Beiträge von ruezi

Hm

Danke für die Anregung.

Das könnte ich unter Umständen auch noch ändern und über NGINX PM + eine Subdomain laufen lassen

Ja, nachdem es im eigenen VLAN klappt, werde ich das wohl so belassen und Proxmox + weitere "Dienste" (Wireguard, Docker, NGINX/Trraefik,...), die ich fürs Management LAN angedacht hatte wohl einfach in das "Management LAN 2" (Arbeitstitel) auslagern.

Im Management LAN bleiben dann nur noch die Unifi-Geräte.

Die VLANs (es gibt noch weitere) sind grundsätzlich getrennt.

Die Firewall-Regel zwischen Mng LAN und VLAN 10 habe ich zwischenzeitlich nur deaktiviert, um zu einer funktionsfähigen Version zu kommen.

Sprich es kommen dann jetzt auch die Gruppen DNSServers und DNSPort ins Spiel und das Scheunentor kann wieder geschlossen werden

Ich hab es per OVS Bridge und OVS IntPorts geregelt.

Dort bekomme ich es mit 0 bzw. 1 nicht zum laufen/keine Verbindung.

Ggf. schau ich mir das nochmal mit einer Linux Bridge und Linux VLAN an.

Bin mir gerade nicht mehr sicher, warum ich auf OVS gewechselt habe

Genau:

- Proxmox hängt an einem "All"-Port (und ist selbst dem "Management LAN" zugeordnet)

- Im Proxmox Netzwerk sind Bridge + die (relevanten) VLAN IDs hinterlegt

- Die einzelnen Container/VMs erhalten per Netzwert(-Karten)-Konfiguration ihre VLAN ID + fixe IP zugewiesen

VLAN ID 0 ist (nicht mehr) möglich:

Der Pessimismus war nicht angebracht.

Sobald das Pihole in einem anderen Netz/VLAN als das "Management LAN" liegt, klappt es auch bei mir mit den Clients.

Für Testzwecke habe ich noch eine weitere frische Installation ins "Management LAN" gemacht -> gleiches Spiel wie bisher und die UDM Pro war der einzige Client

Danke für eure Geduld und Unterstützung!

Zitat von uboot21

Was bleibt über?:

Sind die Switche auch mit dem Profil "All" Miteinander verbunden?

Liegt der Pihole vielleicht als Tagged "0" im LAN anstatt identisch wie die Switche verbunden.

Weil seltsam ist das sich nur die Unifi Geräte aus dem LAN sich in der Netzwerkansicht melden (P.S: Ich würde in den Switches selber NIE den Pihole eintragen -> stell dir vor dein Pihole ist weg, dann kommen auch die Switches nicht mehr ins Internet, dort gehört leidglich z.b. 8.8.8.8 rein, so viel "Telefonieren" die Geräte nicht ins Internet das man was blocken muss). Mein Verdacht ist also eher auf der Port Seite, aber das ist nur ein Verdacht. Generell ist alles korrekt bei dir.

Das Switch Port Profil steht auf "All" ( Zwischen UDM Pro, US-16-150W und US-8)

Der Port (US-8) für den Rechner, auf dem Proxmox (u.a. PiHole) läuft, hat ebenfalls "All" zugewiesen, weil dort Container/VMs für andere VLANs laufen.

In den Netzwerksettings des PiHole-Containers ist keine VLAN-ID vergeben -> Management LAN und fix die IP

Auf den Switches und APs haben ich das PiHole wieder entfernt. Seitdem "sprechen" nur noch localhost und 192.168.1.1 (UDM Pro) mit PiHole (grün im Netzwerk)

Ich werde es jetzt noch einmal mit einer zweiten Installation in einem eigenen VLAN versuchen.
Falls das keinen Erfolg bringt (wovon ich eigentlich ausgehe), muss ich mich wohl doch auf die Suche nach einem freien Pi im Haus machen, um damit einen letzten Versuch zu wagen.

Zitat von jkasten

Warum steht die im letzten Screenshot auf drop?

War ein Fehler bei der Erstanlage/beim Erstellen der Screenshots und ich habe vergessen auch noch diesen Screenshot zu tauschen.

Mittlerweile ist es eine Allow-Regel wie in im Screenshot der Regel zu sehen

Surfen klappt ganz normal, Werbung wird geblockt.

Auch nach Änderung der Firewallregeln ("Hartes" Provision angestoßen)

Es bleibt auch bei den 8 Clients unter PiHole -> Tools -> Netzwerk

Firewall-Konfiguration:

Evtl. doch einfach mal in ein eigenes VLAN packen?

z.B. ein Desktop-Rechner -> Sieht für mich soweit "ok" aus

Der Netzwerktraffic zwischen 'Management LAN' und 'VLAN 10' ist nicht geregelt, sprich es existiert keine ALLOW und/oder DROP-Regel.

Sprich eigentlich sollte/müsste da alles hin- und herfunken können. -> Ping auf PiHole <1ms

(Das Firewall-Thema wird dann bei den anderen VLANs relevant)

Der Screenshot aus PiHole -> Tools -> Network ist mit angefügt.

Dort sind nur die 8 Einträge (UDM Pro, APs, Switches, PiHole selbst)

Oder ist ein anderer Punkt in der PiHole-Konfiguration gemeint?

Unifi Network:

PiHole habe ich nun wieder aus den Netzwerkgeäten entfernt

-> Entweder stand das hier im Thread oder in einem anderen hier im Forum, dass das PiHole auch bestenfalls als 'Preferred DNS' in den Geräten hinterlegt werden soll/muss

Netzwerkverkehr zwischen 'Management LAN' und 'VLAN 10' kann aktuell ohne Einschränkungen stattfinden (Keine Firewallregeln aktiv)

PiHole (Statistiken frisch zurückgesetzt

Auf jeden Fall schon einmal Danke für die bisherigen Hinweise und Unterstützung

I

Zitat von uboot21

Das Interface in Pi-Hole muss auf Permit all origins stehen. Wenn es nur auf das local Interface begrenzt ist, zeigt er die anderen VLAN als Gateway Adresse an.

Leider werden nicht mal die Gatewayadressen der VLANs angezeigt.

Es erscheinen lediglich die IPs der UDM Pro, APs und Switches.

ich fasse noch einmal die aktuelle Situation zusammen

Management LAN (192.168.1.xxx):

- UDM Pro, 2x Switch, 3x AP, PiHole

- PiHole-IP ist unter Netzwerke als DHCP Name Server eingetragen

- PiHole-IP ist bei den Switches und APs als Preferred DNS eingetragen

VLAN 10 (10.1.1.xxx)

- PC, Handy, etc

- PiHole-IP ist unter Netzwerke als DHCP Name Server eingetragen

- Zugriff auf Management LAN vorhanden/möglich

- PiHole wird verwendet (ipconfig, nslookup)

PiHole:

- Installation nach https://forum.kuketz-blog.de/viewtopic.php?f=53&t=8759 ; nicht auf einen PI sondern Proxmox LXC Debian

- DNS-Interface Settings habe ich auf 'Permit all origins" gesetzt

Die Anfragen laufen größtenteils weiterhin über die UDM Pro (unifi.localdomain/192.168.1.1).

Alle weiteren IPs kommen aus dem Management LAN und sind die weiteren Netzwerkgeräte.

Aus VLAN 10 sehe ich nichts.

Welche PiHole Settings wären interessant?

- DNS Upstream verweist auf Unbound

- Conditional Forwarding ist aktiv

- Adlists wurden hinzugefügt

- Im Netzwerk erscheinen nur die Geräte/IPs aus dem "Management"-LAN (192.168.1.xxx)

Ich nehme an, dass ich noch irgendwie die verschiedenen VLANs (z.B. IP-Range 10.1.1.xxx) bekannt machen müsste?

Zugriff zwischen den beiden Netzen ist grundsätzlich möglich (UDM-Firewall)

Oder müssten alle Anfragen auf Port 53 an PiHole weitergeleitet/-geroutet werden?

Sprich, trotz Neustart einfach Tee trinken und abwarten?

So wie in den nachfolgenden Screenshots dargestellt ist die aktuelle Konfiguration

Die Unifi-Geräte + PC/Handy wurde auch nochmal durchgestartet (müsste sich damit die DHCP Lease Zeit erledigt haben? -> da fehlen mir die Hintergrundkenntnisse)

Im PiHole erscheinen unter den Clients bzw. im Query Log nur die Unifi-Geräte/-IPs:

Zitat von jkasten

Unter Netzwerk--> DHCP--> DNS den Pihole eintragen.

Das war damit gemeint: "IP vom PiHole nur testweise in einem Netzwerk "LAN" eingetragen"

Sprich, die IP als DHCP DNS Server ( bzw. im alten UI DHCP Name Server) eingetragen,

Mit dieser Einstellung ist die UDM Pro der einzige Client, den ich in der Liste sehe -> immer nur IP 192.168.1.1

Ich stelle meine Fragen hier, weil es thematisch ganz gut passt.

Thema Clientanzeige im PiHole (bzw. und/oder AdGuard)

Ausgangssituation ist folgende:

UDM PRO (Unifi OS 1.12.22 / Network 7.1.66)

2x Switch / 3x AP

Mehrere VLANs

PiHole + Unbound in LXC auf Promox

Anfangs hatte ich die IP vom PiHole nur testweise in einem Netzwerk "LAN" eingetragen.

Als Client im PiHole wurde dementsprechend nur die IP der UDM PRO angezeigt,
Dann habe ich die Empfehlungen hier im Thread umgesetzt und die IP des PiHoles auch in den Switches/APs als 'Preferred DNS' hinterlegt.

Nun erscheinen eben auch die IPs der Ubi-Geräge in der Clientliste.

Das eigentliche Zeil, die lokalen Geräte (PCs. Handys, etc) angezeigt zu bekommen, um dann ggf. gerätespezifisch Einstellungen vornehmen zu können, habe ich nicht erreicht.

Hat hier ggf. jemand einen Tipp, wo/wie ich das hinbekommen kann?

Danke!