Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login
    Introducing Netgate Nexus: Multi-Instance Management at Your Fingertips.

    pfSense und Windows Server DNS

    Scheduled Pinned Locked Moved Deutsch
    4 Posts 2 Posters 145 Views 2 Watching
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • B Offline
      BulkAndi75
      last edited by

      Hallo zusammen,

      mein Name ist Andreas und bin gerade dabei meine Netzwerk und Firewall Skills etwas aufzufrischen. War bisher in meiner IT Kariere nicht wirklich in der Tiefe notwendig.

      Ich kämpfe gerade mit pfSense und DNS. Ich möchte eine Windows Server DC für Rechteverwaltung und DNS nutzen. Mein Lab Struktur sieht folgendermaßen aus,

      -Fritz.Box 192er DHCP WAN Adresse an Hyper-V Nic
      -pfSense als VM LAN TRUNK 172er 5 VLANS
      -2te Hyper-V Nic TRUNK an Switch mit 5 VLANS.
      -Windows 2025 DC als VM
      -Diverse Endgeräte

      Alles läuft soweit, bis auf DNS über MS DC.

      Konfiguration pfsense:
      System – General Setup
      DNS Windows DC IP und Domäne eingetragen
      Services - DHCP Server - Client Netz --> DHCP --> und DNS Windows DC IP eingetragen
      Services - DNS Resolver - Domain overrides Domain und IP eingetragen.

      Habe dies nach einem Tutorial und etwas Hilfe aus dem WAN konfiguriert. Leider kein Erfolg.

      Über Tipps oder ein Tutorial "best practice" wäre ich dankbar!

      Grüße
      Andreas

      JeGrJ 1 Reply Last reply Reply Quote 0
      • JeGrJ Offline
        JeGr LAYER 8 Moderator @BulkAndi75
        last edited by

        Hi,

        zum Setup muss ich sagen, verstehe ich nicht ganz aber ist Hyper-V, nicht meine Baustelle, klingt nur unnötig kompliziert und fehleranfällig. Generell mag im Lab Firewall virtuell auf irgendeinem Hypervisor (HVN) OK'ish sein, empfehlen würde ichs trotzdem nicht. Zu viele Fehlerstellen, die dann nichts mit FW sondern mit Virtualisierung zu tun haben, macht man den HVN aus, geht die Firewall down (gerade bei Updates extrem doof) etc. etc.

        @BulkAndi75 said in pfSense und Windows Server DNS:

        Konfiguration pfsense:
        System – General Setup
        DNS Windows DC IP und Domäne eingetragen
        Services - DHCP Server - Client Netz --> DHCP --> und DNS Windows DC IP eingetragen
        Services - DNS Resolver - Domain overrides Domain und IP eingetragen.

        Der DNS in System / General wird NUR dann gebraucht, wenn der integrierte DNS via Unbound (default) nicht funktioniert/erreichbar ist. Das kann im Normalfall einfach leer bleiben, dann macht Unbound Resolving über die DNS Roots, fertig. Am Border Gateway (Firewall) einen DNS hinter ihr einzutragen, macht IMHO wenig Sinn und macht den Baum der Auflösung kaputt.

        Dann scheinst du DHCP über die Sense zu machen, nicht über den DC? Wenn das eh schon die Firewall macht, warum dann nicht auch DNS auf die Firewall packen? Einfach im DHCP nichts oder gezielt die Firewall eintragen.
        Im DNS Resolver unter Domain Override kommt dann die gewählte interne Domain (ich hoffe KEINE .local Domain) als Setting rein denn erst DANN macht es auch Sinn. Dein Override, den du jetzt drin hast wird schlicht nie ausgeführt, weil du per DHCP den Clients eh den Windows Kloß übergibst. Also fragen die den. Und der fragt dann das was in ihm eingestellt ist als Forwarder (sollte die Firewall sein).

        Also im Einfachsten Fall:

        • System General: gar kein DNS oder als Fallback dann sowas wie 9.9.9.9 wenns sein muss, DNS Override Haken darunter raus (kein externer DNS gepusht bekommen) und DNS Verhalten auf "Use local, fall back to remote" einstellen
        • DHCP: die IP der Sense eintragen (oder im Normalfall leer lassen)
        • DNS Resolver: die interne Domain des DCs korrekt in Domain Override reinpacken (bspw. lab.test -> 10.20.30.123), save, apply

        Danach prüfen:

        • welchen DNS bekommt ein Client
        • kann er Internet Domains auflösen
        • kann er den VOLLEN Namen des DC auflösen (dc.blah.test)
        • wenn der Kurzname nicht unterstützt wird, stimmt via DHCP der gepushte DNS Suchpfad/Suchdomain nicht, dann muss die interne Domain (blah.test bspw.) dort rein, damit der Client das ergänzen kann, denn Kurznamen per se gibts nicht

        Cheers

        Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

        If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

        B 1 Reply Last reply Reply Quote 0
        • B Offline
          BulkAndi75 @JeGr
          last edited by BulkAndi75

          Hi,

          danke erstmal für deine Rückmeldung

          @JeGr said in pfSense und Windows Server DNS:

          zum Setup muss ich sagen, verstehe ich nicht ganz aber ist Hyper-V, nicht meine Baustelle, klingt nur unnötig kompliziert und fehleranfällig. Generell mag im Lab Firewall virtuell auf irgendeinem Hypervisor (HVN) OK'ish sein, empfehlen würde ichs trotzdem nicht. Zu viele Fehlerstellen, die dann nichts mit FW sondern mit Virtualisierung zu tun haben, macht man den HVN aus, geht die Firewall down (gerade bei Updates extrem doof) etc. etc.

          Da geb ich dir bedingt recht. Das mit der Downtime und Updates ist aber alles planbar. Natürlich ist eine vernünftige Appliance immer besser.

          Ich denke aber, für ein kleines Netzwerk, ist dieses Konzept durchaus vertretbar. Mittlerweile habe ich DHCP und DNS über einen Windows DC laufen und funktioniert unter OPNsense ganz gut und stabil. Ich bin aber dabei beide FWs zu testen und pfSense zickt da noch. Definitiv ein setting Thema.

          Kurz nochmal zur Erklärung

          1 HV system mit 2 physischen NICs(Wan, und Lan)
          VM als DC
          VM als FW
          HV als Backup und Management Server
          5 Vlans Trunk auf Switch

          Denke sollte als Infrastruktur für bis zu 20 Arbeitsplätze locker reichen. Umsetzung auf eine Appliance sollte später ohne größere Mühe auch möglich sein.

          Backup und Restore über Veeam geht ruck zuck.

          Teste deinen Vorschlag in 1 Woche, bin aktuell unterwegs. Gebe dir Rückmeldung.

          Danke und Grüße

          JeGrJ 1 Reply Last reply Reply Quote 0
          • JeGrJ Offline
            JeGr LAYER 8 Moderator @BulkAndi75
            last edited by

            @BulkAndi75 said in pfSense und Windows Server DNS:

            Ich denke aber, für ein kleines Netzwerk, ist dieses Konzept durchaus vertretbar. Mittlerweile habe ich DHCP und DNS über einen Windows DC laufen und funktioniert unter OPNsense ganz gut und stabil. Ich bin aber dabei beide FWs zu testen und pfSense zickt da noch. Definitiv ein setting Thema.

            Würde ich auch sehen, unserer Lab Erfahrung nach zickt OPN gern etwas mehr als pf in Virtualisierung, da sich die Projekte da etwas unterscheiden. Da sieht man dann auch den unterschiedlichen Unterbau (FBSD 16 inzwischen bei pf).
            Hängt aber auch stark vom HV ab. KVM (Proxmox, o.ä.) sehe ich eher weniger Probleme. Bei HyperV gabs da schon etwas mehr. Und manchmal hat man auch seltsam ominöse Probleme in kleineren HV Projekten wie Virtuozzo und Co.

            @BulkAndi75 said in pfSense und Windows Server DNS:

            Backup und Restore über Veeam geht ruck zuck.

            Das ist eine Möglichkeit, ich würde aber empfehlen separat dazu noch die config.xml über einen Job zyklisch wegzusichern damit man damit nochmal eine saubere Config hat und als Basis nutzen kann ohne gleich die ganze Maschine wiederherzustellen.

            Ansonsten ist das klein und fein und sollte ohne große Probleme laufen.

            Cheers

            Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

            If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

            1 Reply Last reply Reply Quote 0
            • First post
              Last post
            Copyright 2026 Rubicon Communications LLC (Netgate). All rights reserved.