pfSense interne DNS auflösen, dann zu PI Hole. Geht das?
-
Gute Frage....
Weil ich teils der Adressen über pfSense (IP <> Mac) fixieren möchte.
Ich habe die Hoffnung, dass ich es dann "nur" an einem Ort zuweisen muss inkl. Hostname, falls dieser nicht vorhanden ist.So wie hier im Beispiel.
Keine gute Überlegung?
-
@waeck said in pfSense interne DNS auflösen, dann zu PI Hole. Geht das?:
Ich habe die Hoffnung, dass ich es dann "nur" an einem Ort zuweisen muss inkl. Hostname, falls dieser nicht vorhanden ist.
In diesen Genuss kommst du auch, wenn du es am Pi machst.
Du weist den Clients den Pi als DNS Server per DHCP zu, wie ich die Screenshots oben verstehe. Ergo richten diese ihre Anfragen direkt an den Pi. Die pfSense ist dann in die Namensauflösung gar nicht eingebunden.
Das Statik Mapping, das der letzte Screenshot zeigt, betrifft nur die IP-Zuweisung per DHCP. Das hat mit Namensauflösung nichts zu tun.
Das der Resolver DNS Namen registriert, bringt da auch nicht mehr.DHCP Clients können selbst eventuell ihre IP mit Namen im DNS Serve registrieren, wenn der Server dafür konfiguriert ist. Das würde aber auch an der pfSense vorbeilaufen.
Ich sehe da keine Möglichkeit die Namen ins DNS zu bringen, abgesehen von einem Domain Override noch. D.h., du könntest die interne Domain auf der pfSense im Resolver verwalten und am DNS Server ein Domain Override dafür einrichten und auf die pfSense leiten.
Ich frage mich auch, was ein eigener DNS Server für Vorteile bringt. Mit dem DNSBL vom pfBlockerNG kann man doch auch schon alles Erdenkliche anstellen.
-
Hm... ja pfBlockerNG habe ich auch schon ausprobiert.
Leider haben wir heir wieder das Problem, dass es einfach viel zu viele Möglichkeiten bringt.
Ich habe es nach einem Tutorial eingerichtet aber danach konnte ich nur noch auf etwas 10 Seiten und mehr nicht. Ich habe nicht herausgefunden, was ich falsch machen.
Kennst du ein aktuelles tutorial?
Danke für dein Hinweise oben.
Ich werde mir PI für die Interne DNS mal anschauen. -
@waeck said in pfSense interne DNS auflösen, dann zu PI Hole. Geht das?:
Leider haben wir heir wieder das Problem, dass es einfach viel zu viele Möglichkeiten bringt.
Du musst ja nicht alle nutzen.
Kennst du ein aktuelles tutorial?
Ich bin da leider nicht so vertieft. Wenn ich mich nicht täusche, hat @Bob-Dig da einiges gemacht und hat es auch mal geschafft, 8 GB RAM mit dem pfBlocker voll zu bekommen. Da kann ich nicht mithalten.
Er hilft bestimmt gerne. -
Danke.
Ja dann werde ich es wohl nochmals versuchen.
Hätte den Vorteil, dass ich ein "Gerät" weniger bräuchte...Danke dir!
-
In dem Fall musst du bei Resolver den Weiterleitungsmodus aktivieren und bitte schalte DNSsec aus, das ist in der aktuellen + Version problematisch, zudem wird es der Pi vermutlich eh nicht können.
So könntest du alle Anfragen die beim Resolver eintreffen, an den Pi weiter leiten, er muss dann aber einen Public Resolver oder Forwarder hinterlegt haben um die Antworten dann an die pfSense zu liefern.
-
@viragomann said in pfSense interne DNS auflösen, dann zu PI Hole. Geht das?:
Da kann ich nicht mithalten.
Aktuell nur bei knapp über einem Gig.
-
Kurze Frage an dich.
Wenn ich pfBlockerNG verwende, kann ich dann auch definieren, welches nach pfBlockerNG mein DNS Server im Internet ist?
Ich dachte, dass ich 1.1.1.1 nehmen würde.
Oder gibt es da bessere, die weniger tracken?gruss waeck
-
@waeck
DNS würde da der DNS Resolver machen. Der verwendet normalerweise Root-DNS-Server, die man nicht selbst definieren kann. Die tracken aber auch nicht, denke ich.Möchtest du einen bestimmten DNS verwenden, musst du in dessen Einstellungen "DNS Query Forwarding" aktivieren. Dann werden Anfragen weitergeleitet in die Server, die in System > General angegeben sind. D.h. da müsstest du noch zumindest einen eintragen und den Haken bei "DNS-Server Überschreibung" entfernen.
-
@waeck said in pfSense interne DNS auflösen, dann zu PI Hole. Geht das?:
Ist dies möglich?
Ja , wenngleich es auch andersrum geht. Du kannst die PIs einfach für Upstream DNS an die pfSense verweisen und die macht dann die Auflösung nach draußen. Dann musst du nicht mit der internen Domain und DHCP und Co doppelt rumhamstern und die Daten an pfSense und Pi doppelt eintragen
@waeck said in pfSense interne DNS auflösen, dann zu PI Hole. Geht das?:
Ich dachte, dass ich 1.1.1.1 nehmen würde.
Oder gibt es da bessere, die weniger tracken?Ja, ca. alle anderen überspitzt ausgedrückt. Nur weil die angeblich(!) nicht tracken, heißt nicht, dass es Sinn macht, ALLE DNS Abfragen aus seiner Butze an einen einzigen DNS zu ballern. Einfach den DNS Resolver der pfSense selbst auflösen und nicht weiterleiten lassen, dann fragt der jeden DNS der Welt wenns sein muss. Aber nicht immer nur einen.
Sinnvollerer Weg wäre IMHO:
- Per DHCP die PIs (oder den PIhole) rausgeben (bei mir sinds zwei)
- Bei den PiHoles ist die pfSense als Upstream drin
- Auf pfSense macht Unbound DNS Resolving (NICHT forwarding) und löst den Kram einfach auf indem er von den ROOTs bis zu den zuständigen DNSen fragt. Ist im ersten Aufruf einen ticken langsamer, danach aber in unbound und deinem Pihole eh gecached.
- Fertig :)
Ja man kann das auch alles via pfBlockerNG vllt nachbauen, hat aber IMHO bei DNS Blocking das Problem, dass wenn man nicht alles gleichbehandeln will es wenig Optionen gibt. PiHole kann da nicht nur UI technisch einen bessere Figur machen, sondern kann auch mehrere IP-Ranges und Gruppen verwalten auf die verschiedene Blocklisten angewendet werden können.
Cheer
