PFsense Wireguard und PiHole

Sauerland · 13. Januar 2025 um 17:52

Guten Abend,

ich brauche bitte eure Hilfe, Tipps und Anregungen.

Ich habe erfolgreich pfSense installiert. Im LAN habe ich im DHCP-Server die IP-Adresse des Pi-hole hinterlegt. Alle Geräte, die vom DHCP-Server eine IP-Adresse erhalten, nutzen Pi-hole erfolgreich als DNS-Server.

Zusätzlich habe ich eine WireGuard-Verbindung eingerichtet, die funktional ist und mir ermöglicht, im LAN auf meine Dienste zuzugreifen.

Allerdings wird der Pi-hole von den VPN-Verbindungen nicht genutzt. Das würde ich gerne ändern. Derzeit habe ich bei WireGuard 1.1.1.1 als DNS-Server hinterlegt. Damit funktioniert alles wie oben beschrieben, allerdings läuft der DNS-Traffic logischerweise nicht über Pi-hole.

Pi-hole hat die statische IP-Adresse 192.168.178.200. Sobald ich diese im WireGuard-Client als DNS-Server eintrage, funktioniert keine DNS-Auflösung mehr.

Ich habe bereits in den Logs nach Hinweisen gesucht, aber leider nichts gefunden, was mich weiterbringt.

DNS in der PFsense: 1.1.1.1 / 8.8.8.8

PFsense DNS-Resolver: AN

LAN: 192.168.178.0

PiHole: 192.168.178.200

VPN: 10.8.0.4

Hat jemand von euch Erfahrung mit einer ähnlichen Konfiguration oder weiß, wie ich das Problem lösen kann?

Vielen Dank im Voraus!

m-electronics · 13. Januar 2025 um 18:42

Wie sehen die Allowed-IPs in deinem WG-Client aus?

Sauerland · 13. Januar 2025 um 21:06

Hallo,

ich haben den Full Tunnel → 0.0.0.0/, ::/0

Ich habe eine Lösung gefunden wie es funktioniert.

Ich habe in der PFsense den eigen Resolver ausgeschaltet.

PFsense → System → General Setup die IP- Adresse vom PiHole hinterlegt.

DNS Server Override deaktieviert.

Im PiHole selbst folgende Einstellung gemacht. Ich habe hier sichergestellt, das der PiHole nicht vom Internet erreichbar ist ( Port 53 ) , mit diversen Tests.

Zum Beispiel:

nmap -p 53 your-public-ip

nslookup web.de my-public-ip

( Hier darf KEINE Antwort kommen, sondern ein Time Out ! )

Ich würde schon gerne die Anfrage vom PiHole wieder zum PFsense Resolver senden, damit ich keine externen DNS Server benutzen muss. Aber hier ist beim nslookup Test eine Antwort gekommen. Das muss ich noch weiter prüfen.

Schönen Abend

m-electronics · 13. Januar 2025 um 22:10

Da wird auch keine Antwort kommen, wenn du da sonst was einstellst. Solange du keine Firewall-Regel bzw. DNAT zu deinem PiHole hast, wird da auch nichts kommen.

Aber es müsste eigentlich auch gehen, dass du den PiHole direkt angibst. Müsste man halt schauen ob und was da auf dem PiHole an Paketen kommt, wenn du auf dem Handy eine DNS-Abfrage startest.