Problem mit DNS Auflösung im VLAN und einem Pi-Hole

Hallo,

ich bin bisher stiller Mitleser (bis jetzt)

Meine Config
Controller auf einem Raspi mit dieser Anleitung erstellt inkl. Zertifikat.
Unifi Geräte Netzwerk (UXG Pro, Switch, 4xWLAN) mit Pi-hole 192.168.1.0/24
Privates Netzwerk 10.10.10.0/24
Kind 10.10.20.0/24
Gast 10.10.30.0/24

Netzwerkeinstellungen bei allen Netzwerken DNS Server des Pi_Hole 192.168.1.30 eingetragen

Im Pi-Hole ist das Netzwerk 10.0.0.0./8 und 192.168.1.1 (UXG als Router) unter Bedingte Weiterleitung eingetragen damit die Namen aufgelöst werden. (auch ohne diese Einstellung kommt der unten aufgeführte Fehler)
Auch der Punkt Reagiere nur an Schnittstelle eth0 ist aktiviert, damit der DNS Server an den anderen Netzwerken funktioniert.

Die Netzwerke nutzen den Pi-Hole als DNS wenn ich den Status anschaue. Soweit alles in Ordnung.

Kommen wir nun zu dem Problem wo ich nicht weiterkomme.

Ich kann im Pi-Hole ja private DNS Einträge machen.
z.B. controller.domain.de (Die domain.de existiert und ich habe damit auch das Zertifikat in den Controller eingebunden)
Die controller.domain.de wird an die 192.168.1.10 gebunden.

Wenn ich nun im 192.x Netz die Domain im Browser aufrufe lande ich beim Unifi Controller
Aber im 10.10.10..0 Netzwerk funktioniert das nicht.

Ich habe dann mal DNS Cache gelöscht und PC neugestartet. um dann mit "ping controller.domain.de" was hier aufgelöst wird zu schauen.
Da wird die IP zurückgegeben die die domain.de (Haupt) im Internet hat. Oder da noch beim Provider eine DNS A-Record der SubDomain existierte die IP meines DSL Anschlusses.

Hier mal die Abfrage und wie man sieht fragt er den Pi-Hole ab

PS C:\Users\Mein> nslookup controller.Domain.de
Server:  pi.hole
Address:  192.168.1.30

Nicht autorisierende Antwort:
Name:    controller.domain.de
Address:  95.18.141.75

Mit ... wird das ausgegeben

PS C:\Users\Mein> nslookup controller.Domain.de 1.1.1.1
Server:  one.one.one.one
Address:  1.1.1.1

Nicht autorisierende Antwort:
Name:    controller.domain.de
Address:  95.18.141.75

Wenn ich den PC im 192 Netz die Abfrage machen lasse kommt immer dabei die 192 raus - nslookup zeigt hier 192.168.1.10 und nicht die Internet-IP

Da der Zugriff ja nicht nur für den Controller ist sondern auch für das Gastnetzwerk, funktioniert dann der Aufruf der Gutscheinseite nicht. Die lokale Domain wird ja meiner Meinung nach falsch aufgelöst.

Ich habe also irgendwo eine falsche Abbiegung genommen und finde den Fehler nicht damit lokale DNS Einträge des Pi-Hole im VLAN funktionieren.

Hoffe das ich alles relevante aufgeführt habe, sonst Fragen.

Ronaldo

ich hoffe Dich richtig verstanden zu haben.
Hier mal vom Gastnetzwerk


Die anderen Netzwerke sehen genauso aus bis auf den Punkt Gastnetzwerk ist da nicht aktiviert.

Hier vom Controller Sicherheit

Ich denke auch das hier das UXG Pro das umleitet.
Nur beim WAN sollte man doch das Pi-Hole nicht als DNS eintragen, wegen Schleife habe ich gehört.
Beim WAN steht da automatisch.

Wo könnte ich noch suchen?

Hier noch die angepasste Erkennung

Zitat von Tomcat

Gehen die Anfragen aus dem 10er Netz überhaupt über den Pihole ?

So steht es gerade im Pi-Hole. der blockt da auch fleißig

2024-04-01 20:41:15 A v7event.stats.avast.com 10.10.10.100

Log Pi-Hole bei nslookup controller.domain.de 192.168.1.30
2024-04-01 20:54:02 AAAA pi.hole 10.10.10.100
Da sollte was anderes auftauchen oder?

Hier brauch ich ein Hinweis "Permit all origins" was ich da machen soll.

Gerade mal getestet mit einem Handy was noch nie in diesem Netz (egal welches) angemeldet war.
Verbindung Gastnetzwerk --- Seite wurde nicht gefunden. Es erscheint von diesem auch nichts im Pi-Hole, wenn da die Gutscheinseite erscheinen müsste.
Sobald ich im Controller diesem Gast freigegeben habe erscheinen auch Abfragen im Pi-hole. Nur die Umleitung der Domain erfolgt nicht wie angegeben auf die interne IP sondern auf die im Internet. Die Frage ist wo muss ich da suchen um diesen Fehler zu beheben?
 
Ich hatte vor der UXG ein USG und dort hatte ich das über config.gateway.json gelöst. Da funktionierte das auch immer.

Die einzige Idee die ich habe aber für nicht richtig halte (kann gern berichtigt werden), ist den DNS (Pi-Hole) im WAN einzutragen und bei den Netzwerken den Standard also die VLAN IP dem Clienten zu übergeben. Weiter Idee wäre dem Gastnetzwerk ein eignen Pi-Hole zu spendieren. Aber dann müsste ich zwei pflegen und laufen lassen.

Bin also offen für weiter Lösungsvorschläge damit das ganze zumindest für Gastnetzwerk läuft. Den controller.domain.de Aufruf geht ja auch mit IP Adresse.