DNS Traffic immer an AdGuard umleiten

Es gibt 24 Antworten in diesem Thema, welches 9.643 mal aufgerufen wurde. Der letzte Beitrag () ist von razor.

    Hallo zusammen,


    habe für die Geräte meiner Kids ein extra WLAN auf meiner Dream Machine erstellt und möchte, dass der DNS Traffic immer via AdGuard geht, da ich dort einige Dienste sperre.

    Es gibt bereits eine Anleitung DNS für ausgewählte user ändern welche nicht mit der Dream Machine funktioniert.


    Für Hilfe bin ich sehr dankbar!


    Grüße,

    Luk

    • Offizieller Beitrag

    Hey luk ,


    zur Konkretisierung: DNS Traffic immer an PiHole umleiten geht hier leider nicht, da das ja nur am USG funktioniert. :frowning_face:


    Vielleicht hat diese Thema ja ein anderer UDM/UDM-P-User schon für / bei sich gelöst.

    Hattest Du nicht für die Kids ein extra VLAN erstellt? Dieses ist ja mit dem WLAN verknüpft. In diesem VLAN stellst Du DNS-Server auf manuell und trägst dort die IP-Adresse des AdGuard ein.

    Mehr ist das schon nicht.

    Gefällt mir 1

    Etwas mache ich falsch, folgende Situation:

    Mein AdGuard Home läuft auf meinem Unraid Server im Docker und hat eine IP 192.168.0.xx (Eigenes Netzwerk mit VLAN ID 100).

    Die Kids haben ebenfalls ein eigenes Netzwerk 192.168.3.x mit der VLAN ID 110 und dort habe ich in unter "DHCP Name Server" die IP Adresse von AdGuard Home eingetragen.


    Die iPads meiner Kinder bekommen auch die DNS IP Adresse zugewiesen, nur läuft der Traffic am AdGuard Home vorbei.

    Was übersehe ich dabei?


    Danke und Grüße,

    Luk

    • Offizieller Beitrag

    Wenn das Kids-Netzwerk ein Gäste-LAN ist, dann kommen die ohne weiteres "nur" ins Internet. Das bedeutet in Deinem Kontext, dass Du dem Quell-Netz erlauben musst das Ziel 192.168.0.xxx/32 auf Port 53/udp zu erreichen. Dazu könnte Dir Firewall-Regeln by EJ sehr hilfreich sein.

    Zitat von razor

    Wenn das Kids-Netzwerk ein Gäste-LAN ist

    Das Kids-Netzwerk ist kein Gäste-LAN, Gäste-LAN habe ich separat am laufen. Muss ich dann trotzdem in der Firewall den Port 53/udp eintragen?

    Liege ich mit diesen Firewall "LAN-Eingehend" Einstellungen richtig?


    192.168.0.19 ist die IP-Adresse des AdGuard Home Dockers.



    2 Mal editiert, zuletzt von luk ()

    • Offizieller Beitrag

    Wenn es sich bei beiden beteiligten VLANs um Corporate handelt, dann sollte es einfach gehen, indem Du als DNS-Server im Kids-Netzwerk die IP des AdGuard-Containers angibst. Dann musst Du nix an der Firewall konfigurieren.

    Kannst Du den Container von einem beliebigen Client aus anpingen? Da ich mit Docker nicht so firm bin: woher weiß der Container, wie er den anfragenden Client erreichen kann, da er sich ja NICHT in 192.168.0.0/24 befindet oder löst das der Docker-Host?

    Kannst Du AdGuard von einem beliebigen anderen Client benutzen - als DNS-Server?

    Zitat von razor

    Wenn es sich bei beiden beteiligten VLANs um Corporate handelt, dann sollte es einfach gehen, indem Du als DNS-Server im Kids-Netzwerk die IP des AdGuard-Containers angibst. Dann musst Du nix an der Firewall konfigurieren.

    Kannst Du den Container von einem beliebigen Client aus anpingen? Da ich mit Docker nicht so firm bin: woher weiß der Container, wie er den anfragenden Client erreichen kann, da er sich ja NICHT in 192.168.0.0/24 befindet oder löst das der Docker-Host?

    Kannst Du AdGuard von einem beliebigen anderen Client benutzen - als DNS-Server?

    Ja, die VLANs sind Corporate.


    Der Docker läuft im "bridge" Modus, sprich hat eine eigene 192.168.0.x/24 IP.


    Ich habe eben die DNS IP Adresse auf einem iPad auf die IP-Adresse meines Pi-holes geändert, welcher auf einen RPi 3 läuft und sich im 192.168.0.0/24 Netz befindet.


    Es kommen da ebenfalls keine Anfragen des iPads an, komisch.

    • Offizieller Beitrag

    Default-Gateways sind aber schon überall konfiguriert, oder?

    Alles Clients kommen ins Internet?

    Firewall hast Du keine manuell erstellt?

    Kannst Du uns Bilder der Config der betroffenen Netze präsentieren?

    Zitat von razor

    Default-Gateways sind aber schon überall konfiguriert, oder?

    Diese Einstellung habe ich in den Netzen nicht verstellt



    Zitat von razor

    Alles Clients kommen ins Internet?

    Ja



    Zitat von razor

    Firewall hast Du keine manuell erstellt?

    Nein



    Zitat von razor

    Kannst Du uns Bilder der Config der betroffenen Netze präsentieren?

    Kids Netzwerk:


    LAN - Netzwerk (alle Clients und auch der Unraid Server befinden sich hier drin):


    Danke und Grüße,

    Luk

    Das sieht eigentlich alles nicht schlecht aus.

    Ich habe auch das PiHole im Docker Container zu laufen und als DNS Server ist die IP der Synology eingetragen.

    Was mir eben einfällt, bei der Port-Konfiguration habe ich dem Port 1 (an dem Hängt mein SOHO 16 Port GBit Switch) und Port 2 (Unraid Server) das LAN-Netzwerk zugewiesen (VLAN 100):

    Ist das evtl. mein Problem?

    • Offizieller Beitrag

    Die VLANs sind korrekt dem entsprechenden WLAN zugeordnet?

    Werde die IPs korrekt verteilt?

    Client im Kids-Netzwerk bekommt eine DHCP-IP (192.168.3.10-192.168.3.20/24)?

    Client im LAN-Netzwerk bekommt eine DHCP-IP (192.168.0.50-192.168.0.80/24)?

    Das sind nur die Netzwerke. Wie steht es um die WLANs? Config?

    Zitat von razor

    Die VLANs sind korrekt dem entsprechenden WLAN zugeordnet?

    Werde die IPs korrekt verteilt?

    Client im Kids-Netzwerk bekommt eine DHCP-IP (192.168.3.10-192.168.3.20/24)?

    Client im LAN-Netzwerk bekommt eine DHCP-IP (192.168.0.50-192.168.0.80/24)?

    Ja


    Kids-Netzwerk:


    LAN-Netzwerk:


    Grüße,

    Luk

    Zitat von razor

    zur Konkretisierung: DNS Traffic immer an PiHole umleiten geht hier leider nicht, da das ja nur am USG funktioniert. :frowning_face:


    Vielleicht hat diese Thema ja ein anderer UDM/UDM-P-User schon für / bei sich gelöst.

    Ich sag mal so - ich habe nach x Stunden Probieren, Testen, Recherschieren entnervt aufgegeben.

    Mit der UDMPro scheint es da keine wirklich laufende Lösung zu geben.


    Bei einem Bekannten haben wir das nun hinbekommen - aber die Lösung ist wird keinem hier gefallen.


    Schön wäre es, wenn man per statischer Route alle Port 53/853 Anfragen auf den PiHole/Adguard umleiten kann, so ist es z.b. bei uns im Firmennetz auch

    Aber Unifi lässt keine statischen Routen im internen Netz zu - evtl. kann man das noch auf den Kommandline aber da fehlt mir aktuell der Nerv zu.

    Eine kleine Lösung könnte sein DNS-Anfragen aus dem internen Netz Richtung Internet per Firewall zu blocken, das ist aber nur die halbe Lösung.

    hi,


    doch das geht. ich habe das bei mir so gemacht wie du es vorhast. guck dir mal das Video an (ab Minute 12)!


    DNS Server


    Du erstellst in der Firewall eine Ip-Adresse (dein DNS-Server) und Port und erstellst dann drei Regeln. Damit kannst du auch verhindern, dass eine manuell eingegebene DNS Adresse auf einem iPhone deine Regeln umgehen. Es kann in deinem Netzwerk nur noch dann über deinen DNS Server gesurft werden. Oder hab ich dich falsch verstanden?


    Viele Grüße und Erfolg

    Zitat von Ronniequiti

    doch das geht. ich habe das bei mir so gemacht wie du es vorhast. guck dir mal das Video an (ab Minute 12)!

    Es will nicht bei mir funktionieren. Wenn ich die Regeln so einstelle, wie im Video, geht keine Anfrage mehr raus (ja, habe die Einstellungen 3x verglichen). Etwas stimmt generell hier nicht, werde wohl morgen ein iPad in das normale WLAN einbinden und dort versuchen für die IP-Adresse des iPads Regeln einzustellen, damit der Traffic via AdGuard raus geht.

    Zitat von luk

    Es will nicht bei mir funktionieren. Wenn ich die Regeln so einstelle, wie im Video, geht keine Anfrage mehr raus (ja, habe die Einstellungen 3x verglichen). Etwas stimmt generell hier nicht, werde wohl morgen ein iPad in das normale WLAN einbinden und dort versuchen für die IP-Adresse des iPads Regeln einzustellen, damit der Traffic via AdGuard raus geht.

    Ich habs gerade auch mal wie in den Video beschreiben eingerichtet.

    DNS-Anfrage generell an de PiHole umlenken funktioniert nicht - das kann das Unifi.Zeug nicht.


    Über Firewall-Regeln funktioniert es soweit:


    aber das ganze hat einen gewaltigen Schönheitsfehler:



    Sehr ihr das Problem ?


    Wenn ich IPv6 nutzen, hat sich die Firewall-Regel erledigt, man müsste also das Regelwerk auch für IPv6 erstellen.

    Ich muss mich gerade mit IPv6 im Job beschäftigen, das ist nicht wirklich schön :smiling_face: