[Fli4l_dev] DNS auf internen Rechner (Pi-Hole) umbiegen

B. Sprenger b.sprenger at sprenger-ffm.de
Fr Mär 15 12:10:55 CET 2019


Hallo zusammen,
> 
> Ich werde das mal zum Spaß halber ändern, um zu schauen, ob ich auch
> diese Fehlermeldungen bekomme wie sie Boris hat.

Vielleicht nochmal zu Klarstellung:
Auf den Clients ist der Fli4l als DNS-Server eingetragen
DHCP nutze ich nur für die "beweglichen" Geräte. Alles andere hat eine 
feste IP und somit auch eine fixe DNS-Adresse (die des Fli4l).
Daher ist es für mich ein schwieriges Unterfangen den DNS Server auf den 
Clients zu ändern.
Also habe ich einfach den DNS-Forwarder im Fli4l genutzt.
Da gehen also keine Anfragen an ihm vorbei.
Er bekommt für die geblockten Domains 0.0.0.0 als Auflösung zurück. 
Daher kommen vermutlich die Fehlermeldungen

Etwas anderes wäre es, wenn, auf den Clients die IP-Adressen vom Pi-Hole 
hinterlegt wäre. Für die die "DHCP-Geräte" könnte man das natürlich machen.


> 
> Zitat:
>> PS: zu den anderen Punkten (PF_PREROUTING) kann ich jetzt nichts
>> sagen;
>> hab grade keine Zeit, mir das genauer anzusehen, sorry.
> 
> Kein Problem, aber würde mich natürlich trotzdem dann noch
> interessieren. Denn generell finde ich die Prerouting-Regeln heikel und
> dennoch werden sie für mich immer wichtiger, da ich jetzt meinen
> eigenen (internen, separaten) DNS-Server habe und gewisse Dinge im
> Rahmen gerade der VLANs forcieren will. Sehe z.B. nicht ein, warum
> manche Android-Geräte den DNS-Server hardcoded haben. Zumindest wenn
> sie sich in meinem Netz befinden sollen die gefälligst das tun, was ich
> bzw. meine "LAN-Chefs" (fli4l und Pihole) ihnen sagen.


Was ich noch nicht ganz verstehe:
Wenn ich für die LAN-interne Geräte DNS nach aussen verbiete, wie kommt 
denn der PI-Hole an die externen DNS-Server?
Oder sitzt der PI-Hole bei dir in einem anderen Netz?
AAh, habe gerade nochmal die Posta gelesen, du hast das mit VLANS 
segmentiert.
Hast du das nur im FLI4l konfiguriert, oder hast du auch am Switch VLANS 
konfiguriert?

LG
Boris
(der jetzt erst mal 2 Wochen weg ist)


Mehr Informationen über die Mailingliste Fli4l_dev