Fragen zu Pi Hole und Einstellungen auf der UDM Pro

Zitat von ruezi

Mit dieser Einstellung ist die UDM Pro der einzige Client, den ich in der Liste sehe -> immer nur IP 192.168.1.1

Steht die UDMP noch an erster stelle als DNS ?

anderer Gedanke: der lease der DHCP Geräte is vermutlich noch nicht abgelaufen und daher ist be denen noch die UDMP als DNS eingetragen. mit dem neuen Lease sollte auf den PiHole gewechselt werden.

Die UDMP fragt dann den PiHole daher nur die 192.168.1.1

Korrekt, die Geräte sollten mit dem nächsten Lease den Pihole fragen.

So wie in den nachfolgenden Screenshots dargestellt ist die aktuelle Konfiguration

Die Unifi-Geräte + PC/Handy wurde auch nochmal durchgestartet (müsste sich damit die DHCP Lease Zeit erledigt haben? -> da fehlen mir die Hintergrundkenntnisse)

Im PiHole erscheinen unter den Clients bzw. im Query Log nur die Unifi-Geräte/-IPs:

Sprich, trotz Neustart einfach Tee trinken und abwarten?

Schau mal im Pihole unter Netzwerk, da findest du alle Geräte die überhaupt erkannt werden. Wie sehen die Pihole Einstellungen aus?

Welche PiHole Settings wären interessant?

- DNS Upstream verweist auf Unbound

- Conditional Forwarding ist aktiv

- Adlists wurden hinzugefügt

- Im Netzwerk erscheinen nur die Geräte/IPs aus dem "Management"-LAN (192.168.1.xxx)

Ich nehme an, dass ich noch irgendwie die verschiedenen VLANs (z.B. IP-Range 10.1.1.xxx) bekannt machen müsste?

Zugriff zwischen den beiden Netzen ist grundsätzlich möglich (UDM-Firewall)

Oder müssten alle Anfragen auf Port 53 an PiHole weitergeleitet/-geroutet werden?

Welcher DNS ist denn in den VLANs hinterlegt? Da musst du natürlich auch den Pihole hinterlegen, genau wie im Management LAN.

Zitat von ruezi

Welche PiHole Settings wären interessant?

Das Interface in Pi-Hole muss auf Permit all origins stehen. Wenn es nur auf das local Interface begrenzt ist, zeigt er die anderen VLAN als Gateway Adresse an.

Korrekt, das außerdem.

I

Zitat von uboot21

Das Interface in Pi-Hole muss auf Permit all origins stehen. Wenn es nur auf das local Interface begrenzt ist, zeigt er die anderen VLAN als Gateway Adresse an.

Leider werden nicht mal die Gatewayadressen der VLANs angezeigt.

Es erscheinen lediglich die IPs der UDM Pro, APs und Switches.

ich fasse noch einmal die aktuelle Situation zusammen

Management LAN (192.168.1.xxx):

- UDM Pro, 2x Switch, 3x AP, PiHole

- PiHole-IP ist unter Netzwerke als DHCP Name Server eingetragen

- PiHole-IP ist bei den Switches und APs als Preferred DNS eingetragen

VLAN 10 (10.1.1.xxx)

- PC, Handy, etc

- PiHole-IP ist unter Netzwerke als DHCP Name Server eingetragen

- Zugriff auf Management LAN vorhanden/möglich

- PiHole wird verwendet (ipconfig, nslookup)

PiHole:

- Installation nach https://forum.kuketz-blog.de/viewtopic.php?f=53&t=8759 ; nicht auf einen PI sondern Proxmox LXC Debian

- DNS-Interface Settings habe ich auf 'Permit all origins" gesetzt

Die Anfragen laufen größtenteils weiterhin über die UDM Pro (unifi.localdomain/192.168.1.1).

Alle weiteren IPs kommen aus dem Management LAN und sind die weiteren Netzwerkgeräte.

Aus VLAN 10 sehe ich nichts.

Ich habe meinen pihole nicht im Management LAN, sondern direkt im LAN mit VLAN, also da wo ich möchte, dass pihole greift.

Ich habe aber:

- IPv6 komplett deaktiviert

- unter DHCP DNS Server keine weitere Adresse eingetragen, nur die IP des piholes

- Das Interface in Pi-Hole muss auf Permit all origins stehen -> da habe ich "Allow only local requests" stehen

Schau mal welche Anfragen von der UDM kommen. Scheinbar ist noch was nicht korrekt eingerichtet. Hast du bei den Endgeräten die udm noch als zweiten dns eingetragen? Die unifi Geräte bekommst du da nur aus der Statistik raus wenn du den pihole dort nicht einträgst, die brauchen den auch nicht. Was steht im pihole unter Netzwerk, erkennt er die anderen Geräte?

jkasten mein Beitrag soll aufzeigen, wie ich es gemacht habe, entgegen den Angaben von ruezi gibt es da einige Abweichungen. Bei mir funktioniert pihole, auch die Statistiken zeigen direkt die betroffenen Clients auf.

kaetho ich hab es so ähnlich wie du laufen. Funktioniert wunderbar. Das funktioniert grundsätzlich auch wenn der Pihole im anderen VLAN ist. Aber dafür müssen die Einstellungen passen.

Unifi Network:

PiHole habe ich nun wieder aus den Netzwerkgeäten entfernt

-> Entweder stand das hier im Thread oder in einem anderen hier im Forum, dass das PiHole auch bestenfalls als 'Preferred DNS' in den Geräten hinterlegt werden soll/muss

Netzwerkverkehr zwischen 'Management LAN' und 'VLAN 10' kann aktuell ohne Einschränkungen stattfinden (Keine Firewallregeln aktiv)

PiHole (Statistiken frisch zurückgesetzt

Auf jeden Fall schon einmal Danke für die bisherigen Hinweise und Unterstützung

Sieht soweit korrekt aus. Ich frags noch mal, was steht im Pihole unter Netzwerk. Da siehst du ja alle Geräte die im Netz sind und auch die die den Pihole nicht benutzen.

Der Screenshot aus PiHole -> Tools -> Network ist mit angefügt.

Dort sind nur die 8 Einträge (UDM Pro, APs, Switches, PiHole selbst)

Oder ist ein anderer Punkt in der PiHole-Konfiguration gemeint?

Sorry, übersehen. Wenn du auf den Clients guckst, ist dort auch wirklich der DNS per DHCP eingestellt? Es fragt ja nicht ein Gerät aus deinem Netzwerk den Pihole an. Wie sieht die Firewallregel aus die den DNS Verkehr auf Port 53 zwischen den VLANs erlaubt?

z.B. ein Desktop-Rechner -> Sieht für mich soweit "ok" aus

Der Netzwerktraffic zwischen 'Management LAN' und 'VLAN 10' ist nicht geregelt, sprich es existiert keine ALLOW und/oder DROP-Regel.

Sprich eigentlich sollte/müsste da alles hin- und herfunken können. -> Ping auf PiHole <1ms

(Das Firewall-Thema wird dann bei den anderen VLANs relevant)

An dem genannten Client kannst du auch ganz normal surfen? Erstell mal eine allow Regel für UDP 53 auf den Pihole aus dem VLAN10.