Suchergebnisse

Moin zusammen, ich stecke bei einem Firewall-Problem mit meinem Unifi-Setup fest und hoffe hier in der Community findet sich Hilfe Ich habe intern einen Pi-hole als DNS-Server stehen ( eigenes VLAN, statische IP ). Dieser DNS-Server wird per DHCP an alle WiFi-Clients verteilt - bis hierher funktioniert das einwandfrei. Der Pi-hole bekommt alle Anfragen der Clients, löst diese auf und die Clients können die Zielhosts erreichen. Ich habe nun Firewallregeln implementiert, welche nur dem Pi-hole auf…

Es ist ein US-8-60W im Einsatz. Die Switchports der APs ( drei Stück, AP AC Pro ) sind mit VLAN1 als nativem und VLAN20 als getaggtem VLAN konfiguriert. Der Pi-hole hängt an einem anderen Switchport, welcher mit VLAN1 als nativem und VLAN10 als getaggtem VLAN konfiguriert ist. Da sich die Devices dank unterschiedlicher Netze ja nicht "sehen" könnten, habe ich eben die "allow DNS"-Regel eingetragen - was ja auch grundlegend klappt Wie gesagt sehe ich im Pi-hole Logfile ja die DNS-Requests von iPh…

WER mit WEM ... meine WiFi-Clients ( alle per DHCP in VLAN20 ) sollen einen DNS-Namen auflösen. Deren eingetragener DNS-Server ist mein Pi-hole ( statische IP in VLAN10 ). Somit Client will auf z.B. google.de fragt beim Pi-hole an, dieser geht an seinen authoritativen Server im Internet ( hier: 1.1.1.1 ), löst den Namen auf und gibt die IP zurück zum Pi-hole und dieser wieder zurück zum Client ( klassisch rekursives DNS ). Intern dann also etwas detaillierter: Client ( 192.168.20.10 ) fragt beim…

(Zitat von amaskus) Sorry mein Fehler in der Beschreibung, natürlich ist der Switchport mit VLAN10 als nativem VLAN gesetzt ... VLAN1 ist dort aussen vor

(Zitat von amaskus) Einen manuellen Eintrag des Pi-hole als DNS-Server im iOS hatte ich bereits versucht, ergab keine Änderung. Es sind auch nicht nur iPhone und iPad, habe auch meinen Windows 10 Desktop ( ebenfalls per WLAN im VLAN20 ) eben versucht, er zeigt das identische Verhalten: Ist die deny-Regel aktiv findet keine Kommunikation Richtung Internet mehr statt ( DNS-Seitig ). Ich habe langsam den üblen Verdacht, ich muss mich wohl mit tcpdumps dransetzen

(Zitat von amaskus) Ja, die Regel sitzt richtig: ID2002 - allow pihole wan ID2003 - allow wifi-clients-pihole ID2004 - deny wifi-clients-dns-wan Die Regeln werden doch von "oben nach unten" abgearbeitet - matcht eine Regel, sind folgende für den gleichen Host nicht mehr relevant - oder irre ich mich da ?!

(Zitat von khyrell) Die Switchports hatte ich schon beschrieben Gerne noch mal etwas detaillierter - siehe auch unten die Screenshots: Pi-hole: Switchport 4/5 ( als LACP konfiguriert ) mit nativem VLAN10 ( Profile: 10-system-lan ) - keine weiteren getaggten VLANsUSG: Switchport 1 mit einem Trunk ( Profile: All )Clients via AP: Switchports 6,7,8 mit nativem VLAN1 und getagten VLAN20 ( Profile: 20-home-lan ) Hier die Screenshots dazu Die APs sind entsprechend dem LAN ( VLAN20 ) zugordnet, also tag…

Das Thema hat sich erledigt, danke für die "hinweisgebenden Tipps" Es lag letzlich an einem Fehler der USG ( ich hatte mal den Unifi Support bemüht ). Die USG hatte einen Fehler bei der Provisionierung der allow-Regel, wo einfach der Source-Port in der GUI zwar richtig angezeigt, nicht aber sauber auf die USG geschrieben wurde. Regel komplett gelöscht mit allen zugehörigen Gruppen, neu angelegt - alles rennt wie es soll. Danke für Euren Support ! close

das hast du richtig verstanden was sollte ich dazu im wiki schreiben - regel gelöscht, neu eingetragen, provisioniert, fertig unabhängig zu diesem thread, zu meiner usg - die gute scheint allerdings noch anderweitige probleme zu haben, da diese kurz nach dieser aktion hier bei einer erneuten provisionierung "komplett abgeraucht" ist. meldung "provisionierung fehlgeschlagen", restart, komplett neu adaptiert und vom uck neu provisioniert. ich bin dazu aktuell auch mit dem unifi-support zu gange