Spannend, bei mir ist dann essig wenn ich den Pihole da eintrage.
Fragen zu Pi Hole und Einstellungen auf der UDM Pro
-
- UDM
- Frage
- UDM-Pro
- erledigt
- Stefan71
Es gibt 214 Antworten in diesem Thema, welches 43.544 mal aufgerufen wurde. Der letzte Beitrag () ist von defcon.
-
-
Also bei mir läuft das so, seitdem ich quasi die PiHoles habe, angefangen auf Pis, jetzt auf Proxmox. Schon locker 2 Jahre.
Habe eine USG4, diejenigen die die Probleme schildern haben doch alle eine UDM bzw. UDMP oder?
-
Beim UDR hab ich auch unter WAN den PiHole als einzigen DNS eingetragen, funktioniert!
-
Habe eine USG4, diejenigen die die Probleme schildern haben doch alle eine UDM bzw. UDMP oder?
Bei mir mit UDMP keine Probleme.
-
Bei denen es unter WAN funktioniert, habt ihr einen zweiten DNS dort eingetragen? Dann erklärt es das ganze. Der erste, der Pihole, funktioniert an dieser Stelle nicht, also wird der zweite genommen. So interpretiere ich das ganze. Wenn ich bei mir nur einen, den Pihole, eintrage geht gar nichts mehr.
Hatte gestern nur die Pi Hole IP in den WAN Einstellungen und heute noch dazu eine zweite. Geht beides nicht.
Willkommen bei UniFi, manchmal sind die Dinge unerklärlich
Das habe ich jetzt schon öfters erleben müssen.
-
Also bei mir läuft das so, seitdem ich quasi die PiHoles habe, angefangen auf Pis, jetzt auf Proxmox. Schon locker 2 Jahre.
Habe eine USG4, diejenigen die die Probleme schildern haben doch alle eine UDM bzw. UDMP oder?
Ich hatte erst die USG3p dann die Pro und nun die UDR. Bei der UDR hab ich es aber noch nicht wieder ausprobiert. Anschluss ist VDSL von der Telekom
-
Hi,
ich habe seit gestern eine USG 4 Pro am laufen (zuvor ein USG 3P). Pihole und unbound laufen seit knapp 1,5 Jahren problemlos (zum Glück) auf einem Raspberry PI. Die IP des Pihole verteile ich intern an alle Clients in allen Vlans. Einen sekundären DNS verteile ich intern nicht.
-
Hi,
ich habe seit gestern eine USG 4 Pro am laufen (zuvor ein USG 3P). Pihole und unbound laufen seit knapp 1,5 Jahren problemlos (zum Glück) auf einem Raspberry PI. Die IP des Pihole verteile ich intern an alle Clients in allen Vlans. Einen sekundären DNS verteile ich intern nicht.
So mache ich das auch, wäre ja auch quatsch. Hast Du den auch im WAN eingetragen und das funktioniert bei Dir?
-
So mache ich das auch, wäre ja auch quatsch. Hast Du den auch im WAN eingetragen und das funktioniert bei Dir?
Nein aktuell nicht. Du?
-
Nein aktuell nicht. Du?
Nein, dann ist bei mir das Internet weg. Deswegen frage ich.
-
Hallo zusammen,
jetzt schreibe ich auch mal zu dem Thema, weil es scheint hier ziemlich viel Unsicherheit zu geben, dies führt oftmals zu Aussagen wie "Typisch Unifi" und ähnlichen Aussagen, dabei haben die Sachen nichts mit Unifi zu tun. Ich versuche mal zusammen zu fassen:
Controller:
Der DNS folgt immer einer Kette, heisst:
- Als erstes wird der DNS vom DHCP Server übermittelt, unabhängig davon wer DHCP macht.
- Wenn das Netzwerk (LAN oder VLAN) das DHCP macht kann man nun einmal dort das Phiole eintragen, entweder für alle Netzwerke oder nur für bestimmte.
- Man kann dort aber auch gar nichts eintragen oder die IP des Gateway (zb. 192.168.0.1), in dem Fall werden die Anfragen zum WAN weitergeleitet und der DNS Server genommen der dort eingetragen ist.
- Der DNS vom WAN wird nie genommen wenn in allen Netzwerken bereits etwas drin steht, man sollte auch vermeiden an mehreren Stellen "Schleifen" zu erzeugen, insbesondere mit dem primary und secondary Server. Weil der secondary server ist keinesfalls ein Fallback DNS für das primary, er kann durchaus gleichzeitig/wahlweise genutzt werden vom System. Der secondary sollte ein Spiegelbild des primary sein. Man merkt das gut wenn man 2 Piholes einträgt und sich wundert warum der zweite trotzdem genommen wird obwohl der erste läuft.
- dies sollte man sich wie ein Fluss vorstellen der immer dem nächstem Ziel folgt welcher irgendwo steht.
Firewall:
Es sollten zwischen den VLAN natürlich der Port 53 frei gegeben sein, also unbedingt im LAN IN, im LAN OUT gehört so eine Regel nie rein, auch sollte vermieden werden eine Regel für WAN LOCAL zu setzen. -> Dies betrifft natürlich nur Netzwerke, welche über andere Regeln evtl. geblockt wurden, wer keine Regel gesperrt hat braucht keine um den Port zu erlauben.
Wo auf jeden Fall eine Sperre rein solle, im WAN IN (und analog zum WANv6IN), keiner sollte von aussen zugreifen können.
Pihole:
- Wer oben auf WAN geht oder auch VLAN nutzt, muss auch eine Einstellung im Pihole setzen. Dort bei Einstellung -> DNS -> Permit all origins (firewall Regel beachten) aktivieren, wer die Einstellung auf "Allow only local requests" lässt, bekommt keine Verbindung, da das WAN mehr als ein Hop entfernt ist.
- Unter Upstream Server sollte NIE eine lokale Adresse gesetzt werden (ausser bei Unbound), hier gehört nur ein externer DNS Server rein oder ein weiterer Unbound server.
Was ich bei mir zusätzlich aktiviert habe (optional)
JA: Never forward non-FQDN A and AAAA queries
JA: Never forward reverse lookups for private IP ranges
NEIN: Use DNSSEC
JA: Use Conditional Forwarding
Local network in CIDR notation: 192.168.0.0/16 (entsprechend anders bei anderen Netzwerk Bereichen, der /16 sorgt bei mir das alle VLAN mit in dem Bereich fallen)
IP address of your DHCP server (router): (IP des Gateways wo der PiHole sich befindet. zb 192.168.1.1)
Mein Setup:
- UDM Pro
- Ubuntu Installation mit PiHole und Ubuntu auf virtualisierten Proxmox Server
- ca. 280.000 DNS Queries pro Tag
- 7.893.289 geblockte Seiten
- ca. 90 Ausnahmen eingetragen
- Über 6 Gruppen (Group Management) werden die Clients wieder den VLAN zugeordnet um individuell frei gegeben werden zu können
Grüße
-
......Der secondary sollte ein Spiegelbild des primary sein. Man merkt das gut wenn man 2 Piholes einträgt und sich wundert warum der zweite trotzdem genommen wird obwohl der erste läuft.
Wobei ich das nicht bestätigen kann.
Ich hab zwei PiHoles in Benutzung und auf allen VLan ist der erste vor dem zweiten eingetragen.
Der zweite wir nur angefragt, wenn der erste nicht innerhalb eines Zeitfensters antwortet.
Das macht bei mir einen Unterschied zwischen den beiden PiHole vom Faktor 7 aus, wobei die Anfragen am zweiten Pihole nur von ganz wenigen Geräten kommen, sind immer die selben Verdächtigen.
-
Wobei ich das nicht bestätigen kann.
Das ist erst einmal richtig was du sagst, es ist aber kein Muss bei der Auswahl, es ist ein kann vom Server.
Ich schreibe das nur weil viele als "Fallback" zu ihrem PiHole ein öffentlichen DNS Server (z.b. 8.8.8.8) eintragen. Es gibt hierbei aber immer noch Anfragen oder die von dir beobachteten "Verdächtigen" die sich immer wieder dann am PiHole vorbei schleichen.
Mit "Spiegelbild" meine ich, das man dann auch einen zweiten PiHole eintragen sollte und keine Alternative an dem Pihole vorbei.
-
Das ist erst einmal richtig was du sagst, es ist aber kein Muss bei der Auswahl, es ist ein kann vom Server.
Ich schreibe das nur weil viele als "Fallback" zu ihrem PiHole ein öffentlichen DNS Server (z.b. 8.8.8.8) eintragen. Es gibt hierbei aber immer noch Anfragen oder die von dir beobachteten "Verdächtigen" die sich immer wieder dann am PiHole vorbei schleichen.
Mit "Spiegelbild" meine ich, das man dann auch einen zweiten PiHole eintragen sollte und keine Alternative an dem Pihole vorbei.
Japp, deswegen 2 PiHoles in unabhängigen Containern…
-
Ich denke das ist bei vielen das Missverständnis. Die DNS Server agieren nicht als Fallback, sondern werden beide benutzt. Sobald die Anfrage von DNS 1 nicht schnell genug beantwortet wird, gehts an die 2 und schon ist man am Pihole vorbei (wenn da nicht auch einer steht).
-
Das ist erst einmal richtig was du sagst, es ist aber kein Muss bei der Auswahl, es ist ein kann vom Server.
Ich schreibe das nur weil viele als "Fallback" zu ihrem PiHole ein öffentlichen DNS Server (z.b. 8.8.8.8) eintragen. Es gibt hierbei aber immer noch Anfragen oder die von dir beobachteten "Verdächtigen" die sich immer wieder dann am PiHole vorbei schleichen.
Mit "Spiegelbild" meine ich, das man dann auch einen zweiten PiHole eintragen sollte und keine Alternative an dem Pihole vorbei.
Ja das macht nicht wirklich Sinn, neben den PiHole noch Google oder sonst einen DNS einzutragen, weil da geht einiges dran vorbei.
Wenn dan zwei PiHoles wie ich es auch mache, das kostet als Linux-Container auf Proxmox kaum Resourcen oder man trägt zweimal den selben ein.
Letzteres hätte den Effekt, wenn der Pihole bei Anfrage 1 nicht schnell genug antwortet, er direkt nochmal angefragt wird und nicht erst der Timeout abläuft.
Ich habe sogar mal testweise meine PiHoles über alle VLan gedreht einzutragen um etwas Lastverteilung zu bekommen, hat aber nicht wirklich was gebracht
( 1 - 2 - 1 - 2, oder. 2 - 1 - 2 - 1 ).
Wenn ich mein OPNSense im Netz habe, werde ich mal mit einem Loadbalancing für den PiHole testen, dann soll Proxmox eh auf einen neuen Rechner umziehen, derzeit sind das noch 2 IntelNUC's im Cluster wo je ein PiHole auf einem NUC läuft.
-
Der kannst Du auch den Pihole mitgeben, aber brauchen tut man das nicht wirklich.
--> https://www.golem.de/news/netz…er-daten-2103-154971.html
Was meinst du mit Container?
Ich habe jetzt wieder umgestellt und den Pi Hole in den WAN Settings eingetragen. Bis jetzt geht es oder es liegt daran das ich gestern nur den Pi Hole eingetragen hatte und sonst keinen. Sollte man dann trotzdem noch in den VLANS den Pi Hole eintragen oder aber reicht das dann wenn dort die IP der UDM Pro steht, letztendlich muss ja alles durch WAN.
Ich habe bei den WAN-Einstellungen jeweils einen öffentlichen DNS-Server eingetragen und in allen VLANs als primären mein pi-hole und als sekundären die IP des USGs im jeweiligen Netz. Funktioniert für mich super. Ich habe auch "nur" 2 DNS-Server in die DHCP-Konfiguriation des jeweiligen Netzwerks eingetragen, nicht mehr. Die meisten Systeme interessieren sich nicht für den 3., 4., ff.
Es geht darum das einige Einwahlprobleme haben wenn der Pihole unter WAN eingetragen ist und den Grund dafür versuche ich gerade zu erfahren.
An dieser Stelle interessiert die DNS-Konfiguration mMn noch gar nicht. Das kommt erst in einem höheren Layer zum Tragen.
-
--> https://www.golem.de/news/netz…er-daten-2103-154971.html
Ich habe bei den WAN-Einstellungen jeweils einen öffentlichen DNS-Server eingetragen und in allen VLANs als primären mein pi-hole und als sekundären die IP des USGs im jeweiligen Netz. Funktioniert für mich super. Ich habe auch "nur" 2 DNS-Server in die DHCP-Konfiguriation des jeweiligen Netzwerks eingetragen, nicht mehr. Die meisten Systeme interessieren sich nicht für den 3., 4., ff.
Dann rutscht Dir aber auch die ein oder andere Anfrage am Pihole vorbei.
-
Dann rutscht Dir aber auch die ein oder andere Anfrage am Pihole vorbei.
Warum sollte das so sein? Wegen...
Ich denke das ist bei vielen das Missverständnis. Die DNS Server agieren nicht als Fallback, sondern werden beide benutzt. Sobald die Anfrage von DNS 1 nicht schnell genug beantwortet wird, gehts an die 2 und schon ist man am Pihole vorbei (wenn da nicht auch einer steht).
meinst? Ist mir bisher nicht aufgefallen. Wenn mein pi-hole allerdings mal nicht ON sein sollte, dann merke ich das schon.
-
Warum sollte das so sein? Wegen...
Weil der zweite DNS kein Fallback ist sondern ebenfalls genutzt wird. Da dort deine USG mit öffentlichen DNS drin steht, gehts am Pihole vorbei.
EDIT: https://discourse.pi-hole.net/…e-my-only-dns-server/3376
