Beiträge von besenwesen

Hi,

die Frage ergibt sich aus dem Titel:
Kann man im Unifi Controller auf einer UDM-Pro mehrere DNS Namen fuer einen Host eintragen? Fuer beispielsweise vHosts auf einem Webserver.

~Besenwesen

Zitat von darkneo09

Ist leider auch keine Lösung. Alle DNS Anfragen müssen über die UDM Laufen, ansonsten funktionieren Traffic Rules nicht, falls du diese benutzt.

Kannst ja in PiHole den SearchName angeben. Alles unter deiner Domain (und auch deinem Subnetz, sofern angegeben) wird dann an die UDM weitergeleitet.

Zitat von Wolke68

Ja

*100-Emoji hier einfuegen*

Zitat von Curiosity

Homenetz/Router senden ihre Anfragen zwecks DNS Auflösungen an deinen PiHole, der Fragt die externen DNS Server an und schickt die Antwort zurück an den anfragenden Client. Ich wüßte jetzt nicht, wo darin eine DNS Schleife entstehen kann? Aber lasse mich gern eines besseren belehren.

Entweder Bug oder fehlkonfiguration. In der WebUI von Pihole war jedenfalls ein externer DNS angegeben. Die Kette/Reihenfolge muesste also stimmen. Ich kann mir vorstellen, dass auf dem PiOS irgendein Dienst laeuft, der unter der Haube ein DHCPLease mit DNS=Gateway gepseichert hatte.

Irgendwie schade, dass ich nicht weiter komme, aber ich glaube hier endet die Unifi Thematik und es geht mehr richtung Debian/PiOS. Trotzdem danke an alle. Ein paar Gedankenanstoesse konnte ich schon sammeln.

Ich hab den Clients im Netz erstmal den Pi als Primary DNS mitgegeben. Macht schoene statistiken in der WebUI und ist eigentlich auch ne gut laufende config.

Halten wir aber fest, anders gehts wohl auch.

Halloechen!

Das Geraet USW-Flex-XG hat 4 10GBE Ports und einen 1GBE PoE "Uplink" Port.
Meine einzige Frage ist (da ich das ding ohnehin per Netzteil und nicht per PoE betreiben moechte) :
Kann man einen der 10GBE Ports als Uplink (Interface richtung Gateway) konfigurieren und den 1GBE Port als Client Port benutzen?

Puh ja, das ist fuer den Everyday-HomeUser etwas Overkill.

Da du ja BIND nutzt, der so wie unbound (?), einfach an die Rootserver anfragen sendet, duerfte da genau mein Problem umgehen. Das halte ich aber fuer etwas Overengineering. Ich lasse Pihole einfach in einem Container laufen und gut ist. Dennoch komisch wieso es so ist wie es ist. Ich hoffe immernoch Ahnungslos auf etwas wissen.

Dachte weil "host1.fancy.fqdn" weiter an den upstream delegiert wird

dig ist das wurscht wo das @DNSSERVER und domain.de steht.
Das mit den Clients die man im PiHole dashboard nicht mehr sieht ist doof, da hast du recht, aber ich fand das jetzt nicht sooo schlimm.

Wenn ich mist baue, forwarded Pihole am Ende Domainnames (wird doch auch als CNAME bezeichnet oder? ) an einen Resolver auserhalb des LANs. Es diente nur als Sicherrungsnetz fuer meine Inkompetenz.
Wie auch immer, am ehesten gings mir drum, allen clients den Pihole service zu geben, ohne an der Firewall rum zu schrauben.

Aber um die Frage nochmal aufkommen zu lassen: Ist DNS IP per DHCP verteilen best practice (oder zumindest better) als einfach die UDM Pihole nutzen zu lassen?

Hatte das schonmal so gebaut um die UDM als DNS Proxy fuers Pihole zu nutzen. Auf die Weise kann ich die Firewall regeln meiner Subnetze fuer DNS umgehen lassen.

Und ich minimiere Fehlkonfigurationen was forwarden von lokalen cnames betrifft. Allerdings ist das schon zu lange her. Ist das denn best practice?

Hast du vielleicht noch ein bisschen Wissen zu verteilen was Punkt 2 angeht? Ich mein unabhaengig von WAN DNS upstream muesste das doch immer dann gehen wenn ich auch ins Internet komme, oder?

Halloechen!

TLDR; vorletzter Absatz.

Docker auf Raspberry Pi OS auf RPi3 installiert. Pihole per docker compose installiert. Geht.

UDM Pro WAN interface primary DNS zur IP von Pihole geaendert. Folgende beobachtungen gemacht:

DNS queries per dig gehen nicht mehr raus. PiHole setzt rate limit fuer die IP der UDM (jeder client nutzt die UDM als primary DNS, diese nutzt das Pihole. Da pihole client von udm ist-> dns-loop) = Doof.

Auf dem Pihole host per ssh drauf. dig ubiquiti-networks-forum.de @1.1.1.1 geht genau dann wenn die UDM das pihole nicht als upstream DNS nutzt. Andernfalls erhalte ich (sofort) DNS EDE: 15 (blocked).
Traceroute zu 1.1.1.1 geht aber. Wo liegt da jetzt genau das Problem?
Also selbst wenn ich mit dem Pihole mist gebaut habe, muesste doch dig ubiquiti-networks-forum.de @1.1.1.1 cloudflare als upstream nehmen und "aus dem loop ausbrechen" oder?

Zusammengefasst habe ich 2 Probleme:

1. Pihole haengt im DNS-loop wenn ich den primary DNS der UDM zum pihole aendere.

2. dig ubiquiti-networks-forum.de @1.1.1.1 loest nicht auf wenn upstream DNS=pihole; traceroute 1.1.1.1 funktioniert aber.

Was habe ich uebersehen?

Zitat von swag

Der AP hängt auch an einem Port mit freigegebenen default lan?

Vermutlich ja, und dann wäre es auch nicht die Ursache. Deine Pro ist ja noch recht neu

Exakt.

Nach dem Tipp von DoPe habe ich den AP mal zurueckgesetzt. Jetzt laeuft alles so wie es soll.

Ich pack in den Initialpost mal ein TLDR; meiner reise. Falls jemand mal aehnliche Probleme hat.

AP bisher nur per reset button zurueckgesetzt. Kann das morgen mal per software versuchen. Macht ein Softreset tatsaechlich einen Unterschied?
Der Controller hat den AP ja nie gelernt. Hab den jetzt per Unifi iOS App angelernt. Wenn man das so nennen kann. Das Teil ist derzeit so minimalst konfiguriert, Hauptsache es kommt ein bisschen WLAN bestrahlung rum.

Hab Downgrades von allen Geraeten durchgefuert, solange bis der AP auffindbar war. Jetzt erstmal Upgrade zur aktuellsten Version.

Werde dich (euch) auf dem laufenden halten.

Zitat von Telefisch

Wenn alles auf Automatisch steht, sollte das GBE sein, richtig?

Woran könnte es liegen dass das nicht automatisch auf 1GB steht?

Richtig. Loops (gerade mit PoE Injectoren) koennen das aber verhindern. Falls du Ports aggregieren moechtest, solltest du diese explizit also solche konfigurieren.

Zitat von Telefisch

Also am Port auf Konfigurieren und dann Erweiterte Konfiguration auf Manuell und Link-Geschwindigkeit auf 1Gbps FDX stellen?

Braucht dann eigentlich(tm) nicht mehr.

Wegen miesen Kabeln: Da die Cat5 mal mindestens noetig ist um den 60W switch zu betreiben, sollte das GBE kein problem sein.
Ausser die wurden im Sumpf gelagert.

Halloechen!

TLDR:

Neue UDM konnte AP nicht anlernen weil Firmware versionen nicht miteinander sprachen. Der AP wurde nicht als AP erkannt sondern als stinknormaler IP Teilnehmer. Downgrade von AP und UDM-Pro per Unifi App (in meinem Fall iOS) bis das Geraet erkannt wurde. Resultat: Adoption Failed. Beide Geraete bis zur aktuellsten Version hochgezogen, AP resetted -> Adoption Successfull.

Sollte ein AP oder Switch oder was auch immer rumzicken, Down und Upgrade ist die Loesung falls alle anderen Stricke reissen.

Original Post:
Hab eben eine neue UDM-Pro geliefert bekommen. Diese konnte auch einen einen Flex-Switch ohne umstaende adoptieren.
Dies gilt jedoch nicht fuer einen ebenso neuen AP U6+. Das Geraet ist nach Colorcodes-Tabelle von Unifi im "adoption Modus". Es bekam laut UDMP auch eine IP. Allerdings erhalte ich keine meldung zum adoptieren.

Nach manuellen aktualisieren des AP (v6.6.55) hat sich an der Gesammtsituation nichts geaendert. Das Teil bleibt froehlich im adoption Modus und die UDM juckt das kein Stueck.
Der AP ist per PoE Injector an der UDM direkt angeschlossen.

Kann da jemand weiter helfen?

Edit1: Der AP ist per Unifi App (iOS) zu finden und kann hierueber aufgesetzt werden. Ein Pairing mit der UDM funktioniert nach wie vor nicht.

Edit2: Der AP wird in der UDM-Pro Console in der Topologiegrafik korrekt angezeigt. In der Topologiegrafik der NetworkConsole ist der AP ein "firewalla blue" Geraet. Beide Geraete haben die neueste Offiziele (stable) Software am laufen.

Edit3: Der AP wird nach downgrade nun in der NetworkConsole angezeigt mit dem Status: "Adoption Failed". Ich versuche morgen das Geraet erneut zu resetten und zu adoptieren. Ich denke dieser Thread wird nun mehr zum HowTo

Edit4: Der AP wurde nun aktualisiert und resetted. Adoption Erfolgreich! TLDR; pack ich oben hin. Props an DoPe !

Zitat von DoPe

Du scheinst einfach zu ignorieren das Traffic in beide Richtungen erlaubt sein muss.... auch vom LAN Device zum VPN Client zurück. Das hat mit LAN-OUT und Internet-OUT nix zu tun.

Meinte nur dass ich Ausschliesslich die LAN-IN Table nutze. Bin mit shorewall gross geworden und versuche daher die Konzepte die dort angebracht hierher zu uebersetzen.

Ich bin mit der firewall implementierung von unifi nicht so uebermaesig zufrieden. Als Shorewall fanboy finde ich die Idee mit dem LAN-IN,OUT,LOCAL etc. eher verwirrend und es fuegt mehr komplexitaet hinzu als es sein muss.

Klar, bidirectionale kommunikation ist schon wuenschenswert. Aber das wird von lan-01 -> LAN_all implementiert.

Wie auch immer, ich fand den fehler dank deines Tipps . Manchmal muss man echt Stumpf die einfachen Dinge in betracht ziehen. Dies war in meinem Fall: Der Testserver im lan hatte eine locale FW laufen, welche traffic von IPs ausserhalb seines subnetzes per DROP verweigert.... War dumm, gebe ich zu. Nobody is perfect

Danke jedenfalls!

Okay, das Problem liegt nicht bei Unifi oder Wireguard.
Lediglich mein testserver in besagtem lan ist per VPN nicht erreichbar. Sollte also wohl eher an der Maschine liegen.

DoPe hat mich drauf gebracht mal die andere Richtung zu testen. Hierbei fiel es mir auf. danke dafuer!

Zitat von jkasten

Wie sind denn deine Netze aufgebaut, eigentlich musst du da gar nichts einrichten da alles automatisch angelegt wird. Es sei denn du hast per Firewall alles mögliche selber blockiert.

Ich habe eine regel fuer LAN-IN am Ende der Liste. Diese Blockt allen traffic zwischen meinen subnetzen. Auch dem VPN. Ich moechte explizit den Datenverkehr zwischen VPN und lan-01 (nummer am ende arbitraer waehlbar) erlauben, default ist dann demnach Block.

Zitat von DoPe

LAN IN: [ACCEPT] VPN-net -> lan .... ist die Richtung aus Deinem LAN zu den Clients auch da?

Meinst du client-01 in LAN -> client-02 in VPN-subnetz? Sollte, aber ich teste das mal eben.

Mit Ausnahme diverser Spezialfaelle sieht mein FW Regelsatz so aus

LAN-IN:
1. Accept VPN -> LAN

2. Block LAN_all -> LAN_all

wobei LAN_all VPN, lan-01, lan-02 etc. beinhaltet.

LAN-OUT oder Internet-OUT etc. benutze ich garnicht.

Edit & tldr;

GeraetXY im lan hatte lokale Firewall welche traffic von ausserhalb des Subnetzes verboten hat. Dies fuehrte mich zur Fehlannahme, dass ich keine Geraete im Lan erreichen kann.

Takeaway: nmap von subnetz dauert laenger, ist aber zuverlaessiger als ICMP.

Halloechen!

ich habe auf meiner UDM einen Wireguard Server (teilweise) erfolgreich konfiguriert. Internet und DNS funktionieren bestens, allerdings wird der Zugriff auf Maschinen im lan verhindert.
> ping -c3 dings.bums.home

wird korrekt zu einer IP aufgeloest, allerdings laeuft alles ins leere.

Firewall regel erstellt:

LAN IN: [ACCEPT] VPN-net -> lan an position 1 der FW-table.

Immernoch kein Erfolg.

Allowed IPs in der Wireguard config sind 0.0.0.0/0, ip_des_clients/32 und explizit auch das lan subnet.

Scheinbar mache ich etwas falsch. Kann mir hier jemand einen Tipp geben?

Sauberst!

Sanity Check erfolgreich.

Hab vielen dank Defcon!

Damit kann man diesen Thread schliessen.

Zitat von defcon

ne, der kann ja kein L3.

Mist. Okay, aber der Verständnischeck war es Wert. Danke dafür!

Angenommen die die Client Maschine und NAS sind in einem Vlan, dann dürfte dem 10GBit Switching ja nicht im weg stehen oder?