Du verwendest einen veralteten Browser. Es ist möglich, dass diese oder andere Websites nicht korrekt angezeigt werden. Du solltest ein Upgrade durchführen oder einen alternativen Browser verwenden.
Die FB würde ich da nicht eintragen (bzw. 'vom ISP zugewiesene DNS-Server verwenden' abhaken). Du gibst hier deine externen Resolver ein, die du für die Namensauflösung verwenden willst. Die FB lässt du außen vor. Wegen Datenschutz evt. auch Resolver mit DoT-Unterstützung wählen.
Ok das macht Sinn aber rein technisch kann die Fritz Box das doch und tut es ja auch. Nur warum klappt das hier nicht? Wenn die FB Gateway ist ist doch neben DHCP genau das ihre Aufgabe
Ist eine gute Frage, in unserer Firma hatte das damals wunderbar funktioniert. Allerdings war mir die DNS-Auflösungskette zu lang (warum noch einen Resolver dazwischenschalten?) und die FB hatte damals auch keine DoT-Unterstützung (mittlerweile hat sie das ja).
Ich hab dann im Setup vom IPfire beim roten Interface auch nicht 'DHCP' gewählt, sondern die Adressen 'statisch' zugewiesen. Dann gibt es später im Interface auch gar kein 'vom ISP zugewiesene DNS-Server'-Eintrag im 'Domain Name System'-Menü.
Duke2011 schrieb:
Wenn die FB Gateway ist ist doch neben DHCP genau das ihre Aufgabe
Ich habe inzwischen auf statisch umgestellt, der ISP Eintrag bleibt trotzdem ist ja auch logisch, das manuelle hinzufügen klappt auch nicht. Ich will nur nachvollziehen warum es nicht geht.
Wenn IPFire DHCP und DNS für das gesamte Netz machen soll muss das aber auch für die WLAN Geräte klappen, das heißt für mich ich müsste IPFire als DHCP und DNS in der FB eintragen richtig?
Zwei weitere Fragen:
1. Wenn ich das richtig sehe, sind per default keine Ports inder FW offen, ich muss Sie freigeben richtig?
2. Ist Opensense zB eher komplizierter als IPFire oder einfach nur anders weil Free BSD Basis?
Strange, bei unserer Firma ist das nicht so. Man kann ja in der statischen Konfiguration auch gar kein DNS-Resolver hinterlegen, woher soll da auch ein Eintrag kommen.
Duke2011 schrieb:
Wenn IPFire DHCP und DNS für das gesamte Netz machen soll muss das aber auch für die WLAN Geräte klappen, das heißt für mich ich müsste IPFire als DHCP und DNS in der FB eintragen richtig?
Ahh, du willst das WLAN der FB weiternutzen (wir nutzen nur das Gäste-WLAN der FB mit seinem eigenen IP-Adressbereich und DHCP-Scope). Dann wirds schwierig, da sich das WLAN ja außerhalb des vom IPfire geschützten LANs ist und die DNS/DHCP-Dienste logischerweise vom WLAN der FB nicht erreichbar sind (ist ja der Sinn der Firewall^^).
Für WLAN gibts halt 3 Möglichkeiten:
1. WLAN der FB nutzen: DNS/DHCP der FB sollte dann logischerweise aktiv bleiben. Das WLAN ist dann aber getrennt vom grünen Netz des IPFire, sprich WLAN-Hosts können Hosts im grünen Netz nicht erreichen.
2. WLAN-AP an die blaue Schnittstelle des IPfires hängen: Das blaue Netz ist vom grünen getrennt, Hosts können sich standardmäig erreichen. Das Verhalten kann entsprechend per FW-Regeln angepasst werden.
3. WLAN-AP ins grüne Netz: Entspricht dem Bridging. Wifi- und LAN-Geräte sind im selben logischen Netz, können also ohne Einfluss der FW ungehindert kommunizieren.
Also zusammengefasst:
1. WLAN ist im Roten Netz außerhalb der FW
2. WLAN ist parallel zum grünen Netz
3. WLAN und Grün sind dasselbe Netz
Ergänzung ()
Duke2011 schrieb:
1. Wenn ich das richtig sehe, sind per default keine Ports inder FW offen, ich muss Sie freigeben richtig?
Jein. Beispiel: Du willst OpenVPN auf dem IPFire nutzen und aktivierst/konfigurierst den OpenVPN-Server. Dann wird der Port, den du in der Oberfläche angibst, automatisch geöffnet. Du benötigst keine manuelle Regel dafür. Zweites Beispiel: Du willst hinter der FW in der DMZ (oragenes Netz) ein Webserver erreichbar machen. Dann musst du in den Firewallregelwerk eine entsprechende Portweiterleitung einrichten.
Duke2011 schrieb:
2. Ist Opensense zB eher komplizierter als IPFire oder einfach nur anders weil Free BSD Basis?
Soweit ich meine Gehversuche mit OPNSense noch in Erinnerung habe, ist OPNSense vielseitiger, die Schnittstellen besser konfigurierbar und daher würde ich OPNSense auch komplizierter einschätzen. IPFire folgt noch dem alten IPCop-Prinzip mit den grünen, blauen, orangenen und roten Netzen, ist also klar strukturiert. Abweichungen sind nicht vorgesehen und nur mit entsprechenden selbst gebauten Scripte erreichbar.
Strange, bei unserer Firma ist das nicht so. Man kann ja in der statischen Konfiguration auch gar kein DNS-Resolver hinterlegen, woher soll da auch ein Eintrag kommen.
Ahh, du willst das WLAN der FB weiternutzen (wir nutzen nur das Gäste-WLAN der FB mit seinem eigenen IP-Adressbereich und DHCP-Scope). Dann wirds schwierig, da sich das WLAN ja außerhalb des vom IPfire geschützten LANs ist und die DNS/DHCP-Dienste logischerweise vom WLAN der FB nicht erreichbar sind (ist ja der Sinn der Firewall^^).
Für WLAN gibts halt 3 Möglichkeiten:
1. WLAN der FB nutzen: DNS/DHCP der FB sollte dann logischerweise aktiv bleiben. Das WLAN ist dann aber getrennt vom grünen Netz des IPFire, sprich WLAN-Hosts können Hosts im grünen Netz nicht erreichen.
2. WLAN-AP an die blaue Schnittstelle des IPfires hängen: Das blaue Netz ist vom grünen getrennt, Hosts können sich standardmäig erreichen. Das Verhalten kann entsprechend per FW-Regeln angepasst werden.
3. WLAN-AP ins grüne Netz: Entspricht dem Bridging. Wifi- und LAN-Geräte sind im selben logischen Netz, können also ohne Einfluss der FW ungehindert kommunizieren.
Ergänzung ()
Jein. Beispiel: Du willst OpenVPN auf dem IPFire nutzen und aktivierst/konfigurierst den OpenVPN-Server. Dann wird der Port, den du in der Oberfläche angibst, automatisch freigegeben. Du benötigst keine manuell Regel dafür. Zweites Beispiel: Du willst hinter der FW in der DMZ (oragenes Netz) ein Webserver erreichbar machen. Dann musst du in den Firewallregelwerk eine entsprechende Portweiterleitung einrichten.
Soweit ich meine Gehversuche mit OPNSense noch in Erinnerung habe, ist OPNSense vielseitiger, die Schnittstellen besser konfigurierbar und daher würde ich OPNSense auch komplizierter einschätzen. IPFire folgt noch dem alten IPCop-Prinzip mit den grünen, blauen, orangenen und roten Netzen, ist also klar strukturiert. Abweichungen sind nicht vorgesehen und nur über entsprechende selbst gebauten Scripte erreichbar.
Nein, für die FW sind die Hosts im FB-WLAN quasi Hosts aus dem Internet bzw. dem roten Netz. Rot wird standardmäßig immer geblockt. DHCP, was auf Broadcasts aufbaut, funktioniert standardmäßig sowieso nicht über unterschiedliche Netze hinweg (DHCP-Relay wird benötigt).
Duke2011 schrieb:
Aber per Default sind Ports eher zu anstatt offen das muss ja der Sinn einer FW sein
Die Standardeinstellung beim IPFire entspricht einer halboffenen Firewall, ähnlich wie der Windows-Firewall. Eingehende Verbindungen werden blockiert, ausgehende dürfen passieren. Das Forwarding-Verhalten kann man aber in der Firewall auch hin zu einer komplett geschlossenen Firewall ändern. Dann muss man aber viele Dinge einzeln freischalten, würde ich nur bei einem besonders starkem Augenmerk auf Datenschutz und Sicherheit empfehlen.
Duke2011 schrieb:
Bei den DNS Resolvern tu ich mich bis heute schwer wem man da wirklich „vertrauen“ kann
Ist möglich, in dem man keinerlei DNS-Resolver angibt und auch die 'ISP-Resolver'-Verwendung abhakt. So ein recursive Resolver hat aber seine Pferdefüsse. DNS-Abfragen können dann nicht verschlüsselt und damit abgefangen und verändert werden: https://community.ipfire.org/t/tls-in-recursor-mode/6005
Eine DNS-Kette muss vollständig schlüssig sein. Wenn in IPFire die Fritzbox als Upstream-DNS eingestellt ist, dann schickt IPFire eben alle DNS-Queries an die Fritzbox. Diese wiederum beantwortet den Query entweder selbst (zB weil's ein lokaler Hostname wie "MeinNAS" ist) oder leitet den Query ihrerseits weiter an ihren eigenen Upstream-DNS. Funktioniert es nicht, wenn du die Fritzbox als DNS in IPFire hinterlegst, liegt der Verdacht nahe, dass die Fritzbox nicht korrekt konfiguriert ist.
Erstmal danke fürs Antworten. Aber die FB kann hier nicht das Problem sein weil sie ohne IPFire ja als DNS funktioniert.
Das von Dir beschriebene Routing ist ja auch richtig also dass die FB an den eigenen Upstream DNS weiterleiten soll.
Vielleicht liegt es an den unterschiedlichen Netzwerk Bereichen …
Die Fritz Box ist ja quasi mit dem eigenen IP Netz zum roten Bereich gehörend …
Entweder könnte also eine für DNS (UDP) nötige Port Weiterleitung fehlen oder ich muss trotz getrennter Netze einen der DHCP Server deaktivieren
Mal ne Gegenfrage: Benutzt du denn überhaupt eine für dich relevante lokale Namensauflösung aus dem FritzBox-Bereich? Also sowas wie host.fritz.box (was übrigens so oder so keine gute Idee wäre)?
Weil wenn es hier jetzt wirklich rein nur ums DNS-Forwarding ins Internet geht, wär mir das sowas von egal, ich würde den DNS-Proxy in der FB so oder so nicht verwenden (bzw. halt nur fürs Gäste-WLAN). Meine Vermutung wäre vlt noch DNSSEC gewesen, aber die FB hat das mittlerweile auch drin, damals war das noch nicht der Fall.
Duke2011 schrieb:
Die Fritz Box ist ja quasi mit dem eigenen IP Netz zum roten Bereich gehörend …
Entweder könnte also eine für DNS (UDP) nötige Port Weiterleitung fehlen oder ich muss trotz getrennter Netze einen der DHCP Server deaktivieren
Die FB ist für den IPFire wie ein Host im Internet, du kannst also vom grünen/blauen Netz aus ohne irgendwelche Weiterleitungen Dienste wie den DNS-Proxy der FB nutzen (solange du das Forward-Standardverhalten der FW nicht änderst), nur umgedreht halt nicht. IPFire ist bei der Wahl seines DNS-Resolvers durchaus wählerisch. Was sagt denn der DNS-Test in der Oberfläche? In deinem Screenshot oben seh ich da nur den grünen Status: 'funktioniert'. Was kommt denn bei 'DNS-Server prüfen' raus?
Mal ne Gegenfrage: Benutzt du denn überhaupt eine für dich relevante lokale Namensauflösung aus dem FritzBox-Bereich? Also sowas wie host.fritz.box (was übrigens so oder so keine gute Idee wäre)?
Weil wenn es hier jetzt wirklich rein nur ums DNS-Forwarding ins Internet geht, wär mir das sowas von egal, ich würde den DNS-Proxy in der FB so oder so nicht verwenden (bzw. halt nur fürs Gäste-WLAN). Meine Vermutung wäre vlt noch DNSSEC gewesen, aber die FB hat das mittlerweile auch drin, damals war das noch nicht der Fall.
Die FB ist für den IPFire wie ein Host im Internet, du kannst also vom grünen/blauen Netz aus ohne irgendwelche Weiterleitungen Dienste wie den DNS-Proxy der FB nutzen (solange du das Forward-Standardverhalten der FW nicht änderst), nur umgedreht halt nicht. IPFire ist bei der Wahl seines DNS-Resolvers durchaus wählerisch. Was sagt denn der DNS-Test in der Oberfläche? In deinem Screenshot oben seh ich da nur den grünen Status: 'funktioniert'. Was kommt denn bei 'DNS-Server prüfen' raus?
PS: Seltsam ist nur, dass ich von den Clients der Ipfire die FritzBox nicht per fritz.box sondern nur per IP erreichen kann, aber das liegt vielleicht an den unterschiedlichen IP Netzen
Ne das liegt an der Namensauflösung. Seitdem die .box-Domain eine TLD im Internet ist, ist das sowieso keine gute Idee 'fritz.box' für den Aufruf der FB-Webseite in den Browser zu tippen. Wenn dich das stört, kannst du unter 'Hosts bearbeiten' im Menü 'Netzwerk' einfach die Namensauflösung abändern:
Host IP-Adresse: IP der FB
Hostname: fritz
Domain: box
...und schon kannst du wieder 'fritz.box' eintippen und landest auf die FB-Seite.
Man bräuchte aufm IPFire ein DHCP-Relay und auf der FB einen DHCP-Server, der unterschiedliche Scopes anbietet. Die FB hat zwar unterschiedliche Scopes, aber die sind nicht konfigurierbar (die werden für die Gastnetze verwendet). Wird also nicht funktionieren.
