Vodafone Cable - Cloud Gateway Ultra zeigt Primärer Internetdienst nicht mehr verfügbar, obwohl alles in Ordnung ist

Es gibt 18 Antworten in diesem Thema, welches 1.128 mal aufgerufen wurde. Der letzte Beitrag () ist von Doktor.

    Hallo zusammen,


    ich habe folgende Zusammenstellung:

    Fritzbox <--> CGU. CGU ist verbunden über WAN-Port mit Fritzbox. Routing erfolgt vom CGU ohne NAT. Auf der Fritzbox ist das CGU als statisches IP-Routing eingetragen.

    Ich komme auf mein CGU ohne Probleme direkt drauf, als auch über unifi.ui.com

    Alle Geräte in meinem LAN sind online.

    Aktuell verwende ich noch keine VLANs.

    DHCP ist in meinem Netz eingestellt auf das CGU.

    Firewallregeln habe ich auf dem CGU keine angelegt.

    Jedoch wird immer angezeigt, dass ich nicht mit dem Internet verbunden bin.

    Als Inter-Verifizierungsserver habe ich jetzt auch mal die 1.1.1.1 eingetragen. Hat aber nichts gebracht.

    Ich bekomme auch nach einem Reboot und der neusten Softwarestand immer die Meldung:





    Habt Ihr da eine Idee?


    Viele Grüße

    Doktor

    2 Mal editiert, zuletzt von Doktor ()

    Ist der Host den du bei Verifizierungsserver angegeben hast denn aus dem Netz auch erreichbar?

    Ich habe das Problem gelöst:


    Ich habe auf meiner Fritzbox für alle Rechner das DNS abfragen gelockt außer AdGuard Home.

    Wenn ich jetzt DNS für alle frei gebe, dann bin ich auch wieder "online".


    Es scheint, dass Unifi die Server für die DNS Abfragen "hard reincodiert" hat in ihre Software.

    Einmal editiert, zuletzt von Doktor ()

  • Doktor

    Hat das Label von offen auf erledigt geändert.

    Nee das Gateway benutzt die DNS Server die im WAN eingetragen sind. Wenn in der Fritzbox nix DNS Abfragen machen darf, dann auch das dahinterliegende Gateway nicht.

    Zitat von DoPe

    Nee das Gateway benutzt die DNS Server die im WAN eingetragen sind. Wenn in der Fritzbox nix DNS Abfragen machen darf, dann auch das dahinterliegende Gateway nicht.

    Nein, dass scheint nicht so zu sein.

    AdGuard ist "freigeschaltet" für DNS abfragen.

    AdGuard ist sowohl im CGU als auch in der Fritzbox als DNS-Server eingetragen.

    Alle anderen Clients dürfen keine Anfragen über Port 53 raus senden.


    Gebe ich Port 53 frei, dann bin ich laut CGU auch "online". Sperre ich den Port, dann werde ich als "offline" angezeigt.

    Auch wenn ich "offline" bin, erhalten alle meine Clients DNS antworten und man kann sich frei im Internet bewegen.


    Daraus schließe ich: Unifi hat die DNS Server hard codiert und möchte direkt vom CGU die DNS-Auflösung über Port 53 anfragen..und das wird halt geblockt.


    Habe ich das richtig durchdrungen?

    Zitat von Doktor

    Daraus schließe ich: Unifi hat die DNS Server hard codiert und möchte direkt vom CGU die DNS-Auflösung über Port 53 anfragen..und das wird halt geblockt.


    Habe ich das richtig durchdrungen?

    Du hast noch nicht gesagt welcher DNS Server im WAN Interface hinterlegt ist.

    Nur daran könnte man sagen was das Problem ist.

    Ich glaube Du sperrst Deinen DNS in der Fritzbox aber im WAN ist halt die Fritzbox als DNS hinterlegt, dann meint Unifi das WAN offline ist.

    Da die Namesnauflösung für WAN -> Fritzbox bei Dir in der Fritzbox blockiert ist.

    Fritzbox: 192.168.0.1

    CGU: 192.168.1.1

    Eingetragener lokaler DNS Server auf Fritzbox: 192.168.1.60

    AdGuard: 192.168.1.60

    CGU: Unter Internet als DNS eingetragen: 192.168.1.60. Gateway natürlich dann die 192.168.0.1


    Sperre ich Port 53 auf der Fritzbox für alle Rechner mit Ausnahme von AdGuard (192.168.1.60), dann werde ich offline angezeigt.

    Auch wenn ich angeblich offline bin, was ja nicht stimmt, kann ich alle Domainnamen auflösen, die den normalen Weg gehen.

    Dein CGU weiß aber nicht wo die 192.168.1.60 ist (außer Du hast alle statischen Routen eingerichtet also auch die Route vom CGU zur Fritzbox - in Deiner Beschreibung habe ich nur die eine Richtung gelesen) deswegen auch offline, warum hängt Dein Adguard an der Fritzbox und nicht im Netz des Gateway?

    Wenn ich das bei mir nachstelle und meinen piHole oder Adguard ins Netz der Fritzbox verlege bin ich auch offline.

    Stell DNS im WAN Interface mal auf "Auto" das sollte eventuell schon reichen.

    Zitat von Lumi

    Dein CGU weiß aber nicht wo die 192.168.1.60 ist (außer Du hast alle statischen Routen eingerichtet also auch die Route vom CGU zur Fritzbox - in Deiner Beschreibung habe ich nur die eine Richtung gelesen) deswegen auch offline, warum hängt Dein Adguard an der Fritzbox und nicht im Netz des Gateway?

    Wenn ich das bei mir nachstelle und meinen piHole oder Adguard ins Netz der Fritzbox verlege bin ich auch offline.

    Stell DNS im WAN Interface mal auf "Auto" das sollte eventuell schon reichen.

    Öh..stimmt so nicht.

    CGI ist das das Gateway für den Adguard. Sind ja beide im selben Netz.

    Und um es noch mal zu sagen: Die Namensauflösungen über DNS funktionieren ja korrekt.

    NUR und AUSSCHLIEßLICH das Ping auf ping.ui.com geht nicht. Warum geht es nicht? Weil anscheinend ping.ui.com nicht über Adguard aufgelöst werden soll, sondern weil jetzt das Gateway 192.168.1.1 einfach die Konfiguration ignoriert und direkt eine Abfrage "in das Internet" schicken möchte um den DNS aufzulösen. Würde es über Adguard gehen, dann wäre es ja kein Problem.

    Deine DNS Konfiguration ist ganz schön schräg. Port 53 ausgehend sperren ist völlig überflüssig, genau wie den DNS fürs UCG zu verbiegen.


    Was auflösbar ist oder auch nicht stellt man am einfachsten per ssh auf dem ucg fest.

    Fest verdrahtet ist da nichts. Macht keinen Sinn da ping.ui.com veränderbar ist.

    Zitat von DoPe

    Deine DNS Konfiguration ist ganz schön schräg. Port 53 ausgehend sperren ist völlig überflüssig, genau wie den DNS fürs UCG zu verbiegen.


    Was auflösbar ist oder auch nicht stellt man am einfachsten per ssh auf dem ucg fest.

    Fest verdrahtet ist da nichts. Macht keinen Sinn da ping.ui.com veränderbar ist.

    Was ist daran schräg. Es wird nur verhindert, dass Apps / Rechner einfach ihre eigenen DNS Abfragen machen. Es darf halt nur der DNS Server machen...dazu ist er ja da.

    Und ich stimme Dir zu, dass es eigentlich keinen Sinn mache...aber ich habe keine andere Erklärung.

    Zitat von DoPe

    Deine DNS Konfiguration ist ganz schön schräg. Port 53 ausgehend sperren ist völlig überflüssig, genau wie den DNS fürs UCG zu verbiegen.


    Was auflösbar ist oder auch nicht stellt man am einfachsten per ssh auf dem ucg fest.

    Fest verdrahtet ist da nichts. Macht keinen Sinn da ping.ui.com veränderbar ist.


    Was sagt denn nslookup ping.ui.com wenn Du das auf dem UCG per ssh anschaust?

    Einmal editiert, zuletzt von Lumi ()

    Hat jemand eine Idee, woran das liegt, dass ich MS und Google wohl nicht pingen kann aber cloudflair?



    Dabei verwende ich Google als Standard DNS, also 8.8.8.8...

    Wäre nur zu klären ob die beiden hostnamen für Microsoft und Google aufgelöst werden und anpingbar sind. Welche das sind, kann ich Dir nicht sagen.

    ping.ui.com ist ja "nur" für die Internetverifizierung. Was mir gerade so auffällt, war bei den 3 Diensten nicht mal Facebook bei?

    Also ich kenne jetzt das Symptom, aber nicht die Ursacht:


    Grund ist, dass das Programm /usr/bin/dpinger nur 3 x startet, anstatt 5 x. Gerade bei den fehlenden 2 sind die Server Microsoft und Google. Warum die nicht starten: Keine Ahnung.


    Ich habe jetzt mehrfach die DNS-Einstellungen verändert und rebootet...eben gerade sind alle dpinger gestartet bei bestehender Konfiguration mit Adguard. Ob das immer so ist...schauen wir mal..