DNS im LAN richtig und ohne Umwege

Hi zusammen,

ich habe nun mehrere Wege ausprobiert und wollte einmal ein Feedback von euch.

Im LAN verwaltet die pfSense alle Verbindungen. Nun kommt ein externer DNS Server hinzu und soll Anfragen ins WAN übernehmen.

Ich persönlich fände es toll, wenn die Namensauflösung kein Pingpong spielt zwischen der pfSense und Adguard. Heißt ich wünschte mir den direkten weg ins WAN und den direkten Weg für lokale Anfragen and die pfSense.

Wenn ich per DHCP die IP vom Adguard verteile, dann gehen die Anfragen direkt an Adguard und dann an die pfSense. Eigentlich fände ich das so richtig. Ich möchte aber auch das die pfSense die Kontrolle behält und auch die interne Auflösung der IP Adressen übernimmt. Somit wäre meine Meinung das der DNS Server der pfSense per DHCP verteilt wird und die pfSense entscheidet dann über intern und extern. Extern wird dann weitergeleitet an den Adguard, der schickt es aber dann ja wieder an die pfSense damit diese die Pakete über WAN rausschickt. Ich möchte nicht das der Adguard die Upstream Arbeit direkt mit den externen DNS Serverns aushandelt. Also alles schön über die pfSense.

Wie würdet Ihr das machen, was wäre der richtige Weg? Habe ich da einen falschen Gedanken, das beschäftigt mich schon eine Weile…

Dann geht das ja gar nicht anders, als das du den Adguard wieder zur pfSense schickst. Aber es gibt auch den pfBlockerNG für die pfSense direkt. Hab damit allerdings keine Erfahrung.

hm, wie würdest Du das denn machen? Würdest Du den Clients den Adguard zuweisen oder die pfSense? Den Adguard würde ich schon gerne behalten, hab mit BlockerNG aber schon rumprobiert, mir fehlt da etwas das Klickibunti :wink:

Was hast du denn für ein Problem damit, den AdGuard in der pfSense einzutragen und der AdGuard schiebt dann zu den öffentlichen raus. Und die pfSense macht weiter die internen DNS-Entrys

Ich z.B. verteile per DHCP in meiner OPNsense die IP meines Pi-Hole als DNS Server an die Geräte. Das Pi-Hole hat als DNS die OPNsense hinterlegt und die OPNsense spricht dann zum öffentlichen DNS im Internet.

Endgerät → Pi-Hole → OPNsense → Internet

Pi-Hole hat die entsprechenden Blocklists hinterlegt und weitere DNS Einträge (welche ich ggf. intern benötige) setze ich in der OPNsense.

Ist für mich vom Design und der Funktion am besten. Vorteil du siehst im DNS Blocker jedes Gerät einzeln und kannst gezielt DNS Anfragen Freigeben oder Blocken. Bekommen die Endgeräte den Router als DNS und der Router geht an den Blocker, hast du im default nur ein Gerät im Blocker gelistet.

Ehrliche Antwort: PfSense rauswerfen und OPNSense nutzen

Client → OPNSense (Adguard → Unbound ) → Internet

DNS-Server wird per DHCP verteilt ( = der Gateway-IP der OPNSense ) AdGuard + Unbound laufen aus AddOnn direkr auf den OPNSense, Unbound geht direkt auf die Root-DNS-Server und macht die interne Namensauflösung auch noch direkt nebenher.
Und nebenher funktioniert das ganze auch sehr gut mit IPv6

Es geht hier nicht um Systemwechsel sondern ums verstehen. Ne OPN habe ich auch laufen, aber nicht für diesen Fall.

eigentlich keins, mir geistern die beiden Herangehensweisen nur durch den Kopf wie es optimal sein könnte.

Es gibt halt immer mehrere Wege ans Ziel, nur weil etwas gleich funktioniert kann es trotzdem falsch sein. An den Firewall oder auch am RouterOS kann man so viel einstellen, das sich sehr schnell Fehler einschleichen.