UDM WAN DNS zu PiHole Host aendern sorgt fuer DNS EDE: 15 (BLOCKED)

Es gibt 12 Antworten in diesem Thema, welches 1.167 mal aufgerufen wurde. Der letzte Beitrag () ist von besenwesen.

    Halloechen!

    TLDR; vorletzter Absatz.


    Docker auf Raspberry Pi OS auf RPi3 installiert. Pihole per docker compose installiert. Geht.

    UDM Pro WAN interface primary DNS zur IP von Pihole geaendert. Folgende beobachtungen gemacht:

    DNS queries per dig gehen nicht mehr raus. PiHole setzt rate limit fuer die IP der UDM (jeder client nutzt die UDM als primary DNS, diese nutzt das Pihole. Da pihole client von udm ist-> dns-loop) = Doof.

    Auf dem Pihole host per ssh drauf. dig ubiquiti-networks-forum.de @1.1.1.1 geht genau dann wenn die UDM das pihole nicht als upstream DNS nutzt. Andernfalls erhalte ich (sofort) DNS EDE: 15 (blocked).
    Traceroute zu 1.1.1.1 geht aber. Wo liegt da jetzt genau das Problem?
    Also selbst wenn ich mit dem Pihole mist gebaut habe, muesste doch dig ubiquiti-networks-forum.de @1.1.1.1 cloudflare als upstream nehmen und "aus dem loop ausbrechen" oder?


    Zusammengefasst habe ich 2 Probleme:

    1. Pihole haengt im DNS-loop wenn ich den primary DNS der UDM zum pihole aendere.

    2. dig ubiquiti-networks-forum.de @1.1.1.1 loest nicht auf wenn upstream DNS=pihole; traceroute 1.1.1.1 funktioniert aber.


    Was habe ich uebersehen?

    ~besenwesen

    Der hat im WAN auch nichts zu suchen. Nur im DHCP eintragen.

    Hatte das schonmal so gebaut um die UDM als DNS Proxy fuers Pihole zu nutzen. Auf die Weise kann ich die Firewall regeln meiner Subnetze fuer DNS umgehen lassen.

    Und ich minimiere Fehlkonfigurationen was forwarden von lokalen cnames betrifft. Allerdings ist das schon zu lange her. Ist das denn best practice?


    Hast du vielleicht noch ein bisschen Wissen zu verteilen was Punkt 2 angeht? Ich mein unabhaengig von WAN DNS upstream muesste das doch immer dann gehen wenn ich auch ins Internet komme, oder?

    ~besenwesen

    Der dig Befehl geht genau anders rum. dig @DNSSERVER domain.de. Wenn du den Pihole im WAN eingetragen hast, und im Pihole die UDM, hast du eine Schleife, wie du schon gemerkt hast. Außerdem kannst du dann im Pihole die Clients nicht sehen da alle Anfragen von der UDM kommen. Was du mit Fehlkonfiguration bei cnames meinst, musst du mal erklären.

    dig ist das wurscht wo das @DNSSERVER und domain.de steht.
    Das mit den Clients die man im PiHole dashboard nicht mehr sieht ist doof, da hast du recht, aber ich fand das jetzt nicht sooo schlimm.

    Wenn ich mist baue, forwarded Pihole am Ende Domainnames (wird doch auch als CNAME bezeichnet oder? :grinning_squinting_face: ) an einen Resolver auserhalb des LANs. Es diente nur als Sicherrungsnetz fuer meine Inkompetenz.
    Wie auch immer, am ehesten gings mir drum, allen clients den Pihole service zu geben, ohne an der Firewall rum zu schrauben.


    Aber um die Frage nochmal aufkommen zu lassen: Ist DNS IP per DHCP verteilen best practice (oder zumindest better) als einfach die UDM Pihole nutzen zu lassen?

    ~besenwesen

    Zitat von besenwesen

    Aber um die Frage nochmal aufkommen zu lassen: Ist DNS IP per DHCP verteilen best practice (oder zumindest better) als einfach die UDM Pihole nutzen zu lassen?

    Das ist der weg wie man normalerweise einen Pihole benutzt. Warum sollte der lokale domain Namen und irgend einen externen Forwarder weiterleiten?

    Zitat von jkasten

    Der hat im WAN auch nichts zu suchen. Nur im DHCP eintragen.

    Naja, ich habe es so bei mir seit zwei Jahren so laufen und läuft sehr gut. Der PiHole bekommt alle anfragen aus meinem Netz (inkl. Management LAN) Blockt damit schon einmal alle Werbe Anfragen usw., bevor sie an den ebenfalls Installieren BIND DNS Server geleitet werden, dort werden alle Internen IP Adressen aufgelöst, somit kann ich sie alle mit Hostnamen inkl. Domain ansprechen. Was er nicht selbst auflösen kann, wird an den ebenfalls installierten Stubby oder DNSCrypt-Proxy geforwardet und somit unabhängig vom Provider aufgelöst. Somit werden auch alle Clientanfragen fein Säuberlich im PiHole mit richtigen FQDN angezeigt.


    Damit das ganze natürlich möglichst Störungsfrei hier im Netzwerk funktioniert, habe ich einen zweiten Pi als DNS Slave Server konfiguriert, der mittels Gravity-Sync abgeglichen wird. Zusätzlich ist auf beiden noch Keepalived Konfiguriert. So dass man nur eine IP für den beide DNS Server hat, sobald einer der beiden ausfällt, übernimmt sofort der andere DNS Server. Die Clients merken in der Regel nicht davon. Das ganze läuft jetzt schon ne ganze Weile richtig gut.

    Bis auf letzte Woche, da bei einem Systemupdate ( von Debian Buster auf Bookworm) was schief gelaufen ist, musste ich den Master DNS neu aufsetzen. :confused_face: Da ja beide Systeme fast Identisch sind, konnte man die Konfigs fast 1:1 übernehmen und nur ein paar Abänderungen durchführen.


    Durch den Gravity-Sync und Zonen Transfer muss ich auch nur den Master DNS pflegen, der zweite wird somit automatisch aktualisiert und ist somit identisch zum Master DNS. :smiling_face:


    Okay, vielleicht für den ein oder anderen etwas Oversize für Zuhause. Mit macht es Spaß sowas zum laufen zu bekommen. Nur vor den Rechner sitzen und ein bisschen zu Surfen, ist ja langweilig. Und nein, ich mache mit Netzwerken oder Rechnern nichts beruflich, das ist reines Hobby und Interesse an den Dingen. :winking_face_with_tongue:

    Einmal editiert, zuletzt von Curiosity () aus folgendem Grund: Keepalived Link hinzugefügt.

    Puh ja, das ist fuer den Everyday-HomeUser etwas Overkill.


    Da du ja BIND nutzt, der so wie unbound (?), einfach an die Rootserver anfragen sendet, duerfte da genau mein Problem umgehen. Das halte ich aber fuer etwas Overengineering. Ich lasse Pihole einfach in einem Container laufen und gut ist. Dennoch komisch wieso es so ist wie es ist. Ich hoffe immernoch Ahnungslos auf etwas wissen.

    ~besenwesen

    Zitat von besenwesen

    Puh ja, das ist fuer den Everyday-HomeUser etwas Overkill.


    Da du ja BIND nutzt, der so wie unbound (?), einfach an die Rootserver anfragen sendet, duerfte da genau mein Problem umgehen. […]

    Hallo, für den normalen „Homeuser“ sicherlich ein bisschen zu viel des guten. :winking_face: Wie gesagt, mir macht es richtig Spaß mich mit so etwas zu beschäftigen und freue mich immer wenn das System dann hinter her schön und unauffällig im Hintergrund läuft und alle hier Zuhause in Ruhe surfen, streamen oder sonst was machen können und ich meine ruhe habe. :grinning_face_with_smiling_eyes:


    Du hast recht, wenn man den Bind so konfiguriert, das er selbst alle Anfragen bei den Root Server abfragt, sollte auch keine DNS Schleife entstehen (richtige Konfiguration natürlich vorausgesetzt). Bei mir ist der Bind so konfiguriert, das er an Stubby oder der DNSCrypt-Proxy Forwarded und diese dann die Abfragen an die Externen DNS Server stellen. Klar, kommt es dadurch natürlich zu etwas Verzögerungen bei den ersten Abfragen. Aber da Abfragen im Cache landen, geht es hinterher fix.


    Wenn die richtige Reihenfolge der DNS Abfragen bei dir im Netz gegeben sind, sollte es eigentlich funktionieren.


    Homenetz/Router senden ihre Anfragen zwecks DNS Auflösungen an deinen PiHole, der Fragt die externen DNS Server an und schickt die Antwort zurück an den anfragenden Client. Ich wüßte jetzt nicht, wo darin eine DNS Schleife entstehen kann? :thinking_face: Aber lasse mich gern eines besseren belehren. :smiling_face:


    Schöne Weihnachten Euch allen. :smiling_face:

    Zitat von Curiosity

    Homenetz/Router senden ihre Anfragen zwecks DNS Auflösungen an deinen PiHole, der Fragt die externen DNS Server an und schickt die Antwort zurück an den anfragenden Client. Ich wüßte jetzt nicht, wo darin eine DNS Schleife entstehen kann? :thinking_face: Aber lasse mich gern eines besseren belehren. :smiling_face:

    Entweder Bug oder fehlkonfiguration. In der WebUI von Pihole war jedenfalls ein externer DNS angegeben. Die Kette/Reihenfolge muesste also stimmen. Ich kann mir vorstellen, dass auf dem PiOS irgendein Dienst laeuft, der unter der Haube ein DHCPLease mit DNS=Gateway gepseichert hatte.

    Irgendwie schade, dass ich nicht weiter komme, aber ich glaube hier endet die Unifi Thematik und es geht mehr richtung Debian/PiOS. Trotzdem danke an alle. Ein paar Gedankenanstoesse konnte ich schon sammeln.

    Ich hab den Clients im Netz erstmal den Pi als Primary DNS mitgegeben. Macht schoene statistiken in der WebUI und ist eigentlich auch ne gut laufende config.

    Halten wir aber fest, anders gehts wohl auch.

    ~besenwesen

    Zitat von besenwesen

    Entweder Bug oder fehlkonfiguration. In der WebUI von Pihole war jedenfalls ein externer DNS angegeben. Die Kette/Reihenfolge muesste also stimmen. Ich kann mir vorstellen, dass auf dem PiOS irgendein Dienst laeuft, der unter der Haube ein DHCPLease mit DNS=Gateway gepseichert hatte.

    Irgendwie schade, dass ich nicht weiter komme, aber ich glaube hier endet die Unifi Thematik und es geht mehr richtung Debian/PiOS. Trotzdem danke an alle. Ein paar Gedankenanstoesse konnte ich schon sammeln.

    Ich hab den Clients im Netz erstmal den Pi als Primary DNS mitgegeben. Macht schoene statistiken in der WebUI und ist eigentlich auch ne gut laufende config.

    Halten wir aber fest, anders gehts wohl auch.

    Ist leider auch keine Lösung. Alle DNS Anfragen müssen über die UDM Laufen, ansonsten funktionieren Traffic Rules nicht, falls du diese benutzt.