WAN Secondary DNS Server

Es gibt 25 Antworten in diesem Thema, welches 3.616 mal aufgerufen wurde. Der letzte Beitrag () ist von jkasten.

    Hallo Gemeinsam,


    ich habe ein Problem feststellen können, wo ich mir nicht sicher bin ob dies wirklich so gehört...

    Ich habe bei mir im Netzwerk lokal einen DNS Server laufen (AdguardHome) unter der IP: 10.1.10.3


    In der UDM habe ich bei Internet/WAN den DNS Server auch eingetragen --> funktioniert alles Super.


    Nun aber zum Problem:

    Unter Secondary DNS Server habe ich einen weiteren DNS Server mit der IP Adresse 10.0.10.3 eingetragen, welcher an Standort B steht und mittels Site2Site OpenVPN verbunden ist.


    Wenn nun der DNS Server 1 seine Funktion einstellt, sollte die UDM auf DNS Server 2 umschalten. Leider bricht aber in dem Fall die gesamte DNS - Auflösung zusammen.

    Der DNS Server 2 welcher immer noch per VPN verbunden ist, ist zu diesem Zeitpunkt aber per Ping immer noch erreichbar und kann auch DNS Anfragen beantworten.


    Ist das Problem bei meiner Konfiguration oder ist hier ein BUG in der Software 3.x?

    Warum im WAN eingetragen? Da haben die eigentlich nichts zu suchen. Die Clients sollen die ja haben. Davon ab wird der zweite DNS auch zwischendurch so mal benutzt wenn der erste nicht schnell genug antwortet. Macht also auch keinen Sinn.

    Ja diverse... du hast in der Auswertung im Adguard nur noch dein Gateway, kannst nicht zb einzelne Geräte ausnehmen oder Seiten frei geben usw.

    Zitat von robotsox

    Es sollte ja auch mit den WAN DNS Servereinträgen gehen?

    Wie soll das gehen, da kannst du nur global für alle frei geben. Die Statistiken im Adguard sind dann auch unbrauchbar.

    Zitat von DesertH2O

    Kann die UDM überhaupt die DNS Anfragen durch die VPN routen wenn der im WAN eingetragen ist?

    Nein, das geht auch so nicht.

    Zitat von jkasten

    Warum im WAN eingetragen? Da haben die eigentlich nichts zu suchen. Die Clients sollen die ja haben. Davon ab wird der zweite DNS auch zwischendurch so mal benutzt wenn der erste nicht schnell genug antwortet. Macht also auch keinen Sinn.

    Stehe ich jetzt auf dem Schlauch. Den DNS trägt man doch im WAN ein oder er wird vom ISP übermittelt. Von da aus wird er doch dann per DHCP in die einzelnen Netze weiterverteilt. Gut man kann die Automatik bei DHCP ausschalten und dann für jedes Netz einzelne DNS hinterlegen, aber nicht üblich.

    Und wie geht Traffic Management damit um?

    Zitat von phino

    Stehe ich jetzt auf dem Schlauch. Den DNS trägt man doch im WAN ein oder er wird vom ISP übermittelt. Von da aus wird er doch dann per DHCP in die einzelnen Netze weiterverteilt. Gut man kann die Automatik bei DHCP ausschalten und dann für jedes Netz einzelne DNS hinterlegen, aber nicht üblich.

    Und wie geht Traffic Management damit um?

    Die Gründe stehen ja in meinem anderen Post. Wenn man natürlich einfach nur DNS nutzen will und keinen Adblocker, dann kann man das so machen. Dann bekommen die Clients das Gateway als DNS. Wenn man allerdings sowas wie Adguard oder Pihole nutzen möchte, haben die DNS an der Stelle nichts verloren.

    Gefällt mir 1
    Zitat von phino

    Warum nicht, ist doch nur eine Sache des Routing. Der 1.1.1.1 steht doch auch irgendwo. Und das der Weg nun ein VPN ist, sollte doch da keine Rolle spielen, nur ist man selber für das Routing zuständig. Allerdings wäre eine Route durch ein VPN nicht mein Favorit.

    Die UDR selber weis ja nicht das der DNS über den Site2Site zu erreichen ist. Das LAN schon. Man könnte das natürlich mit Routen hinbasteln, aber warum so kompliziert?

    Zitat von bic

    Doch ... man trägt dann da Adguard oder Pihole ein :smiling_face:

    Mit den genannten Nachteilen, aber das bleibt euch überlassen. :winking_face:

    Zitat von jkasten

    Die UDR selber weis ja nicht das der DNS über den Site2Site zu erreichen ist.

    Das ist aber doof :winking_face: Die Sophos weiß das, da die Routen beim Anlegen des VPN gleich mit angelegt werden, so dass die Auflösung auch über das VPN klappt:



    (Der 1.11er ist local und der 0.14er ist der über das VPN verbundene entfernte DNS)

    Zitat von jkasten

    Mit den genannten Nachteilen,

    Wieso, ist doch schön übersichtlich:



    Der "Ipaq" ist übrigens der AD-DNS, welcher den pi abfragt, welcher sich sodann eines PowerDns-Resolvers bedient. Die Upstreamserver sind daher genauso übersichtlich:



    Wenn ich dann wissen will, welcher Host welchen Mist verzapft, wende ich mich halt vertrauensvoll an die Firewall :winking_face:

    Für mich komplett unbrauchbar... Ich habe durchaus Clients die nichts geblockt haben dürfen und das fällt so flach. Was eine Sophos kann, ist hier auch uninteressant. Unifi kann nun mal nicht das gleiche wie eine Sophos.

    Danke für die Antworten,

    ich habe zwischenzeitlich nun probiert die DNS Server per DHCP zu verteilen.

    Man erhält dann zwar die detailierte Auswertung im AdguardHome, jedoch funktioniert das "Failover" über DNS Server 2 wenn 1 nicht erreichbar ist, trotzdem nicht.


    Hat jemand eine ähnliche Konstelation und weiß was man hier tun muss damit DNS Server 2 (über Site2Site VPN") für die UDM funktioniert?

    Alle Teilnehmer erreichen den DNS Server 2 ja wenn DNS Server 1 nicht mehr erreichbar ist...

    Zitat von robotsox

    Man erhält dann zwar die detailierte Auswertung im AdguardHome, jedoch funktioniert das "Failover" über DNS Server 2 wenn 1 nicht erreichbar ist, trotzdem nicht.

    (so, dann noch einmal)

    Das kann ja auch nicht funktionieren. So, wie ich es verstehe, hast Du Deinen Clients per DHCP mitgeteilt, dass diese als DNS-Resolver Deinen Adguard verwenden sollen. Damit ist jedoch die UDM raus, denn alle Clients wenden sich vertrauensvoll an den Adguard. Fällt der dann aus, stehen die Clients doof da, denn von einem Ersatz-DNS-Resolver wissen diese ja erst einmal nichts.


    Klappen würde dass dann nur, wenn man den Clients von vornherein per DHCP (oder von Hand) einen zweiten (oder dritten, vierten...) DNS-Resolver mitgibt, welchen diese beim Ausfall des ersten verwenden, daher anfragen. Aber hier geht die Initiative dann von den Clients aus, die UDM hat in diesem Vorgang keinerlei Aktien (fraglich ist zudem, ob die UDM, wenn diese als DHCP-Server dient, mehrere DNS-Resolver-Adressen verteilen kann und ob alle Clients auch mit meheren dieser umgehen können).


    Willst du jedoch die UDM als DNS-Resolver nutzen und diese sodann entscheiden lassen, ob nun der Adguard im Netz A oder B zur Namensauflösung verwendet werden soll, dann darf allen Clients ausschließlich die Adresse der UDM als DNS-Resolver mitgeteilt werden. Nachteil ist dann -zumindest für @jkasten- das bei den beiden Adguards nur noch die UDM als anfragender Client auftritt. Naja - einen Tod muss man halt sterben :face_with_tongue:


    Ach so, obiges Geschreibsel gilt erst einmal nur für die Internetnamensauflösung. Will man aber auch noch lokale Namen der am VPN beteiligten Netze quasi über Kreuz auflösen, wird es etwas figelinscher. Denn dann benötigt man einen DNS-Dienst/Server, welcher mehrere Zonen verwalten kann - geht aber auch :smiling_face: