[pfSense] Geen DNS

maandag 20 mei 2019 10:23

Acties:

0 Henk 'm!

Topicstarter

Goedemorgen,

Ik wil de standaard router van XS4ALL vervangen door een Qotom PC met pfSense.

Zojuist voor de zoveelste keer een clean install gedaan.
Alle settings zijn default.

Ik heb een PPPOE verbinding op vLan 6.
Waninterface is pppoe via bge0.6 (dus interface 0 vlan 6)

Vanuit pfSense kan ik elk willekeurig web adres pingen.
Ik kan de nieuwste software binnen halen etc.

Het internet op de pfSense bak werkt dus.

Mijn lan is 192.168.1.0/24 met DHCP.
Elk apparaat krijgt netjes een ip van de DHCP server:
ip: 192.168.1.*
gateway: 192.168.1.1
DNS: 192.168.1.1
subnetmask: 255.255.255.0

Ik kan alle lan adressen pingen.

Helaas werkt het internet niet.
Ik kan van elke pc / laptop geen willekeurige website pingen.
pingen naar 8.8.8.8 of de dns van XS4ALL werkt wel.

Het lijkt dus een DNS issue.

Ik zie in de firewall logs ook dat verzoeken via port 53(DNS) geblocked worden.

Naar mijn idee blokkeert de firewall dus alle DNS verzoeken. Naar mijn idee (en wat ik zie in diverse topics op internet) moet pfSense out of the box werken. Of moet ik toch nog wat toevoegen in de firewall.

DNS forwarding staat aan met standaard settings.

Alle overige settings zijn standaard.

Groeten,

Remko

maandag 20 mei 2019 21:45

ik222

Op welk niveau heb je de poort filtering in mijn XS4ALL staan? Je draait nu namelijk zelf een resolver i.p.v. een pure forwarder, dat werkt niet als je de poort beveiliging op XS4ALL op niveau 4 hebt staan omdat daarmee poort 53 geblokkeerd wordt. Maar let ook even op, want je laat je DNS resolver nu ook luisteren op de WAN interface en dat moet je dus niet doen omdat je dan mogelijk een open resolver maakt (nou zal standaard de firewall op de WAN interface dat ook niet toestaan maar toch).

Als je verder geen speciale reden ervoor hebt zou ik de resolver sowieso uitzetten en de DNS forwarder aanzetten. Maar ook dan geldt, als je andere DNS servers dan die van XS4ALL gebruikt werkt dat alleen als je poort beveiliging in mijn XS4ALL op niveau 3 of lager staat.

En anders, wat zie je precies in de firewall log van je pfSense bak staan?

[ Voor 4% gewijzigd door ik222 op 20-05-2019 21:47 ]

maandag 20 mei 2019 10:28

Acties:

0 Henk 'm!

DexterDee

I doubt, therefore I might be

Post eens een screenshot van je LAN en WAN firewall rules? Ik heb dezelfde setup (XS4ALL / pfSense) en dat draait allemaal vlekkeloos

Klik hier om mij een DM te sturen • 3245 WP op ZW

maandag 20 mei 2019 14:43

Acties:

0 Henk 'm!

I-Lynx

Topicstarter

Ik ben al wat verder gekomen.
Althans..... Ik heb er helemaal niet bij stil gestaan dat een pfSense of Opnsense standaard helemaal dicht zit.

Er staan standaard 2 of 3 regels in de firewall maar dat is dus niet genoeg om toegang tot het internet te krijgen.

Dus als ik het goed begrijp heb ik met de schone installatie nog geen toegang tot internet? ik moet dus nog een hoop toevoegen in de firewall?? (zoals poort 53 voor dns, poort 80 en 443 voor web etc etc)

Klopt dat?
Zo ja, heeft er iemand voorbeelden voor mij?

Groeten,

Remko

maandag 20 mei 2019 16:11

Acties:

0 Henk 'm!

DexterDee

I doubt, therefore I might be

Je hoeft helemaal geen individuele rules in te stellen voor verschillende diensten. Er moet een catch-all rule zijn die al het verkeer van LAN -> WAN toe laat.

In Firewall / Rules / LAN moet er tenminste één regel actief zijn:

code:

Action: Pass
Protocol: *
Source: LAN net
Port: *
Destination: *
Port: *
Gateway: *
Queue: none
Description: Default allow LAN to any rule

Deze rule moet helemaal onderaan staan. Alle uitsluitende (deny) rules komen hierboven. Maar die hoef je in principe niet te hebben.

Noot: Als je ook IPv6 hebt geconfigureerd is het handig om bovenstaande rule apart voor IPv4 en IPv6 op te nemen. Als je met meer dan één gateway aan de slag gaat, dan mag je geen wildcard protocol gebruiken over IPv4 en IPv6 heen. Logisch ook, want een gateway is óf IPv4 óf IPv6

Klik hier om mij een DM te sturen • 3245 WP op ZW

maandag 20 mei 2019 16:33

Acties:

0 Henk 'm!

Paul

Je clients krijgen via DHCP te horen dat ze de DNS-server van pfSense moeten gebruiken.

Wat staat er in pfSense ingevuld onder Services -> DNS Resolver (met name Forwarding Mode) en wat staat er in System -> General als DNS-server?

Als je met SSH inlogt op pfSense, kun je dan wel met nslookup namen resolven?

"Your life is yours alone. Rise up and live it." - Richard Rahl
Rhàshan - Aditu Sunlock

maandag 20 mei 2019 20:24

Acties:

0 Henk 'm!

I-Lynx

Topicstarter

Die Firewall regels staan er gewoon in.

@Paul Dit zijn de DNS settings:

System - General
Afbeeldingslocatie: https://i.ibb.co/zVtxQHd/3.png

DNS Resolver:
Afbeeldingslocatie: https://i.ibb.co/N2K8mNQ/1.png

Afbeeldingslocatie: https://i.ibb.co/t8VPghx/2.png

[ Voor 7% gewijzigd door I-Lynx op 20-05-2019 20:25 ]

maandag 20 mei 2019 21:45

Acties:

Beste antwoord ✓
0 Henk 'm!

ik222

Op welk niveau heb je de poort filtering in mijn XS4ALL staan? Je draait nu namelijk zelf een resolver i.p.v. een pure forwarder, dat werkt niet als je de poort beveiliging op XS4ALL op niveau 4 hebt staan omdat daarmee poort 53 geblokkeerd wordt. Maar let ook even op, want je laat je DNS resolver nu ook luisteren op de WAN interface en dat moet je dus niet doen omdat je dan mogelijk een open resolver maakt (nou zal standaard de firewall op de WAN interface dat ook niet toestaan maar toch).

Als je verder geen speciale reden ervoor hebt zou ik de resolver sowieso uitzetten en de DNS forwarder aanzetten. Maar ook dan geldt, als je andere DNS servers dan die van XS4ALL gebruikt werkt dat alleen als je poort beveiliging in mijn XS4ALL op niveau 3 of lager staat.

En anders, wat zie je precies in de firewall log van je pfSense bak staan?

[ Voor 4% gewijzigd door ik222 op 20-05-2019 21:47 ]

maandag 20 mei 2019 22:17

Acties:

0 Henk 'm!

I-Lynx

Topicstarter

Geen speciale rede voor de DNS resolve ipv DNS forward. Dit staat standaard in pfSense.
Ik zal de DNS Resolve uit zetten en de Forward aan.

Ik gebruik geen andere DNS servers anders dan die van XS4ALL zelf. (ik zie niet in waarom ik andere DNS servers zou moeten gebruiken. Ik vertrouw een DNS server van XS4ALL beter dan de standaard 8.8.8.8.... maar dat is meer een gevoelskwestie).

Ik zit nu weer via de standaard router (anders kan vrouwlief geen TV kijken :-) ) ik zal morgen weer de pfSense aankoppelen.

dinsdag 21 mei 2019 07:57

Acties:

+1 Henk 'm!

Paul

Zet "Enable Forwarding Mode" eens aan op de settings van DNS Resolver?

Wat krijg je als je nslookup doet op de pfSense machine zelf? En op een client? Als je op pfSense zelf antwoord krijgt van de XS4All DNS-server en op je PC een NXDOMAIN dan denk ik dat het bovengenoemde melding is. Als je van de XS4All DNS-server een time-out is dan lijkt het me iets met de firewall.

"Your life is yours alone. Rise up and live it." - Richard Rahl
Rhàshan - Aditu Sunlock

woensdag 22 mei 2019 20:25

Acties:

0 Henk 'm!

I-Lynx

Topicstarter

DNS Forwarder ipv DNS resolve werkt.

Dikke Thanx!

Onderwerpen

Vraag

Beste antwoord (via I-Lynx op 22-05-2019 20:25)

Alle reacties