Um schreiben oder kommentieren zu können, benötigen Sie ein Benutzerkonto.
Sie haben schon ein Benutzerkonto? Melden Sie sich hier an.
Jetzt anmeldenHier können Sie ein neues Benutzerkonto erstellen.
Neues Benutzerkonto erstellen
Es gibt 17 Antworten in diesem Thema, welches 11.747 mal aufgerufen wurde. Der letzte Beitrag () ist von awmst4.
Hallo Leute,
vielleicht kann mir ja einer schnell helfen 
Folgendes Problem
Bei mir läuft piHole auf der Synology und funktioniert auch soweit in allen Netzen perfekt.
Jetzt würde ich aber gerne das eingerichtete Gästenetzwerk ebenfalls über piHole laufen lassen.
Irgendwie stehe ich aber auf dem Schlauch, wo trage ich den DNS ein und wie muss ich das Routing bzw. die Firewall konfigurieren?
Das Netzwerk ist ja sinnigerweise als "Guest" und nicht als "Corporate" eingerichtet
Hi,
Du kannst doch im Gäste-LAN den DNS auch konfigurieren. Ich kann das zumindest (CK1 mit 6.0.23). Das sollte bei Dir doch auch gehen.
Was ich allerdings noch nicht umgesetzt habe ist, dass alle Anfragen an Port 53 auf den pi-hole weitergeleitet werden. Denn ich kann ja an den meisten Clients den DNS-Server selbst setzen und das "Loch" damit umgehen. Wenn Du das aber so löst, dann hilft das Ändern des DNS-Servers am Client nix mehr. 
Wie Razor schon gesagt hat, einfach das Gäste-Netzwerk editieren, runterscrollen bis zum Gateway und dann als ersten DNS den Pi-Hole hinterlegen.
Sieht dann so aus
Hi,
erstmal Danke für die Info, muss ich mal versuchen.
Ich dachte das es sich beim einen um ein Corporate Netzwerk handelt und beim Anderen um ein Guest-Netzwerk würde das so nicht funktionieren!
PiHole im Gästenetzwerk soll nicht die Gäste gängeln oder einschränken sondern nur die lästige Werbung blocken.
Wenn einer aber unbedingt Werbung haben will kann er gerne einen eigenen DNS-Server verwenden, da bin ich schmerzfrei 
Wie Razor schon gesagt hat, einfach das Gäste-Netzwerk editieren, runterscrollen bis zum Gateway und dann als ersten DNS den Pi-Hole hinterlegen.
Sieht dann so aus
Hi,
nein das hat nicht funktioniert.
Bist du sicher das du das Gästenetz auch als "Guest" und nicht als "Corporate" angelegt hast?
Gästenetzwerke können per default nicht in andere Netze, das ist ja mein Problem!
Wenn ich im Gästenetz eingeloggt bin kann ich das Netzwerk das ich als DNS nutzen möchte auch nicht anpingen, dann nutzt mir auch ein Eintrag des DNS-Servers nix oder?
Alles anzeigenHi,
nein das hat nicht funktioniert.
Bist du sicher das du das Gästenetz auch als "Guest" und nicht als "Corporate" angelegt hast?
Gästenetzwerke können per default nicht in andere Netze, das ist ja mein Problem!
Wenn ich im Gästenetz eingeloggt bin kann ich das Netzwerk das ich als DNS nutzen möchte auch nicht anpingen, dann nutzt mir auch ein Eintrag des DNS-Servers nix oder?
An das Problem (ping) hatte ich auch schon gedacht, allerdings war ich unterwegs.
MMn kann es nur zwei Lösungen geben:
Ich konnte die Konfiguration noch nicht prüfen, unterstütze aber Deine Meinung dejay.
Ok - sehr mysteriös. Ich habe das gerade mal mit meinem iPad verifiziert. Bei mir funktioniert es und es ist als GUEST definiert (siehe Screen)
Allerdings sehe ich im QueryLog vom PiHole nur die IP meines APs über den mein iPad verbunden ist.
Jedesfalls in 9 von 10 Fällen. Nur ganz selten steht dort auch der Hostname (ipad.local) - kann aber auch ein PiHole (oder Firewall) Thema sein, denn bei den Requests aus meinem anderen VLAN (HOME) werden alle Hostnamen angezeigt.
Sonst vergleiche mal deine "Standard-Regeln" mit meinen hier... nicht das ggf. eine sonst automatisch hinterlegte Regel nicht automatisch angelegt wurde.
Ok - sehr mysteriös. Ich habe das gerade mal mit meinem iPad verifiziert. Bei mir funktioniert es und es ist als GUEST definiert (siehe Screen)
Ich vermute mal ganz stark das dein Gerät nicht über piHole läuft.
Ich nehme an du verwendest zusätzlich auch AD-Blocker in den Browsern, dann merkst du garnicht das er nicht über piHole geht.
In Deinem Screen hast du zwei weitere DNS-Einträge, ich denke er verwirft den ersten und nimmt den zweiten Eintrag.
Nimm einfach mal die zwei unteren DNS-Einträge raus und du wirst gleich sehen ob du noch ins Internet kommst!
Das mit dem Port hört sich gut an, wenn ich wieder Zeit habe werde ich das mal testen, das klingt plausibel.
Ping doch mal den DNS über dein iPad, das wäre Möglichkeit zwei.
Alles was über piHole läuft wird eigentlich sauber eingetragen und ich finde sehr viele Einträge meiner Geräte.
Wir haben heute den Pi-Hole endlich mal installiert und er läuft jetzt ganz gut... Werbeblocker auf allen iPads usw... entfernt und jetzt sind sie sogar viel schneller beim surfen Und es rennt...
Ich habe den DNS einfach in den Telekom Verbindungsdaten hinterlegt. Somit gibt es keine Chance ohne den Pi-hole ins Netz zu kommen.
Alles anzeigenIch vermute mal ganz stark das dein Gerät nicht über piHole läuft.
Ich nehme an du verwendest zusätzlich auch AD-Blocker in den Browsern, dann merkst du garnicht das er nicht über piHole geht.
In Deinem Screen hast du zwei weitere DNS-Einträge, ich denke er verwirft den ersten und nimmt den zweiten Eintrag.
Nimm einfach mal die zwei unteren DNS-Einträge raus und du wirst gleich sehen ob du noch ins Internet kommst!
Das mit dem Port hört sich gut an, wenn ich wieder Zeit habe werde ich das mal testen, das klingt plausibel.
Ping doch mal den DNS über dein iPad, das wäre Möglichkeit zwei.
Alles was über piHole läuft wird eigentlich sauber eingetragen und ich finde sehr viele Einträge meiner Geräte.
Das hatte ich schon gemacht, um genau das auszuschließen.
Fazit: Auch mit einem DNS funktioniert es einwandfrei.
Es wird ja auch alles sauber eingetragen, was im gleichen VLAN ist - nur Clients aus anderen VLANs werden oft nur mit der IP eingetragen und nicht mit dem Hostname.
Nach etwas googlen ist das aber wohl auch normal - 100% sauber macht der PI Hole das nur, wenn man ihn auch als DHCP nutzt (siehe Screen) - was ich natürlich nicht mache.
Ich hätte da ein Update, das ist aber wirklich schräg
Ich habe den DNS einfach in den Telekom Verbindungsdaten hinterlegt. Somit gibt es keine Chance ohne den Pi-hole ins Netz zu kommen.
Kleiner Irrtum vom Amt, es gibt mehrere Stellen an denen man die DNS Einträge vornehmen kann (siehe auch Konversation weiter oben)
Dein Posting veranlasst mich zur Annahme, das bei dir eine der 3 Möglichkeiten vorliegt:
1. Du verwendest nur Netzwerke vom Typ "Corporate", nicht aber vom Typ "Guest"
Diese Netze können per default auch untereinander zugreifen. Deshalb kannst du, wenn du den Radius Server (VPN-Zugriff) betreibst und dort eine ganz andere IP-Range hast trotzdem auf dein Hauptnetz (wo beispielsweise dein Server steht) mit dessen lokaler Adresse zugreifen.
Die Netze können munter untereinander kommunizieren, da legt man dann mit entsprechenden Firewall-Regeln nach.
2. Du verwendest ein Netzwerk vom Typ "Guest", hast aber weitere DNS Einträge.
Habe ich inzwischen mehrfach getestet. Gästenetzwerk kann per default nicht auf dein Corporate-Netzwerk zugreifen. Wenn du jetzt einen piHole auf deinem NAS betreibst und das in den DNS einträgst, dann kann der Gast nicht zugreifen! Ergo schaut das System ob es einen anderen DNS-Eintrag findet und verwirft den ersten Eintrag. Damit geht der Traffic nicht über piHole, oder wenn es nur diesen Eintrag gibt gibt es keinen Internetzugriff 
DNS-Einträge kannst du sogar an jedem AP vergeben, das greift aber nur wenn das Gästeportal aktiviert ist (habe ich gelernt)
3. Du verwendest ein Netzwerk vom Typ "Guest" und hast tatsächlich nur einen DNS-Eintrag (was nur für Testzwecke Sinn macht) 
Dann hast du das Geheimnis gelüftet an dem ich (und wie ich in den einschlägigen Foren gelesen habe) und einige andere herumtüfteln
Dann bin ich an deinem Setting mehr als interessiert, nur der Eintrag bei den Telekomdaten kann es nämlich nicht sein
Tatsächlich habe ich ein paar Ansätze gefunden, die ich bei Gelegenheit mal checken muss (habe einige interessante Hinweise bekommen).
Eigentlich brauche ich das ja nicht wirklich, ich bin halt Perfektionist und während andere Netflix schauen, beschäftige ich mich mit solchen Dingen. Ich bin zwar Informatiker aber leider kein gelernter "Netzwerker" 
Viel geschrieben, was vermutlich nicht viele außer mir interessiert
Das hatte ich schon gemacht, um genau das auszuschließen.
Fazit: Auch mit einem DNS funktioniert es einwandfrei.
Es wird ja auch alles sauber eingetragen, was im gleichen VLAN ist
Genau das ist der springende Punkt, leg mal ein Gästenetzwerk an, das auch vom Typ "Guest" ist und versuch Dein Glück
Hi Dejay,
ja, ich habe gestern gesehen, dass meine Gäste wohl kein Internet haben... Egal...war nur zum Testen (vorerst jedenfalls).
Mir war erst einmal wichtig, dass es normal läuft. Finetunning kommt die nächsten Tage wenn ich Zeit habe.
Sorry, wenn ich das so falsch angegeben habe
dejay - dann ist der entscheidende Unterschied:
ZitatDNS-Einträge kannst du sogar an jedem AP vergeben, das greift aber nur wenn das Gästeportal aktiviert ist (habe ich gelernt)
Mein GästeLAN (was auch, wie man oben ja sehen kann, als GUEST definiert ist) hat nämlich ein Gästeportal
Gut zu wissen, dass es wohl daran lag.
Generell werde ich aber jetzt zur Sicherheit folgende Regel bei den Gästen aktivieren - denn in 3 Monaten schalte ich ggf. mal ein GästeLan ohne Portal und Frage mich dann wieder warum, wieso und weshalb
Ach ich Schlumpf -- hast Recht -- das default = drop ist, lerne ich auch noch irgendwann
Muss natürlich ACCEPT sein.
Für die anderen VLANS habe ich in LAN IN ja schon die entsprechende Regel - siehe hier --> Firewall sucht Profi :)
Hallo Networker
Accept
Auch die Antworten im Positiver Betrachtung der Richtigen antworten... in Beantwortung
Ich kann immer nur Wiederholen (wie im fast jeden Antwort Thread meinerseits
LAN IN // bzw. GUEST IN
( für die Haupt Regelung )
Alles was vom Internet auf die WAN-Schnittstelle des Security Gateway kommt, ist WAN IN. Es kommt also Datenverkehr aus dem Internet zum Security Gateway. Ein Blick in die Regeln zeigt auch eventuelle Portweiterleitungen. Diese werden absichtlich und gewollt vom Internet in das private Netzwerk dahinter gelassen. Die Firewall prüft also, was kommt vom Internet auf das USG (die Firewall) und was soll damit passieren.
Der Datenverkehr vom privaten Netzwerk ins Internet ist hier gemeint. Möchte ich zum Beispiel für alle Netzwerke dahinter den Port 22 für SSH blockieren, ist hier der richtige Ort. Allerdings heißt das auch, für wirklich alle Netzwerke dahinter.
Hier sind keine Einstellungen nötig. Es betrifft die Services der Firewall selbst an der WAN Schnittstelle. Beispielsweise sind hier Regeln definiert, wenn ein VPN-Server auf dem USG eingerichtet wurde. Da kein weiteres Gerät im Netzwerk ein VPN-Server ist, wird es unter WAN LOCAL definiert.
Einfach definiert, der Datenverkehr welcher aus den privaten Netzwerken geht. Ziel ist an der Stelle irrelevant, da es aus dem LAN gehend soll.
Wenn Daten in die privaten Netzwerke gehen sollen, dann ist LAN IN der richtige Ort für Regeln. Übrigens ist es sinnvoll, hier die Regeln für die Netzwerke zu setzen, wenn etwas blockiert werden soll. Nutze ich nämlich LAN OUT, kann ich sehr wohl im gleichen Subnetz via SSH auf einen Rechner zugreifen, wenn ich das blockiert habe. Definiere ich die Regel hier, ist das nicht so.
Der Datenverkehr der USG Firewall für die LAN-Schnittstelle, also alle lokalen privaten Netzwerke.
Analog dem LAN ist die Aussage für das Gastnetzwerk zu verstehen.
VLan Netzwerke, wenn denn dann
Bei jedem VLAN ist die Erste IP adresse immer der Gateway (USG / UDM) somit also 192.168.0.1 ist gleich VLAN 10 / 10.10.10.1 VLAN 20 / 10.20.20.1 usw.
DNS / Namens Server = USG ....
Verweise auf Tutorial
.
vielleicht denke ich da zu primitiv? man trägt einfach den Pi-Hole im Gästenetzwerk als DNS ein und gut ist. den rest macht der Controller selbstständig.
