ein extra Interface und gut.

    Wenn das Routing stimmt, gibts auch keine obskuren VPN Probleme, die sind durch dein jetziges Konstrukt nur hausgemacht und haben weder mit "einfach zusammenklickbar" in UTM oder Sense irgendwas zu tun. Das wäre andersherum genauso schwer.



  • Hm ok dann wird es also da dran liegen, das die pfSense einfach nur ins DMZ gehangen wurde.
    Also ich würde ja auch gerne komplett auf pfSense umsteigen, jedoch habe ich noch nicht den Weg gefunden meine Webserver so konfiguieren zu können wie in der UTM WAF :)

    Also im Moment ist es so, das beide einen "WAN" Zugang haben. Der WAN ist aber nur ein Port auf einer FritzBox.
    Der erste Ansatz war ursprünglich die UTM und die pfSense in ein eigenes virtuelles Netz zu hängen, jedoch ist es so, mounte ich eine neue Netzwerkschnittstelle in meiner UTM, ist sie danach platt und ich weiß noch nicht warum :)





  • @Grimson denke das sollte die Lösung sein. :)
    Leider komm ich noch nicht so richtig voran.
    Hab heute erst einmal geschaut wie man eine vernünftige DNS-Verwaltung hin bekommen.
    Ich habe mir jetzt 4 Stunden Beiträge durchgelesen und soweit klingt es auch ganz Simpel mit dem DNS-Forwader die DNS-Geschichte zu lösen.
    Jetzt hab ich aber das Problen, wenn ich einen Host anpinge, er immer meine externe IP anzeigt.
    Warum ist das so? Was fehlt mir da jetzt noch, damit z.B. nas.domain.de intern erreichbar wird, ohne das ich es extern erst durch rooten muss?
    Ich finde irgendwie nicht die Lösung, wie man das ganze intern routet, dass wenn z.B. nas.domain.de angesprochen wird, die IP 192.168.100.2 angesprochen wird.
    Ich habe zwar dazu auch Beiträge gefunden, aber ohne Erfolg.
    Bin da echt am verzeifeln :(





  • @tobiasp said in Anfängerprobleme mit DHCP Relay:

    Hab heute erst einmal geschaut wie man eine vernünftige DNS-Verwaltung hin bekommen

    Ich habe gerade mein Heimnetzwerk auch auf pfSense umgestellt und musste es mir auch erst zusammensuchen bis so lief wie ich wollte.

    Ich wollte das die pfSense (192.168.1.1) bei bestimmten Domänen (*.znil.local) und IP-Adressen (Reverse DNS, 192.168.1.x) einen anderen DNS Server fragt - und auch selbst nutzt.

    Das gelang mir wie folgt:

    • System / General Setup:
      Eintrag DNS Servers leeren (kein Eintrag, kein Gateway) und den Haken bei DNS Server Override und Disable DNS Forwarder entfernen! Dadurch wird 127.0.0.1 als DNS-Server genutzt
      0_1532612139100_c6492335-b639-4fe5-a035-5dc68c909134-image.png
    • Services / DNS Forwarder:
      KEINEN Haken bei Enable setzten, den brauchen man nicht dafür!
      0_1532612080671_8d46f149-c57a-47cb-8503-d2efb9532da3-image.png
    • Service / DNS Resolver:
      Enable muss aktiviert sein
      Ganz unten bei Domain Overrides kannst du sowohl für die DNS-Domäne als auch für die IP-Adressebereiche eigene DNS-Server setzen:
      0_1532612327410_d81ca358-29da-4a1b-9984-c842a474d6de-image.png
      0_1532612348706_32181631-4f47-4e6b-8a50-7ed4125783b8-image.png
      Bei dem Reverse DNS ist die Schreibweise Rückwärts:
      1.168.192.in-addr.arpa für 192.168.1.x, 168.192.in-addr.arpa bei 192.168.x.x
      0_1532612443714_4f2e2e93-066e-455e-befc-747b96badd3b-image.png

    Das ganze kannst du dann über Diagnostics / DNS Lookup Testen, funktioniert mit DNS-Namen und IP-Adressen:
    0_1532612530711_0fc56d0f-233d-4ebc-ab31-c5b330c5b46e-image.png
    0_1532612563106_685b0e50-3005-4114-a106-1955d4fb19d4-image.png

    Reverse DNS setzt natürlich voraus das dein DNS-Server das auch liefert.



  • @blinz bei dir wird aber voraus gesetzt, dass noch ein separater DNS-Server läuft? Zu mindestens sieht es ja so aus.
    Hast du dann Bind genutzt, oder welchen setzt du dann ein? Warum machst du das nicht über den Forwader?



  • @grimson ich hab das noch einmal genau so wie dort probiert, leider ohne Erfolg.
    Ich habe das so verstanden, dass man mit dem Forwarder erst einmal die ganze DNS-Kiste in Gang setzt. Ist der an, kann ich ja schon einmal DNS auflösen.
    Über den Resolver soll man nun intern umlenken, in dem man dort sagt, wird diese und diese Domain / Subdomain angesprochen, dann lenke es doch bitte auf die IP 192.168.x.x statt es raus ins Netz gehen zu lassen und dort eine DNS-Anfrage zu starten. Liege ich da richtig?



  • Ich hab den Fehler gefunden.
    Die Geräte im Netzwerk bekommen eine Google DNS Zugewiesen (8.8.8.8 & 8.8.4.4).
    Stelle ich jetzt im Gerät auf die IP von pfSense funktioniert alles 1a, nur ab dann ist z.B Google.de nicht mehr erreichbar.
    Jetzt muss ich noch mal schauen wie ich den Fehler in Griff bekomme.
    Eigentlich hab ich nämlich nirgends die 8.8.8.8 eingetragen :)



  • Die pfSense richtet DNS Anfragen, die sie selbst nicht beantworten kann, ihrerseits an die IPs weiter, die im General Setup eingetragen sind.
    Achte da darauf, dass du bei den DNS Server kein Gateway angegeben hast, bzw. das Gateway auch richtig ist.

    Dies kann aber auch durch einige nicht standardmäßige Einstellungen verhindert werden.
    Bspw. im Resolver muss als "Outgoing Network Interfaces" das Interface gewählt sein, über das die pfSense den DNS Server erreichen kann. "All" ist da selten ein Fehler.



  • @tobiasp said in Anfängerprobleme mit DHCP Relay:

    @blinz bei dir wird aber voraus gesetzt, dass noch ein separater DNS-Server läuft? Zu mindestens sieht es ja so aus.
    Hast du dann Bind genutzt, oder welchen setzt du dann ein? Warum machst du das nicht über den Forwader?

    Na meine Lösung war dafür das du deine Sophos UTM als DNS mit einbinden kannst damit deine Ursprünglichen DNS Namen wieder funktionieren. Ja, bei mir läuft noch eine DNS auf deinem Windows-Domänencontroller. Ich wollte das die pfSense den mit fragt um mir z.B. in BandwithD den richtigen Clientnamen anzuzeigen.

    Ich nutze den "Default" DNS-Server der pfSense, der kann schon alles was ich brauche. Ich hatte es mit Bind probiert, doch das war unnötig. Gleiches gilt für den Forwarder - wozu? Es geht problemlos ohne, ab pfSense 2.2 ist der ab Default nicht aktiv da der DNS Resolver die Arbeit mit macht. Siehe pfSense Hilfe
    Ich verstehe das man entweder oder nutzen soll.

    Und einen "Forward DNS Server" braucht man eigentlich nicht. Hat auch eine Weile gebraucht bis ich das unter Windows Server begriffen habe. Sowohl der "DNS Resolver" als auch z.B. ein Windows-DNS Server löst die Namen dann halt selbst auf, sucht sich die Antwort über die DNS-Stammserver des Internets selbst heraus.



  • @blinz LoL ja da hätte ich auch mal drauf kommen können :)
    Ich werd mal sehen wie die Lösung wird. Werde jetzt erst mal probieren das DNS richtig zu rooten.



  • Also bei mir springt die DNS Geschichte einfach nicht an.
    Im DHCP war 8.8.8.8 und 8.8.4.4 eingetragen, daher ging es erst nicht.
    Nehme ich die DNS Eintragungen im DHCP raus, ist anschließend wieder das Internet nicht zu erreichen.
    Anbei die aktuelle Konfig. (nicht vom DNS Eintrag unter DNS täuschen lassen, hab es ohne den Eintrag probiert.)

    DNS Eintrag in DHCP
    alt text

    General Setup
    alt text

    DNS - Resolver
    alt text

    alt text

    alt text

    DNS-Forwarder
    alt text



  • @tobiasp Musst du deinen Clients per DHCP nicht die IP der pfSense als DNS mitteilen? Die soll doch die Fragen beantworten, nicht google. Wenn die pfSense etwas nicht weis, dann soll diese die Frage an den Google DNS weiterleiten.
    Kannst du denn von den Windows Clients aus den 8.8.8.8 überhaupt erreichen?

    Öffen eine Eingabeaufforderung (cmd.exe) und teste mal:

    nslookup forum.netgate.com 8.8.8.8
    nslookup forum.netgate.com IP-der-pfsense
    


  • @tobiasp
    Was versprichst du dir von DNSSEC?
    Nimm den Haken mal weg.



  • Ich hatte gestern im DHCP die IP der pf eingetragen, anschließend ging nichts mehr. Es waren nur die internen DNS Eintragungen erreichbar.
    Jetzt habe ich es noch einmal probiert die IP der pf im DHCP eingetragen mit einem anschließenden Systemneustart der pf.
    Nun geht alles.
    Dazu muss ich sagen das ich DNSSEC deaktiviert hab. Es war aktiviert, weil in einem Beitrag im Netz es so empfohlen wurde.

    Jetzt läuft es auf jeden Fall. Nun kann ich intern wie extern die Hostnames erreichen.
    Als nächstes werde ich mich an HA Proxy machen und noch wein wenig mit der DNS rumprobieren.
    Ich danke euch auf jeden Fall für eure Hilfe :)
    Werde jetzt auch nich einmal nachlesen was DNSSEC genau macht.


  • Moderator

    Was treibt ihr denn da mit dem DNS Forwarder/Resolver Gewurschtel? Und warum beide anmachen? Das macht doch in dem kleinen Szenario gar kein Sinn?

    Also minimal damit DNS läuft - und deshalb ist das auch per Default Install so gesetzt - muss laufen:

    • DNS Resolver (nicht der Forwarder)
    • Ob der jetzt als echter Resolver läuft oder im Forwarding Mode ist erstmal zweitrangig
    • In General Setup sollte 1-2 DNSe drinstehen wenn Forwarding Mode an ist
    • DHCP braucht keinen DNS Server (steht ja auch drin, dann wird die pfSense selbst genutzt)
    • Firewall Regeln - sofern welche definiert sind - müssen auch erlauben, dass der Client der DHCP macht die Firewall nach DNS fragen darf

    Dann können im Resolver unten die Overrides für Hosts entsprechend gesetzt werden damit die NAS Kisten etc. wieder erreichbar sind. Das ist alles recht simpel. Warum man dazu Resolver mit Forwarder und noch zusätzlich den DNS der Sophos kaskadieren sollte ist mir ein Rätsel :) Und an den Unbound Einstellungen zu DNSSEC und Co. hatte ich noch nicht rumfuchteln müssen, die funktionieren einfach. Da muss man im Normalfall nichts ausschalten.

    Gruß



  • Forwader ist schon wieder aus :)
    War nur an weil er in einem Tutorial mit beschrieben war.
    Das mit dem Override werde ich noch mal ausprobieren :)



  • @BLinz, wie hast du denn den ADS DNS konfiguriert, damit er Anfragen von der pfSense beantwortet? Bei mir läuft deine Konfiguration leider nicht. Bekomme bei DNS lookup keine Antwort.

    OK, Fehler gefunden. Das LAN Interface muss bei outgoing mit aktiviert werden. Hatte da nur localhost.



  • Ich hab da noch einmal eine Frage. Ich bin grade dabei alles von meiner UTM in die pfSense zu megrieren.
    Mein Xpenology System hat 1a funktioniert wenn in HAproxy der Port 5000 konfiguriert war.
    Nun habe ich die gleiche Konfig für Port 80 und 443 gemacht, jedoch hat das nicht funktioniert.
    Ich vermute das meine FritzBox, die den DSL-Anschluss verwaltet, immer nur einem Gerät den Port 80 weiterleiten kann.

    Jetzt wollte ich als Testlösung extern einen anderen Port verwenden als intern.
    Also z.B. Port 88 -> 80
    Geht das ohne weiteres mit HAproxy? Ich hab das irgendwie noch nicht so richtig hin bekommen.