Habe gerade im VLan 80, in welchem der PiHole “sitzt” die 8.8.8.8 als zweiten DNS Server rausgenommen. Wenn ich mit meinem Endgerät im VLan 80 bin und surfe, dann fängt der PiHiole nun auch an Dinge wegzublocken. Auf typischen Websites mit vielen Bannern sind diese aber dennoch da (Chip.de, etc.). Auch habe ich zu Testzwecken die Website Web.de mal auf die Blocklist gesetzt. Diese bleibt aber trotzdem erreichbar… komisch… spannend ist, dass mir PiHole im Log anzeigt, dass der Zugriff auf die Domain geblockt wurde, die Seite öffnet sich aber trotzdem…
Frage zu Pi-Hole und UDM Pro SE
-
- Privat
- UDM
- Frage
- Dream Machine Pro (UDM-Pro)
- offen
- Phoenix85
Es gibt 57 Antworten in diesem Thema, welches 6.041 mal aufgerufen wurde. Der letzte Beitrag () ist von jkasten.
-
-
Browser cache löschen, dann öffnet er nix mehr.
-
Habe gerade im VLan 80, in welchem der PiHole “sitzt” die 8.8.8.8 als zweiten DNS Server rausgenommen. Wenn ich mit meinem Endgerät im VLan 80 bin und surfe, dann fängt der PiHiole nun auch an Dinge wegzublocken.
Also kannst schon mal sagen, das der PiHole selber funktioniert.
Jetzt musst aus einem andere VLAN mal probieren, ob ein nslookup auf dem client den Pihole als DNS-Serber anzeigt.
Die .80.1 oben in deinem Bild scheint mir ja eher die UDM zu sein.
-
Also kannst schon mal sagen, das der PiHole selber funktioniert.
Jetzt musst aus einem andere VLAN mal probieren, ob ein nslookup auf dem client den Pihole als DNS-Serber anzeigt.
Die .80.1 oben in deinem Bild scheint mir ja eher die UDM zu sein.
Hierzu blöd gefragt…
- Sicherstellen, dass im VLan x nur die IP des Pihole als DNS Server hinterlegt ist
- Anmeldung mit Client (Win 11 Laptop) im entsprechenden VLan x
- nslookup heise.de in der Eingabeaufforderung des Clients ausführen
- Checken (hoffen), dass die IP des PiHole im Ergebnis des nslookup dann als DNS Server angezeigt wird
So korrekt?
Wenn das so dann hoffentlich funktioniert, dann kann ich meine VLans (wieder) gegeneinander abriegeln und muss nur schauen, dass alle meine VLans mit der IP des PiHole im entsprechenden VLan kommunizieren dürfen. Richtig?
Danke bis hierhin für die Unterstützung!
-
So korrekt?
ja
-
Also wenn ich mit meinem Client im Vlan x angemeldet bin, in welchem auch der PiHole ist, funktioniert nun alles. Blocks gehen und auch der nslookup zeigt den PiHole als DNS Server.
In der UDM weiterhin alle VLans “offen”. Trotzdem funktioniert das Surfen nicht, wenn ich mit meinem Client in einem anderen VLan bin, als es der PiHole ist.
Hier zeigt der nslookup einen DNS request timeout und Server unknown. Wenn ich in der UDM SE hier dann 8.8.8.8 wieder als zweiten DNS Server hinterlege, dann geht das Surfen wieder ohne blocking und der nslookup bleibt bei Server unknown und timeout. PiHole also nicht erreichbar.
Problem liegt also wohl irgendwo in der Kommunikation zwischen den VLans. Da ich hier aber aktuell wirklich keinerlei Traffic Rules drin habe, dürfte das doch nicht sein. Standardmäßig erlaubt die UDM SE doch sämtlichen Austausch zwischen den VLans (außer bei einem Guest Netzwerk), oder?
Muss ich hier dennoch gezielt irgendwas freigeben?
Danke!
-
Mragain Per default erlaubt das Pihole nur Request von Clients die Maximal einen Hop entfernt sind. Also aus dem Selben Subnetz, wenn du von einem anderen VLAN kommst musst du die funktion "Allow only local requests" dekativieren. Diese Einstellung findest du unter Settings -> DNS.
Mehr dazu hier: https://docs.pi-hole.net/ftldns/interfaces/
-
Danke für diesen Tipp.
Der Hinweis bzgl. dieser Einstellung im PiHole verunsichert mich gerade ein wenig- liest sich irgendwie kritisch… Bevor ich das einstelle muss ich erst nochmal meine Firewallregeln und Traffic Rules durchgehen und “checken”.
-
So lange der nicht aus dem Internet erreichbar ist, ist das egal.
-
Heißt also immer nur einen DNS eintragen, und zwar die des DNS!?
Dann sind die weiteren DNS Felder unnütz. Schade, das hier keine Priorisierung ist.
-
Die sind nicht unnütz, wenn du mehr als einen pihole hast, kannst den da eintragen. Falls mal einer ausfällt, ist das Internet nicht gleich weg.
-
Sollte das nicht nach Priorität funktionieren? Heisst solange DNS 1 verfügbar ist wird dieser genommen, wenn nicht automatisch der nächste wenn vorhanden.?
-
Nein, es wird der genommen der am schnellsten antwortet.
-
Nein, es wird der genommen der am schnellsten antwortet.
Wie kommst du auf sowas ? Bzw wo hast du das verhalten beobachtet ?
die üblichen Resolver arbeiten von oben nach unten und nehmen den zweiten in
der liste nur wenn der erste nicht antwortet.
Moderne Network Manager kennen noch ne Prio Einstellung und können "RoundRobin" betrieben
werden. Aber immer wird nur einer gefragt zu gleichen Zeit...
-
Wie kommst du auf sowas ? Bzw wo hast du das verhalten beobachtet ?
die üblichen Resolver arbeiten von oben nach unten und nehmen den zweiten in
der liste nur wenn der erste nicht antwortet.
Moderne Network Manager kennen noch ne Prio Einstellung und können "RoundRobin" betrieben
werden. Aber immer wird nur einer gefragt zu gleichen Zeit...
ich kenne nicht ein Endanwendergerät das dass macht. Alle benutzen immer beide DNS Einträge und sobald mal der erste nicht schnell genug antwortet wird der zweite genommen. Probierst selber mal aus, egal ob Handy oder PC.
-
Das nicht schnell genug antworten wird sicherlich das DNS Timeout sein, das wird als keine Antwort interpretiert und dann der nächste (wenn es einen gibt) genutzt. Wenn man jetzt noch DNS Suffix dazu nimmt, verhält sich der Spaß nochmals anders.
Ich trage prinzipiell nur mehr als einen DNS ein, wenn es denn auch mehr als einen DNS gibt, der die gleichen "Zonen" auflösen kann. Also entweder zwei öffentliche DNS Server oder 2 selbstbetriebene wie z.B. in einer Windows Domäne oder irgendwelche eigenen Server mit Auflösung von internen Domänen z.B. für Split DNS.
-
ich kenne nicht ein Endanwendergerät das dass macht. Alle benutzen immer beide DNS Einträge und sobald mal der erste nicht schnell genug antwortet wird der zweite genommen. Probierst selber mal aus, egal ob Handy oder PC.
Das ist Betriebssystem-abhängig
Ich meine, Windows macht das so, aber Linux und MacOS fragen den zweiten, drittem, vierten DNS immer erst nach einem Timeout wenn die vorherigen nicht antworten.
-
Das kann sein... Ich kann es nur sicher von Windows, Android und iOS sagen. Da fragt er wie er lustig ist bzw welcher schneller antwortet.
