Moin zusammen,
ich stecke bei einem Firewall-Problem mit meinem Unifi-Setup fest und hoffe hier in der Community findet sich Hilfe
Ich habe intern einen Pi-hole als DNS-Server stehen ( eigenes VLAN, statische IP ). Dieser DNS-Server wird per DHCP an alle WiFi-Clients verteilt - bis hierher funktioniert das einwandfrei. Der Pi-hole bekommt alle Anfragen der Clients, löst diese auf und die Clients können die Zielhosts erreichen.
Ich habe nun Firewallregeln implementiert, welche nur dem Pi-hole auf den beiden DNS-Ports erlauben zu kommunizieren und die WiFi-Clients dürfen sich ausschliesslich mit dem Pi-hole als DNS-Server verbinden, um eben nicht irgend einen beliebigen DNS-Server im Internet direkt ansprechen zu können:
- LAN in: allow -> Pi-hole -> Port 53/853 -> Internet ( extern, WAN )
- LAN in: allow -> WiFi-Clients -> Port 53/853 -> Pi-hole ( intern, LAN )
- LAN in: deny -> all -> Port 53/853 -> all ( intern und extern )
Die Regeln eben so ( in dieser Reihenfolge ) eingetragen und der Pi-hole kann auch seinen eingetragenen, autoritativen DNS-Server im Internet erreichen. Weiterhin sehe ich im Pi-hole Logfile auch die WiFi-Clients anfragen. Soweit scheinbar auch noch alles okay
Jetzt aber das Problem. Mein iPhone und iPad verweigern die Nutzung aller Internet-Services ( z.B. Mail, iMessage, Browsing, ... ) mit dem Hinweis darauf, dass angeblich das WLAN nicht mit dem Internet verbunden wäre. Nehme ich die deny-Regel auf der USG wieder raus ( alles andere bleibt unangetastet ), funktioniert sofort wieder alles bestens.
Ich kann mir darauf keinen Reim machen und hoffe auf kreative Vorschläge
Danke Euch schon mal ...