WAN Secondary DNS Server

Es gibt 25 Antworten in diesem Thema, welches 3.544 mal aufgerufen wurde. Der letzte Beitrag () ist von jkasten.

    Ich habe mein Problem denke ich gefunden:

    Ich bin nun wieder auf meine Ursprungskonfig zurückgegangen, sprich DNS Server am WAN Interface eingetragen und nicht per DHCP.


    Wenn ich mich per SSH auf der UDM anmelde, und einen Ping an den DNS Server am Ende der Site2Site VPN Verbindung probiere, schlägt der Ping fehl.

    Probiere ich den Ping an dieselbe DNS Server IP-Adresse vom Laptop aus, funktioniert dies wunderbar.


    Wie kann ich der UDM selber sagen, wie sie den DNS Server durch den Site2Site Tunnel erreichen kann?

    Muss dazu eine Static Route eingetragen werden im Webinterface?

    Zitat von robotsox

    Muss dazu eine Static Route eingetragen werden im Webinterface?

    Wie ich schon oben schrieb, ist die Route ja vorhanden, da beim Einrichten des VPNs automatisch angelegt. Wäre es anders, käme auch dein Laptop nicht durch den Tunnel. Ist vielleicht lediglich für Deine UDM ICMP geblockt, so, wie man dies am WAN-Port eigentlich immer machen sollte?

    Zitat von bic

    Klappen würde dass dann nur, wenn man den Clients von vornherein per DHCP (oder von Hand) einen zweiten (oder dritten, vierten...) DNS-Resolver mitgibt, welchen diese beim Ausfall des ersten verwenden, daher anfragen. Aber hier geht die Initiative dann von den Clients aus, die UDM hat in diesem Vorgang keinerlei Aktien (fraglich ist zudem, ob die UDM, wenn diese als DHCP-Server dient, mehrere DNS-Resolver-Adressen verteilen kann und ob alle Clients auch mit meheren dieser umgehen können).

    In dem Netzwerk-Bereich kann man ja für jedes Netz DHCP konfigurieren. Wenn man die Automatik für DNS ausschaltet, kann man extra 4 DNS-Server eintragen.

    Zitat von bic

    Wie ich schon oben schrieb, ist die Route ja vorhanden, da beim Einrichten des VPNs automatisch angelegt. Wäre es anders, käme auch dein Laptop nicht durch den Tunnel. Ist vielleicht lediglich für Deine UDM ICMP geblockt, so, wie man dies am WAN-Port eigentlich immer machen sollte?

    Die Route ist vorhanden, aber nur für das interne Netz und nicht die UDM selber. Das ist das Problem meiner Meinung nach. Des weiteren gibt es kein Failover im klassischen Sinne bei DNS Servern. Sobald man zwei einträgt, werden auch beide benutzt. Wenn auch die Prio auf dem ersten liegt.

    Zitat von jkasten

    Des weiteren gibt es kein Failover im klassischen Sinne bei DNS Servern. Sobald man zwei einträgt, werden auch beide benutzt. Wenn auch die Prio auf dem ersten liegt.

    Schon klar, aber ich glaube, darum ging es dem TE überhaupt nicht. Ich meine, dieser wollte lediglich einen Ersatz-Server haben, wenn einer mal ausfällt. Warum der TE nun meint, es könnte ein Pihole/Adguard überhaupt mal ausfallen und warum dann der zweite unbedingt im nur per VPN erreichbaren Netz stehen muss, weiß nur allein der TE.

    Wenns darum geht einen Ersatzserver zu haben, dann zwei Adguard aufsetzen und die eintragen. Alles andere wäre am Ziel vorbei. Und vor allem im DHCP und nicht im WAN eintragen, sonst beschränkt man die Funktionalität auf ein Minimum und das unnötigerweise.