DNS Server aus anderem Subnetz

Neliommiosch84

Hallo Zusammen

Ich habe nun endlich mein Proxmox cluster versorgt in einem zweiten Subnetz aufgebaut.

Nach langem hin und her hier habe ich mich dazu entschieden hinter dem swisscom Router die pfsense und hinter ihr dann mein cluster.

Dies passiert aktuell mit statischen Router.

Heute wollte ich einen pihole DNS-Server einrichten, jedoch lässt mich die Ibox keine dns-server ip von 10.x.x.x eingeben.

Wie könnte ich dies umgehen?

Ein weg habe ich gefunden, als dns server die wan-ip von pfsense nutzten, auf der pfsense ein forward zum pihole -> pihole löst auf, dies scheint mir jedoch ein recht umständiger weg für jede DNS anfrage zu sein.

Habt ihr hier andere Ideen?

NilsL

@“x”#1036128Geht’s evtl. per DHCP Option 6? Sonst habe ich auch keine bessere Idee als das im 2. Teil beschriebe

Oder den PiHole ins IB Netz hängen (per VLAN intern im Proxmox falls der auch drauf läuft)

Neliommiosch84

NilsL
Leider Nein.

NilsL

@“x”#1036128Zuerst das IB Subnet auf das vom Pfsense ändern, DNS IP eingeben, IP range zurück ändern und hoffen dass es die IB nicht checkt

Natürlich die statische Route so wie das Pfsense währen dem Prozess entfernen

Werner

@Neliommiosch84

Habe da ein wenig ein Verständnisproblem.

Wenn alle Deine Geräte inkl. dem Pi-hole im Netz der pfSense hängen, dann werden ja die DNS-Einträge der Internetbox selbst gar nicht benutzt, ausser natürlich Du würdest sie unnötigerweise automatisch in Dein pfSense-Netz übernehmen.

Wieso willst Du da auf der Internetbox überhaupt etwas abweichendes vom Default eintragen?

marcus

Seltsame Sache..

Der Router ist einfach nicht dafür vorgesehen.

Mach doch ein NAT.

Neliommiosch84

@marcus @Werner

Aktuell habe ich die Ibox in normalem Betrieb für alle Privaten Geräte, TV’s etc.

Nur das Homelab steht hinter der pfsense.

Nun soll jeglicher DNS von meinem Pi-hole im homelab hinter der pfsense aufgelöst werden.

Wenn ich aber versuche die IP des piholes einzugeben, erscheint folgende Fehlermeldung:

Neliommiosch84

Komischerweise trägt die IBox als DNS Server sich selbst ein auf den Geräten die per DHCP Konfiguriert werden, anstatt die IP des DNS Server mitzugeben, ist das normal?

NilsL

@“x”#1036128Ist normal, die Box schleift dir DNS Anfragen wie durch sich selbst durch für Caching

Wenn du dir DNS per DHCP Option 6 einteägst dann gibt die IB den clients direkt die IP vom DNS Server

Neliommiosch84

@NilsL Okay dieses Problem konnte ich lösen, danke.

Hat sonst noch wer @Werner? eine Idee wie ich das ursprüngliche Problem lösen könnte?

Oder wieso Swisscom ein DNS Server in anderem Subnetz überhaupt verbietet?

NilsL

@“x”#1036128Hat der Vorschlag von mir in Beitrag 4 nicht funktioniert

Eine bessere Lösung als das was ich hier schon vorgeschlagen habe wird es kaum geben

Neliommiosch84

@NilsL Nein leider nicht, die Ibox scheint bei der eingabe des 10.x netztes sofort auch die DNS Server zu validieren.

NilsL

@“x”#1036128Alles klar, schade

Dann würde ich das PiHole einfach in das IB Netz hängen und gut ist

Werner

@Neliommiosch84 schrieb:

@NilsL Okay dieses Problem konnte ich lösen, danke.

Hat sonst noch wer @Werner? eine Idee wie ich das ursprüngliche Problem lösen könnte?

Oder wieso Swisscom ein DNS Server in anderem Subnetz überhaupt verbietet?

Das ist nicht Swisscom, welche so was verbietet, sondern das ist ganz normale IP-Netzwerktechnik mit den zugehörigen Routing-Tabellen und -Regeln, welche mal grundsätzlich lauten:

- öffentliche IP-Adressen werden ans Internet geroutet

- private IP-Adressen werden nur innerhalb des eigenen Netzwerks des Routers geroutet

Du versuchst momentan halt gerade die Netzwerktechnik ohne für mich erkennbaren Nutzen neu zu erfinden.

Falls ich es richtig verstehe soll nach Deinem Wunsch Dein DNS-Server (vermutlich die Pi-hole Appliance) hinter einer zusätzlichen Firewall (die pfSense) in einem eigenen privaten IP-Bereich residieren.

Abgesehen davon, dass dies nicht funktioniert, was soll denn überhaupt der Nutzen davon sein?

Grundsätzlich gilt natürlich schon das Konzept, dass man sein Pi-hole innerhalb des selben Netzwerkes betreibt in dem es auch verwendet werden soll, und falls nicht gehört es sicher auf die höchste Stufe der Routerkaskade, also direkt ins IP-Netz der Internetbox.

Wieso versuchst Du überhaupt davon abzuweichen?

Neliommiosch84

@Werner

Verstehe nicht ganz wieso das nicht funktionieren soll.

Aktuell laufen meine Server (kein RPi) hinter einer zusätzlichen pfsense, damit ich mehr funktionen habe vlans etc.

Die IBox auszutauschen ist nicht möglich, da andere Anwohner auf diese Angewiesen sind.

Deshalb läuft die pfsense mit einem eingenen Netz, mit dem Ziel alle Server von einem Zentralen Proxmox Cluster zu betreiben. Jetzt wieder einen Server aus dem etwas entfernten Platz wieder direkt hinter die IBox zu setzten ist zum einten nicht möglich under würde für mich absolut keinen Sinn machen, da ich alle Server zentral über Proxmox mangen möchte.

PS. Aktuell läuft es ja auch nur halt mit einem Forwarder DNS Server der pfsense zwischendrin.

NilsL

@“x”#1036128Du kannst doch auch die Pfsense VM per VLANs ins Netz der IB bringen

Ich rede jetzt hier etwas “Mikrotik sprache” weil ich mich noch nie ernsthaft mit Pfsense in einem Production Environment auseinander gesetzt habe

Also man macht eine Bridge mit dem WAN Port und einem VLAN interface auf der LAN Seite. Dann wählt man in Proxmox bei den Container Einstellungen vom PiHole das selbe VLAN

Das PiHole sollte dann eine IP der IB bekommen

Vom Pfsense dann diese IP als DNS angeben sollte gar kein Problem sein

Neliommiosch84

@NilsL

Vielen vielen vielen Dank für diesen Tipp, da wär ich echt nicht draufgekommen, dass sowas möglich ist.

Habs sogar soweit hinbekommen, dass die VM eine IP der IBox bekommt, habe aber aktuell noch ein paar Firewall Rules Probleme (https://forum.netgate.com/topic/187063/vlan-to-bridge-to-wan-side/3))
Da bin ich aber vermutlich im pfsense Forum besser bedient, es sein denn, jemand hat hier direkt eine Idee. 🙂

Vielen Dank an alle insbesondere an @NilsL