DNS Adressen im USG korrekt festlegen in WAN und/oder LAN

Es gibt 10 Antworten in diesem Thema, welches 765 mal aufgerufen wurde. Der letzte Beitrag () ist von limaalpha.

    Liebe Forumshelfer, nachdem ich unser Akademienetzwerk neu eingerichtet habe, läuft so ziemlich alles fürs Erste zufriedenstellend. Allerdings habe ich noch keine Feinoptimierung gemacht. Das kommt aber jetzt.


    Meine erste Frage dazu betrifft die DNS Einstellungen. Ich habe viel gegoogelt (auch hier im Forum), erhalte aber meist unklare und nicht eindeutige Informationen. Deshalb meine Bitte um eine klare - wenn möglich - kompetente Antwort ohne „Vermutungen“.


    Zuerst meine Systemkonfiguration:

    • FritzBox Kabel im Modus MODEM
    • USG-Pro-4 Device Version4.4.57
    • Diverse UNIFI Switches


    USG

    • WAN1: 192.168.178.23 -> Fritz!Box

    LAN

    • DEFAULT NETZ 192.168.1.0/24 Admin
    • VLAN 10 192.168.10.0/24 Office und Privat
    • VLAN 20 192.168.20.0/24 VOIP Telefonie
    • VLAN 30 192.168.30.0/23 Studenten & Dozenten (max. 200 Personen)


    Für DNS Einträge gibt es zwei Möglichkeiten:

    a) Im Bereich WAN-Einstellungen

    Im WAN1 habe ich die Einstellungen AUTO …

    oder

    MANUAL (Primary und Secondary Server)

    und

    b) Im Bereich LAN Einstellungen

    gibt es unter DHCP/Show Options/DHCP DNS Server/

    die Einstellungen O-Enable deaktiviert

    oder

    O-Enable aktiviert und hier die Möglichkeit,

    4 DNS Serveradressen einzutragen.


    Meine Fragen:

    • Lasse ich die WAN-Einstellung auf AUTO oder trage ich in die beiden Felder zwei DNS Adressen ein - und welche?
    • Lasse ich in jedem der VLANs die Einstellung DNS-Server deaktiviert oder trage ich hier DNS Adressen ein - und welche?
    • Welche DNS-Adresse trägt das System bei WAN und LAN ein, wenn AUTO gewählt wird?


    Sorry für den ausufernden Text, aber ich möchte es möglichst exakt beschreiben, damit überhaupt klare Antworten möglich sind.


    Danke schon mal für die Unterstützung, Ingo

    Hallo limaalpha ,


    wenn Du keinen eigenen DNS-Server (im LAN oder sonstwo) betreiben solltest (mit AdGuard oder pi-hole etc.), dann würde ich alles auf AUTO lassen. Damit greifen die Werte vom ISP.


    Falls Du aber doch einen / mehrere DNS-Server betreiben solltest, dann ist das meine Empfehlung der Konfiguration:

    Beitrag
    RE: Pihole --> DNS-Einstellung einzeln im jeweiligen Client oder zentral im Lan vom UXG-Pro?
    Hallo @Hape ,

    wie viele hier habe auch ich meine pi-holes als DNS-Server in den jeweiligen VLANs konfiguriert. Damit werden sie als DNS-Server via DHCP an die Clients verteilt und ich kann auch im pi-hole noch für jeden Client entscheiden, welche Regeln für ihn gleten sollen, wenn ich vom Standard abweichen möchte. Und ich kann so in jedem / für jedes VLAN entscheiden, welches pi-hole das "erste" sein soll und welches das "zweite", um die Anfragen etwas zu verteilen.

    Ich habe schon lange keine…
    razor

    Hierbei spielt es keine Rolle, welche Gateway Du verwendest - es muss nicht mal eines von Ubiquiti sein.

    Bei Auto auf WAN nutzt dein Gateway die DNS Server, die Dein Provider Dir zuweist.

    Bei Auto im LAN, bekommen die Clients als DNS Server die entsprechende LAN Adresse deines USG aus dem entsprechenden VLAN.


    Hast Du keine speziellen Anforderungen, was DNS angeht, dann lass alles auf Auto, wie razor schon sagte. Hast Du spezielle Anforderungen, wie z.B. eine Windows Domäne ... dann musst Du natürlich dafür sorgen, dass das DNS für die Domäne auch korrekt läuft, sprich als DNS Server die IP deines/deiner Domänen Controller an die Clients verteilen. Für VOIP Telefonie kann es erforderlich sein, die DNS Server des Providers zu nutzen.

    WAN DNS:

    AUTO werden die per DCHP oder PPOE gelernten DNS Server benutzt.

    Manual: DNS nach deiner Wahl, weil von Provider schönerem oder die üblichen Google und Cloudfront DNS


    Allgemein werden die DNS Server hier Konfiguriert sind von der USG Selbe benutzt. Sprich der eigebaute DNS

    Server leitet Anfragen an die hier angebenden weiter.

    „ContentFilter“ macht hier eine Ausnahme da werden DNS Anfragen zu einem passen externen DNS geschickt

    „DNS Shield“ macht es ähnlich, das hat die alte USG aber nicht...


    LAN DNS:

    Geräte in deinem LAN bekommen hier entweder den Manuel von dir Vergebenen DSN Server oder Automatisch

    den UDM DNS. Achtung AD Blocker biegt hier ggf. den DNS aber auf den Internen um egal was der eingetragen hat. (die alte USG spielt hier aber

    auch nicht mit)


    OHNE eigne DNS Server (wie Adguard, PiWhole, MS-Domaine) will man üblicherweise das alle Clients den Gleichen DNS nutzen

    (wegen Wildwuchs). Damit wird oft der LAN Teil so gelassen wie er ist (Automatisch)

    und es wird Maximal im WAN Teil nicht derProvider DNS genutzt sondern halt Google/ Cloutfront und co.

    Danke für die Antworten. Das hilft sehr!


    Ich denke, ich lasse dann vorerst mal die AUTO Einstellungen. Eure Informationen haben mir doch etwas mehr Hintergrundwissen gebracht.


    Eine Frage noch: ein PC (WIN10) geht über VLAN30 (WIFI) problemlos ins Internet. Aber über VLAN10 (WIFI) geht gar nichts mehr, obwohl alle Macs problemlos ins WEB kommen. Beide VLANs habe ich identisch konfiguriert. @razor erwähnte die Stichworte "Windows und Domäne". Kann das der Grund sein? Jedenfalls wird im Windows Rechner (DHCP) alles angezeigt: die zugeteilte IP und korrekter Gateway, korrekte DNS Serveradresse, Wäre das eine Spur?

    Zitat von limaalpha

    Eine Frage noch: ein PC (WIN10) geht über VLAN30 (WIFI) problemlos ins Internet. Aber über VLAN10 (WIFI) geht gar nichts mehr, obwohl alle Macs problemlos ins WEB kommen. Beide VLANs habe ich identisch konfiguriert. @razor erwähnte die Stichworte "Windows und Domäne". Kann das der Grund sein? Jedenfalls wird im Windows Rechner (DHCP) alles angezeigt: die zugeteilte IP und korrekter Gateway, korrekte DNS Serveradresse, Wäre das eine Spur?

    Das mit der Windows Domäne war ich. Da scheinbar viele MACs da sind und Dir das auch nichts zu sagen scheint, wirst Du keine Windows Domäne haben (so mit Windows Server etc.).


    Also wenn der w10 PC im gleichen VLAN ist wier die MACs und bis auf die IP Adresse selbst die IP-EInstellungen (statisch oder eben per DHCP bezogen) bei allen beteiligten Identisch sind, dann stellt sich die Frage ... Gibt es Firewall Regeln?

    Zitat von DoPe

    dann stellt sich die Frage ... Gibt es Firewall Regeln?

    So, jetzt habe ich ein paar Dinge getestet:


    Alle Foirewall Regeln entfernt - keine Verbesserung


    Ich habe einen weiteren Windows PC (Laptop) aktiviert und hier besteht genau das gleiche Problem: Ins VLAN 30 komme ich ins Internet, ins VLAN 10 keine Chance.

    Zitat von limaalpha

    Ich habe einen weiteren Windows PC (Laptop) aktiviert und hier besteht genau das gleiche Problem: Ins VLAN 30 komme ich ins Internet, ins VLAN 10 keine Chance.

    Basic TroubleShooting gemacht ?


    Du bekommst beim Wechsel des VLAN 10 auch die zu dem VLAN passenden IP einstellungen auf dem WIN PC ?

    (IP, DNS, Gateway)


    Kannst du den VOM Win PC im VLAN10 da Gateway anpingen (Basis Konnektivität)?

    Funktioniert Namesauflösung (nslookup heise.de)

    Funktioniert ein ping nach Extern (ping 193.99.144.80 (ist die heise.de IP))

    Firewall auf den WIN Client zum testen mal Deaktiviert ?

    Irgendein AD/MGMT/Verwaltungs kram auf WIN der Nen Proxy einstellt der nicht erreichbar ist.

    Firewall ist deaktiviert

    Ping zum Gateway keine verbindung

    Heute hatte ich für ein paar Minuten Internet. Heute zeigt der PC an "Internet verbunden" aber keine Webseiten aufrufbar.

    Alle anderen Vlans funktionieren.


    Ich werde jetzt das VLan 10 komplett löschen und nochmal neu einrichten. Melde mich, was dann passiert.


    Danke vorerst.

    OK, hier bin ich wieder. Nachdem ich das VLAN 10 (192.168.10.x) und auch das Netzwerk (192.168.10.x) komplett gelöscht habe, habe ich das gleiche Netzwerk ..10.x und VLAN10 wieder neu eingerichtet, exakt so, wie auch die anderen Netze und VLans.


    Ergebnis: PCs kommen nicht rein und es gibt ständig Unterbrechungen der Wlan Verbindung. Vollkommen instabil.


    Mein nächster Schritt war dieser: Ich habe das VLAN 10 belassen, wie es ist. Dann habe ich das Netzwerk ..10.x umgestellt auf einen anderen IP Bereich (192.168.44.1). Die Clients merken davon nicht viel, außer, dass sie vielleicht den Rechner neu starten müssen, weil sie ja jetzt nicht mehr ihre IP im 10er Netz sondern jetzt im 44er netz zugeteilt bekommen.


    Seit einer Stunde läuft es stabil, die PCs kommen ins Internet und alles scheint in Ordnung zu sein.


    Meine Vermutung:

    Möglicherweise haben sich im Laufe der Zeit einige User (Clients) mit einer festen IP ins Netz geschummelt. Das sind ja meist die Apple TVs, Fernseher, Kühlschränke, Kochautomaten und alles, was eben so inzwischen mit dem Internet verbunden werden kann.

    Die werden jetzt vermutlich erst einmal meckern. Meinen neuen DHCP-Bereich habe ich ziemlich hoch begonnen. Da die meisten Leute, die sich eine feste IP vergeben, eher kleine Zahlen wählen, müsste ich relativ schnell sehen, wer das ist.


    Vielleicht kann mir jemand sagen, wie man illegale feste IP Adressen aus dem IP-Durcheinander herausselektieren kann.


    Vorerst ist das Problem gelöst aber noch ist nicht klat, was da mit dem 10er Adressbereich gebacken ist.


    Danke für die Vorschläge und Hilfeversuche.

    Ingo