pfSense newbie: DNS werkt niet voor clients - Netwerken

Vraag

maandag 6 december 2021 09:06

Acties:

0 Henk 'm!

Topicstarter

Mijn vraag
DNS via diagnostics op de pfSense zelf werkt prima, van buiten niet.

Relevante software en hardware die ik gebruik
Laatste versie met kale pfSense installatie

Wat ik al gevonden of geprobeerd heb
Ik heb een kale nieuwe pfSense installatie met 1 interface. In de firewall heb ik 2 regels aangemaakt, 1 voor dns en 1 voor dns over tls. Onder system / general staan de google dns servers en deze werken aangezien intern dns prima werkt. Zowel DNS forwarder als DNS resolver met de Forwarding optie werken allebei niet. Als ik van een andere machine in het netwerk een DNS request doe naar de pfSense machine krijg ik gewoon geen antwoord.

Afbeeldingslocatie: https://tweakers.net/i/6DDQtXKu2BqYx2Q5PyMJWQMdJWs=/800x/filters:strip_exif()/f/image/t3JpWcaeNBEXeVAJc7ZHvJRJ.png?f=fotoalbum_large

Afbeeldingslocatie: https://tweakers.net/i/MmM_rxmxRF1yo9V4JhtGslEaWQo=/800x/filters:strip_exif()/f/image/0kkA4hgqkBJ2uYbNLs7nwwUI.png?f=fotoalbum_large

Afbeeldingslocatie: https://tweakers.net/i/CD2qD8ubAHwIDZQcApsIk_wQcJA=/800x/filters:strip_exif()/f/image/oSokfKPRQOk15gIx36W3TaqP.png?f=fotoalbum_large

Alle reacties

maandag 6 december 2021 09:12

Acties:

0 Henk 'm!

ThinkPad

Hoe staan je interfaces geconfigureerd? Gebruik je VLANs aangezien je zegt dat er maar één interface is?
Kunnen je clients wel bij de webinterface van pfSense bijv?

maandag 6 december 2021 09:14

Acties:

0 Henk 'm!

Tadango

Topicstarter

ThinkPadd schreef op maandag 6 december 2021 @ 09:12:
Hoe staan je interfaces geconfigureerd? Gebruik je VLANs aangezien je zegt dat er maar één interface is?
Kunnen je clients wel bij de webinterface van pfSense bijv?

Ik heb 1 WAN interface met static IP verbonden aan het LAN. Geen Vlan's oid. Web interface werkt vanaf deze machine prima, dns niet (andere client ook niet). Hele simpele setup dus.

Btw, deze pfSense houdt 1 interface en moet alleen DNS / DHCP en Reverse proxy gaan doen en geen routing oid.

maandag 6 december 2021 09:17

Acties:

0 Henk 'm!

ThinkPad

Moeten die twee onderste regels niet verwijzen naar (het IP-adres van) pfSense zelf i.p.v. 'WAN-address'?

[ Voor 9% gewijzigd door ThinkPad op 06-12-2021 09:17 ]

maandag 6 december 2021 09:19

Acties:

0 Henk 'm!

Tadango

Topicstarter

ThinkPadd schreef op maandag 6 december 2021 @ 09:17:
Moeten die twee onderste regels niet verwijzen naar (het IP-adres van) pfSense zelf i.p.v. 'WAN-address'?

Maar dat is toch hetzelfde? Ik heb 1 interface met de buitenwereld, die noemen ze WAN

Btw, als ik deze op any zet veranderd er niets.

[ Voor 7% gewijzigd door Tadango op 06-12-2021 09:20 ]

maandag 6 december 2021 09:25

Acties:

0 Henk 'm!

Vorkie

Wat wil je bereiken? Waarom wil je er een 1-poot PFSense ertussen?

/edit

gelezen!

Maar je opzet is nogal lastig en niet echt mooi te krijgen.

Heb je een gateway ingesteld?

[ Voor 47% gewijzigd door Vorkie op 06-12-2021 09:28 ]

maandag 6 december 2021 09:28

Acties:

0 Henk 'm!

Tadango

Topicstarter

Vorkie schreef op maandag 6 december 2021 @ 09:25:
Wat wil je bereiken? Waarom wil je er een 1-poot PFSense ertussen?

Ik wil een DNS / DHCP / Reverse proxy machine hebben. De modem van de provider gebruik ik alleen als router. DNS wil ik voor een lokaal domain ook zelf draaien en voor DHCP wil meer opties hebben dan wat de router biedt. Daarnaast moet ik nog een losse Reverse proxy hebben en dat moet pfSense ook bieden. Deze komt dus nergens tussen en gaat niets met het normale verkeer doen.

maandag 6 december 2021 09:37

Acties:

0 Henk 'm!

ThinkPad

Tadango schreef op maandag 6 december 2021 @ 09:19:
[...]

Maar dat is toch hetzelfde? Ik heb 1 interface met de buitenwereld, die noemen ze WAN

Volgens mij maakt dit het ingewikkeld, want welke router luistert er op zijn WAN naar DNS-requests e.d.
Ik zou toch kijken of je het anders kan inrichten, wordt het een stuk simpeler van.

maandag 6 december 2021 09:37

Acties:

0 Henk 'm!

Tadango

Topicstarter

Vorkie schreef op maandag 6 december 2021 @ 09:25:
Wat wil je bereiken? Waarom wil je er een 1-poot PFSense ertussen?

/edit

gelezen!

Maar je opzet is nogal lastig en niet echt mooi te krijgen.

Heb je een gateway ingesteld?

Ja is ingesteld. DNS werkt intern ook prima op de pfSense zelf.

Waarom zou dit niet echt mooi te krijgen zijn?

maandag 6 december 2021 09:40

Acties:

0 Henk 'm!

Tadango

Topicstarter

ThinkPadd schreef op maandag 6 december 2021 @ 09:37:
[...]

Volgens mij maakt dit het ingewikkeld, want welke router luistert er op zijn WAN naar DNS-requests e.d.
Ik zou toch kijken of ik het anders kan inrichten, wordt het een stuk simpeler van.

Eeh.. iedereen waarschuwt normaal dat je dan op WAN naar DNS luistert, dus dat moet prima kunnen. Je moet mijn oplossing ook niet als router zien maar gewoon als server. pfSense moet flexibel genoeg zijn om dit aan te kunnen.

En wat zou een simpelere oplossing zijn dan 1 netwerk interface?

maandag 6 december 2021 09:45

Acties:

0 Henk 'm!

CaDje

Framedrops for life

Kun je de interface niet switchen naar LAN? Ik heb zelf ook pfsense draaien met DNS over TLS maar dan wel met 2 interfaces. De LAN interface staat volgens mij standaard al het verkeer toe, dan hoef je dus geen aparte firewall rules te maken voor je DNS.

maandag 6 december 2021 09:47

Acties:

0 Henk 'm!

Tadango

Topicstarter

CaDje schreef op maandag 6 december 2021 @ 09:45:
Kun je de interface niet switchen naar LAN? Ik heb zelf ook pfsense draaien met DNS over TLS maar dan wel met 2 interfaces. De LAN interface staat volgens mij standaard al het verkeer toe, dan hoef je dus geen aparte firewall rules te maken voor je DNS.

Nee, hij wil perse WAN geconfigureerd hebben. Maar er zouden ook geen beperkingen op WAN moeten zitten. Dat is wellicht een ongelukkige naamgeving in mijn situatie. Ik heb nergens kunnen vinden dat het hard coded beveiligingen zitten op de WAN interface. Dat verwacht ik ook niet van pfSense.

maandag 6 december 2021 09:50

Acties:

0 Henk 'm!

ThinkPad

Tadango schreef op maandag 6 december 2021 @ 09:40:
[...]
En wat zou een simpelere oplossing zijn dan 1 netwerk interface?

Een pfSense met één interface kan prima, heb dat zelf ook draaiende gehad op m'n thuisserver met maar 1 NIC. Maar ik had een managed switch en werkte in pfSense met VLAN's. Op die manier kun je alsnog twee interfaces maken binnen pfSense, terwijl je maar één fysieke interface hebt.

WAN laat je dan binnenkomen op je switch op VLAN 10 (ik noem maar wat). En op VLAN 20 hang je dan je switchpoortjes die in je LAN moeten komen. In pfSense zeggen dat hij naar VLAN 10 en VLAN 20 moet luisteren en klaar (afgezien van wat details zoals tagged/untagged die je op je switch nog doet). Als je pfSense gevirtualiseerd draait dan maak je in je hypervisor die VLANs nog aan als netwerken.

[ Voor 29% gewijzigd door ThinkPad op 06-12-2021 09:52 ]

maandag 6 december 2021 09:52

Acties:

0 Henk 'm!

CaDje

Framedrops for life

Tadango schreef op maandag 6 december 2021 @ 09:47:
[...]

Nee, hij wil perse WAN geconfigureerd hebben. Maar er zouden ook geen beperkingen op WAN moeten zitten. Dat is wellicht een ongelukkige naamgeving in mijn situatie. Ik heb nergens kunnen vinden dat het hard coded beveiligingen zitten op de WAN interface. Dat verwacht ik ook niet van pfSense.

Heb je wellicht DNS server Override aan staan?

En nog even voor de zekerheid, je hebt de DHCP op je modem wel uitgezet, en de client een ip refresh gegeven?

[ Voor 10% gewijzigd door CaDje op 06-12-2021 09:55 ]

maandag 6 december 2021 09:58

Acties:

0 Henk 'm!

Tadango

Topicstarter

CaDje schreef op maandag 6 december 2021 @ 09:52:
[...]

Heb je wellicht DNS server Override aan staan?

Met en zonder geprobeerd. Zonder blijven alleen de door mij geconfigureerde opties over.

Maar het is wel een firewall issue. Ik heb de firewall nu volledig uit gezet en krijg nu antwoord, maar niet het juiste

Dus het nieuwe probleem: Query refused. Zowel bij forwarder als resolver met forwarding optie aan..... Werkt nog steeds prima intern

CaDje schreef op maandag 6 december 2021 @ 09:52:
[...]
En nog even voor de zekerheid, je hebt de DHCP op je modem wel uitgezet, en de client een ip refresh gegeven?

Ik test met nslookup direct naar de pfSense.

[ Voor 21% gewijzigd door Tadango op 06-12-2021 09:59 ]

maandag 6 december 2021 11:17

Acties:

0 Henk 'm!

Tadango

Topicstarter

Wat ook gek is. Bij custom configuration heb ik dit toegevoegd:
server:
log-queries: yes

Maar in de logging verschijnt niets extra's. Heel erg vreemd....

maandag 6 december 2021 11:27

Acties: