7
PfSense DNS Problem
Hallo zusammen,
ich habe irgendwie ein Brett vorm Kopf...
Meine Subnetze haben keinen Internet Zugang
Folgendes Szenario:
Teststellung
PfSense befindet sich WAN seitig an einer fritzBox mit der IP (statisch) 192.168.0.30 mit default Gateway und eben auch DNS: 192.168.0.1
Es befindet sich pysikalisch ein Interface
Auf diese Interface befinden sich diverse VLAN´s
VLAN10 Client
VLAN20 Server
Das ganze geht per Trunk an ein Cisco 2950 was alles soweit funktioniert.
Jedes Subnetz hat seine eigene Gateway: 192.168.20.1 255.255.255.0 für die Server und 192.168.10.1 für die Clients ebenfalls 24er
Jetzt kapiere ich nicht warum die Rechner im jeweiligen Subnetz keinen Internet Zugriff besitzen.
Kein Internet Zugriff ist nicht ganz richtig, bei der Eingabe von IP Adressen geht das Internet schon nur können die Subnetze DNS nicht.
Was muss ich einstellen unter General - Settings - DNS damit alle Subnetze auflösen können?
Aktuell steht da nur 192.168.0.1 (fritzBox) use gateway none
Ist bestimmt total simpel
(Subnetze haben die any to any Rules aktiv)
Danke!
ich habe irgendwie ein Brett vorm Kopf...
Meine Subnetze haben keinen Internet Zugang
Folgendes Szenario:
Teststellung
PfSense befindet sich WAN seitig an einer fritzBox mit der IP (statisch) 192.168.0.30 mit default Gateway und eben auch DNS: 192.168.0.1
Es befindet sich pysikalisch ein Interface
Auf diese Interface befinden sich diverse VLAN´s
VLAN10 Client
VLAN20 Server
Das ganze geht per Trunk an ein Cisco 2950 was alles soweit funktioniert.
Jedes Subnetz hat seine eigene Gateway: 192.168.20.1 255.255.255.0 für die Server und 192.168.10.1 für die Clients ebenfalls 24er
Jetzt kapiere ich nicht warum die Rechner im jeweiligen Subnetz keinen Internet Zugriff besitzen.
Kein Internet Zugriff ist nicht ganz richtig, bei der Eingabe von IP Adressen geht das Internet schon nur können die Subnetze DNS nicht.
Was muss ich einstellen unter General - Settings - DNS damit alle Subnetze auflösen können?
Aktuell steht da nur 192.168.0.1 (fritzBox) use gateway none
Ist bestimmt total simpel
(Subnetze haben die any to any Rules aktiv)
Danke!
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 253951
Url: https://administrator.de/contentid/253951
Printed on: April 16, 2024 at 08:04 o'clock
7 Comments
Latest comment
Moin OnlyOne!
Was steht denn bei deinen nichtauflösenden Clients für ein DNS Eintrag?
Ist da die PfSense eingetragen?
Geht die Aulösung auf der PfSense selber? (Diagnostics --> DNS Lookup)
Gruß
Buc
Was steht denn bei deinen nichtauflösenden Clients für ein DNS Eintrag?
Ist da die PfSense eingetragen?
Geht die Aulösung auf der PfSense selber? (Diagnostics --> DNS Lookup)
Gruß
Buc
Moin,
bei den Clients steht 192.168.20.1 als DNS Server was auch die gateway des jeweiligen Subnetzes ist.
Auflösung geht von der Pfsense aus ohne Probleme.
Ging zuerst nicht, nach abschalten der IPv6 Adresse auf der fritzBox ging es ohne Probleme....
bei den Clients steht 192.168.20.1 als DNS Server was auch die gateway des jeweiligen Subnetzes ist.
Auflösung geht von der Pfsense aus ohne Probleme.
Ging zuerst nicht, nach abschalten der IPv6 Adresse auf der fritzBox ging es ohne Probleme....
Du hast ja rein nur ein DNS Problem, das ist klar wenn du nackte IPs im Internet pingen kannst.
Wichtig ist für die pfSense WO du den DNS Server konfigurierst !
Den DNS Server richtest du unter System --> General Setup ein ! Dort gibst du bei statischer Adressierung die IP Adresse des DNS ein 192.168.0.1 und auch das dazu korrespondierende Gateway dahinter. Bei dir dann auch die 192.168.0.1.
Das ist erstmal Grundlage und kannst du unter Diagnostic --> DNS Lookup ja auch wasserdicht testen.
Klappt das arbeitet die pfSense sauber als DNS Proxy !
Die andere Fussfalle lauert bei den Firewall regeln der Ports !
Normal haben alle Interfaces auch die Subinterfaces deines Trunks bei einer Firewall eine deny any any Regel sie verbieten also ALLES und lassen nichts durch. Logischerweise auch keine DNS Requests (UDP und TCP 53) der Clients !
Sofern du also nicht eine "Scheunentor" Firewall Regel auf diesen Interfaces eingerichtet hast die generell alles durchlassen musst du dafür sorgen das UDP und TCP dort passieren können.
Das sind die einzigen Hürden die zu nehmen sind.
An deinem WAN Port zur FB solltest du natürlich noch darauf achten das dort unter Interfaces --> WAN unten der Haken bei "Block RFC 1918 networks" entfernt ist !
Das wars...
Wichtig ist für die pfSense WO du den DNS Server konfigurierst !
Den DNS Server richtest du unter System --> General Setup ein ! Dort gibst du bei statischer Adressierung die IP Adresse des DNS ein 192.168.0.1 und auch das dazu korrespondierende Gateway dahinter. Bei dir dann auch die 192.168.0.1.
Das ist erstmal Grundlage und kannst du unter Diagnostic --> DNS Lookup ja auch wasserdicht testen.
Klappt das arbeitet die pfSense sauber als DNS Proxy !
Die andere Fussfalle lauert bei den Firewall regeln der Ports !
Normal haben alle Interfaces auch die Subinterfaces deines Trunks bei einer Firewall eine deny any any Regel sie verbieten also ALLES und lassen nichts durch. Logischerweise auch keine DNS Requests (UDP und TCP 53) der Clients !
Sofern du also nicht eine "Scheunentor" Firewall Regel auf diesen Interfaces eingerichtet hast die generell alles durchlassen musst du dafür sorgen das UDP und TCP dort passieren können.
Das sind die einzigen Hürden die zu nehmen sind.
An deinem WAN Port zur FB solltest du natürlich noch darauf achten das dort unter Interfaces --> WAN unten der Haken bei "Block RFC 1918 networks" entfernt ist !
Das wars...
hallo aqui,
danke für deine Hilfe
Was bringt mir dann unter General Setup die Funktion den DNS Server einer Gateway zuzuweisen?
Unter Diagnostic -> DNS Lookup kann ich sauber auflösen.
In den Subnetzen ist eine any to any Rule definiert, egal welches Protokoll und welcher Port alles ist auf * gesetzt.
Auf dem Rechner im Subnetz habe ich als DNS Server die Gateway des einzelnen Subnetztes eingetragen.
Hacken und WAN und allen anderen Interfaces sind deaktiviert "Block RFC 1918 networks"
danke für deine Hilfe
Was bringt mir dann unter General Setup die Funktion den DNS Server einer Gateway zuzuweisen?
Unter Diagnostic -> DNS Lookup kann ich sauber auflösen.
In den Subnetzen ist eine any to any Rule definiert, egal welches Protokoll und welcher Port alles ist auf * gesetzt.
Auf dem Rechner im Subnetz habe ich als DNS Server die Gateway des einzelnen Subnetztes eingetragen.
Hacken und WAN und allen anderen Interfaces sind deaktiviert "Block RFC 1918 networks"
Habe jetzt wirklich alles nachgeschaut was geht.
Der Client kann sogar nslookup machen und richtig auflösen nur kommt er nicht in das Netz.
Weder IP noch DNS Adressen sind aufrufbar!
Der Port 80 und 443 sind zu hundert prozent offen auf dem Interface der Clients
Der Client kann sogar nslookup machen und richtig auflösen nur kommt er nicht in das Netz.
Weder IP noch DNS Adressen sind aufrufbar!
Der Port 80 und 443 sind zu hundert prozent offen auf dem Interface der Clients
Weder IP noch DNS Adressen sind aufrufbar!
Zuerst schriebst Du, via IP sind die Adressen aufrufbar...?
Und du bist sicher, dass du auf dem WAn Interface unter IPv4 Upstream Gateway die fritzbox eingetragen hast?
Das vergesse ich immer wieder gerne...
Ansonsten: Nochmal auf Grundeinstellungen resetten, die Interfaces neu zuweisen etc. Wäre nicht die erste PfSense, die sich mal verschluckt hat...
Muss nicht, wenn man den DNS Forwarder nutzt auch 127.0.0.1 als DNS Server eingetragen sein?
Was sagt denn ein tracert www.google.de auf dem Client?
Gruß
Buc
Hacken und WAN
Hacken ??http://de.wikipedia.org/wiki/Ferse
oder
http://de.wikipedia.org/wiki/Hacke_(Werkzeug)
hab ich noch gar nicht entdeckt an der pfSense ??
Der Client kann sogar nslookup machen und richtig auflösen nur kommt er nicht in das Netz.
Aha, das zeigt ja dann schonmal das die Proxy DNS Funktion der pfSense sauber rennt. Damit ist es dann definitiv KEIN DNS Problem mehr.Es kann dann also nur noch ein Firewall Problem sein.
Wenn du vom Client eine nackte IP pingst wie z.B. 8.8.8.8 kannst du irgendwas in den Firewall Logs sehen (vorher löschen) was diesbezüglich gelöscht wird ?
Ansonsten nimm die Sniffer Funktion unter Diagnostic (oder einen externen Sniffer wie den Wireshark) und checke mal wo diese Pakete hängenbleiben.
Fakt ist das es natürlich definitiv nicht an der pfSense liegt. Da ist irgendwo ein Filter der da nicht hingehört !