DNS Server aus anderem Subnetz

    • Hallo Zusammen

    Ich habe nun endlich mein Proxmox cluster versorgt in einem zweiten Subnetz aufgebaut.

    Nach langem hin und her hier habe ich mich dazu entschieden hinter dem swisscom Router die pfsense und hinter ihr dann mein cluster.

    Dies passiert aktuell mit statischen Router.

    Heute wollte ich einen pihole DNS-Server einrichten, jedoch lässt mich die Ibox keine dns-server ip von 10.x.x.x eingeben.

    Wie könnte ich dies umgehen?

    Ein weg habe ich gefunden, als dns server die wan-ip von pfsense nutzten, auf der pfsense ein forward zum pihole -> pihole löst auf, dies scheint mir jedoch ein recht umständiger weg für jede DNS anfrage zu sein.

    Habt ihr hier andere Ideen?

    Dieser Beitrag ist in Deutsch

    • @“x”#1036128Du kannst doch auch die Pfsense VM per VLANs ins Netz der IB bringen

      Ich rede jetzt hier etwas “Mikrotik sprache” weil ich mich noch nie ernsthaft mit Pfsense in einem Production Environment auseinander gesetzt habe

      Also man macht eine Bridge mit dem WAN Port und einem VLAN interface auf der LAN Seite. Dann wählt man in Proxmox bei den Container Einstellungen vom PiHole das selbe VLAN

      Das PiHole sollte dann eine IP der IB bekommen

      Vom Pfsense dann diese IP als DNS angeben sollte gar kein Problem sein

    @“x”#1036128Geht’s evtl. per DHCP Option 6? Sonst habe ich auch keine bessere Idee als das im 2. Teil beschriebe

    Oder den PiHole ins IB Netz hängen (per VLAN intern im Proxmox falls der auch drauf läuft)

    Dieser Beitrag ist in Deutsch

      @[gelöscht]
      Leider Nein.

      [upl-image-preview liId=“58743iBADF66FD0D3A0BFB” alt=“Neliommiosch84_0-1711725587217.png” uuid=“https://community.swisscom.ch/t5/image/serverpage/image-id/58743iBADF66FD0D3A0BFB/image-size/medium?assetToken=FdWIyGwkY7lu0iPMXm_nhIUuX xSO6wv7FwHbCsPMaMj6yYSUZ4djsswEquHKnMidyKXj2JEt6UdkptcQHEafdGCOB_fU6ZuOmtIYmitSCySTSW-suvlr1XbmbHsZS82AZv9HoabCHP1vKpmNPPOfN4ALHw&v=v2&px=400”]

      @“x”#1036128Zuerst das IB Subnet auf das vom Pfsense ändern, DNS IP eingeben, IP range zurück ändern und hoffen dass es die IB nicht checkt

      Natürlich die statische Route so wie das Pfsense währen dem Prozess entfernen

      Dieser Beitrag ist in Deutsch

      @Neliommiosch84

      Habe da ein wenig ein Verständnisproblem.

      Wenn alle Deine Geräte inkl. dem Pi-hole im Netz der pfSense hängen, dann werden ja die DNS-Einträge der Internetbox selbst gar nicht benutzt, ausser natürlich Du würdest sie unnötigerweise automatisch in Dein pfSense-Netz übernehmen.

      Wieso willst Du da auf der Internetbox überhaupt etwas abweichendes vom Default eintragen?

      Dieser Beitrag ist in Deutsch

      Hobby-Nerd ohne wirtschaftliche Abhängigkeiten zur Swisscom

      Seltsame Sache..

      Der Router ist einfach nicht dafür vorgesehen.

      Mach doch ein NAT.

      Dieser Beitrag ist in Deutsch

      @marcus @Werner

      Aktuell habe ich die Ibox in normalem Betrieb für alle Privaten Geräte, TV’s etc.

      Nur das Homelab steht hinter der pfsense.

      Nun soll jeglicher DNS von meinem Pi-hole im homelab hinter der pfsense aufgelöst werden.

      Wenn ich aber versuche die IP des piholes einzugeben, erscheint folgende Fehlermeldung:

      Neliommiosch84_0-1711737003114.png

      Dieser Beitrag ist in Deutsch

      Komischerweise trägt die IBox als DNS Server sich selbst ein auf den Geräten die per DHCP Konfiguriert werden, anstatt die IP des DNS Server mitzugeben, ist das normal?

      Dieser Beitrag ist in Deutsch

      @“x”#1036128Ist normal, die Box schleift dir DNS Anfragen wie durch sich selbst durch für Caching

      Wenn du dir DNS per DHCP Option 6 einteägst dann gibt die IB den clients direkt die IP vom DNS Server

      Dieser Beitrag ist in Deutsch

      @NilsL Okay dieses Problem konnte ich lösen, danke.

      Hat sonst noch wer @Werner? eine Idee wie ich das ursprüngliche Problem lösen könnte?

      Oder wieso Swisscom ein DNS Server in anderem Subnetz überhaupt verbietet?

      Dieser Beitrag ist in Deutsch

      @“x”#1036128Hat der Vorschlag von mir in Beitrag 4 nicht funktioniert

      Eine bessere Lösung als das was ich hier schon vorgeschlagen habe wird es kaum geben

      Dieser Beitrag ist in Deutsch

      @NilsL Nein leider nicht, die Ibox scheint bei der eingabe des 10.x netztes sofort auch die DNS Server zu validieren.

      Dieser Beitrag ist in Deutsch

      @“x”#1036128Alles klar, schade

      Dann würde ich das PiHole einfach in das IB Netz hängen und gut ist

      Dieser Beitrag ist in Deutsch

      @Neliommiosch84 schrieb:

      @NilsL Okay dieses Problem konnte ich lösen, danke.

      Hat sonst noch wer @Werner? eine Idee wie ich das ursprüngliche Problem lösen könnte?

      Oder wieso Swisscom ein DNS Server in anderem Subnetz überhaupt verbietet?

      Das ist nicht Swisscom, welche so was verbietet, sondern das ist ganz normale IP-Netzwerktechnik mit den zugehörigen Routing-Tabellen und -Regeln, welche mal grundsätzlich lauten:

      - öffentliche IP-Adressen werden ans Internet geroutet

      - private IP-Adressen werden nur innerhalb des eigenen Netzwerks des Routers geroutet

      Du versuchst momentan halt gerade die Netzwerktechnik ohne für mich erkennbaren Nutzen neu zu erfinden.

      Falls ich es richtig verstehe soll nach Deinem Wunsch Dein DNS-Server (vermutlich die Pi-hole Appliance) hinter einer zusätzlichen Firewall (die pfSense) in einem eigenen privaten IP-Bereich residieren.

      Abgesehen davon, dass dies nicht funktioniert, was soll denn überhaupt der Nutzen davon sein?

      Grundsätzlich gilt natürlich schon das Konzept, dass man sein Pi-hole innerhalb des selben Netzwerkes betreibt in dem es auch verwendet werden soll, und falls nicht gehört es sicher auf die höchste Stufe der Routerkaskade, also direkt ins IP-Netz der Internetbox.

      Wieso versuchst Du überhaupt davon abzuweichen?

      Dieser Beitrag ist in Deutsch

      Hobby-Nerd ohne wirtschaftliche Abhängigkeiten zur Swisscom

      @Werner

      Verstehe nicht ganz wieso das nicht funktionieren soll.

      Aktuell laufen meine Server (kein RPi) hinter einer zusätzlichen pfsense, damit ich mehr funktionen habe vlans etc.

      Die IBox auszutauschen ist nicht möglich, da andere Anwohner auf diese Angewiesen sind.

      Deshalb läuft die pfsense mit einem eingenen Netz, mit dem Ziel alle Server von einem Zentralen Proxmox Cluster zu betreiben. Jetzt wieder einen Server aus dem etwas entfernten Platz wieder direkt hinter die IBox zu setzten ist zum einten nicht möglich under würde für mich absolut keinen Sinn machen, da ich alle Server zentral über Proxmox mangen möchte.

      PS. Aktuell läuft es ja auch nur halt mit einem Forwarder DNS Server der pfsense zwischendrin.

      Dieser Beitrag ist in Deutsch

      @“x”#1036128Du kannst doch auch die Pfsense VM per VLANs ins Netz der IB bringen

      Ich rede jetzt hier etwas “Mikrotik sprache” weil ich mich noch nie ernsthaft mit Pfsense in einem Production Environment auseinander gesetzt habe

      Also man macht eine Bridge mit dem WAN Port und einem VLAN interface auf der LAN Seite. Dann wählt man in Proxmox bei den Container Einstellungen vom PiHole das selbe VLAN

      Das PiHole sollte dann eine IP der IB bekommen

      Vom Pfsense dann diese IP als DNS angeben sollte gar kein Problem sein

      Dieser Beitrag ist in Deutsch

      @NilsL

      Vielen vielen vielen Dank für diesen Tipp, da wär ich echt nicht draufgekommen, dass sowas möglich ist.

      Habs sogar soweit hinbekommen, dass die VM eine IP der IBox bekommt, habe aber aktuell noch ein paar Firewall Rules Probleme (https://forum.netgate.com/topic/187063/vlan-to-bridge-to-wan-side/3))
      Da bin ich aber vermutlich im pfsense Forum besser bedient, es sein denn, jemand hat hier direkt eine Idee. 🙂

      Vielen Dank an alle insbesondere an @NilsL

      Dieser Beitrag ist in Deutsch