Ich habe die DNS Einträge bei jedem VLAN einzeln gesetzt und im Pi-hole Gruppen definiert. So funktioniert es perfekt. Ich setzte das Tag auf "Erledigt". Danke für Eure Tipps!
Gruß,
gr00ve
Beiträge von gr00ve
-
-
-
Gruppen anlegen dauern keine 5 Minuten.
Aufwändig ist nur die individuellen Filterlisten zu pflegen. Da würde ich mir überlegen, ob das wirklich den Aufwand rechtfertigt.
Gast-VLAN geht übrigens "genauso" einzurichten. Einfach als ersten DNS den PiHole eintragen und schon funzt es.
Das Gute an der Gruppenfunktion ist, daß man nicht jeden Client einzeln eintragen muß, sondern das gesamte Subnetz (Kinder) als Gruppe definieren kann. Sehr komfortabel!
Der Aufwand für das Pflegen der Listen hält sich in Grenzen. Mir ist hauptsächlich wichtig, daß sie keine Pornowerbungen auf ihre Browser bekommen (ist in der Vergangenheit passiert), das lässt sich mit einer entsprechenden Liste gut unterbinden.
Gastnetz funktioniert auch prima.
Gruß,
gr00ve
-
Guter Punkt, danke.
Dazu muss Pi-hole aber mehr als einen Client erkennen, das würde also nur bei meiner Variante 1 funktionieren.Gruß,
gr00ve
-
Servus,
ich habe seit gestern auch einen Raspberry Pi mit Pi-hole laufen und hätte die Frage, wo Ihr den entsprechenden DNS Eintrag gemacht habt:
- in jedem Subnetz extra
- unter WAN common settings
Variante 1 ist aus meiner Sicht flexibler, man könnte zB mit einem zweiten Pi gesonderte Regeln für die Kinder realisieren. Dabei würde ich aber das Gastnetz ausschließen, da der Pi bei mir im Managment LAN hängt und das Gast Netz ohne entsprechende Firewallregel darauf nicht zugreifen darf.
Bei Variante 2 geht der gesamte Traffic über Pi-hole, ich habe aber auch nur einen Clienten, nämlich das USG [192.168.1.1]. Da kann ich also nicht sehen, welche IP Adresse im Netz welche Querries macht.
Gibt es da eine "best practise" und wie habt Ihr das gelöst?
Grüße,
gr00ve
-
.... da du über das USG keine LTE Einwahl festlegen kannst. Zumindest habe ich auch keine Einstellungen dafür gefunden.
Braucht man die überhaupt? Beim Netgear LTE Modem, welches Du oben verlinkt hast, konfiguriert man die LTE Einwahl einmal über dessen eigenes Webinterface und dann reicht es die public IP an das USG durch. Ich meine, das müsste funktionieren, aber ich habe es nicht ausprobiert.
Gruß,
gr00ve
-
Ein kurzer Google Search ergab diesen Thread. Wenn Dich die Kommandozeile nicht abschreckt, versuch's mal damit.
Gruß,
gr00ve
-
Von meinem Verständnis her ist es egal welches Modem du nimmst bzw. welchen LTE Router du im Bridge Modus nutzt. Du wirst in jedem Fall eine interne IP bekommen. Aber vielleicht hat ja jemand anders noch eine Lösung.
Das glaube ich nicht, denn im Bridge Modus arbeitet der Router ja nur als Modem. Ich habe bei meiner Schwiegermutter den von Vodafone bereitgestellten Kabelrouter im Bridegemodus laufen und die dahinterliegende Fritzbox (4020) hat auf der WAN Seite eine öffentliche IP.
Gruß,
gr00ve
-
Anscheinend nicht oder ich habe es bis jetzt übersehen.
Egal, bei mir läuft es ja über die beiden FritzBoxen, aber ich bin gespannt, auf welche Lösungen Ihr kommt. Ich lehne mich zurück und lerne von Euch.
Gruß,
gr00ve
-
Richtig, für einen Client Zugang geht das. Aber wie löst Du das für Site to Site, wenn auf beiden Seiten Unifi Geräte stehen? Wie sagt die Synology der gegenüberliegenden UDM ihre IP Adresse?
Gruß,
gr00ve
-
ok, gibt es seitens des Herstellers Hoffnung, dass die Features noch kommen für die UDM pro oder muss ich wechseln zur usg?
Keine Ahnung. Vielleicht wenn der Druck der internationalen Community stark genug wird. Hexenwerk ist es ja keines.
Ich habe einen Stage Router von Nowsonic, über den ich auf der Bühne ein Digitalmischpult ansteuere. Zuhause in der Studioumgebung möchte ich das Pult genauso steuern können, also habe ich den Router gestern in mein Unifi Netz integriert. Da war NAT mit einem Click auszuschalten.
Warum Unifi das nicht anbietet, ist mir ehrlich gesagt ein Rätsel.
Gruß,
gr00ve
-
Beim Site to Site VPN mit DynDynS schaut es bei der UDM und auch USG nicht gut aus, da Unifi bis jetzt Site to Site nur IP Basierend umsetzt.
Der wären eher Business Anschlüsse gefragt, mit fester IP.
Es gibt laut diesem Thread eine Möglichkeit das per Script zu lösen, aber dazu braucht's die config.gateway.json. Damit ist die Dreammachine auch wieder raus.
Zitat von EugenmolleknollAlles anzeigenVigor-> udm pro
falls ich nun das VPN in der udm machen möchte geht das nicht, da die udm kein dyndns unterstützt, richtig?
Fritte -> udm
meine Tochter hat ne ps, von dem her doppel nat ?!
Somit kann ich keines der beiden Optionen sinnvoll nutzen?
Schaut leider so aus. Für mich ergab sich bei meiner Recherche USG Pro 4 vs UDM Pro, dass ich drei Anwendungsbereiche habe, für die ich die config.gateway.json benötige:
- Site to Site VPN mit Dyndns (habe ich über FritzBox gelöst)
- doppeltes NAT ausschalten
- SONOS in Verbindung mit VLANs
Damit war die Entscheidung für das USG Pro 4 klar.
Gruß,
gr00ve
-
um VOIP hinter der Firewall nutzen zu können, wirst du Portfreigaben einrichten müssen. Ich habe für mein FAX ein VOIP Gateway im Netz und dafür folgende Freigaben (alle UDP) eingerichtet. Der SIP Port ist bei bei mir 15050, weil 5060 schon von der Fritz Box belegt ist, die vor dem USG die normale Telefonie erledigt. Bei Dir müsste es dann entsprechend 5060 sein.
Bei VPN kann ich leider nicht helfen, da das bei mir die FB macht, die, wie gesagt, vor dem USG hängt.
Ich persönlich finde aber, anders als einige hier im Forum, diese ganzen Turnübungen mit anderem Router und Fritzbox irgendwo im Netz technisch unsauber, gerade wenn die FritzBox Telefonie macht. Unifi erlaubt auch aus unerfindlichen Gründen bei Site to Site VPN kein Dyndns und VPN zwischen Unifi und einer Fritzbox ist auch unnötig umständlich, daher macht das bei mir auch die FB. Aber wie gesagt, das ist meine Meinung und für mich funktioniert es so, Andere sehen das anders.
Gruß,
gr00ve
-
ich würde es so versuchen. Mehr, als daß es nicht klappt, kann nicht passieren.
Gruß,
gr00ve
-
Korrigiert mich, wenn ich falsch liege, aber der Weg ist doch FritzBox -> USG -> Homeserver, oder? Müsste da nicht die Portweiterleitung in der Fritzbox auf das USG mit dessen IP verweisen und im USG die Weiterleitung auf den Homeserver?
Gruß,
gr00ve
-
Servus @Odom ,
ich habe mich wegen des doppelten NAT gegen die UDM und für das USG Pro 4 entschieden, da man das doppelte NAT im USG per Konfigdatei ausschalten kann, in der UDM hingegen nicht. Dafür muss man in der FB statische Routen auf die einzelnen Subnetze hinter dem USG anlegen. Für mich funktioniert das auf diese Art gut (ich nutze wie Du eine FritzBox für Telefonie und als VPN Endpoint), andere hier im Forum machen es anders.
Die USG Pro 4 ist mit IPS und Threat Management auf 250 mbit/s limitiert, aber das ist bei meiner 100er Leitung noch kein Problem. Für Dich mit 1Gig ist es wiederum ein Thema. Es gibt halt immer mehrere Wege zum Erfolg und Du musst den nehmen, der am besten für Dich passt.
Gruß,
gr00ve
-
Servus basejumper ,
ich habe den "kleinen Bruder" des Homeservers, den Gira X1. Auf den ich greife ich von extern mit VPN zu. Das funktioniert problemlos und braucht auch keine Weiterleitungen.
Gruß,
gr00ve
-
Kannst Du nochmal genau schreiben, wo Du welche Route eingetragen hast, um Dein Ziel zu erreichen?
Wenn ich Deinen ersten Post richtig gelesen habe, dann hängst Du als Client hinter dem USG, welches wiederum hinter der FRITZ!Box A (LAN: 192.168.1.0/24) hängt und Du bist nicht in das LAN 192.168.180.0/24 hinter FRITZ!Box B gekommen, korrekt?
Danke für die kurze Zusammenfassung.
Servus razor,
genau so. Mein Hausnetz ist komplett hinter dem USG, bei dem aber NAT deaktiviert ist. Meine FritzBox (A) macht Internetzugang, VOIP und VPN. Nachdem die beiden FBs verbunden waren, konnte ich mich aus dem Hausnetz nicht auf Box B verbinden. Das ging nur, wenn ich den Laptop direkt an die FB A angeschlossen hatte und hatte offenbar zwei Gründe:
- FritzBox B hatte in der VPN Verbindung nur das Netz von Box A als "erlaubt" definiert. Mein Heim LAN musste ich manuell in der access list einfügen. (Danke nochmal axelb )
- Die USG Firewall muss wissen, wo die Pakete für das Remotenetz [192.168.180.0/24] hinsollen. Dazu habe ich eine Static Route mit Next Hop FritzBox A [192.168.178.1] eingerichtet.
So funktioniert es jetzt.
Gruß,
gr00ve
- FritzBox B hatte in der VPN Verbindung nur das Netz von Box A als "erlaubt" definiert. Mein Heim LAN musste ich manuell in der access list einfügen. (Danke nochmal axelb
-
Wobei das USG aber doch alle Anfragen, die nicht ins eigene Netzwerk gehören, ohnehin zum nächsten Gateway schickt,
oder habe ich da jetzt einen Denkfehler?
Aber egal ... schön, das es nun funzt
Ich meine mal gelesen zu haben, dass Router private IPs grundsätzlich nicht ins öffentliche Netz routen und WAN1 ist für das USG ja öffentlich. So erkläre ich mir die Notwendigkeit der Static Route, aber ich kann auch falsch liegen. Aber, wie Du richtig schreibst, Hauptsache es funktioniert.
Gruß,
gr00ve
-
So, jetzt haut's hin!
In der USG muss es für das Remotenetz eine Static Route mit Next Hop IP der FritzBox geben, damit die Firewall weiß, wohin die Pakete für das Remotenetz gehen sollen. Again what learned!
Gruß,
gr00ve
