Pfsense hinter Pihole mit Unbound...Eure Tips.

the other

Moinsen,
ich bin ganz neu hier im Forum, daher erst mal ein Hallo in die Runde und allen weiter gute Gesundheit...
Meine Frage;
Setting ist
Fritzbox----------------Pihole mit unbound auf Raspi
L_________pfsense---------Heimnetz

Alle Clients (auch vpn) kommen in den Pihole Genuss.
Auf der pfsense läuft der dns resolver ebenfalls mit unbound. In General Settings ist die feste IP vpn pi-hole angegeben.
Die meiste Zeit läuft alles rund, von Zeit zu Zeit sind eigentliche bekannt Seiten aber mal für ne Minute nicht zu erreichen. Dann geht es wieder. Schalte ich den resolver in der sense aus, geht keine seite mehr.

Daher:
Wie würdet ihr das am besten einstellen?

Grüßle
theother

inciter

Moin,

dein Plan ist in vielfacher Hinsicht keine gute Idee. Nimm mir die Ansage nicht übel, das soll wirklich kein persönlicher Angriff sein.

Wenn die pfSense für die Clients das Gateway ist, dann wird sie vermutlich auch der primäre DNS für diese sein. Der piHole ist dann ledglich der DNS für die pfSense, für Clients aber nicht verfügbar. Schaltest du den Resolver aus, ist selbstverständlich kein DNS mehr für Clients verfügbar. Soll er in dieser Konstellation trotzdem für Clients verfügbar sein, muss die Konfiguration des DHCP-Server angepasst werden, damit dieser die IP des piHoles als primären DNS ausgibt. Bei festen Einstellungen muss die IP des piHoles als DNS auf entsprechenden Clients fest mitgeteilt werden.

Möchtest du zwingend den piHole einsetzen gehört dieser in jedem Fall hinter die pfSense ins Client-Netz. Dann muss im DHCP-Server als DNS auch piHole eingetragen werden. Bei festen Einstellungen muss der piHole als DNS auf entsprechenden Clients fest mitgeteilt werden.

In letzter Hinsicht bietet pfSense als Plugin pfBlocker - das findest du unter [System => Package Manager]. Das bietet die gleichen Optionen wie piHole und noch etwas mehr. pfBlocker ist bei Einsatz einer pfSense definitiv auch die bessere Wahl.

the other

Moinsen inciter,
Danke für deine Antwort. Nein, ich nehme dir das nicht übel, warum sollte ich? Du hast doch konstruktiv auf meine Frage geantwortet, alles gut!!
Ich werde (entgegen deiner Empfehlung) jetzt zunächst alles so belassen. Die seltenen temporären Ausfälle haben nochmal deutlich nachgelassen (seit 24 Stunden keine Ausfälle mehr) und die Konfig fand ich eigentlich so ganz sinnig. Bevor ich unbound auf dem Raspi installiert habe lief es genauso so (aber mit stubby) problemlos seit ca. 1, 5 Jahren. DHCP macht pfsense, im General Setup ist die IP des Raspi als DNS Ansprechpartner hinterlegt. Jetzt, da alles wieder rund läuft (musste sich vermutlich erst alles setzten), habe ich keinen Grund alles umzustoßen...
Für deinen Input bedanke ich mich trotzdem und an alle: passt weiter gut auf euch auf und bleibt gesund!

Grüßle
theother