rizzel
Goto Top

PFSense, Pi-Hole - keine Verbindung

Hallo zusammen,

ich wende mich an euch, da ich bei meinem Anliegen (Neuordnung Heimnetzwerk) als Laie nicht mehr weiterkomme.

Ausgangssituation:
- Router vom ISP (leider kaum Einstellmöglichkeiten)
- damit verbundene Clients (LAN / WLAN)

Ausgangspunkt waren folgende Wünsche:

  1. Einsatz eines Adblockers (Pi-Hole)
  2. von unterwegs per VPN folgende Dinge umsetzen zu können:
    • Zugriff auf lokalen Server
    • Nutzung des lokalen Internetzugangs
  3. Saubere Trennung von LAN / WLAN (ggf. separiertes Gast-WLAN zu späterem Zeitpunkt)

Ablauf:
Vorab wurde der Pi-Hole in die bestehende Infrastruktur eingebunden. Da der Router keine Möglichkeit bietet, den Pi-Hole als DNS-Server einzubinden, wurde DHCP im Router de- und im Pi-Hole aktiviert.

Im nächsten Schritt wurde die Firewall auf einem APU2C4, nach bestem Wissen und Gewissen anhand der Anleitung Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät aufgesetzt.
Der PfSense fungiert als DHCP-Server, weshalb DHCP im Pi-Hole wieder abgestellt wurde.

IP WAN-Interface: 192.168.0.10 --> Router besitzt 192.168.0.1
IP LAN-Interface: 192.168.2.1 --> Range 100 - 199; Pi-Hole statische IP in PfSense zugewiesen (.10)

Im gleichen Schritt wurde ein (einfaches) TP-Link-Switch zwischen PfSense und den übrigen Netzteilnehmern angeschlossen, keine weiteren Einstellungen vorgenommen.

In Summe sieht der Aufbau aktuell so aus:
netdiag1

Probleme:
1. Ich bekomme am Pi-Hole keine Verbindung mehr zur Außenwelt.
    • Per nmap 192.168.1-255 sichtbar:
      • Switch (.3)
      • LAN-Interface PfSense (.1)

    • per explizitem Ping via nmap erreichbar:
      • anderer Client (.100)

    • nicht erreichbar:
      • WAN-Interface / Router / Außenwelt (Destination Host unreachable)

2. Auch nach Studium diverser Foren-/Blog-Einträge ist unklar, wie genau der Pi-Hole in PfSense als DNS-Server eingebunden werden muss (vorausgesetzt, Pi-Hole kann die Außenwelt erreichen).

Ich hoffe, ich konnte mein Problem einigermaßen präzise schildern und würde mich sehr über Hinweise / Ratschläge freuen.
Falls es dazu bereits einen passenden Beitrag geben sollte, der mir entgangen ist, bitte ich um einen kurzen Hinweis.

In jedem Fall:
Vielen Dank im Voraus für's Lesen und eure Mühen
Rizzel

Content-Key: 355357

Url: https://administrator.de/contentid/355357

Ausgedruckt am: 19.03.2024 um 07:03 Uhr

Mitglied: aqui
aqui 18.11.2017 aktualisiert um 21:00:44 Uhr
Goto Top
Router vom ISP (leider kaum Einstellmöglichkeiten)
Zwangsrouter muss man heutzutage nicht mehr hinnehmen. Nur noch Dummies machen das. (wenigstens in D)...aber egal.
1. Ich bekomme am Pi-Hole keine Verbindung mehr zur Außenwelt.
Mmmhhh...was sagt ein ifconfig am Ri Hole ?? Stimmen dort IP Adrfesse 192.168.2.x, Gateway = pfSense IP und DNS Server = pfsense IP.
Siehe auch hier:
Netzwerk Management Server mit Raspberry Pi
Kannst du vom Pi Hole die pfSense LAN IP pingen ?
Per nmap 192.168.1-255 sichtbar:
Das ist wohl ein Dreckfuhler, oder ?? So eine IPv4 IP gibt es ja gar nicht !

M.E. arbeitet der Pi Hole als DNS Proxy und filtert dort die DNS Requests aus dem lokalen Netz.
Daher darfst du die pfSense auf dem WAN Port keinesfalls im DHCP Mode betreiben ! Sonst ginbt sie ja automatisch die per DHCP gelernte DNS Adresse des Zwangsrouters (192.168.0.1) weiter der als DNS Proxy arbeitet, was du ja keinesfalls willst.
Du musst daher zwingend auf IPv4 Static Mode am pfSense WAN Port gehen, und eine statische IP vergeben z.B. 192.168.0.254 /24 (.254 damit du sicher aus dem DHCP Bereich des Zwangsrouters bist !)
Zuvor definierst du den Provider Router statisch unter System -> Routing als Gateway in der pfSense mit der .0.1 und deaktivierst das Gateway Monitoring dort.
Dann trägst du im WAN IP Setup dieses Gateway ein als Default Gateway.
Unter General Setup definierst du als DNS Server die lokale Pi Hole IP.
Damit vergibt der pfSense DHCP Server dann die Pi Hole IP als DNS Server an die Clients.
Deine Clients müssen vom DHCP Server der pfSense ja als Gateway die pfSense IP selber bekommen und als DNS IP die PiHole IP.
Das kannst du mit ipconfig -all checken das das stimmt an den Clients (Windows).
Der Pi Hole wiederum muss selber statisch als Upstream DNS den Provider Router definiert haben.
Vermutlich ist das aber gar nicht nötig, denn dort sind wahrscheinlich andere Internet DNS Server in der Pi Hole Software definiert. Das musst du aber checken.
Auf dem Pi Hole sollte dann ein Ping auf die 8.8.8.8 funktionieren. (Internet Connectivity Check ohne DNS) Wie auch auf allen Clients.
Mit nslookup oder dig checkst du auf dem Pi Hole dessen direkte DNS Connectivity.
Das gleiche machst du dann nochmal mit nslookup von den Clients.
Können die alles auflösen und haben den Pi Hole als DNS per DHCP ist alle paletti.
Immer strategisch vorgehen ! face-wink