USG Einstellungen für Pi-Hole

Es gibt 10 Antworten in diesem Thema, welches 616 mal aufgerufen wurde. Der letzte Beitrag () ist von Tomcat.

    Guten morgen, jetzt habe ich einen Raspberry Pi4 mit Pi-Hole eingerichtet. Bevor ich es aber im Unifi Netzwerk einsetze, hätte ich doch gerne zur Sicherheit noch mal eine amtliche Ansage.


    Da ich durch gurgeln nicht fündig geworden bin, hier also meine Fragen:


    Hiee mein System, wie ich es eingestellt habe:


    / Fritzbox im transparenten Betrieb

    -> / USG PRO 4 -> internes Netz:


    Internes Netz:

    192.168.1.1/24 Admin Lan

    192.168.10.1/24 VLAN 10 OFFICE

    192.168.20.1/24 VLAN 20 VOIP TELEFONIE

    192.168.30.1/24 VLAN 30 STUDENTEN


    Im internen Netz befinden sich diverse Switches, APs, Geräte und viele Laptops und Handys.


    Außerdem:

    192.168.1.9 PI-HOLE (Raspberry).


    Diese Einstellungen habe ich gemacht:

    Für jedes Netzwerk (LAN und VLANS) habe ich

    DNS Server 192.168.1.9 als einzigen eingetragen.


    Für das WAN habe ich ebenfalls

    192.168.1.9 als DNS Server eingetragen.


    Meine Frage: Sind diese beiden letzten DNS Einstellungen korrekt oder muss ich bei WAN etwas anderes einstellen?


    Vielen Dank schon mal. Ingo

    Nein die WAN Schnittstelle ist das tor zur Außenwelt. Die muss dann nicht nochmal über den Pihole laufen.

    Dort ist wenn du auf Automatisch stehen hats die IP deines Providers aktiv oder du kannst dort die IP Adressen anderer DNS Server im Internet eintragen.

    Diese da wären Google, Cloudflare und so weiter.

    Aber Intern soll der Pihole filtern daher den als DNS Server in den Netzwerken eintragen.

    mfg

    Mann hat es nicht leicht, aber leicht hat es einen.. :face_with_tongue:

    Danke, ich habe es jetzt glaube ich verstanden:


    Der manuelle LAN-Eintrag schickt die Daten zum Pihole (192.168.1.9). Dieser wiederum schickt die gefilterten oder ungefilterten Daten zum im Pihole eingestellten Ziel (8.8.8.8), also nach außen.


    Die im WAN eingestellte Adresse müsste so praktisch wirkungslos sein, weil sie "umschifft" wird, egal ob auto oder irgend eine andere DNS Serveradresse.


    Sehe ich das richtig? Ich glaube, ich habe heute bezüglich DNS ein gutes Stück dazugelernt. Danke nochmals!

    Moin

    Zitat von limaalpha

    Der manuelle LAN-Eintrag schickt die Daten zum Pihole (192.168.1.9). Dieser wiederum schickt die gefilterten oder ungefilterten Daten zum im Pihole eingestellten Ziel (8.8.8.8), also nach außen.

    Das ist richtig. Deine Endgeräte in deinem Netzwerk / VLAN fragen beim Pihole nach. Dieser gleicht dann mit seiner Liste ab und gut ist.

    Was er nicht weiss holt er sich dann on draussen. damit das aber passieren kann muss im WAN ein DNS Server hinterlegt sein.

    Steht der au automatisch wird die DNS Server Adresse genommen die dein Provider vorgibt, sonst hättest du ja kein Internet.

    Steht da aber eine manuell definierte Adresse drinn wird dieser als erstes befragt. Das ist dann Google oder Cloudflare.....


    Zitat von limaalpha

    Die im WAN eingestellte Adresse müsste so praktisch wirkungslos sein, weil sie "umschifft" wird, egal ob auto oder irgend eine andere DNS Serveradresse.

    Nein das ist so nicht richtig. Diese DNS Adresse im WAN ist nicht wirkungslos. Das ist ja das Tor zu deinem Internet, sonst kannst du keine Webseiten draussen aufrufen oder finden.

    DNS funktioniert ja folgendermaßen: Du willst eine Webseite wie diese hier aufrufen: http://www.google.de

    Da aber diese Adresse eigentlich nix anderes ist als eine IP Adresse, dein PC das aber nicht weiss fragt er bei einer Auskunft nach.

    Das ist deine DNS Server. Der in WAN eingetragen ist. Der kennt diese Adresse und dsagt deinem PC ja das weiss ich, das ist zum Beispiel 8.8.8.8

    Dann kann dein PC diese 8.8.8.8 aufrufen und die Webseitee die auf diesem Gerät gehostet wird wird dann auf deinem PC geladen.

    Falls aber dieser DNS Server, Google nicht kennt, dann kennt der DNS Server aber einen anderen DNS Server im Internet und fragt dort nach und der liefert dir dann die Adresse. Und so kannst du dieses Spiel beliebig fortführen.

    Also daher ist es nicht unwichtig oder wirkungslos das dort die richtige Adresse drin steht.


    Aber zurück zum Pihole:

    In deinem Fall wäre dann olgender Ablauf.

    Dein PC will google haben, fragt bei deinem Pihole nach (Die Adresse des Pihole steht ja im Netzwerk unter DNS) dieser fragt fragt bei dem DNS Server nach der unter WAN eingestellt ist und dieser im Bedarfsfall einen weiteren DNS Server im Internet.

    Wen diese Adresse ermittelt ist dann kommt rückwirkend die Antwort zu deinem PC und der fragt dann an dieser ermittelten Adresse nach, halle gib mir alles was du auf dieser Webseite hast, wie Bilder Text und so weiter.

    Die Antwortet ja gerne und sendet die alles zu was sie hatt, also ein Broadcast, einfach alles.

    Das kommt dann also von Goggle zurück zu dir, über deinen WAN Anschluss dann zum Pihole der dann filtert was von der Webseit durch darf oder nicht weiter zu deinem PC der dann das was er erhalten hatt anzeigen kann.

    Weil die Komunikation läuft auf dem selben Weg zurück wie sie gekommen ist.

    Ich hoffe konnte das so einigermaßen erklären.


    mfg

    Mann hat es nicht leicht, aber leicht hat es einen.. :face_with_tongue:

    Verwirrend 1
    Zitat von Naichbindas

    Das ist richtig. Deine Endgeräte in deinem Netzwerk / VLAN fragen beim Pihole nach. Dieser gleicht dann mit seiner Liste ab und gut ist.

    Was er nicht weiss holt er sich dann on draussen. damit das aber passieren kann muss im WAN ein DNS Server hinterlegt sein.

    Steht der au automatisch wird die DNS Server Adresse genommen die dein Provider vorgibt, sonst hättest du ja kein Internet.

    Steht da aber eine manuell definierte Adresse drinn wird dieser als erstes befragt. Das ist dann Google oder Cloudflare.....

    Das ist nicht richtig.


    Der PiHole fragt die DNS-Server an, die man ihm vorgibt in seiner DNS-Konfiguration ( DNS-Upstreamserver )

    Lässt man gleichzeit noch ein einen Ubound mit auf dem PiHole laufen, nutzt er direkt die im Unbound fest hinterlegten ROOT-DNS-Server.


    Was auf dem WAN-Interface der UDM als DNS eingetragen ist, interessiert den PiHole nicht.
    Der DNS-Eintrag ist nur für die UDM selber interessant, um ins Internet zu kommen aber nicht für das LAN hintendran, was den PiHole nutzen soll.


    Wenn dem nicht zu währe, bräuchte ich beim PiHole keine DNS-Einstellungen machen und ihm vorgeben, welche Server er nutzen soll.


    Ich nutze bei mir nen AdGuard der direkt mit auf der Firewall läuft und da ist es genauso.
    Ich kann die DNS-Server beim WAN rauswerfen, funktioniert trotzdem alles wunderbar, nur mein Firewall kann keine Updates mehr machen, weil die eben genau diese DNS-Server nutzt und die sollte man auch tunlichst NICHT auf den PiHole umändern.

    Ja das ist doch aber nur dann so wenn du so einer erweiterte Config hast also dein Pihole direkt mit dem Internet verbunden ist.

    Wenn aber lokal der Pihole benutzt wird, dann geht er doch diesen normalen Weg ist als nur in Reihe einer langen Kette oder irre ich mich da so gewaltig?

    Mann hat es nicht leicht, aber leicht hat es einen.. :face_with_tongue:

    Verwirrend 1
    Zitat von Naichbindas

    Ja das ist doch aber nur dann so wenn du so einer erweiterte Config hast also dein Pihole direkt mit dem Internet verbunden ist.

    Wenn aber lokal der Pihole benutzt wird, dann geht er doch diesen normalen Weg ist als nur in Reihe einer langen Kette oder irre ich mich da so gewaltig?

    Der PiHole hängt im internen Netz und muss natürlich ins Internet können, alles andere wäre sinnfrei ( DNS, http/https mind. schon mal )


    Wenn ich bei der UDM oder bei meiner Firewall z.b. auch, im LAN / VLAN (!) als DNS nichts eintrage, wird im Regelfall die UDM / meine Firewall als DNS genutzt und dann nutzt die eben auch die Einstellungen eines externen DNS-Server, der auf dem WAN-Interface eingetragen ist.


    Trage ich dort aber eben den PiHole ein, will ich ja, das der PiHole die DNS-Auflösung steuern und dann geben dem PiHole selber auch mit, welchen externen DNS-Server er anfragen soll und wie - dann ist der Router / UDM / Firewall aussen vor.

    Jetzt bin ich etwas verwirrt, weil ich nicht sicher bin, welche der Antworten jetzt die "amtliche" ist. Ich warte also noch etwas ab, bevor ich meine Rückmeldung gebe, wie bzw. was ich verstanden habe.


    Hier noch zusätzlich eine Frage:

    Vorrangig benötige ich einen DNS-Server. Erst in zweiter Linie ist für mich der AD-Blocker Pihole wichtig.

    Meine Überlegung war: ich nehme den Pihole und verwende ihn vorerst als reinen DNS-Server. Den brauche ich, weil ein paar Namens/IP-Kombinationen festgelegt werden müssen.


    Wenn das alles läuft, würde ich dann mit dem Pihole gezielt bestimmte Domains blocken.


    Die Frage: Bin ich da mit dem Pihole richtig oder soll ich für den DNS-Server den Standardserver auf der Synology Station verwenden? Später vielleicht dann erst den Pihole?

    Grundsätzlich ist die Aufgabe vom PiHole erstmal böse Domainsanfragen zu filtern - in erster Linie mal Werbeseite, Tracker usw.

    Was und wieviele Filterlisten der nutzt, entscheidest du selber, per Default sind das glaube ich aktuell rund 145.000 Domains, es gibt Leute, die haben 45 Mio Domains auf den Filterlisten, ob das noch sinnvoll ist, lässt sich drüber streiten.


    Grundsätzlich kann die aber auch dem PiHole sagen, das er Anfragen an Domains aus z.b. interne Adressen umleiten soll - ich denke, das ich das was du machen willst mit Names/IP-Kombi


    Ich würde eher zum PiHole raten als zu einem DNS-Server auf ne NAS.


    Der PiHole ist verdammt mächtig, man muss sich nur damit beschäftigen, dafür ist er aber auch sehr gut dolumentiert.