tailscale, private DNS en exitnode - Netwerken

Vraag

zondag 28 juli 2024 21:53

Acties:

0 Henk 'm!

Topicstarter

Hey allen,

Waarschijnlijk lees ik ergens overheen, maar ik krijg het volgende niet werkend:

Ik heb een pfSense box met Tailscale. In hetzelfde Tailnet heb ik ook mijn iPhone en mijn laptop zitten. In de tailscale settings heb ik mijn PiHole als DNS server ingesteld. Via pfSense heb ik de juiste subnetten exposed.

Het vreemd is dat als ik géén exitnode aangeef, alles perfect werkt. Mijn DNS loopt via mijn private DNS en mijn services zijn benaderbaar. Echter zodra ik mijn pfsensebak aangeef als exitnode, dan werkt mijn internet wel, maar de DNS niet meer.

Is dit normaal gedrag voor Tailscale, of mis ik een setting?

Alle reacties

dinsdag 30 juli 2024 09:52

Acties:

+1 Henk 'm!

!GN!T!ON

Heb je tailscale ook los draaien op je pihole of alleen op je PFsense? Heb je route en FW regel aangemaakt dat een client van je tailscale subnet -> pfsense subnet -> pihole kan bereiken? Bij een exit node vloeit v.z.i.w. al het verkeer via die node je lokale netwerk op, dus hier moet wel een allow en route voor aangemaakt worden v.z.i.w.

dinsdag 30 juli 2024 18:12

Acties:

0 Henk 'm!

gwabber

Topicstarter

@!GN!T!ON dank voor je reactie!

Ik heb tailscale alleen draaien op pfsense. Ik heb via de pfsense de subnetten naar tailscale exposed. Als in de app zeg dat ik geen exitnode wil gebruiken, kan ik via het tailnet ook gewoon bij mijn pihole komen en werkt de DNS ook gewoon via de piHole

Echter wanneer ik de exitnode aanzet via de pfsense, dan kan ik nog steeds bij de webinterface van pihole komen, maar werkt de DNS via het tailnet niet meer. Net alsof hij alles overslaat en direct de outbound DNS servers van pfsense gebruikt...

Het is dus echt alleen DNS dat stopt met werken.

[ Voor 4% gewijzigd door gwabber op 30-07-2024 18:12 ]

dinsdag 30 juli 2024 18:26

Acties:

+1 Henk 'm!

Patriot

Fulltime #whatpulsert

Hoe test/gebruik je die DNS nu? Doet er iets DHCP waarin naar je PiHole wordt verwezen, of heb je in tailscale aan staan dat die DNS regelt?

Er is misschien nog e.e.a. aan informatie op te halen door in verschillende configuraties even te testen wat een directe dns lookup op de commandline precies doet. Je kunt dan heel gericht specificeren waar de request naar gestuurd wordt. Op die manier kun je heel bewust de route kiezen waarop je de PiHole (voor DNS requests) benadert.

dinsdag 30 juli 2024 19:26

Acties:

0 Henk 'm!

gwabber

Topicstarter

@Patriot De DNS heb ik ingesteld in de Tailscale instellingen, dus ik heb het IP-adres van van mijn pihole ingevoerd bij de dns settings in het beheerpaneel van Tailscale.

Ik ga ook even kijken naar een DNS trace, ben benieuwd wat daaruit komt!

dinsdag 30 juli 2024 20:09

Acties:

0 Henk 'm!

gwabber

Topicstarter

Zojuist een nslookup -debug uitgevoerd. Er wordt altijd gebruik gemaakt van de magic DNS van Tailscale, oftewel 100.100.100.100, maar met exit node aan lijkt dat vanuit Tailscale ergens anders heen te gaan dan zonder exitnode... Het maakt niet uit of ik hierbij in de settings daadwerkelijk Magic DNS aan of uitzet, het resultaat blijft hetzelfde.

Is het mogelijk om hier een soort override op te doen? Dat DNS altijd over mijn interne pihole IP gaat?

dinsdag 30 juli 2024 20:45

Acties:

0 Henk 'm!

Patriot

Fulltime #whatpulsert

Er is een bugreport op hun GitHub die er erg op lijkt. Kun je spelen met de "allow local network access" (oid) optie en kijken of je het dan misschien op een bepaalde manier werkend krijgt?

dinsdag 30 juli 2024 21:21

Acties:

+1 Henk 'm!

gwabber

Topicstarter

@Patriot dank je! Ik heb die optie idd al eens geprobeerd, maar ik zal de git eens lezen om te kijken of zij nog een ander trucje uithalen!

dinsdag 30 juli 2024 21:33

Acties:

+1 Henk 'm!

The Eagle

I wear my sunglasses at night

Je hebt meerdere subnetten zeg je?
Pihole laat standaard alleen verkeer toe vanaf zijn eigen subnet (max 1 hop afstand).

Settings, DNS, permit all origins en met een beetje mazzel ben je er dan

Al is het nieuws nog zo slecht, het wordt leuker als je het op zijn Brabants zegt :)

dinsdag 30 juli 2024 21:37

Acties:

0 Henk 'm!

gwabber

Topicstarter

@The Eagle zo staat ie al ingesteld, want al mijn subnetten maken al gebruik van mijn pihole intern

woensdag 31 juli 2024 19:22

Acties:

0 Henk 'm!

gwabber

Topicstarter

ik denk dat er niet echt een oplossing is. Ik zie in de git dat er trucjes worden uitgehaald om de DNS handmatig toe te wijzen, maar in de Android app is dit helaas niet mogelijk!

donderdag 1 augustus 2024 15:25

Acties:

+1 Henk 'm!

MasterL

Moderator Internet & Netwerken

Heb je al eens een mangle route geprobeerd? Weet niet of Pfsense dat ondersteund geen idee maar zou prima kunnen. Je zou bijvoorbeeld een mangle kunnen aanmaken zoiets als:
SRC: Tailtscale subnet
DST: All
Port: 53 (UDP)
Route to: Pihole

Op deze manier worden al je DNS request geroute naar je Pihole afkomstig van het Tailscale subnet, soort mitm.

[ Voor 19% gewijzigd door MasterL op 01-08-2024 15:26 ]

donderdag 1 augustus 2024 16:06

Acties:

0 Henk 'm!

gwabber

Topicstarter

Dat heb ik nog niet geprobeerd, maar dat klinkt als een goed idee! Ik ga het proberen!

update;
Ik heb een portforward gemaakt in pfsense waarbij ik het subnet van tailscale forward naar mijn pihole server. Helaas werkt ook dat niet. Ik heb het idee dat het DNS verkeer bij tailscale zelf al afgevangen wordt, maar dat kan ik niet hard maken...

[ Voor 60% gewijzigd door gwabber op 01-08-2024 20:56 ]

maandag 5 augustus 2024 10:31

Acties:

0 Henk 'm!

MasterL

Moderator Internet & Netwerken

gwabber schreef op donderdag 1 augustus 2024 @ 16:06:
Dat heb ik nog niet geprobeerd, maar dat klinkt als een goed idee! Ik ga het proberen!

update;
Ik heb een portforward gemaakt in pfsense waarbij ik het subnet van tailscale forward naar mijn pihole server. Helaas werkt ook dat niet. Ik heb het idee dat het DNS verkeer bij tailscale zelf al afgevangen wordt, maar dat kan ik niet hard maken...

En poort forward is niet hetzelfde als een mangle rule, en dat kun je wel hard maken door een packet capture te doen en te kijken of DNS verkeer uberhaupt aankomt op jouw router. Een dummy (passthrough) firewall rule met logging erop kan ook helpen om dit te testen.

maandag 5 augustus 2024 21:10

Acties:

0 Henk 'm!

gwabber

Topicstarter

Dan moet ik eens kijken of een soortgelijk type rule toegepast kan worden in pfsense!

Dat laatste heb ik nog nooit gemaakt in pfsense, dus ik moet even uitzoeken hoe dat werkt...

dinsdag 6 augustus 2024 06:34

Acties:

0 Henk 'm!

gwabber

Topicstarter

Verkeerde topic

[ Voor 95% gewijzigd door gwabber op 06-08-2024 06:34 ]

Pagina: 1

Reageer