Fragen zum Thema DNS
-
Liebe Forenmitglieder,
Ich habe mir vor kurzem eine alte Sophos SG 105w zugelegt und diese mit PFSense ausgestattet.
Erfahrung mit PFSense hatte nicht, allerdings mit Sophos, da wir diese konfiguriert und vertrieben haben.Ich bin allerdings nicht tief im Netzwerkthema und wollte einfach mal wissen:
Ich habe auf meinem Raspberry Pi Homeassistant laufen und dort vor kurzem (vor Installation der Firewall) AdGuard installiert.
Dies hatte ich als DNS in der Fritzbox hinterlegt.
Nun hängt alles hinter der Firewall und ich habe hier auch schon mit angepasster IP Adresse den Raspberry Pi als DNS hinterlegt für mein DHCP.
Allerdings weiß ich jetzt nicht ob das ausreicht, oder ob meine Fritzbox nun von sich auf die Firewall zeigen soll oder direkt auf den Raspberry im anderen IP Adressbereich.
Meine Fritz hat den Adressbereich 192.168.158.0/24 und meine Firewall hat auf dem LAN Interface den IP-Adressbereich 192.168.148.0/24.
Klar erlaubt die Firewall den Zugriff auf die Fritze, aber andersrum müsste das glaube ich nicht gehen wenn nicht via Rule festgelegt oder?
Einfach die Firewall im Fritz Bereich als DNS festlegen reicht?
-
@theredhood ich verstehe in deiner Schilderung nicht was deine FRITZ!Box mit der pfsense zu tun hat, bitte mal einen grafischen netzwerkplan, so können wir deine Schilderung besser verstehen.
Das was du mit adguard machst, mache ich mit pfblockerng direkt auf der Sense
-
@micneu said in Fragen zum Thema DNS:
ich verstehe in deiner Schilderung nicht was deine FRITZ!Box mit der pfsense zu tun hat
Ich verstehe die geschilderte Problematik auch nicht so richtig. Bei der Fritte hab ich jedoch eine Vermutung: die hängst statt eines Modems vor der pfsense und somit gibt es doppeltes NAT.
-
Moinsen,
ich interpretiere (!) das auch als Routerkaskade mit 1. Fritz und dahinter 2. pfsense (ggf. / vermutlich mit doppel NAT).
Vielleicht meldet sich der user ja nochmal mit mehr Details...
Falls (!) die Vermutung stimmt:
warum die Fritzbox noch irgendwas machen lassen für dein LAN hinter der pfsense?
Also, Fritzbox macht ihr Ding (wie zuvor mit DHCP usw). Die pfsense bekommt am WAN Interface von der Fritzbox ihre (reservierte) IP.
Für alles hinter der pfsense Lanseitig ist dann die pfsense aich verantwortlich. Diese vergibt eben auch die IPs und verwaltet auch die IP Reservierungen.
Wenn du unbedingt Adguard weiter nutzen willst, dann verteil deinen Clients im LAN eben die IP vom Adguard Raspi...je nach Wunsch kann dann dort als upstream DNS ja noch pfsense als DNS Resolver eingetragen werden (oder eben ein Forwarding zu einem anderen gewünschten). So oder so ist die Fritz da aber raus...
Wäre jedenfalls mein erster Gedanke dazu. :) -
Hey, danke für die Antworten.
Also zur klärung der Fragen:
Fritzbox (WAN) -> PFSense FW -> Local Network -> Home-Assistant
Die Fritzbox zeigt gerade auf sich selbst als lokalen DNS, bei der PFSense hab ich Homeassistant aufgrund von Adguard als DNS eingetragen zu Filterung der ganzen anfragen.
Meine Frage war:
Kann ich die Fritzbox nun einfach so mit dem lokalen DNS Eintrag lassen, da die PFsense ja schon die Filterung übernimmt oder soll ich.Achso die PFSense hat ein Exposed Host in der Fritzbox erhalten damit nicht doppelt gefiltert wird.
-
@theredhood die Filterung übernimmt doch dein adguard. Die pfsense verweist lediglich die Geräte an adguard. Der filtert dann.
Frage ist: welcher dnsn ist bei deinem adguard eingetragen?
Pfsense? Fritzbox? Was anderes? -
@theredhood said in Fragen zum Thema DNS:
bei der PFSense hab ich Homeassistant aufgrund von Adguard als DNS eingetragen zu Filterung
Und wo hast du den Eintrag gesetzt? Unter General settings oder als dns forwarder? Oder im dhcp Server als Vorgabe?
-
@theredhood Also Adguard läuft auf meinen RaspPi und als DNS ist dort tls://dns.adguard.com hinterlegt.
Soll ich jetzt lieber auf die PFSense zeigen von dort? (War noch vor installation der PFsense festgelegt)
Den Eintrag hab ich unter General Setup gesetzt unter DNS.
-
@theredhood also leitet dein raspi adguard die eingehenden und gefiltert Anfragen dahin weiter.
Am Ende ist es deine Entscheidung, den einen Weg gibt es nicht.
So oder so, ob nun adguard zu seiner eigenen dns server Adresse leitet / forwarded oder ob es zur pfsense geht und diese dann per zb unbound das dns resolving übernimmt...Deine Entscheidung. Aber die fritzbox ist eh nicht beteiligt, da kannst du entweder alles im default belassen oder ne eigene datenschutzfreundliche Alternative eintragen, für alles hinter der pfsense dann egal (es sei denn irgendein Eintrag gibt die fritzbox ip als dns an, was aber eher unsinnig ist, sag ich mal so). -
Bei deinem Setting (lese ich ja öfter mal) aber auch bedenken: geht die Speicherkarte vom Raspi hopps, dann ist Ende mit DNS Auflösung in deinem Heimnetz...
Die pfsense kann all das übernehmen:
Pfblocker filtert Werbung auf dns Basis...
Unbound macht das dns resolving...
Aber auch das...individuell zu entscheiden.
Auf jeden Fall rate ich zur ssd statt Sd card am Raspi, egal ob mit oder ohne adguard darauf. ;)
Hat aber alles eigentlich nix mehr mit der pfsense direkt zu tun.
Für allgemeine Fragen zum privaten Heimnetz ist zb https://forum.heimnetz.de/ ne nette deutschsprachige Adresse, auch für home assistant usw. ;) -
Also zur Frage überhaupt (die Eingangs gestellt wurde)
Die Fritte braucht überhaupt nicht für irgendwas berücksichtigt werden.
Soweit ich das Setup verstanden habe läuft eh alles hinter deiner pfSense, egal was. DHCP, DNS, etc.
Wie das im Einzelnen eingestellt ist, ist ja noch ein anderer Punkt, aber die Fritze ist VOR der Sense, die Sense sieht sie als WAN/Internet Uplink und daher "extern" und lässt von der gar nichts zu. Also kann die Fritte auch keine Geräte intern erreichen oder ansprechen, einen internen DNS zu setzen würde also gar nichts bringen. Da du auch keine Geräte an der Fritte hast, braucht die DNS nur für sich selbst, also kannst du da einfach alles standard lassen, damit die das Internet ordentlich aufbaut und da die Sense exposed Host ist, musst du dich um sonst von der Fritte her um nichts kümmern.Ob und wie dann dein Netzaufbau hinter der Sense dann für dich gut oder schlecht ist oder ob da Raum zur Verbesserung sind, steht auf anderen Blättern :) Aber die Fritte hat mit dem Rest des Netzes nichts zu tun. Ein Gerät von "vorne" (also direkt oder nah am Internet) nochmal an einen DNS dahinter zu verweisen ist eh meistens eine schlechte Idee, weil man damit oft Abhängigkeits-Loops baut, die dann einen sehr in der Praxis beißen können.
Cheers
