pfsense - und DNS Server auf anderem Gerät

wario

Active member
Hallo liebe Netzwerkfreunde. Bin nun auch endlich soweit dass ich hier posten kann :)

Ich stelle mein Netzwerk momentan auf eine pfsense gestützt Umgebung um. Im Grunde funktioniert bereits so ziemlich vieles.
Vorerst mal zum aktuellen (noch nicht finalen) Netzwerkaufbau.

Modem -- pfsense -- Switch-- Netzwerk1 Privat mit Wireless AP (alle private Geräte, Smartphones und etc)
-- Switch-- Netzwerk2 Server (Proxmox Hypervisor auf dem 4 VMs laufen (nc server, Webserver, btcpayserver, mailserver) dazu eine Synology DS920
DNS Server läuft der Syno im Netzwerk 2
pfsense hat als einzigen DNS Server den der Syno - die Syno forwarded für externe Auflösungen.
DHCP läuft auf der pfsense für Netzwerk 1 und 2

Meine Webpage und ein 2ter NC Server laufen momentan noch auf der Syno (netzwerk2)

Netzwerk 1 & 2 haben Internetzugang, der Webserver ist auch von extern erreichbar. Funktioniert wunderbar.

Nur ein seltsames Problem habe ich wieder mit der Namensauflösung. Weiss garnicht wie ich des beschreiben soll.
webpagedomain und nextcloud auf der syno sind von den virtuellen Maschinen über den browser einwandfrei auflösbar. Die beiden sind ja im selben Netzwerksegment. Gebe ich den domainnamen meiner Webpage ich den Browser einer VM ein, lösst das wunderbar auf und ich lande auf meiner Webpage auf der Syno. Domainname vom nextcloudserver auf der Syno geht auch wunderbar.

Versuche ich jetzt die Namen auf einen Laptop in Netzwerk1 aufzulösen bekomme ich einen rebind attack detect error angezeigt. Siehe Anhang. Okay hab ich nun im Netz etwas rumgesucht und hab dann herrausgefunden dass in der pfsense der DNS Rebind Check deaktiviert werden kann. Wenn ich das jedoch tue, lande ich auf dem login der pfsense wenn ich meine domaine example.com aufrufe. Ich habe nirgendwo meine domaine mit dem login, der domaine der pfsense weder auf deren IP zeigen lassen.
im DNS Lookup tool der pfsense lössen alle domainen mit der richtigen IP auf und zeigen auf die Server.
Im Netzwerk 2 auf den virtuellen Maschinen die ja im selben Netzwerk stehen wie der DNS Server, lösst alles wunderbar auf ohne meckern.

Ich weiss mal wieder gerade echt nicht weiter. Woran könnte den sowas liegen?

im Anhang die pfsense Meldung

Grüsse
 

Anhänge

  • rebinderror.png
    rebinderror.png
    128,6 KB · Aufrufe: 4

blurrrr

Well-known member
Okay hab ich nun im Netz etwas rumgesucht und hab dann herrausgefunden dass in der pfsense der DNS Rebind Check deaktiviert werden kann. Wenn ich das jedoch tue, lande ich auf dem login der pfsense wenn ich meine domaine example.com aufrufe.
Das ist auch erstmal richtig und gut so: https://en.wikipedia.org/wiki/DNS_rebinding. Schau mal hier: https://docs.netgate.com/pfsense/en/latest/services/dns/rebinding.html, dort wird Dir auch erklärt, wie Du Ausnahmen hinzufügen kannst :)

1668366853698.png
 

wario

Active member
komischerweise zeigt der mir beim abruf aus netz eins aus das zerti vom webconfigurator der pfsense an :unsure:
:unsure:
 

Anhänge

  • zertifikat.png
    zertifikat.png
    340,7 KB · Aufrufe: 2

wario

Active member
Das ist auch erstmal richtig und gut so: https://en.wikipedia.org/wiki/DNS_rebinding. Schau mal hier: https://docs.netgate.com/pfsense/en/latest/services/dns/rebinding.html, dort wird Dir auch erklärt, wie Du Ausnahmen hinzufügen kannst :)

Anhang anzeigen 2010
krass wie schnell du immer bist. ich versuche es wenn möglich heute abend noch und gebe bescheid. Wieso funktioniert das ganze aber im netz wo der DNS steht? die pfsense hat ja dort auch ihr gateway
 

blurrrr

Well-known member
Also "anlassen" + "Ausnahme hinzufügen". Im Netz wo der DNS steht, ist die pfSense garnicht involviert, da geht nichts über die Firewall, die Clients können "direkt" miteinander sprechen. Aus einem anderen Netz heraus, muss es erst über die pfSense gehen (Stichwort "Routing) :)
 

wario

Active member
achne verstanden aus netzwerk 2 geht die anfrage ja garnicht über die pfsense

jup okay dann werde ich das mal ausprobieren, später, danke dir schonmal. Bestes Forum hier !! :)
 

Barungar

Well-known member
Eigentlich reicht es aus auf die pfsense mit dem korrekten Namen zuzugreifen.
Und da Du ja schon Deinen eigenen DNS-Server hast, wo ist das Problem, den "korrekten" DNS-Namen für Deine pfsense im Netzwerk zu nutzen?
Dann braucht man auch keine "Ausnahmen"...
 

blurrrr

Well-known member
Es ging glaube ich eher darum, dass die pfSense dazwischengegrätscht ist bzgl. des DNS-Rebind-Schutzes ☺️
 

Barungar

Well-known member
Der DNS-Rebind-Schutz meldet sich aber nur, wenn die pfsense eine Diskrepanz zwischen Ihrer IP und dem Namen mit dem sie angesprochen wird feststellt. So ist es z.B. auch bei meinen OPNsense. Verwendet man im DNS den Namen, den die pfsense erwartet, kommt auch kein DNS-Rebindschutz. Der "Rebind" ist ja gerade, dass unerlaubt die Zuordnung IP <-> Name geändert wird.
 

wario

Active member
okay ich versuche gerade euer geschriebenes zu verstehen aber ich glaube ich kann mir vorstelle was barungar meint. die pf sense hat keinen richtigen namen bis jetzt

so es bleibt weiterhin skuril:
ausnahmen hinzugefügt. ich lande auf dem login der pfsense :ROFLMAO:
 

Anhänge

  • pflogin.png
    pflogin.png
    95,2 KB · Aufrufe: 2

blurrrr

Well-known member
Wobei ich mich dann doch grade frage... Resolver / Forwarder... theoretisch sollte die pfSense damit garnix zu tun haben, wenn via DHCP ein anderweitiger DNS-Server eingetragen ist... oder nutzt Du die pfSense als DNS für die Clients @wario?

EDIT: Clients -> pfSense -> Syno-DNS-Server -> Internet?
 

wario

Active member
PS, es kein fowarder oder dns dienst auf der pfsense aktiviert. des läuft alles auf der syno im netzwerk2
 

blurrrr

Well-known member
Du sagst, Du hast bei der pfSense die Syno als DNS eingetragen, was wird denn via DHCP als DNS-Server an die Clients verteilt?
 

wario

Active member
Du sagst, Du hast bei der pfSense die Syno als DNS eingetragen, was wird denn via DHCP als DNS-Server an die Clients verteilt?
die einstellung hab ich leer gelassen, da werden ja beim leer lassen die eingestellten settings der pfsense benutzt, die clients bekommen dann auch den dns server der syno automatisch
 

wario

Active member
ehm ne das war mir nicht klar. da fehlt mir wohl noch viel Netzwerkwissen :ROFLMAO: das ist die IP der syno und alle geräte da hinten basieren auf diesem segment XD

es funktioniert alles bis das auflösen der domaine aus netz1 :ROFLMAO:
 

blurrrr

Well-known member
Btw... ich würde einfach hingehen, der pfSense einen externen DNS geben, die Clients kriegen dann intern via DHCP die Syno als DNS und jut ist. Dann ist die pfSense auch nicht davon abhängig, dass bei Dir intern ein DNS läuft.
 

the other

Well-known member
Moinsen,
Gibt es in den Einstellungen zu dns resolution behavior nicht noch die Möglichkeit direkt zu den remote server zu gehen?
Wenn Die pfsense sich immer zuerst fragt, dort dann der rebind Schutz an ist und eben KEINE ordentliche Ausnahmegenehmigung implementiert ist (korrekter name), dann geht es nicht weiter. Wäre Meine Vermutung.

Davon ab...warum alles so kompliziert und nicht einfach dns und dhcp auf die sense zentral? Vlans dran, fertig.
 

Zurzeit aktive Besucher

Keine Mitglieder online.

Letzte Anleitungen

Statistik des Forums

Themen
2.203
Beiträge
25.673
Mitglieder
1.655
Neuestes Mitglied
Emma B.
Oben