Synology DNS Server oder doch besser PIHole?

Es gibt 20 Antworten in diesem Thema, welches 9.053 mal aufgerufen wurde. Der letzte Beitrag () ist von phino.

    Hallo


    Ich habe nur mal eine Frage an euch Experten.

    Ich habe die DS1819+ und lege mir jetzt aber eine RS1221 zu.

    Wie sieht das aus wenn ich einen DNS Server auf der Synology installieren und nutzen will, das ganze dann so umzusetzen.

    Einen LAN Anschluss de Synology würde ich ins MANAGE LAN bringen wollen, mit eine festen IP Adresse da drinnen.

    DNS Server auf der Synology installieren und diesen dann VLAN übergreifend nutzen wollen.

    Ist mein Gedanke so richtig oder sollte ich es liebr anders machen?

    Was sagt Ihr dazu und über Vorschläge und Hilfe wäre ich dankbar.

    Bin aber auch am überlegen einen PI Hole haben zu wollen. Aber da ist noch nicht ganz sicher ob ich einen Intel NUC, einen Raspery oder das ganze über die Synology machen kann.

    Aber das ist dann das nächste Projeckt.

    Danke.


    mfg

    Mann hat es nicht leicht, aber leicht hat es einen.. :face_with_tongue:

    Du kannst auf einem "Plus"-Modell von Synology ganz problemlos einen Phiole in Docker betreiben, dafür benötigst Du keinen gesonderten Raspberry oder dergleichen. Prinzipiell funktioniert Deine Idee erstmal so, allerdings solltest Du Dich schon vorher entscheiden was Du da genau als DNS-Server nutzen möchtest und vor allem welchem Zweck es dienen soll. :winking_face:

    Ich würde den DNS-Server auf jeden Fall in das NAS setzen, sofern dies durchläuft. Du installiert die Erweiterung Docker und darin den DNS-Server, der dir zusagt (Klassiker wäre BIND, PI-Hole geht auch). Allerdings würde ich auf jeden Fall das NAS mit Speicher aufrüsten, 4 GB sind zu wenig und mit dem Spielen/Docker kommen Bedürfnisse. :winking_face: mindestens 8 GB, besser gleich 16 GB, kommt auch dem Plattendurchsatz zugute.

    Hallo


    Ich hatte an den hier gedacht ......



    Und dann fiel mir das mit dem Pihole erst danach ein, der dann wegen dem Werbeblocker dienen soll.

    Ich habe bis jetzt mehrere Adons im Firefox die dann den Browser auch aus bremsen, auf die könnte ich dann ja verzichten, wenn ich einen Pihole installieren würde.

    Die Frage die sich dann stellt, geht Pihole nur im Docker oder auch virtuelle Maschiene.

    Arbeitsspeicher habe ich 8 GB drinn die leider NON ECC sind.

    Was mich aber nochmal auf meine erste frage bringt. Ist es sinvoll, eine LAN Schnittstelle von den vielen die ich zur Verfügung habe, in das MANAGE LAN zu bringen? Und wie gesagt dann einen DNS Server zu nutzen für alle VLANs, im ganzen vier darüber zu betreiben?

    Mfg

    Mann hat es nicht leicht, aber leicht hat es einen.. :face_with_tongue:

    Zitat von Naichbindas

    Die Frage die sich dann stellt, geht Pihole nur im Docker oder auch virtuelle Maschiene.

    Ein minimales Linux als VM (z.B. Debian) und darauf dann PiHole geht problemlos. Darauf dann noch den PowerDNS Recursor und Du bist von allen sonstigen DNS-Resolver (wie z.B. Google, Cloudflare und Quad9) unabhängig und lässt gleich die DNS-Rootserver für Dich arbeiten. Ergebnis -> schnelle Auflösung:



    und deutlich weniger Arbeit für PiHole:


    Hi,


    Was ich nur nicht verstehe ist folgendes:

    Ich habe die UDM Pro dort sind VLANS eingerichtet.

    Jedes VLAN hatt ja sein eigenes Gateway. Wenn ich jetzt in einem Netzwerk das NAS habe dort einen PIHole einrichte und dann in der UDM Pro unter Netzwerk sage das der DNS Server nicht mehr das eigene Gateway ist, sondern die IP Adresse des NAS wo der PIHole drauf ist, verwendet werden soll, dann dürfte das ganze ja nicht mehr funktionieren nach meinen Verständniss nach.

    Erstens würden dann alle Netzwerkgeräte ja den PIHole fragen, ich brauche die erreichbare IP Adresse von Google.de, der PIHole müsste dann ja theerotisch auch weiterfragen und zwar einen DNS Server im Internet der diese Adresse kennt.

    Da er aber nicht raus kommt, da dieses eigene VLAN Gateway nicht mehr gerfragt wird, würde ich mich ja im Kreis drehen.

    Zu gut deutsch, ein Netzwerk aus dem 192.168.2.0/24 Netz fragt theoretisch das Gateway 192.168.2.1, das für die Verbindung in Internet steht, nach der Adresse.

    Wenn ich aber dem gesamten Netzwerk sage nutze aber als DNS Abfrage den PIHole auf 192.168.2.6 dann fragt alles dort nach aber der NAS oder der PIHole kann aber kein Gateway nach aussen evtl. 192.168.2.1 fragen weil das Netzwerk seine IP Nutzen soll. Also fragt der NAS oder der PIHole auch wieder sich selber, was aber nicht im Sinne des Erfinders ist.

    Und die IP Adresse 192.168.2.6 ist eine private IP Adresse die keine Verbindung zum Internet haben sollte, dnn dafür sind ja bekanntlich Gateways da, die private von Öffentlichen IP´s trennen. Der Pihole kennt ja auch nicht alle Adressen. Also wie kann das denn überhaupt funktionieren.

    Als zweitens, wenn ich einen PIHole nutze wie gesagt als Beispiel 192.168.2.6, und die Geräte aus einem anderem VLAN mit IP 192.168.3.4 und 192.168.3.5 als Beispiel, geht ja nur wenn ich die Regel unter Firewall, LAN LOKAL die Blokaden wo eingerichtet ist das sich die Gateways untereinander nicht unterhalten doch wieder sehr aufweichen muss, was eigentlich doch wieder kontraproduktiv ist.

    Denn leider haben ich und andere schön öfters mal die Erfahrung gemacht das trotz Firewallregeln sich Geräte aus verschiedenen VLANS bei Unifi trotzdem nicht wie gewünscht unterhalten wollen oder können.

    Und mein Verständniss ist aber wie gesagt nach wie vor das ich ein Gateway brauche, um in Internet zu kommen und desen DNS Server mir die gewünschten IP Adressen ermittelt, und nicht private IP Adressen aus dem Heimnetz.

    Oder funktioniert der PIHole da wieder anders, kann ich mir aber nicht vorstellen.

    Ich habe leider vorher noch keinen PIHole benutzt und habe damit noch keine Erfahrungen.


    mfg

    Mann hat es nicht leicht, aber leicht hat es einen.. :face_with_tongue:

    Da Du ja sowieso mehrere NICs in Deiner Synology hast, mach es Dir doch einfach: gib der Management-LAN NIC eine feste IP und als DNS eben die 1.1.1.1 und/oder 8.8.8.8 oder was auch immer, Andere NICs, die z.B. im Home-LAN hängen, können ja problemlos auf den Pihole zugreifen.

    Ich kenne Synology nicht, wie das Betriebssystem die Netzwerkschnittstellen händelt. Aber ich glaube, dass sie auch mit VLAN umgehen können.
    Bei QNAP kann ich eine Schnittstelle mit einer IP-Adresse versehen. Im Anschluss kann ich auf die Schnittstelle mehrere VLAN legen.
    Beim QNAP gibt es dann virtuelle, interne Switche. Damit werden die virtuellen Maschinen/Docker angebunden. Es werden dann die physikalischen Schnittstellen an die VM/Docker durchgereicht.
    Ich vermute, dass Synology eine ähnliche Möglichkeit bietet.


    Für nur ein VLAN ist es gar kein Problem. Will man mehrere über einen Adapter betreiben wird es leider etwas aufwändiger, ist aber auch keine allzu große Sache. Hat man gleich mehrere NICs zur Auswahl würde ich mir die Arbeit ersparen.

    Zitat von Naichbindas

    Jedes VLAN hatt ja sein eigenes Gateway.

    Nö, vielleicht eine eigene Gateway-Adresse, aber die Gatewaykiste dürfte doch wohl die selbe sein - oder hast Du für jedes Vlan einen eigenen Router? :winking_face:


    An sonst machst du es Dir schwerer als es ist, denn wenn Du die Vlans anlegst, sollten in der entsprechenden Kiste auch gleich die Routen zwischen den Vlan mit angelegt werden.


    Wenn du dann den Datenverkehr zwischen den einzelnen Vlans regeln willst und Dein DNS-Server (z.B. den Pihole) sich in einem der Vlans befindet, musst Du lediglich dafür sorgen, dass die DNS-Anfragen aus den anderen Vlans diesen auch erreichen - die gelingt durch das Öffnen des Ports 53 (TCP u. UDP) zwischen den Vlans.


    Ist dieser sodann offen, geht auch eine DNS-Anfrage z.B. vom Client "ABC" aus z.B. dem Vlan 53 an den DNS-Server z.B. im Vlan 13532 problemlos durch, denn das Gateway des Vlans 53 kennt schließlich den Weg ins Vlan 13532. Die Antwort des DNS-Servers -daher die aufgelöste IP-Adresse- erreicht den anfragenden Client "ABC" sodann rückwärt auf dem selben Weg. Mit dieser IP-Adresse kann der Client "ABC" dann wieder sein Gateway behelligen und soweit es sich hierbei dann um eine Adresse aus dem Internet handelt, schickt das Gateway den Traffic auch in die weite Welt. Soweit eigentlich alles ganz einfach.


    An sonst hast du aber auch das Funktionieren des Pihole-DNS-Servers mißverstanden. Dessen hauptsächliche Aufgabe ist es, z.B. für den anfragenden Client "ABC" die IP-Adresse von z.B. ubiquiti-networks-forum.de zu ermitteln und dann dem Client mitzuteilen. Um diese Aufgabe zu erledigen, fragt der Pihole sogenannte DNS-Resolver an, ob diese die gewünschte Adresse kennen (das Ganze erfolgt nach einem bestimmten Schema, welches hier aber nichts zur Sache beiträgt). Um diese DNS-Resolver anzufragen, muss der Pihole dann aber keine Namen auflösen, denn ihm sind die entsprechenden IP-Adressen bekannt (z.B. 8.8.8.8 für Google, 9.9.9.9 für Quad9, etc) - daher im Kreis dreht sich hier nichts. Das einzige, was der Pihole daher benötigt, ist ein Zugang zum Internet. Also auch wieder alles ganz einfach.


    Daher sorge dafür, dass aus allen Vlans der Pihole über den Port 53 erreicht werden kann und dass der Pihole selbst ins Internet kommt, dann sollte alles wie von Geisterhand funktionieren. Natürlich sollten alle Clients dann auch wissen, dass "ihr" DNS-Server der Pihole ist.

    Was willst Du denn mit dem Synology DNS genau erreichen? Ich habe den seit Jahren auf meiner DS916+ für interne Zwecken laufen. Anstatt Pi-hole, habe ich auch mal genutzt, läuft dazu noch eine KVM Adguard Home-Instanz in meinem Netz als Werbe- und Jugendschutzfilter. Alle Domänen, die auf dem Synology DNS konfiguriert sind, werden von Adguard Home dahin weitergereicht. Die sonstigen gefiltert und unbekanntes an frei konfigurierbare öffentliche weitergeleitet. Der Synology DNS dient dazu, im LAN Server auf lokale IPs auflösbar zu machen, damit Zertifikate gültig sind.


    Der Adguard Home wird durch die UDM Pro per DHCP an die Familie-Mitglieder vermittelt. Läuft prima. Das einzige, wo ich reingerannt bin, als Um- und Einsteiger in die Unifi-Welt: man darf in den betreffenden VLANs nicht auch noch den Family-Filter aktivieren. Work habe ich nicht ausprobiert. Diese Einstellung filtert aber alle DNS-Anfragen aus, die nicht die UDM selber bereit stellt. Dadurch war meine ganze Auflösung gestört.

    phino Hi und ja sowas gibt es in der virtuelen Maschine auch auf Synology, jedenfalls so ähnlich...



    TWIN013 Ja das wäre auch noch eine Idee... ich glaube irgendwo gelesen zu haben das es Leute gibt die auf den DNS von Cloudfare oder so schwören.

    Alle meine Netzwerkgeräte haben eine feste IP Adresse.

    Nur konnte mir noch keiner die Frage beantworten ob es sinnvoll ist ein Endgerät was keine Unifi Gerät ist eine IP im Managment Netz zu vergeben und es dort zu lassen. Klar die Synology stellt ja einen Server dar, mit Weboberfläche und so weiter, eigentlich wie die UDM Pro das auch tut, nur ob es sinnvoll ist im diesem Hauptnetzwerk den NAS eine Leitung zu legen oder ob das bedenkenlos zu machen geht. ich würde auf jedenfall alle anderen Geräte nur in die VLANs setzen niemals in das Managelan.


    bic nein ich habe nur einen Router, aber jedes VLAN hatt auch eine eigene Gateway Adresse die zwar virtuell ist aber ein Gateway ist was gleich zu setzen ist wie bei einem realem Netz wie bei der Fritzbox 192.168.178.1. Im Endefecckt tun die alle das selbe und es ist ein Geatway. Daher habe ich davon auch so gesprochen. Für mich ist die Funktionsweise die selbe.

    Das mit dem Port 53 im Zusammenhang von PI Hole hatte ich glaube schonmal was von gehört. Aber in der Einrichtung der aktuellen PI Hole Version wird nur noch von dem Port 8080 geredet in dem Youtube Video.

    Aber diesen Port 53 würde ich dann nach deiner Anleitung eine neue Anschluss/IP-Gruppe erstellen die dann so aussehen würde?



    Und die Firewallregeln dazu könnte dann wie folgt aussehen...



    Das die Endgeräte dann wissen das der PiHole der DNS Server sein soll dan kann ich ja unter den Einstellungen der Netzwerke machen so das dann alle Netzwerkendgeräte nur noch den Pi Hole nutzen.

    Falls ich aber noch einen enkfehler drinn habe dann sag es ruhig.


    iLion Ich wollte einen DNS Server einrichten um den Traffic im netz zu minimieren das war der ursprügliche Plan und ja auch wegen der Zertifikate. Mann kann dann mit einem Zertifikat mehrere Sachen abhandeln.

    Dann habe ich aber doch noch den PI Hole ins Spiel gebracht und dann doch erstmal für mich entscheiden das der reicht.

    Schon alleine wegen der Portüberschneidungen.

    Von dem Adguard hatte ich bis jetzt noch nix gehört oder mit befasst.


    Danke euch für eure Hilfe.

    mfg

    Mann hat es nicht leicht, aber leicht hat es einen.. :face_with_tongue:

    Zitat von Naichbindas

    Nur konnte mir noch keiner die Frage beantworten ob es sinnvoll ist ein Endgerät was keine Unifi Gerät ist eine IP im Managment Netz zu vergeben und es dort zu lassen. Klar die Synology stellt ja einen Server dar, mit Weboberfläche und so weiter, eigentlich wie die UDM Pro das auch tut, nur ob es sinnvoll ist im diesem Hauptnetzwerk den NAS eine Leitung zu legen oder ob das bedenkenlos zu machen geht. ich würde auf jedenfall alle anderen Geräte nur in die VLANs setzen niemals in das Managelan.

    Ich habe mich zumindest dazu entschieden. Unifi-Hardware und Server ist bei mir im Default (oder halt Management LAN) gelandet. Meine Entscheidung ist dadurch beeinflusst, dass ich alle Geräte für mein Netz als Essentiell für die Netzfunktion betrachtet habe. Daher soll ein Zugriff auch aus anderen VLAN möglich sein.


    Zitat von Naichbindas

    Schon alleine wegen der Portüberschneidungen.

    Um die bei der Verwendung Docker zu vermeiden, habe ich mich für echte virtuelle Maschinen entschieden, die jeweils eine eigene IP erhalten. Ursprünglich mal auf dem Synology Virtual Maschine Manager, jetzt ist alles auf zwei NUC umgezogen.

    Zitat von iLion

    Um die bei der Verwendung Docker zu vermeiden, habe ich mich für echte virtuelle Maschinen entschieden, die jeweils eine eigene IP erhalten. Ursprünglich mal auf dem Synology Virtual Maschine Manager, jetzt ist alles auf zwei NUC umgezogen.

    Aber bei Docker vergibt man doch auch eigen IP-Adressen, man kann doch in der Dockerumgebung wählen ob DHCP, feste IP oder sogar NAT zu den Docker verbunden wird.

    Zitat von phino

    Aber bei Docker vergibt man doch auch eigen IP-Adressen

    Ja, mir ging es um die Ports. Zumindest in der Synology Implementierung teilte sich das Docker-Paket die Ports mit der gastgebenden Maschine. Zwei DNS-Container, die jeweils nach extern Port 53 nutzen, konnte man nicht erstellen und ich wüsste nicht, wie das im DSM 7.1 gehen sollte.

    Die Lösung dafür lautet Portainer und MacVLAN - Du erstellst sozusagen ein eigenes VLAN für Deine Docker Container und vergibst ihnen eigene IP-Adressen. Das kann z.B. auch ein Bereich aus dem Management-LAN sein, sofern Du vorher den LAN-Adapter entsprechend angebunden hast, über den es laufen soll. Bei mir hängt LAN1 (eth0) exklusiv im Management LAN und das in Portainer erstellte MacVLAN deckt einen Teil der IP-Adressen ab. Das müssen nicht viele sein, bei mir ist es z.B. 192.168.1.21/29

    Zitat von iLion

    Ja, mir ging es um die Ports. Zumindest in der Synology Implementierung teilte sich das Docker-Paket die Ports mit der gastgebenden Maschine. Zwei DNS-Container, die jeweils nach extern Port 53 nutzen, konnte man nicht erstellen und ich wüsste nicht, wie das im DSM 7.1 gehen sollte.

    Aber dies wäre doch nur ein Problem, wenn der Docker mit derselben IP-Adresse läuft wie das DSM.

    iLion Danke für die Info habe einen LAN Anschluss auch in Manage LAN gebracht. Habe ja einige davon lol.


    phino Hallo, du meinst bestimmt das hier oder?



    Zitat von phino

    Aber dies wäre doch nur ein Problem, wenn der Docker mit derselben IP-Adresse läuft wie das DSM.

    Wie meinst du das? Denn eigentlich ist DSM nicht unter diesem Port 53 erreichbar. Von Hause aus ist DSM HTTP Port 5000 und HTTPS Port 5001.

    Mir ist auch keine Anwendung bekannt die von Synology ist die den Port 53 nutzt. Die IP Adresse ist davon nicht unwichtig aber doch nicht entscheidend in dem Falle. Vorallem interessant ist es sogar wenn man eh mehrere Netzwerkschnittstellen hatt, dann könnte man doch im Notfall auf einer LAN Schnittstelle DSM erlauben und auf der anderen halt dann nicht. Oder wo gibt es da Überschneidungen das man es so nicht machen sollte?

    Danke.


    TWIN013 Hi, ja da habe ich auch ein Video in Youtube gesehen, aber das werde ich im Moment nicht realisieren, das ich doch nur den PiHole habe.

    aber danke dir trotzdem.



    Allgemeine Fragen habe ich aber noch.

    Meine Synolgy hatt mehrere LAN Schnittstellen.

    Nehme wir mal an ich nehme jetzt die vier LAN Anschlüsse.

    LAN eins kommt ins Manage LAN.

    LAN zwei kommt ins Heimnetzwerk.

    LAN drei kommt ins IOT LAN.

    LAN vier kommt in Büro LAN.

    Aus diesen Netzwerken bekommen die LAN Schnittstellen jeweils eine eigene IP.


    Auf der Synology habe ich den PIHoloe installiert. Der benutzt die selbe IP Adresse wie die LAN eins Schnittstelle, also eine IP aus dem Manage LAN.

    Bei der Installation wurde der Port 8080 erwähnt und eingerichtet im Video. Das ist ja der Port ür die LOGIN Seite des PIHole.

    Diesen Port habe ich auch in der Firewall der Synology nur für LAN 1 freigegeben. So das dieses nur als Admin PC oder aus dem Admin LAN aufrufbar ist, was ja auch Sinn macht.

    Bei der Installation wurden ja auch noch die Ports 53 TCP, 53 UDP, 67 UDP und 80 TCP angezeigt, die benutzt werden.



    Nun zu meiner Frage. Muss ich die alle freigeben in der Synology Firewall ? Und wenn ja welche davon, und sollte ich die oder den Port dann nur unter LAN 1 in der Synology freigeben oder unter alle Netzwerke?

    Zitat von bic

    Wenn du dann den Datenverkehr zwischen den einzelnen Vlans regeln willst und Dein DNS-Server (z.B. den Pihole) sich in einem der Vlans befindet, musst Du lediglich dafür sorgen, dass die DNS-Anfragen aus den anderen Vlans diesen auch erreichen - die gelingt durch das Öffnen des Ports 53 (TCP u. UDP) zwischen den Vlans.

    Wie du hier beschrieben hast werde ich das dann umsetzen, danke nochmal, aber dann bräuchte ich diesen Port 53 aber in der Synology Firewall doch nur für die LAN 1 Schnittstelle oder nicht? Weil die anderen LAN Schnittstellen werden ja durch die VLAns versorgt und dort wird ja in der UDM Pro dan das ganze geregelt oder sehe ich das falsch?

    Danke.


    mfg

    Mann hat es nicht leicht, aber leicht hat es einen.. :face_with_tongue:

    Zitat von Naichbindas

    Bei der Installation wurden ja auch noch die Ports 53 TCP, 53 UDP, 67 UDP und 80 TCP angezeigt, die benutzt werden.

    Das Port 53 für DNS ist, weißt du ja bereits. Port 67 ist für DHCP und der Port 80 ist füt HTTP. In der Synology Firewall musst Du auf jeden Fall den Port 53 für den Pihole öffnen, den Port 67 jedoch nur, wenn der Pihole DHCP nutzt oder diesen Dienst anbietet und satt den Port 80 solltest duch dann 8080 öffnen.

    Zitat von Naichbindas

    aber dann bräuchte ich diesen Port 53 aber in der Synology Firewall doch nur für die LAN 1 Schnittstelle oder nicht?

    Ja, wenn dort der Pihole wohnt und das Routing für diesen Port von Vlan zu Vlan zu Vlan ... funktioniert und in der UDM Pro angelegt ist.