Beiträge von besenwesen

Zitat von Bigdog71

So ich konnte das Problem nun auch nachvollziehen

Da ich mein Laptop einfach in einen Port am Switch gehängt habe um ein Problem am Server zu debuggen, hing er im Default Netz, statt im Home-Netz. Da ich das Default Netz nur für Unifi Devices nutze geht DNS über die UDM.

Hinter der UDM hab ich als 1. Resolver meinen Pi-Hole und als 2. Cloudflare (nur dass das Internet auf alle Fälle geht). Mein Pi-Hole löst die interne Domain auf, aber die UDM SE leitet es nicht weiter. Genau wie von besenwesen beschrieben. Das ging definitiv vorher.

Was mir aufgefallen ist, die UDM hat wie blöde den record type HTTPS anfordert, der natürlich nicht gepflegt ist (normal reicht ja Typ A).

Aber ich habe auch Ad Blocking enabled (müsste ich nochmal testen und dabei ausschalten) aber trotzdem interessant dass die Adresse vom Pi-Hole geholt wird aber dann gedroppt.

Alles anzeigen

Waere eigentlich ein Bugreport bei UI wert.

Zitat von gierig

/data is das Persistente Verzeichnis das auch bisher zu 100% Firmware Updates überlebt.

Da habe ich nen Ordner „myScript“ wo erstmal alles drinnen ist was mir lieb und teuer ist

und lege nur Syslinks and wo der kram den hinsoll.

aktuell verwende ich das hier:

legt nen Symlink in richtige Verzeichnis wenn es da ist und startet den killt den dnsmasq.

Ist eher so quick und dirty und eher fürs booten. Bei Änderungen muss man halt mal selber DNSmasq

Killen oder das file entfernen. Für mich reichst ist aber halt nicht „Idolen“ sicher...

Bash

#!/bin/bash


## Unifi Network generate the dnsmasq config on the fly (on dns dhcp config changes)
## 2024 by gierig.

DNSMASQ_CONF="/run/dnsmasq.conf.d/shared.conf"
DNSMASQ_HOSTFILE="/run/dnsmasq.conf.d/host.dns"
DNSMASQ_SOURCE="/data/fnord23.net/host.dns"

DATE=$(date +%F_%H:%M:%S)


while [ ! -e "${DNSMASQ_CONF}" ]
 do
   echo "$DATE -> DNSMASQ -> No Config" >> /data/myScripts/log.txt
   sleep 10
done

if [ -f $DNSMASQ_HOSTFILE ]; then
 #File Exist, do nothing
 exit 0
else
 #File NOT exist, so symlink, restart
 ln -s $DNSMASQ_SOURCE $DNSMASQ_HOSTFILE
 echo "$DATE -> DNSMASQ -> Symlink DNS Host file" >> /data/myScripts/log.txt
 sleep 30
 ## Kill current dnsmasq, ubios-udapi-server automatically restart it
 kill $(cat /run/dnsmasq.pid)
fi

Alles anzeigen

Da bei Änderungen im UNIFI System gerne mal die ganze Config neugemacht wird.

habe ich das als cron laufen alle 2 Minuten und nach dem Reboot.

Das sorgt denn dafür zusammen mit dem Script oben dafür das die „host.dns“ wieder

ins Verzeichnis kopiert wird.

Code

## run the dnsmasq_fix script
## link to /etc/cron.d
## modified 2024 by gierig
##


MAILTO=""
SHELL=/bin/sh
PATH=/usr/local/sbin:/usr/local/bin:/sbin:/bin:/usr/sbin:/usr/bin


@reboot root /data/fnord23.net/dnsmasq_fix.sh
*/2 * * * * root /data/fnord23.net/dnsmasq_fix.sh

Alles anzeigen

Alles anzeigen

Sehr sehr cool. Vielen Dank Dafuer.

Laeuft bei dir auch UnifiOS 3.2.12?

Edit: Hab das etwas angepasst und mal auf die UDM geknallt. Das loest all meine Pihole Probleme und erweitert die UDM um ein (Pflicht-)Feature! Dir sei vielmals gedankt!

Zitat von Tomcat

Wenn ich mal überlege, wieviel Zeit ist damit verbracht habe, die UDMPro zu rebooten, einen restore zu machen, mich mit dem unfähigen Support rumzuärgern, Fehler zu suchen, die am Ende ein Bug in der Software waren, das in Zeit und Geld umgerechnet, könnte ich mir locker eine Hardware-Appliance der OPNSense kaufen.

Ich habe nen MiniPC im Rack stehen, der kostet am Ende das selbe wie ein UDMPro, da läuft die OPNSense drauf und ich hab Ruhe.

Bis auf einen Hardwaredefekt ( SSD ausgefallen ) hatte ich keine Probleme damit und der war auch in 30min beseitigt ( neue SSD rein, OPNSense von USB-Stick installiert, aktuelles Backup der Config und fertig )

Hab da auch schon drueber nachgedacht. Hatte frueher alles virtualisiert aber damit wurde ich nicht gluecklich. Die UDM haette ich schon gern da stehen wegen UIProtect. Waere nur eine sooooo viel coolere Maschine wenn man solche Laecherlichen Tasks nicht haette

gierig gibts ein bootscript Verzeichnis oder sowas? dnsmasq darf ja erst starten nachdem meine config geladen wurde. Ich dachte daran die udapi-server.service datei anzupassen, aber ich denke das geht viiiieeeelll einfacher ohne das Risiko das System zu bricken.

Ahh. Okay.

Standardmaessig ist dnsmasq disabled. Meinst du mit Startscript einfach das enablen von dem Service?

LOL! Das war dann wohl vor meiner Zeit.

Den Namen habe ich allerdings woanders her

Edit: dnsmasq scheint zu laufen, auch wenn der Systemservice nicht laeuft. Interessant.

Zitat von franzbertbua

okay wenn das zu viel mit selbst programmieren ist, klingts für mich eh schon wieder zu komplex. bin in nem alter, da solls einfach funktionieren
Wenns recht einfach funktioniert hätte, wäre es interessant gewesen als alternative zu meiner synology...

Okay, doch ein kurzum. Du musst:

1. Raid Konfigurieren

2. User anlegen

3. SMB/NFS Service konfigurieren (copypasta aus dem der Manpage reicht) und enablen

4. Verzeichnisse anlegen (/Volume1)

Schritt 2 bis 4 muss man halt auf der Commandline machen. Wenn du viel Ahnung hast, dauert das 10 Minuten, aber dann brauchst du die Anleitung nicht. Wenn du keine Ahnung (und viel Geld ) hast, ist Synology schon okay. Das ganze KlickiBunti von QNAP ging mir nur auf den Zeiger. Ausserdem ist die Abhaengigkeit von deren Software Support und Recovery Szenarien etwas unschoen. Sobald du DEINE Daten nur mit DEREN Software retten kannst (oder mit ganz viel schmerz ) ist ein NAS und die damit verbundene Software in meinen Augen schrott. Fuer weniger erfahrene Enthusiasten bei denen es einfach funktionieren soll, ist es komplett ausreichend. Das sehe ich ein.

Zitat von DoPe

Du kannst im pihole auch mehr als eine bedingte Weiterleitung konfigurieren. Geht nicht in der GUI aber eine Datei anlegen ist ja nicht zuviel, falls Dir das weiterhelfen würde könnte ich morgen mal gucken wo die hin muss. Ich löse so z.b. hosts aus dem firmennetz bei mir im lan über den wg tunnel auf.

Hab im PiHole (container) eine Datei in /etc/dnsmasq.d hinterlegt die vorher gut genau das Problem behob.

Zitat von Bigdog71

Ist die 192.168.1.2 auch im selben VLAN des PCs der nslookup macht? Pi-Hole hat ja im Beispiel 10.13.37.254, was ja ein anderes Netz ist.

die 10.13.37.254 ist die UDM. In dem Subnetz ist auch der nslookup client. Das PiHole ist in einem anderen VLAN.
Die Lookup Kette stelle ich mir so vor:

Client -> UDM -> Pihole -> OpenResolver (falls Name nicht bei UDM oder Pihole gespeichert)

Client -> UDM (Falls name bei UDM hinterlegt)

Client -> UDM -> PiHole (Falls name bei PiHole hinterlegt) <- Hier scheitert das System mit einem Loop: Client -> UDM -> Pihole -> UDM -> PIHole ... usw... -> Ratelimit

Mein Vorheriges setup war, dass der Pihole container im client netz war, und dort fuer alle clients als DNS hinterlegt war. Da hat es funktioniert, mich stoerte aber die tatsache das ein Server im client netz liegt. Wollte das getrennt haben.

Zitat von Tomcat

Das hab ich mir vor zwei Jahren schon gesagt und die UDMPRo rausgeworfen und mir ne ordentliche Firewall aufgebaut, weil ich die Nase voll hatte von dem Teil.

Bei mir läuft aktuell ISC-DHCP für IPv4 und IPv6 ( der ist aber abgekündigt und wird ersetzt durch KEA-DHCP ), dann läuft AdGuard zusammen mit Unbound als DNS und Werbeblocker udn das ganz funktioniert vollkommen entspannt im Hintergrund.

So doof es klingt, bin auch Fan von OpnSense oder pfSense, aber um es Rund zu haben wollte ich nicht so viel Geld ausgeben Ich wollte das alles in ein Rack knallen und um das so zu haben war die UDM der perfect match.

Zitat von gierig

Ich habe selber eine Config die ich dem DNSMasq an unifi vorbei

unterschiebe. Weil ich es vermisse A Records für Dinge zu vergeben die

nicht als Client in der Liste sind, oder weil ich Multiple A / CNAME Records

benötige.

Kleiner Hinweis von den ich nicht weis ob sie Hilfreich für dich ist

oder oder du nicht selber deine DNS Kette auf die Reihe bekommen must

Das Unifi System macht „böse“ (eigentlich ganz intelligente)

Dinge sobald du AD Blocker oder Content Filter (Private / work in der VLAN Config)

aktiviert hast. Dabei werden DNS Anfragen umgebogen sobald sie

zum Router oder über den Router müssen (also auch ein Client der z.B

1.1.1.1 als DNS Resolver nutzen will). Iptables sorgt dafür das diese

zur einer Internen DNSMasq durchgeleitet werden und

dann zu einem Externen DNS im falle von Content server oder

oder zu den Im WAN hinterlegten. Sollte das dann wider ein Interner

sein gibt es einen Lustigen loop...

P.S

Besenwesen...Besenwesen...Melissa mag dich nicht,

Leslie ist cool Wie wars auf den Mars solange zu pennen ?

Alles anzeigen

Wusste ich nicht, danke fuer den Tipp. Meinst du einfach ein namen in /etc/hosts oder dnsmaq.d auf der UDM eintragen reicht?

PS. Ich glaub das ist ne Referenz die ich nicht schnall

Zitat von franzbertbua

das mit der UNVR als NAS wäre interessant

Habe auch schon ueberlegt ein Tutorial dazu hier um Forum zu schreiben, aber das gibts schon in der Form. Etwas veraltet aber wenn man ein bisschen UNIX kann kein Problem.

Edit:

Ich wollte hier ein TLDR; davon in diesen Post scheiben, als ich die 400 Wort Marke erreichte dachte ich, dass sollte vielleicht doch in einen dedizierten Thread. Es gibt hier schon was dazu im Forum. Muss man vielleicht mal updaten.

Oh Junge. Es wird Zeit, dass Unifi DHCP und DNS mal auf die Kette kriegt. Ich mein, static hostnames oder cnames sind doch teil von dnsmasq welches standardmaessig auf jedem von Unifis Routern zum einsatz kommt. Warum die Software beschneiden?

Ich ueberleg mir nochmal wo ich damit hin will. Eigentlich wollte ich alle Netzwerkfunktionen die UDM uebernehmen lassen (abgesehen vom DNS sinkhole). Also abwarten ob das Unifi irgednwann mal unterstuetzt. Bis dahin hacke ich mal weiter.

Okay, also ist dein Unbound auch DHCP bzw. kann die leases sehen. Das kann in meinem Setup das PiHole nicht. Hmm. Entweder ich mache also abstriche in meiner Netzwerk Konfiguration oder ich muss noch ein dedizierten DNS aufsetzen. Eigentlich sollte PiHole das koennen, aber die Auswertungsreihenfolge mit Conditional Forwarding verbietet das wohl.

Danke fuer den Input!

Zitat von Tomcat

Das Konstrukt verstehe ich nicht ganz, was meinst du mit Upstream DNS in der UDM ?

Hast du den PiHole auf der WAN-Seite eingetragen, das wäre falsch.

So ist es. Auf dem UDR hat es damals funktioniert. Ich sehe auch keinen Technischen Grund warum das nicht gehen sollte. Die UDM wird das PiHole als seinen Resolver anfragen. Das PiHole telefoniert dann ins internet an den naechsten Reolver.

Zitat

Der DNS ( = PiHole ) gehört in die DHCP-Sesttings des jeweiligen Subnetzes. und auf dem PiHole dann als "Use Conditional Forwarding" dann für deine komplettes Netz und die Domain der DHCP-Server ( = die UDM ), damit der PiHole die Auflösung der lokalen Adressen machen kann.

Genau das ist ja das was ich anders machen moechte. Die Clients im anderen Subnetzen brauchen dann zwangsweise Zugriff auf ein anderes Netz. Ich wollte mit der UDM als DNS resolver der Clients ein einheitliches System erzwingen.
Wie auch immer, Zeitweise hatte ich das auch so.
Hier besteht aber das Problem, dass der PiHole dann auch FQDNs, die nicht von der UDM konfiguriert wurden, die ich in seiner dnsmasq config eingetragen habe nicht aufloesen wird, da diese zur UDM weitergeleitet werden wuerden (wenn conditional forwarding aktiv ist).

Was genau verstehe ich falsch an der Mechanik wenn die UDM an ihrem WAN port den PIHole als DNS drin hat? Nach meinem Verstaendnis sollte doch nur etwas Aufgeloest werden wenn die UDM den Namen nicht kennt, oder?

Edit: Habe das jetzt mal nach deinem Vorschlag umgesetzt. UDM verteilt an clients die IP des PiHoles als DNS. UDM hat am WAN port einen anderen DNS Server eingetragen. Das Pihole macht conditional forwarding. Im PiHole habe ich cnames bzw. DNS records eingetragen. Gleiches Problem. Die UDM uebersetzt zwar auf ihr konfigurierte namen, aber die records im Pihole bleiben unbeantwortet.

Und vorallem, DNS funktioniert ja, nur nicht fuer hosts in der Searchdomain, obwohl mit nslookup die richtige IP angezeigt wird (wenn auch returnvalue != 0...???).

Edit: Habe das jetzt mal nach deinem Vorschlag umgesetzt. UDM verteilt an clients die IP des PiHoles als DNS. UDM hat am WAN port einen anderen DNS Server eingetragen. Das Pihole macht conditional forwarding. Im PiHole habe ich cnames bzw. DNS records eingetragen. Gleiches Problem. Die UDM uebersetzt zwar auf ihr konfigurierte namen, aber die records im Pihole bleiben unbeantwortet.

Es kamen mehrere dinge in den letzten Wochen an, darunter:
- Unifi Toolless Rack

- UAP-7-Pro

- USW PRO Max 24

- UNVR (wurde zum NAS transformiert)

- SFP+ Kabel fuer 10G connectivity.

Etwas aelter ist schon die UDM Pro.

Falls es wen interessiert kann ich ja mal ein Bild machen

Halloechen!

Hier bin ich mal wieder mit einem PiHole/DNS Problem...
Kurz mein Setup:

• UDM upstream DNS ist der PiHole Host (pihole ist containered)
• PiHoles Upstreams sind DNS Server im Internet
• Clients erhalten per DHCP die IP des Subnetz Routers (in allen Faellen die UDM, damit erspare ich mir firewall config und "forciere" den gebrauch des PiHoles)

Resolving funktioniert fuer alle Domains die nicht in meiner (search)Domain haengen, egal ob FQDN oder nur hostname.

user@client> nslookup random-domain.de
Server:		10.13.37.254
Address:	10.13.37.254#53


Non-authoritative answer:
Name:	 random-domain.de
Address: 12.34.45.67


user@client> nslookup machine1.home.net
Server:		10.13.37.254
Address:	10.13.37.254#53


Name:    machine1.home.net
Address: 192.168.1.2 (Dies ist korrekt)
** server can't find machine1.home.net: REFUSED   (pihole rate limited die ip der UDM, vermutlich wegen DNS loops).

Wie kann das sein? Muesste die UDM nicht in der Lage sein die Domain machine1.home.net aufzuloesen (wurde ueber den Network Controller konfiguriert)?

Mit meinem UDR hat das (fast identische) Setup einst funktioniert. Vor allem ist spannend bzw. sorgt fuer meine endgueltige Verwirrung, dass die korrekte IP-Adresse ja angezeigt wird.

Zitat von Likos

[...]allerdings habe ich gelesen das man das wohl auch nebenher auf der UDM installieren kann. Taugt das was?

Meinst du PiHole auf der UDM? Da da ein Debian drinsteckt geht das (vermutlich) schon, aber jedes update wuerde wahrscheinlich jede Non-Unifi config zerstoeren. Gerade bei Gateway/Firewall wuerde ich alles an Security mitnehmen was geht und davon abraten.

Wegen Server update: du muesstest im zweifel ja nur die DNS config deiner Netzwerks an der UDM aendern (gesetzt dem Falle die macht auch DHCP). Beim Update des Servers sind die Services ja sowieso nicht erreichbar weshalb die aufloesung der Namen sinnlos waere. Sonst einfach dein "LAN-WAN-LAN Loop" nutzen wenn du dich daran nicht stoerst.

Ich persoenlich warte ja auch noch drauf dass Ubiquiti endlich ein Update macht durch das man StaticHostnames eintragen kann, oder besser noch, einen DHCP Host mehrere Names geben kann...

Der Vollstaendigkeit halber:
dd

Unixoide systeme werden damit standardmaessig ausgeliefert (ausser die richtig exotischen).

Vergiss nicht auch im Bios/UEFI den Stick als bootbares Medium auszuwaehlen. Gerade mit den neuesten Intel NUCs kannst du es unwissentlich vermasseln wenn du die Stromzufuhr zu den USB-A Ports kappst.

~besenwesen

Exakt mein Setup daheim. Muss auch einen zweiten DNS nutzen. In meinem Fall tatsaechlich auch ein Pihole. Kudos an jkasten .

~besenwesen

Hatte ein aehnliches Problem schonmal.
Long story short: Nutz die Unifi Smartphone App um das Geraet an zu lernen. Mach ein Update oder lade eine aeltere firmware drauf. Dann resetten und nochmal per Controller anlernen hat damals alle Probleme beseitigt.

Hier hast du die ganze Geschichte mit allen Ecken und Kanten: U6+ AP wird nicht "adoptiert" oder wie man Geraete zur adoption zwingt.
Der erste und letzte Post fasst diese sehr nervige Reise zusammen.

~besenwesen

Hi,

fuer OpenVPN kann ich das nicht sagen. Aber fuer Wireguard gibt es genau das. Wireguard schein wohl auch (in meiner Bubble) immer beliebter zu werden (im vergleich zu OpenVPN). Ich weis zwar nicht wieso (hab nie getestet was performanter ist) aber es erfuellt exakt den gleichen Zweck.

Ich nutze den Wireguard VPN Server auf meiner UDM-Pro. Egal ob Linuxrechner, iOS oder MacOS, es funktioniert mit der VPN on-demmand funktion einfach ueberraschend gut. Ich waere ueberrascht wenn Android eine ausnahme darstellen wuerde.

~besenwesen

Halloechen!

Kann mir jemand genauer sagen, wie die Festplattenkonfiguration von der UNVR aussieht wenn man die Festplatten in einem RAID verbund betreibt?
Ich habe gelesen: bei <=2 Platten Mirror; >2 Platten RAID5.

Genauer moechte ich wissen wie das OS das handelt?
Wird mit mdadm ein device erzeugt auf das dann ein ext4 FS kommt? Wie ist es mit encryption? Wie ist es mit lvm? Ein paar insights dazu waeren sehr hilfreich.
Angenommen ich bin mit der RAID einstellung der WebUI nicht zufrieden, per SSH kann ich ja praktisch alles konfigurieren, oder? Wie kann ich sicherstellen dass mir die UI nicht nachtraeglich reinpfuscht und Daten verloren gehen?

~besenwesen

Zitat von phino

Willst du zu einem Server verschiedene SubDomains verwalten?

Dann kann es auch der Server selbe erledigen. Dies bringt Apache mit.
Also test.com als Domain auf den Server zeigen lassen und dann dort erster.test.com, zweite.test.com, etc auf den Server einrichten. Und im Internet musst du *.test.com auf deine IP-Adresse zeigen lassen. Funktioniert auch mit dynamischer IP-Adresse, ist nur nicht so stabil. Allerdings ist dynDNS nicht für Mail-Server geeignet. Dann wirst du Probleme beim Versand haben.

Nicht ganz das wo ich hin wollte. Aber so grob in die Richtung sollte es gehen. Hab das jetzt mit Pihole und nginx gelöst.

Den beteiligten sei für den Austausch gedankt!

Zitat von amaskus

Moin,

nein geht nicht ohne einen selbst gehosteten DNS Server

Hi,
Dreck!
Dann mach ich es eben selbst. Weist du ob das hinzufuegen von Eintraegen in der resolv.conf ueberschrieben wird oder woanders im System was bricken koennte?