Fragen zu Pi Hole und Einstellungen auf der UDM Pro

Surfen klappt ganz normal, Werbung wird geblockt.

Auch nach Änderung der Firewallregeln ("Hartes" Provision angestoßen)

Es bleibt auch bei den 8 Clients unter PiHole -> Tools -> Netzwerk

Firewall-Konfiguration:

Evtl. doch einfach mal in ein eigenes VLAN packen?

Warum steht die im letzten Screenshot auf drop?

Zitat von ruezi

Evtl. doch einfach mal in ein eigenes VLAN packen?

Also, PiHole Einstellungen sehen soweit gut aus,

Unifi Netzwerke sehen gut aus, Firewall hast du offen, also alles OK.

In welchem VLAN sich das Pihole befindet ist völlig egal, ich nutze zwei (eins als Backup) in verschiedenen VLAN. Das sollte gehen, auch sollten die Geräte sich zumindest mit der IP melden, ich nutze an der Stelle sogar das Gruppieren von Clients um unterschiedliche PiHole Regeln zu erlauben. Das alles Funktioniert recht simpel und tadellos.

Auch dass du den PiHole über den DHCP des Netzwerkes verteilst ist korrekt, solche Effekte wie du sie hast treten schon mal auf wenn man den Pihole erst im WAN einträgt, das ist aber leer bei Dir.

Was bleibt über?:

Sind die Switche auch mit dem Profil "All" Miteinander verbunden?

Liegt der Pihole vielleicht als Tagged "0" im LAN anstatt identisch wie die Switche verbunden.

Weil seltsam ist das sich nur die Unifi Geräte aus dem LAN sich in der Netzwerkansicht melden (P.S: Ich würde in den Switches selber NIE den Pihole eintragen -> stell dir vor dein Pihole ist weg, dann kommen auch die Switches nicht mehr ins Internet, dort gehört leidglich z.b. 8.8.8.8 rein, so viel "Telefonieren" die Geräte nicht ins Internet das man was blocken muss). Mein Verdacht ist also eher auf der Port Seite, aber das ist nur ein Verdacht. Generell ist alles korrekt bei dir.

Zitat von jkasten

Warum steht die im letzten Screenshot auf drop?

War ein Fehler bei der Erstanlage/beim Erstellen der Screenshots und ich habe vergessen auch noch diesen Screenshot zu tauschen.

Mittlerweile ist es eine Allow-Regel wie in im Screenshot der Regel zu sehen

Zitat von uboot21

Was bleibt über?:

Sind die Switche auch mit dem Profil "All" Miteinander verbunden?

Liegt der Pihole vielleicht als Tagged "0" im LAN anstatt identisch wie die Switche verbunden.

Weil seltsam ist das sich nur die Unifi Geräte aus dem LAN sich in der Netzwerkansicht melden (P.S: Ich würde in den Switches selber NIE den Pihole eintragen -> stell dir vor dein Pihole ist weg, dann kommen auch die Switches nicht mehr ins Internet, dort gehört leidglich z.b. 8.8.8.8 rein, so viel "Telefonieren" die Geräte nicht ins Internet das man was blocken muss). Mein Verdacht ist also eher auf der Port Seite, aber das ist nur ein Verdacht. Generell ist alles korrekt bei dir.

Das Switch Port Profil steht auf "All" ( Zwischen UDM Pro, US-16-150W und US-8)

Der Port (US-8) für den Rechner, auf dem Proxmox (u.a. PiHole) läuft, hat ebenfalls "All" zugewiesen, weil dort Container/VMs für andere VLANs laufen.

In den Netzwerksettings des PiHole-Containers ist keine VLAN-ID vergeben -> Management LAN und fix die IP

Auf den Switches und APs haben ich das PiHole wieder entfernt. Seitdem "sprechen" nur noch localhost und 192.168.1.1 (UDM Pro) mit PiHole (grün im Netzwerk)

Ich werde es jetzt noch einmal mit einer zweiten Installation in einem eigenen VLAN versuchen.
Falls das keinen Erfolg bringt (wovon ich eigentlich ausgehe), muss ich mich wohl doch auf die Suche nach einem freien Pi im Haus machen, um damit einen letzten Versuch zu wagen.

Der Pessimismus war nicht angebracht.

Sobald das Pihole in einem anderen Netz/VLAN als das "Management LAN" liegt, klappt es auch bei mir mit den Clients.

Für Testzwecke habe ich noch eine weitere frische Installation ins "Management LAN" gemacht -> gleiches Spiel wie bisher und die UDM Pro war der einzige Client

Danke für eure Geduld und Unterstützung!

Zitat von ruezi

Für Testzwecke habe ich noch eine weitere frische Installation ins "Management LAN" gemacht

Ich bin mir jetzt durch deine Aussage selber nicht mehr ganz sicher, weil ich früher selber einen PiHole im Management Lan hatte.

Deinen Aussagender Folge hast du dein Proxmox am "All" Port hängen und vergibst in den Netzwerk Karten die VLAN ID.

-> Versuch mal bei dem PiHole im Management Lan in Proxmox die VLAN ID 0 einzugeben, kann sein dass es damit dann läuft (Bin mir nicht mehr sicher)

Genau:

- Proxmox hängt an einem "All"-Port (und ist selbst dem "Management LAN" zugeordnet)

- Im Proxmox Netzwerk sind Bridge + die (relevanten) VLAN IDs hinterlegt

- Die einzelnen Container/VMs erhalten per Netzwert(-Karten)-Konfiguration ihre VLAN ID + fixe IP zugewiesen

VLAN ID 0 ist (nicht mehr) möglich:

Zitat von ruezi

VLAN ID 0 ist (nicht mehr) möglich:

OK, ich hab bei mir die Netzwerkkarten anders aufgebaut (Ich habe erst "Linux VLAN" Karten erstellt und gehe dann auf eine Bridge, da geht auch 0)

Versuch es mal mit der 1 bitte, das sollte gehen

Ich hab es per OVS Bridge und OVS IntPorts geregelt.

Dort bekomme ich es mit 0 bzw. 1 nicht zum laufen/keine Verbindung.

Ggf. schau ich mir das nochmal mit einer Linux Bridge und Linux VLAN an.

Bin mir gerade nicht mehr sicher, warum ich auf OVS gewechselt habe

Also wenn es in einem der VLAN funktioniert ist dies ja schon einmal prima.

Als Anmerkung von mir persönlich dazu noch:

Ich habe den Pihole damals aus dem Management LAN heraus geholt, da ich der Meinung bin, hier sollte nur Infrastruktur rein. Andere VLAN sollten keinenZugriff haben (vielleicht dein Hauptrechner von wo aus du das System verwaltest). Der Beste Schutz ist also immer die System komplett auszusperren, anstatt auch noch den ganzen Traffic dadurch zu leiten.

Das ist meine persönliche Meinung und soll Dich nur da drin bestätigen den Pihole auch in deinem VLAN zu lassen

Ja, nachdem es im eigenen VLAN klappt, werde ich das wohl so belassen und Proxmox + weitere "Dienste" (Wireguard, Docker, NGINX/Trraefik,...), die ich fürs Management LAN angedacht hatte wohl einfach in das "Management LAN 2" (Arbeitstitel) auslagern.

Im Management LAN bleiben dann nur noch die Unifi-Geräte.

Die VLANs (es gibt noch weitere) sind grundsätzlich getrennt.

Die Firewall-Regel zwischen Mng LAN und VLAN 10 habe ich zwischenzeitlich nur deaktiviert, um zu einer funktionsfähigen Version zu kommen.

Sprich es kommen dann jetzt auch die Gruppen DNSServers und DNSPort ins Spiel und das Scheunentor kann wieder geschlossen werden

Zitat von TheFreeman

Nein, das funktioniert auf der UDM PRO genauso wie auf einem UCK.

Was willst du mir sagen?!

Du zitierst hier willkürlich und aus dem Zusammenhang gerissen. Wenn dann musst du das schon als Gesamtpaket betrachten.

Du scheinst noch nicht mal die Hardware richtig zu verstehen und gräbst hier nen 1,5 Jahre alten Thread aus - wo seither etliche Firmware und Softwarechanges gekommen sind

Man darf sich nur auf die letzte Seite beziehen?
Das tut mir leid, wusste ich nicht. Entschuldigt vielmals!
Das kommt nie wieder vor.

Zitat von TheFreeman

Man darf sich nur auf die letzte Seite beziehen?

doch darf man schon und das ist sogar gewünscht, aber man darf nichts aus dem Zusammenhang reißen - führt doch nur zu Verwirrung.

Und wenn du dann schreibst das es auf der UDM genauso wie auf dem UCK ist dann ist das noch schwieriger, denn daran sieht man das du den Thread nicht gelesen hast und in dem Moment den Zusammenhang zerreißt.

Die Konfiguration ist gleich, da gebe ich dir vollkommen recht ABER es ging um verschieden Gatewaytypen (UDM/USG)

Der Controller stellt im Endeffekt nur die Konfiguration fürs Gateway bereit - in deinem Fall die UDM, in meinem Fall damals das USG Pro respektive heute UXG Pro.

Die UDM hat den "Cloudkey" bzw. die NetworkApplication halt integriert, ist aber auch nix anderes als dein Gateway.

Hier im Thread ging es nämlich um genau das Problem, wozu du einen neuen Thread aufgemacht hast - daher am besten mal bitte komplett den Thread durcharbeiten.

P.S. auf dem UXG Pro und selbstgehostetem Controller funktioniert es auch in den WAN Settings mit dem PiHole.