DNS auf UDM nicht einstellbar - immer funktionsfähig

Es gibt 7 Antworten in diesem Thema, welches 2.865 mal aufgerufen wurde. Der letzte Beitrag () ist von noexpand.

    Hallo liebe IT community,



    ich bin aktuell am Verzweifeln mit meiner UDM. Aufgekommen ist alles bei dem simplen Versuch ein AdGuard oder PiHole zunächst auf Basis von Docker mit MacVlan später direkt auf einem RasPi ans laufen zu bringen. Nach vielen Stunden hin und her, leserei und testrei komme ich nicht weiter.


    Ich würde ich gerne die Funktionsweise der UDM besser verstehen, vielleicht kann mich dabei jemand von euch unterstützen.



    Folgendes habe ich an der UDM festgestell beim testing für Pihole und Adguard in der UDM festgestellt:


    • Im VLAN eines Netzwerkes den DNS (komischer weise DHCP Name Server genannt) auf eine beliebige nicht in meinem Netz verfügbare IP gesetzt -> Internet access läuft ohne Probleme -> nslookup zeigt die gewählte IP als korrekten DNS an -> Clients haben gesetzten DNS
    • Im VLAN eines Netzwerkes alle vier DNS Felder (komischer weise DHCP Name Server genannt) auf eine beliebige nicht in meinem Netz verfügbare IP gesetzt -> Internet access läuft ohne Probleme -> nslookup zeigt die gewählte IP als korrekten DNS an - -> Clients haben gesetzten DNS
    • Zusätzlich in den LAN settings ebenfalls beide DNS Felder auf irgendeine nicht gültige oder verfügbare IP gesetzt. -> Internet access läuft ohne Probleme -> nslookup zeigt die gewählte IP als korrekten DNS an.
    • Um dem Ganzen die Krone aufzusetzen, habe ich auf meinem iPhone und Macbook den DNS manuell gesetzt. Soweit ich weiß überschreibt dies alle Einstellungen die vom DHCP kommen. Auch hier eine völlig zufällig nicht vorhandene interne IP gewählt -> Internet access und damit DNS geht trotzdem


    Vor der UDM hängt eine Vodafone HomeBox im Bridge mode. Ich kann mir das Verhalten der UDM wie oben beschrieben nicht erklären, aber Fakt scheint doch, dass ein manuell gesetzter DNS nicht greift. Und zwar in keinem der Fälle. Auf Grund dieses Verhaltens sind logischer weise auch keine DNS Anfragen beim Adguard oder Pihole gelandet außer die direktem vom RasPi Host.

    Ich bin mir nocht sicher, ob evtl. etwas an meinen Firewallrules Probleme bereitet, aber auch hier habe ich hin und her probiert ohne Erfolg. SSH und ICMP Traffic, allgemein TCP, UDP traffic kann ich z.B.: vom Macbook als Client zum RasPI oder dem MacVLan im Docker problemlos erlauben oder eben auch nicht. Ein Routing der DNS ANfragen zum Pihole findet aber nicht statt.


    Kennt dieses Verhalten jemand? Was mache ich evtl. falsch? Wo ist der Haken? Womit kann ich evtl. den Traffic mitschneiden im mal zu sehen welcher DNS scheinbar irgendwo im Hintergrund immer gültig ist? Hat jemand weitere Ideen?



    Danke für euer Feedback!

    Was passiert wenn du unter Settings > Internet > WAN > Advanced > dort den DNS Server einträgst?


    Ehrlich gesagt habe ich noch nicht ganz Verstanden ob du jetzt den DNS Server (der die Namensauflösung macht) ändern möchtest oder den DHCP Server welcher die IP Adressen vergibt?


    Willkommen im Forum.

    Hast du nach den Ändern auch mal die Client restartet oder zumindest eine DHCP-Renew gemacht, damit der die neuen Einstellungen vom DHCP-Server auf zieht ?


    Ansonsten bleiben die alten Einstellungen im Client solange aktiv, bis der sich nach Ablauf der Leasetime über eine erneute Anfrage beim DHCP-Server Daten holt.

    danke für das prompte Feedback.


    Also ich möchte definitv den DNS Server ändern. Die Netze sind weiterhin per DHCP, wobei ich einigen Geräten so z.b.: auch dem RasPi fixe Ips zugewiesen habe. Umgesetzt direkt über die UDM, mittels fixe IP nutzen. Geht anders i know, aber so sollte es auch gehen.


    Settings > Internet > WAN > Advanced > dort den DNS Server einträgst? - genau den Weg bin ich gegangen - ohne Erfolg wie beschrieben.


    Cient RenewRelease, WLan on/off oder auch restart habe ich ausgeführt. Auch immer geprüft welcher DNS nun eingetragen ist.

    Hast du ein Linux-System im Netz, dann mache dort mal eine :


    nmap --script broadcast-dhcp-discover -e eth0

    (Netzwerkname ggf. anpassen)


    um zu sehen was per DHCP am Client ankommt. Wie das bei Windows geht, weiss ich nicht

    also nmap zeigt mir genau die infos auf dem NIC die auch in den VLAN settings als DNS eingestellt sind. AKtuell eben eine sinnlose IP in allen 4 Slots. Was ich allerdings auf dem Ubuntu System gesehen hab, dass eine IPv6 Addresse zugewisen wird.


    scan auf mein Gateways zeigt mir allerdings, dass 6789 offen ist. kp warum? Port 53 ist ebenfalls offen

    Ich versuch mich mal an einer Erklärung:

    • die DNS Server des WAN kommen via DHCP von Deinem ISP. Möchtest Du andere DNS verwenden, so sind diese entsprechend in den Internet-Einstellungen zu ändern.
    • die Rolle eines DNS Servers für ein LAN nimmt ohne Änderungen die UDM (Pro) unter ihrer Gateway-Adresse wahr. Möchstest Du via DHCP an Deine LAN Clients einen anderen DNS Server verteilen, geht das entsprechend in den Netzwerk-Einstellungen des LANs.

    Also der Weg (ohne Änderungen) ist LAN Client -> GW / UDM, UDM -> WAN DNS


    Ich weiß im Moment nicht, ob man einen lokalen DNS Server an zentraler Stelle vereinbaren kann. Eintragung einer internen IP im WAN-Bereich ist vielleicht möglich, erfordert dann aber sicher Änderungen an der Firewall. Darum hab ich Pi Hole lediglich im DHCP Bereich des LAN (192.168.10.0/24) eingetragen, entsprechend hat der Raspberry eine IP aus dem Netz (192.168.10.2).


    Ich scheitere allerdings gerade daran, dass ich IPv6 an WAN aktiv habe (/59 Prefix) und ins LAN über Prefix-Delegation weiterleite. Leider ist man seitens Ubiquiti nicht darauf vorbereitet, dass das IPv6 Präfix bei einem deutschen ISP dynamisch ist. Die IPv6 Adresse des Raspberry ist also nicht stabil.


    Zitat

    scan auf mein Gateways zeigt mir allerdings, dass 6789 offen ist. kp warum?


    Ist ein Java Prozess, ich vermute mal das Web-UI

    Code
    /usr/bin/java -Dfile.encoding=UTF-8 -Djava.awt.headless=true -Dapple.awt.UIElement=true -Dunifi.core.enabled=true -Dorg.xerial.snappy.tempdir=/usr/lib/unifi/run -Xmx768M -Xss1024K -XX:MinHeapFreeRatio=0 -XX:MaxHeapFreeRatio=50 -XX:-TieredCompilation -XX:+ExitOnOutOfMemoryError -XX:+CrashOnOutOfMemoryError -XX:ErrorFile=/usr/lib/unifi/logs/hs_err_pidunifi.log -jar /usr/lib/unifi/lib/ace.jar start


    Zitat

    Port 53 ist ebenfalls offen


    Port 53 ist DNS und begründet, da die UDM Pro einen DNS Server / DNS Proxy zur Verfügung stellt. Das kann man sehr gut erkennen, wenn man sich via ssh auf UDM (Pro) begibt und netstat -tulpen | grep :53 ausführt. Für jedes LAN ist eine dnsmasq Instanz auf Port 53 gebunden:




    WAN:


    LAN IPv4:


    LAN IPv6:

    Zitat von ubi_netzer_2020
    • Im VLAN eines Netzwerkes den DNS (komischer weise DHCP Name Server genannt) auf eine beliebige nicht in meinem Netz verfügbare IP gesetzt -> Internet access läuft ohne Probleme -> nslookup zeigt die gewählte IP als korrekten DNS an -> Clients haben gesetzten DNS
    • Im VLAN eines Netzwerkes alle vier DNS Felder (komischer weise DHCP Name Server genannt) auf eine beliebige nicht in meinem Netz verfügbare IP gesetzt -> Internet access läuft ohne Probleme -> nslookup zeigt die gewählte IP als korrekten DNS an - -> Clients haben gesetzten DNS
    • Zusätzlich in den LAN settings ebenfalls beide DNS Felder auf irgendeine nicht gültige oder verfügbare IP gesetzt. -> Internet access läuft ohne Probleme -> nslookup zeigt die gewählte IP als korrekten DNS an.
    • Um dem Ganzen die Krone aufzusetzen, habe ich auf meinem iPhone und Macbook den DNS manuell gesetzt. Soweit ich weiß überschreibt dies alle Einstellungen die vom DHCP kommen. Auch hier eine völlig zufällig nicht vorhandene interne IP gewählt -> Internet access und damit DNS geht trotzdem


    Vor der UDM hängt eine Vodafone HomeBox im Bridge mode. Ich kann mir das Verhalten der UDM wie oben beschrieben nicht erklären, aber Fakt scheint doch, dass ein manuell gesetzter DNS nicht greift.

    Doch, du musst es nur richtig machen (sprich: etwas Geduld haben) :winking_face:


    Es gibt in der UDM zwei Orte, an denen du etwas bezüglich DNS einstellen kannst:

    1. Settings: Internet: WAN: Advanced: DNS Server
    2. Settings: Networks: <Netzwerk>: Advanced Configuration: DHCP: DHCP Service Management: DHCP Name Server

    Warum gibt es jetzt zwei Stellen und wofür sind die jeweils gut?


    Nun, bei Nummer 1 trägst du den Name Server ein, den deine UDM fragen soll, wenn sie (entweder von sich aus, oder weil sie von irgendwem gefragt wurde) einen Namen auflösen soll. Dort kann man auch beispielsweise "Auto" einstellen, dann bekommst du automatisch die DNS-Server, die dein Provider für dich ausgesucht hat. Das, was du hier einträgst, wird auch sofort verwendet, wenn du die Einstellung gespeichert hast.


    Bei Nummer 2 trägst du den DNS-Server ein, von dem du möchtest, dass deine Clients ihn verwenden. Diese Einstellung wird an deine Clients per DHCP verteilt, daher die Bezeichnung "DHCP Name Server". Da die Verteilung per DHCP geschieht, ist klar, dass eine Änderung nicht sofort eine Wirkung erzielt. Denn alle deine Clients haben sich ihre Einstellungen ja bereits per DHCP geholt. Du in der Regel läuft ihr Lease "nur" alle 24 Stunden ab. Das bedeutet, irgendwann einmal am Tag fragt jeder Client bei deiner UDM nach: "Hey, gib ma neue Einstellungen!" Und ab da würde der neu eingetragene DNS-Server verwendet.


    BTW: die "Auto"-Konfiguration bei Nummer 1 läuft genauso ab: deine UDM fragt per DHCP bei deinem Provider nach: "Hey, gib ma neue Einstellungen". Und je nach Schalter wird dann der per DHCP gelieferte DNS-Server verwendet oder der manuell eingestellte.