Verständnisfrage zu DNS mit UDM-Pro

Es gibt 20 Antworten in diesem Thema, welches 8.748 mal aufgerufen wurde. Der letzte Beitrag () ist von razor.

    Moin zusammen,

    vielleicht kann mir hier jemand bei meiner Frage bzw. meinem Problem helfen. Aktuell habe ich das Gefühl, dass meine angegebenen DNS Server im WAN nicht genutzt werden. Vielleicht habe ich hier aber auch einfach nur ein Verständnisproblem. :thinking_face:


    Aktuell habe ich in der UDM-Pro im Bereich WAN zwei DNS Server eingetragen. Die Clients erhalten im LAN per DHCP die IP von meinem Pi-hole als DNS zugeteilt. Dort nutze ich unbound und habe als einzigen Upstream Server 127.0.0.1#5335angegeben. Soweit so gut.


    Wenn ich nun aber z.B. bei dnsleaktest.com schaue, wird mir ausschließlich meine öffentliche IP vom Provider angezeigt. Die bei WAN hinterlegten Adressen tauchen nirgends auf. Vor meinem Umstieg auf UniFi hatte ich statt der UDM-Pro meine FB als Router im Netzwerk und dort ebenfalls eigene DNS Server eingetragen. Diese tauchten dann auch dnsleaktest.com auf.


    Habe ich hier an einer Stelle einen Denkfehler? Werden die Adressen im WAN tatsächlich ignoriert? Evtl. wegen dem Pi-hole? Hat hier jemand einen Tipp für mich? :winking_face:

    Wenn dein pihole den dhcp Server macht und der pihole über unbound die Adressen auflöst, was soll denn deiner Meinung nach noch die WAN DNS Server Einträge machen?


    Stell dir vor du hättest kein pihole und alle Netzwerke würden das dhcp selber machen, dann würden die DNS Server benutzt, welche in den Netzwerken eingestellt wurden (zb 8.8.8.8)

    Erst wenn dort nichts steht würde automatisch die DNS Server genommen, welche unter wan eingestellt wurden (und nur dann).

    Somit kannst du zb alle Netzwerke immer automatisch mit den DNS Servern des wan versorgen, oder jedes Netzwerk mit unterschiedlichen eigenen DNS Servern.


    Stell dir das wie ein Fluss vor, der dhcp gibt die Adresse an den Client, bei dir sagt er, schau auf den pihole, in pihole hast du aber die ganzen kommerziellen Google, cloudflare und co ausgschaltet und fragst den unbound auf dem Server, der fragt bei den dort hinterlegten Root Servern noch und Cached die Adressen, danach werden diese an den Client geschickt und sind sie ja dann aufgelöst, kein Grund mehr den wan DNS zu fragen.


    P.s: das ist nicht mit FRITZ!Box und Standard Router zu vergleichen die nur eine Möglichkeit zur Angabe von DNS Servern haben

    2 Mal editiert, zuletzt von uboot21 ()

    Moin und danke für deine ausführliche Antwort. Mein DHCP Server ist allerdings die UDM-Pro und nicht der Pi-hole. Das hatte ich vielleicht nicht ganz klar geschrieben.

    • Im WAN habe ich zwei eigene DNS-Server eingetragen
    • Die einzelnen Netzwerke im LAN haben alle die Adresse vom Pi-hole als DNS-Server eingetragen

    Alle Clients kriegen also erst einmal das Pi-hole als DNS-Server zugeteilt. Dort werden die Adressen dann per unbound aufgelöst. Und hier gerate ich ins Stocken. Wie geht der "Weg" dann weiter? Müsste dann das Pi-hole nicht den Weg ins Internet übers WAN gehen und die dort hinterlegten DNS-Server nutzen?

    Zitat von HittX
    • Im WAN habe ich zwei eigene DNS-Server eingetragen
    • Die einzelnen Netzwerke im LAN haben alle die Adresse vom Pi-hole als DNS-Server eingetrage

    Alles richtig, aber


    - der PiHole nutzt die DNS-Server, die er bei sich eingetragen und nicht was vom Router etc. kommt, das interessiert den nicht. Im Falle von unbound nutzt dieses die Liste an DNS-Server, die man beim einrichten einmalig runterlädt.

    Zitat von Tuxtom007

    Alles richtig, aber


    - der PiHole nutzt die DNS-Server, die er bei sich eingetragen und nicht was vom Router etc. kommt, das interessiert den nicht. Im Falle von unbound nutzt dieses die Liste an DNS-Server, die man beim einrichten einmalig runterlädt.

    Ok, das ist interessant. Zwei Fragen dazu habe ich dann aber noch:

    1. Lassen sich die Server dieser Liste denn ergänzen bzw. ist das überhaupt sinnvoll?
    2. Dass dann nach außen trotzdem immer der DNS meines ISP kommuniziert wird, ist dann korrekt so? In meinem alten Setup mit der FB war das nämlich nicht so.

    Edit: Ok, meine Fragen haben sich glaub ich schon erledigt. Ich bin hier beim zweiten Teil der Fragen fündig geworden. Warum das vorher mit der FB aber noch anders war, habe ich noch nicht so ganz verstanden. Spielt aber in diesem Fall auch keine Rolle.


    Danke für eure Unterstützung! :thumbs_up:

    2 Mal editiert, zuletzt von HittX ()

    Zitat von HittX

    Warum das vorher mit der FB aber noch anders war, habe ich noch nicht so ganz verstanden

    Die Fritzbox hat nur eine Möglichkeit einen DNS Server einzutragen und hier hast du ja auch den PiHole rein gesetzt.

    Stell dir die UDM Pro so vor, dass du für jedes Netzwerk mit anderer IP eine eigene Fritzbox hättest, in jeder kannst du was eintragen.


    Um die Frage nach dem DNS noch etwas deutlicher zu machen. Um einen Rechner/Server direkt anzusprechen benötigt man immer die IP des Gerätes, egal wo auf der Welt es steht. Intern ist das einfach, du kennst deine Ip´s der Geräte, extern könnte man auch jegliche Webseite direkt mit der IP aufrufen, das macht aber keiner, da auch diese IP Adressen sich ändern können. Deshalb benutzt jeder Domain Namen wie "Google.de"

    Der DNS Server ist jetzt wie ein Adressbuch, der übersetzt deine Namensanfrage zu einer IP, sobald der erste DNS Server eine Antwort gibt, beisteht keine Notwendigkeit mehr noch einen anderen zu fragen, die IP wird direkt aufgerufen.


    Was ist der Vorteil in der UDM Pro im Setup mit PiHole.

    Möglichkeit1: Jedes VLAN / Netzwerk bekommt seinen eigenen DNS Server. Vielleicht teilen sich VLAN 1-3 einen Pihole, das VLAN 4 (für zb. die Kinder) verbindet sich zu einem weiteren Pihole und die VLAN 5-7 bekommen direkt den Google DNS Server ohne Pihole geliefert.

    Möglichkeit2: Du setzt in den Netzwerken die DNS Server auf Automatisch, hier nutzt das Netzwerk nun den DNS Server des WAN Ports, das könnte wiederum ein für dich globaler Pihole sein oder aber ein öffentlicher DNS Server wie google

    Danke 1
    Zitat von uboot21

    Was ist der Vorteil in der UDM Pro im Setup mit PiHole.

    Möglichkeit1: Jedes VLAN / Netzwerk bekommt seinen eigenen DNS Server. Vielleicht teilen sich VLAN 1-3 einen Pihole, das VLAN 4 (für zb. die Kinder) verbindet sich zu einem weiten Pihole und die VLAN 5-7 bekommen direkt den Google DNS Server ohne Pihole geliefert.

    Möglichkeit2: Du setzt in den Netzwerken die DNS Server auf Automatisch, hier nutzt das Netzwerk nun den DNS Server des WAN Ports, das könnte wiederum ein für dich globaler Pihole sein oder aber ein öffentlicher DNS Server wie google

    Und was wir hier einem empfohlen? Oder ist dies Anwendungsabhängig?


    Ich habe noch keine VLANs eingerichtet, und lese immer wieder PiHole nutzen für Werbung, Spam blockieren etc.


    Wenn man das VLAN unabhänigt für alle gleich handhaben will, kann man 1 x PiHole nutzen für alle?
    Wenn man aber ein Vlan für Kinder bspw hat, dort gewisse Seiten sperren möchte, aber für die ERwachsenen offen lassen will dann wäre Möglichkeit 1 in Betracht zu ziehen?

    Zitat von uboot21

    ...


    Was ist der Vorteil in der UDM Pro im Setup mit PiHole.

    Möglichkeit1: Jedes VLAN / Netzwerk bekommt seinen eigenen DNS Server. Vielleicht teilen sich VLAN 1-3 einen Pihole, das VLAN 4 (für zb. die Kinder) verbindet sich zu einem weiteren Pihole und die VLAN 5-7 bekommen direkt den Google DNS Server ohne Pihole geliefert.

    Möglichkeit2: Du setzt in den Netzwerken die DNS Server auf Automatisch, hier nutzt das Netzwerk nun den DNS Server des WAN Ports, das könnte wiederum ein für dich globaler Pihole sein oder aber ein öffentlicher DNS Server wie google

    Vielen Dank! Möglichkeit 2 werde ich später mal ausprobieren. Verstehe ich das aber richtig aus deinem Blogbeitrag, dass dann die Namensauflösung beim Pi-hole nicht mehr richtig funktioniert? :thinking_face:

    • Offizieller Beitrag

    Hallo , ich nutze 2 WAN mit 2x 7590 als Failover


    Die Fritzboxen laufen im EXPOSED HOST Mode Richtung UDMPro

    Die Standard DNS Einstellung des Providers in der Box wurden ZENTRAL
    manuell durch die IPv4 und IPv6 DNS Root Resolver von Cloudflare ersetzt.

    (Siehe Anhang DNS-Resolver.pdf)


    Somit braucht man in den WAN Settings der UDMP nur die Fritzbox selber als Router und DNS Server angeben...

    Für die 2te Leitung ist das Identisch bei mir gemacht


    Beide FB's laufen im 10.0.0.x A-Class Private Range

    Main Line: 10.0.0.2
    Backup Line: 10.0.0.1


    simple as easy und works like charm :winking_face:



    Dateien

    DNS-Resolver.pdf 448,73 kB – 270 Downloads
    Zitat von lycra

    Oder ist dies Anwendungsabhängig?

    Genau, falls du keine VLAN hast, brauchst du noch keine extra nur für PiHole.

    Der Vorteil der UDMPro ist ja genau die Erstellung unterschiedlicher Netzwerke und Absicherung untereinander. Ob das jetzt für SmartHome ist, für die Arbeit, oder ein Homelab zum experimentieren. Das musst du dir vorher sehr gut überlegen und einen Plan erstellen. Davon hängen dann eine Menge setups ab, angefangen vom Dhcp Server bis zur Firewall.

    Zitat von HittX

    dass dann die Namensauflösung beim Pi-hole nicht mehr richtig funktioniert?

    Doch, doch, das funktioniert schon, aber je mehr man einstellt umso häufiger kann man was falsches Einstellen, gerade wenn ma anfängt zusätzlich secondary DNS Server mit anzugeben.

    Man muss nur aufpassen das die Anfragen nicht irgendwo im Kreis laufen, das hängt auch davon ab wie man pihole einstellt auf welche Adressen er hören soll.

    Bei Eintragen der IP immer den Fluss vom Client zum Server verfolgen, wohin schickt man die nächste Anfrage, dann klappt es.

    Im Pihole sieht man dass man plötzlich anstatt 100k Anfragen am Tag diese Menge pro Stunde hat, dann sollte man schnell korrigieren.

    Einmal editiert, zuletzt von razor () aus folgendem Grund: Ein Beitrag von uboot21 mit diesem Beitrag zusammengefügt.

    Zitat von uboot21

    Genau, falls du keine VLAN hast, brauchst du noch keine extra nur für PiHole.

    Der Vorteil der UDMPro ist ja genau die Erstellung unterschiedlicher Netzwerke und Absicherung untereinander. Ob das jetzt für SmartHome ist, für die Arbeit, oder ein Homelab zum experimentieren. Das musst du dir vorher sehr gut überlegen und einen Plan erstellen. Davon hängen dann eine Menge setups ab, angefangen vom Dhcp Server bis zur Firewall.

    Ich werde dazu dann hier mal ein Thema im Projekt Forum machen, sobald ich mal Zeit dazu finde :winking_face:
    Danke dir

    • Offizieller Beitrag

    Es reicht ein pi-hole für Dein gesamtes LAN - sogar VPN, wenn Du willst.

    Du kannst ja im pi-hole mittlerweile Gruppen einrichten, um Endgeräten ein entsprechendes Regelwerk zuzuweisen. Hier könntest Du z.B im Standard alles sauber blocken, um unbekannten oder neuen Geräten die ungewünschten Seiten nicht zugänglich zu machen. Dann könntest Du eine Gruppe mit "erwachsenen-Devices" definieren und hier entsprechend keine oder andere Ausnahmen definieren. Das verhindert, dass jemand neues oder ein interessierter Gast oder Kind nicht ohne Weiteres "ausbrechen" kann. Um das weiter zu erschweren musst Du noch dafür sogen, dass beim Versuch über Port 53 mit einem anderen DNS-Server als Deinem eigenen (pi-hole) zu sprechen unterbunden wird - ebenso wie DoT. Ich meine, dass defcon oder Grendelbox im wiki dazu einen schönen Beitrag verfasst haben.

    Zitat von razor

    Es reicht ein pi-hole für Dein gesamtes LAN - sogar VPN, wenn Du willst.

    Du kannst ja im pi-hole mittlerweile Gruppen einrichten, um Endgeräten ein entsprechendes Regelwerk zuzuweisen. Hier könntest Du z.B im Standard alles sauber blocken, um unbekannten oder neuen Geräten die ungewünschten Seiten nicht zugänglich zu machen. Dann könntest Du eine Gruppe mit "erwachsenen-Devices" definieren und hier entsprechend keine oder andere Ausnahmen definieren. Das verhindert, dass jemand neues oder ein interessierter Gast oder Kind nicht ohne Weiteres "ausbrechen" kann. Um das weiter zu erschweren musst Du noch dafür sogen, dass beim Versuch über Port 53 mit einem anderen DNS-Server als Deinem eigenen (pi-hole) zu sprechen unterbunden wird - ebenso wie DoT. Ich meine, dass defcon oder Grendelbox im wiki dazu einen schönen Beitrag verfasst haben.

    Super!! :smiling_face:

    Zitat von uboot21

    Möglichkeit1: Jedes VLAN / Netzwerk bekommt seinen eigenen DNS Server. Vielleicht teilen sich VLAN 1-3 einen Pihole, das VLAN 4 (für zb. die Kinder) verbindet sich zu einem weiteren Pihole und die VLAN 5-7 bekommen direkt den Google DNS Server ohne Pihole geliefert.

    Möglichkeit2: Du setzt in den Netzwerken die DNS Server auf Automatisch, hier nutzt das Netzwerk nun den DNS Server des WAN Ports, das könnte wiederum ein für dich globaler Pihole sein oder aber ein öffentlicher DNS Server wie google

    Kann man machen, halte ich aber für übertrieben, siehe unten:

    Zitat von lycra

    Und was wir hier einem empfohlen? Oder ist dies Anwendungsabhängig?


    Ich habe noch keine VLANs eingerichtet, und lese immer wieder PiHole nutzen für Werbung, Spam blockieren etc.


    Wenn man das VLAN unabhänigt für alle gleich handhaben will, kann man 1 x PiHole nutzen für alle?
    Wenn man aber ein Vlan für Kinder bspw hat, dort gewisse Seiten sperren möchte, aber für die ERwachsenen offen lassen will dann wäre Möglichkeit 1 in Betracht zu ziehen?

    Es reicht 1 PiHole für das komplette Netzwerk, denn seit PiHole Version 5 kann man Clientgruppen anlegen und jeder Clientgruppe entsprechende Filterlisten zuweisen oder eben nicht - ist etwas aufwendig aber muss man nnur einmal machen.


    Mein Rat:

    • lege VLAN für die unterschiedlichen Bereich an und gebe denen dann ein komplette IP-Netzt, z.b. 192.168.10.0/24 für Eltern, 192.168.20.0/24 für Kinder usw.
    • das selbe machst du im PiHole als Clientgruppe und legst als Client eben das komplette Netz dort an udn weisst die Filter der Gruppe zu oder eben nicht.

    Das auf IP-Netz zu machen ist am einfachsten, geht aber auch auf IP- oder MAC-Adresse.


    Aber dran denken, wenn du IPv6 im Netzwerk nutzt, müssen die Regeln dafür ebenfalls für IPv6 angelegt werden, sonst bringt das nicht viel.

    Bei mir gehen mittlerweile 3/4 der DNS-Anfrage über IPv6.

    Zitat von Tuxtom007

    Kann man machen, halte ich aber für übertrieben, siehe unten:

    Pihole kann nur ein VLAN mit einem DHCP server versorgen um Clients mit Namen zuordnen.

    Falls man nun die UDM Pro als DHCP Server einsetzt, sieht man im Pihole nur noch die IP Adresse, keine Namesauflösung über die Netzwerke.

    Bei sehr vielen Geräte war es mit wichtiger direkt zu erkennen welches Gerät was gerade macht. Deshalb gibt es Netzwerke mit eigenem Pihole

    Zitat von uboot21

    Pihole kann nur ein VLAN mit einem DHCP server versorgen um Clients mit Namen zuordnen.

    Falls man nun die UDM Pro als DHCP Server einsetzt, sieht man im Pihole nur noch die IP Adresse, keine Namesauflösung über die Netzwerke.

    Bei sehr vielen Geräte war es mit wichtiger direkt zu erkennen welches Gerät was gerade macht. Deshalb gibt es Netzwerke mit eigenem Pihole

    Mit PiHole-Boardmittel ja, da hast du Recht


    Mit Linux-Boardmittel kann man problemlos DHCP über x beliebig viele VLAN's machen, setzt aber dann Linux-Kenntnisse voraus.

    Ich würde bei VLan aber DHCP bei der UDM lassen und den Pihole nur DNS machen lassen, dann reicht problemlos einer.

    • Offizieller Beitrag
    Zitat von uboot21

    Pihole kann nur ein VLAN mit einem DHCP server versorgen um Clients mit Namen zuordnen.

    Falls man nun die UDM Pro als DHCP Server einsetzt, sieht man im Pihole nur noch die IP Adresse, keine Namesauflösung über die Netzwerke.

    Bei sehr vielen Geräte war es mit wichtiger direkt zu erkennen welches Gerät was gerade macht. Deshalb gibt es Netzwerke mit eigenem Pihole

    Das mit der Namensauflösung ist kein Problem mehr: Man kann unter SETTINGS --> DNS ganz am Ende das Conditional forwarding konfigurieren. Dann hat dann auch das doppeöte Pflegen der Namen - ginge zusätzlich unter LOCAL DNS --> DNS RECORDS - ein Ende.

    Hier können allerdings auch weitere Enträge gepflegt werden, was ich bisher im UniFi-Zoo etwas anstrengend fand.

    Zitat von Tuxtom007

    Mit PiHole-Boardmittel ja, da hast du Recht


    Mit Linux-Boardmittel kann man problemlos DHCP über x beliebig viele VLAN's machen, setzt aber dann Linux-Kenntnisse voraus.

    Ich würde bei VLan aber DHCP bei der UDM lassen und den Pihole nur DNS machen lassen, dann reicht problemlos einer.

    Ich seh' das genauso: DHCP macht das Gateway, DNS der / die / das pi-hole. Ist bei mir auch so.

    Zitat von razor

    Das mit der Namensauflösung ist kein Problem mehr

    Du kannst da einen DHCP Server eintragen, von dem die Namensauflösung übernommen wird.

    Wie soll das bitte bei mehreren VLAN mit unterschiedlichen DHCP Servern port Netzwerk Funktionieren?


    Bei mir werden auch mit dieser Konfiguration (und ich habe denke ich alle durch), nur von einem VLAN die Namen gezeigt, bei den anderen kommen nur die IP Adressen an

    • Offizieller Beitrag
    Zitat von uboot21

    Du kannst da einen DHCP Server eintragen, von dem die Namensauflösung übernommen wird.

    Wie soll das bitte bei mehreren VLAN mit unterschiedlichen DHCP Servern port Netzwerk Funktionieren?


    Bei mir werden auch mit dieser Konfiguration (und ich habe denke ich alle durch), nur von einem VLAN die Namen gezeigt, bei den anderen kommen nur die IP Adressen an

    Ich zitiere mal meinen pi-hole v5.3.1 an dieser Stelle:

    Zitat von pi-hole

    Conditional forwarding

    If not configured as your DHCP server, Pi-hole typically won't be able to determine the names of devices on your local network. As a result, tables such as Top Clients will only show IP addresses.

    One solution for this is to configure Pi-hole to forward these requests to your DHCP server (most likely your router), but only for devices on your home network. To configure this we will need to know the IP address of your DHCP server and which addresses belong to your local network. Exemplary input is given below as placeholder in the text boxes (if empty).

    If your local network spans 192.168.0.1 - 192.168.0.255, then you will have to input 192.168.0.0/24. If your local network is 192.168.47.1 - 192.168.47.255, it will be 192.168.47.0/24 and similar. If your network is larger, the CIDR has to be different, for instance a range of 10.8.0.1 - 10.8.255.255 results in 10.8.0.0/16, whereas an even wider network of 10.0.0.1 - 10.255.255.255 results in 10.0.0.0/8. Setting up IPv6 ranges is exactly similar to setting up IPv4 here and fully supported. Feel free to reach out to us on our Discourse forum in case you need any assistance setting up local host name resolution for your particular system.

    You can also specify a local domain name (like fritz.box) to ensure queries to devices ending in your local domain name will not leave your network, however, this is optional. The local domain name must match the domain name specified in your DHCP server for this to work. You can likely find it within the DHCP settings.

    Ich verstehe das so, dass ich da mehrere DNS-Server eintragen könnte, die für die IP-Adressauflösung zuständig sind. Ich habe aber auch noch nciht mal einen Server versucht, da ich alles im pi-hole gepflegt habe.

    Oder ich habe Dich falsch verstanden.

    Zitat von uboot21

    Du kannst da einen DHCP Server eintragen, von dem die Namensauflösung übernommen wird.

    Wie soll das bitte bei mehreren VLAN mit unterschiedlichen DHCP Servern port Netzwerk Funktionieren?


    Bei mir werden auch mit dieser Konfiguration (und ich habe denke ich alle durch), nur von einem VLAN die Namen gezeigt, bei den anderen kommen nur die IP Adressen an

    Es geht, aber eben nicht mit dem PiHole-Boardmitteln und nicht ohne Eingriff in die Linux-Konfiguration des PiHole-Servers.


    Du musst dem PiHole-Server VLan beibringenm, d.h. am Ende, der Server muss in alle VLan rein.
    Und nicht den DHCP-Server aus dme PiHole nehmen sondern einen Extra-DHCP-Server auf dem Pihole-system einrichten und dem dann eben VLan-separiert die IP-Netze verteilen lassen.

    Ich würde davon aber abraten, das ist etwas tricky und man kann sich mti einem PiHole-Update das ganze schnell zerschiessen.


    Besser wäre es dann den DHCP-Server komplett separat zu betreiben, als VM oder Linux-Container z.b.


    Ich habe das bei einem Bekannten gemacht, weil der DHCP-Server auf der UDMPro zuviele Probleme machte, Pihole und DHCP-Server laufen nun auf einem eigenen Rechner.