2 VLAN über 1 LAN Port

Es gibt 35 Antworten in diesem Thema, welches 2.394 mal aufgerufen wurde. Der letzte Beitrag () ist von TWIN013.

    möglich


    planst du eigentlich noch einen anderen DNS dahinter zu hängen ?

    also piHole oder so ?


    Wenn der auch im DNS VLAN hängt dann brauchst du den port nicht freigeben weil das im VLAN bleibt

    Mein Projekt

    Ich habe auf der Synology zwei Docker (Unbound .12, Pihole .23) im 100er VLAN und derzeit noch zwei weitere Docker auf einem Raspi (Unbound .32, Pihole .33), die ich gerne durch die Unraid Docker ersetzt hätte.


    Der Test mit Port 53 auf die .22 funktioniert, ein Test mit Port 5353 auf die .12 schlug ebenfalls fehl.

    Aber du musst ja gar nicht von extern auf den unbound daher wenn der Pihole auf den unbound kommt ist ja alles gut :smiling_face:

    Mein Projekt

    Jein. Da mir Pihole manchmal den Nerv raubt und doch ein wenig zu viel rausfiltert, würde ich mir gerne auch die Möglichkeit offen halten direkt auf Unbound als DNS zuzugreifen - funktioniert derzeit hervorragend. Außerdem ist es immer noch seltsam, dass diese IPs in der UDM eben gar nicht auftauchen...

    ja das mit der UDM is schon komisch.

    vielleicht hilft da wirklich n neustart

    Mein Projekt

    Hat es leider auch nicht gebracht. Irgendwie bin ich versucht den "großen Knopf" zu drücken...


    Die Firewall-Regeln aus dem Wiki von Naichbindas lassen das Thema DNS-VLAN ja erst einmal komplett außen vor. Ich trage die Erwägung zukünftig auf eigene DNS-Server zu verzichten schon ein Weilchen mit mir rum, einfach weil eine weitere mögliche Fehlerkomponente hinzukommt, die mir hin und wieder schon Kopfzerbrechen bereitet hat - bei meiner Meinung nach sehr überschaubarem Mehrwert.

    Wird ne lange Nacht... :grinning_squinting_face:

    Hallo


    Also ich habe auch einen DNS am laufen, als Pihole auf einem Intel NUC.

    Dort ist Proxmox drauf und darauf dann ein Container mit einem Pihole.

    Das funktioniert super nach dem ich mit Hilfe dieses hier umsetzen konnte. Schau hier: DNS | PiHole mit DoT+DNSSEC oder DoH von defcon .

    Eine sehr große Hilfe dazu war mir auch jkasten dabei, da ich das ganze auch zum ersten mal so eingerichtet habe.

    Auf meiner Synology hattee ich auch mal als Docker und später auch mal als virtuelle Maschiene einen Pihole und einen Unbound am laufen.

    Beides nach Anleitung von Idomix.

    Habe da auch das Problem gehabt das der Port 5353 irgendwie nicht funktionierte und daher auch der Unbound nicht erreichbar war.

    Da hatte ich noch mit den Firewallregeln : Firewall-Regeln____old!!!! by EJ und Firewall-Regeln 2.0 by defcon und selbst als ich diverse Videos und Material im Internet durchforstet hatte meine Firewallregeln dann integriert hatte lief es trotzdem nicht. Weiss auch nicht warum.

    Wie gesagt jetzt habe ich einen Intel Nuc, Proxmox mit Pihole der ein eigenes VLAN bekommen hatt das ich dann treffenderweise DNS LAN genannt habe, die Einrichtung gemacht wie oben erwähnt und das rennt.

    Eine Gruppe erstellt und den Port eingetragen, dann die Firewallregel eingerichtet, siehe hier:



    Und danach nur in den VLAN´s unter DNS die IP eintragen. Das geht alles super.

    Ich hatte auf weitere Einstellungen bewusst verzichtet und im Wiki gestellt, damit erstmal der Grundgedanke funktioniert und DNS, Homematic Geschichten und sonst was sollte nicht gleich die so Neulinge wie mich nicht gleich überfordert.

    Ach und dann hat jkasten mich auf eine gute Idee gebracht einen zweiten Pihole ein zurichten der dann auf die neu aufgesetze Synology drauf kommt und dann als Ersatz dient wenn der eine Pihole ausfällt und die beiden syncronisieren sich dann. Also da ist schon Ausbau Potenzial vorhanden.

    Vlt hilft dir das dann etwas weiter im deinem Vorhaben.


    mfg

    Mann hat es nicht leicht, aber leicht hat es einen.. :face_with_tongue:

    Dann pack doch erstmal dein Pihole in das Heimnetz. Wenn alles läuft kann er ja noch umziehen.


    Läuft bei mir aktuell so (aber ist auch auf den UDM DNS Server eingetragen was so ein bisschen Risiko ist).


    In Zukunft packe ich den aber auch in ein separates VLAN.


    Ich will nicht mehr darauf verzichtet.

    Meine FW-Regeln basieren derzeit auch noch auf den Firewall-Regeln 2.0 by defcon - ubiquiti - Deutsches Fan Forum (ubiquiti-networks-forum.de) allerdings muss ich gestehen gerade bei den "LAN Local" Regeln setzt mein bescheidenen Verständnis dann doch manchmal aus und ich bin mir nicht absolut sicher, welchen Zweck einzelne Regeln da verfolgen.

    Gibt es denn eigentlich eine Möglichkeit die FW zu resetten, ohne das ganz große Rad zu drehen? Die Regeln von Naichbindas erscheinen mir ein klein wenig nachvollziehbarer und das ist ja schon mal etwas. :winking_face:

    Welche zusätzlichen Regeln die Integration eines separaten DNS-VLAN mit sich bringen müsste ist mir derzeit noch nicht ganz klar...

    TWIN013 Die lokalen Regeln betreffen den Datenverkehr der UDM Pro / SE selbst. Dort kannst du gezielter regeln was intern so passieren soll, hingegen bei "IN" nur der Verkehr der aus dem Netzwerk kommt und woanders hingehen soll und bei "OUT halt umgekehrt.

    Aber unter "lokal" halt mehr oder weniger der Verkehr intern, also auch zwischen den VLAN´s oder zu den Gateway´s an sich an erster Stelle mal genannt.

    mfg

    Mann hat es nicht leicht, aber leicht hat es einen.. :face_with_tongue:

    Zitat von TWIN013

    Naichbindas Bedeutet z.B. die Regeln "block all communication between all VLANs" in LAN In macht nicht dasselbe wie z.B. "block Home LAN to Mgmt LAN", richtig? Ist das dann der Part, den Du jetzt mit Traffic Regeln machen wolltest?

    Nein das block all Kommunikation zu allen vlans soll eigentlich verhindern das die geräte von einem vlan ind andere vlan mit den Geräten reden können. Wobei ich sagen muss das diese Regelung alleine nicht unbedingt ausreicht. Da kann mann noch weiter vertiefen und weitere Regelung treffen. Die regel von vlan zu mgmt lan ist was ganz anderes und soll verhinder das vlan auf das lan Netzwerk kommen der udm und so weiter.denn dort kommen nur unifigeräte rein und der admin hatt zugriff. Die vlans sollen da nicht zwischen funken. Das mit den Traffic Regeln ist noch nicht ganz ausgereift aber nützlich um mit wenigen Klicks freigeben zu erstellen und so weiter ohne ganze Firewallregeln schreiben zu müssen.

    Mann hat es nicht leicht, aber leicht hat es einen.. :face_with_tongue:

    Nein im Moment ist meines Erachtens nach die LAN LOCAL nach wie vor wichtig.

    Die Traffic Rules sind eher als Ergänzung zu sehen, aber keines Falls als Ersatz an zu sehen, auch wenn Unifi das ganze schon als Firewall der nächsten Generation angepriesen wurde, setzen hier viele und ich nach wie vor Hauptsächlich auf das alt bekannte, die Firewallregeln.

    Das mit dem Traffic Rules nutze ich auch teilweise schon aber längst noch nicht alles.

    Da bin ich selber noch am experimentieren, um dann gegebenfalls ein Wiki schreiben zu können.

    Nur dazu muss ich auh erst as wissenswerte dadrüber gelernt und getestet habe, damit ich darüber berichten kann.

    Aber an einigen Ecken hakt es doch noch etwas wo ich auch noch nicht ganz dahinter gekommen bin warum.

    Darum habe ich dazu auch noch nix weiter geschrieben.

    Als Tipp würde ich dir raten sich erstmal mit Firewallregeln allgemein aus ein ander zu setzen, denn damit kann man ein unktionierendes System aufbauen, und alles andere ist erstmal noch nicht Spruchreif, weil Unifi wird bestimmt hier und da noch nachbessern, bevor das ganze dann Produktiv werden wird.

    mfg

    Mann hat es nicht leicht, aber leicht hat es einen.. :face_with_tongue: