Werde hier wahnsinnig - vlan - dns



  • Ich habe per DHCP auf ein vlan (IoT) statt der pfSense als DNS 8.8.8.8 gesetzt. Nun klagen sowohl mein Android als auch zu guter Letzt ein Win-Laptop, dass sie kein Internet haben bzw. sie können keine Seiten laden, trotz zuletzt maximal entspannter Regeln. Dachte zu erst, irgendwas mit dem vlan auf meinem Asus Router (als AP) mittels Skripten sei nicht in Ordnung, aber nach einigem Herumprobieren habe ich festgestellt, dass zwar auch 9.9.9.9 nicht geht, aber 1.1.1.1 geht!

    Ich kann mir aber nicht vorstellen, dass die beiden (google, Quad9) keine (unverschlüsselten) DNS-Verbindungen mehr zulassen...

    Was aber beide von cloudflare unterscheidet ist, dass ich die beiden regelmäßig anpinge mit der pfSense, als Monitor IP, die 1.1.1.1 nicht.

    Ist das die Erklärung? Bin ich bei denen geblockt oder was läuft da schief?


  • LAYER 8 Moderator

    @Bob-Dig said in Werde hier wahnsinnig - vlan - dns:

    Ist das die Erklärung? Bin ich bei denen geblockt oder was läuft da schief?

    Nö, sonst würden deine GW Checks ja auch schief laufen.

    Was aber beide von cludflare unterscheidet ist, dass ich die beiden regelmäßig anpinge mit der pfSense, als Monitor IP, die 1.1.1.1 nicht.

    Die beiden - also MultiWAN? hast du 8.8.8.8 und 9.9.9.9 spezifisch irgendeinem GW zugewiesen? Und über was soll IoT ins Internet kommen? Wie ist da das Outbound NAT konfiguriert? Regeln können so offen sein wie sie wollen - wenn die oNAT nicht stimmt, klappt gar nüscht :)



  • @JeGr MultiWAN, aber nur als Failover.

    8.8.8.8 und 9.9.9.9 sind nur als MonitorIP zugewiesen, allerdings an OVPN-Clients.
    Ich ging aber nicht davon aus, dass das bedeutet, dass ich diese IPs nur noch über das überwachte Gateway nutzen kann?

    IoT durfte zuletzt über WAN in das Internet und dann spielt OutboundNAT auch nicht mehr die Rolle, da es auf Hybrid steht, sonst hättest Du mich gehabt. 😇



  • @Bob-Dig said in Werde hier wahnsinnig - vlan - dns:

    Ich ging aber nicht davon aus, dass das bedeutet, dass ich diese IPs nur noch über das überwachte Gateway nutzen kann?

    Shite, aber genau das scheint der Fall zu sein, zumindest bei meinen vlans. Habe das Monitoring entfernt und es geht alles wie es soll. Steht das irgendwo in der Anleitung? 👊


  • LAYER 8 Moderator

    @Bob-Dig said in Werde hier wahnsinnig - vlan - dns:

    Ich ging aber nicht davon aus, dass das bedeutet, dass ich diese IPs nur noch über das überwachte Gateway nutzen kann?

    Jep, doch. Steht auch in der Doku ;) Ansonsten gäbe es ein Problem: wie willst du definieren, dass eine IP via einem spezifischen GW geprüft wird? Geht nur, indem man die IP als Hostroute mit aufnimmt und sie fix auf das Interface knotet :)



  • @JeGr Nur, das wir nicht aneinander vorbeireden, hättest Du einen Link für mich, wo das steht? hatte nämlich vorhin geguckt und nichts dazu gefunden.


  • LAYER 8 Moderator

    Hier z.B.

    https://docs.netgate.com/pfsense/en/latest/book/routing/gateway-settings.html#monitor-ip

    Es ist aber einfache IP/Routing Logik (OK einfach für jemand der das ständig macht), denn jede IP die nicht lokal ist, muss über ein GW erreichbar sein. Gibt es keines das matcht, gehts über das Default GW. Da man das in dem Fall nicht will (weil Monitoring), muss mans als Hostroute über das entsprechende Interface abwickeln.

    Das hatte ich auch schon als Fehlerfall bei einem Kunden, der unter General 2 DNSe eingetragen hatte (für jede Leitung eines) und genau andersrum die DNSe als Monitoring IPs. Hat zu lustigen Phänomenen geführt, da das Eintragen als DNS mit angegebenen Gateway auch eine Hostroute erzeugt ;) Technisch hat er also versucht beide DNSe über beide Lines per Hostroute zu routen. Der Routingtabelle wurde ziemlich schwindelig ;)



  • @JeGr Unter "Routes" sehe ich das jetzt auch. Und in der Anleitung muss ich es überlesen haben. Ich vermute, das über statische Routen zu lösen ist einfacher, als das irgendwie dynamisch zu machen, so wie ich das dachte. Das selbe mit den DNS Servern... wieder was gelernt, Danke!



  • @JeGr Wobei ich jetzt auf einem Interface die 8.8.8.8 mittels Policy Routing über ein anderes OVPN-Client-Gateway ausleiten konnte, als es unter DNS festgelegt war.
    Faszinierend.


  • LAYER 8 Moderator

    Immer wieder gern


Log in to reply