Hallo Zusammen
Ich habe nun endlich mein Proxmox cluster versorgt in einem zweiten Subnetz aufgebaut.
Nach langem hin und her hier habe ich mich dazu entschieden hinter dem swisscom Router die pfsense und hinter ihr dann mein cluster.
Dies passiert aktuell mit statischen Router.
Heute wollte ich einen pihole DNS-Server einrichten, jedoch lässt mich die Ibox keine dns-server ip von 10.x.x.x eingeben.
Wie könnte ich dies umgehen?
Ein weg habe ich gefunden, als dns server die wan-ip von pfsense nutzten, auf der pfsense ein forward zum pihole -> pihole löst auf, dies scheint mir jedoch ein recht umständiger weg für jede DNS anfrage zu sein.
Habt ihr hier andere Ideen?
@Neliommiosch84Du kannst doch auch die Pfsense VM per VLANs ins Netz der IB bringen
Ich rede jetzt hier etwas "Mikrotik sprache" weil ich mich noch nie ernsthaft mit Pfsense in einem Production Environment auseinander gesetzt habe
Also man macht eine Bridge mit dem WAN Port und einem VLAN interface auf der LAN Seite. Dann wählt man in Proxmox bei den Container Einstellungen vom PiHole das selbe VLAN
Das PiHole sollte dann eine IP der IB bekommen
Vom Pfsense dann diese IP als DNS angeben sollte gar kein Problem sein
@Neliommiosch84Geht's evtl. per DHCP Option 6? Sonst habe ich auch keine bessere Idee als das im 2. Teil beschriebe
Oder den PiHole ins IB Netz hängen (per VLAN intern im Proxmox falls der auch drauf läuft)
@Neliommiosch84Zuerst das IB Subnet auf das vom Pfsense ändern, DNS IP eingeben, IP range zurück ändern und hoffen dass es die IB nicht checkt
Natürlich die statische Route so wie das Pfsense währen dem Prozess entfernen
Habe da ein wenig ein Verständnisproblem.
Wenn alle Deine Geräte inkl. dem Pi-hole im Netz der pfSense hängen, dann werden ja die DNS-Einträge der Internetbox selbst gar nicht benutzt, ausser natürlich Du würdest sie unnötigerweise automatisch in Dein pfSense-Netz übernehmen.
Wieso willst Du da auf der Internetbox überhaupt etwas abweichendes vom Default eintragen?
Seltsame Sache..
Der Router ist einfach nicht dafür vorgesehen.
Mach doch ein NAT.
@marcus @Werner
Aktuell habe ich die Ibox in normalem Betrieb für alle Privaten Geräte, TV's etc.
Nur das Homelab steht hinter der pfsense.
Nun soll jeglicher DNS von meinem Pi-hole im homelab hinter der pfsense aufgelöst werden.
Wenn ich aber versuche die IP des piholes einzugeben, erscheint folgende Fehlermeldung:
Komischerweise trägt die IBox als DNS Server sich selbst ein auf den Geräten die per DHCP Konfiguriert werden, anstatt die IP des DNS Server mitzugeben, ist das normal?
@Neliommiosch84Ist normal, die Box schleift dir DNS Anfragen wie durch sich selbst durch für Caching
Wenn du dir DNS per DHCP Option 6 einteägst dann gibt die IB den clients direkt die IP vom DNS Server
@Neliommiosch84Hat der Vorschlag von mir in Beitrag 4 nicht funktioniert
Eine bessere Lösung als das was ich hier schon vorgeschlagen habe wird es kaum geben
@NilsL Nein leider nicht, die Ibox scheint bei der eingabe des 10.x netztes sofort auch die DNS Server zu validieren.
@Neliommiosch84Alles klar, schade
Dann würde ich das PiHole einfach in das IB Netz hängen und gut ist
@Neliommiosch84 schrieb:
@NilsL Okay dieses Problem konnte ich lösen, danke.
Hat sonst noch wer @Werner ? eine Idee wie ich das ursprüngliche Problem lösen könnte?
Oder wieso Swisscom ein DNS Server in anderem Subnetz überhaupt verbietet?
Das ist nicht Swisscom, welche so was verbietet, sondern das ist ganz normale IP-Netzwerktechnik mit den zugehörigen Routing-Tabellen und -Regeln, welche mal grundsätzlich lauten:
- öffentliche IP-Adressen werden ans Internet geroutet
- private IP-Adressen werden nur innerhalb des eigenen Netzwerks des Routers geroutet
Du versuchst momentan halt gerade die Netzwerktechnik ohne für mich erkennbaren Nutzen neu zu erfinden.
Falls ich es richtig verstehe soll nach Deinem Wunsch Dein DNS-Server (vermutlich die Pi-hole Appliance) hinter einer zusätzlichen Firewall (die pfSense) in einem eigenen privaten IP-Bereich residieren.
Abgesehen davon, dass dies nicht funktioniert, was soll denn überhaupt der Nutzen davon sein?
Grundsätzlich gilt natürlich schon das Konzept, dass man sein Pi-hole innerhalb des selben Netzwerkes betreibt in dem es auch verwendet werden soll, und falls nicht gehört es sicher auf die höchste Stufe der Routerkaskade, also direkt ins IP-Netz der Internetbox.
Wieso versuchst Du überhaupt davon abzuweichen?
@Werner
Verstehe nicht ganz wieso das nicht funktionieren soll.
Aktuell laufen meine Server (kein RPi) hinter einer zusätzlichen pfsense, damit ich mehr funktionen habe vlans etc.
Die IBox auszutauschen ist nicht möglich, da andere Anwohner auf diese Angewiesen sind.
Deshalb läuft die pfsense mit einem eingenen Netz, mit dem Ziel alle Server von einem Zentralen Proxmox Cluster zu betreiben. Jetzt wieder einen Server aus dem etwas entfernten Platz wieder direkt hinter die IBox zu setzten ist zum einten nicht möglich under würde für mich absolut keinen Sinn machen, da ich alle Server zentral über Proxmox mangen möchte.
PS. Aktuell läuft es ja auch nur halt mit einem Forwarder DNS Server der pfsense zwischendrin.
@Neliommiosch84Du kannst doch auch die Pfsense VM per VLANs ins Netz der IB bringen
Ich rede jetzt hier etwas "Mikrotik sprache" weil ich mich noch nie ernsthaft mit Pfsense in einem Production Environment auseinander gesetzt habe
Also man macht eine Bridge mit dem WAN Port und einem VLAN interface auf der LAN Seite. Dann wählt man in Proxmox bei den Container Einstellungen vom PiHole das selbe VLAN
Das PiHole sollte dann eine IP der IB bekommen
Vom Pfsense dann diese IP als DNS angeben sollte gar kein Problem sein
@NilsL
Vielen vielen vielen Dank für diesen Tipp, da wär ich echt nicht draufgekommen, dass sowas möglich ist.
Habs sogar soweit hinbekommen, dass die VM eine IP der IBox bekommt, habe aber aktuell noch ein paar Firewall Rules Probleme (https://forum.netgate.com/topic/187063/vlan-to-bridge-to-wan-side/3)
Da bin ich aber vermutlich im pfsense Forum besser bedient, es sein denn, jemand hat hier direkt eine Idee. 🙂
Vielen Dank an alle insbesondere an @NilsL