DNS-Probleme nach Umstellung von FritzBox auf UDM

[Fritz Fritzl]

Hallo allerseits,
ich hab Ende letzten Jahres AdGuard Home als Docker-Container auf meinem NAS in Betrieb genommen. Dies blockierte fortan ca. 10% aller Anfragen im Heimnetz als Werbung weg, so weit so gut.

Was ich damit ebenfalls umgesetzt habe, ist ein DNS-Rewrite, um ohne SSL-Zertifikatswarnung auf meine Synology-Geräte zugreifen zu können (gemäß folgender Anleitung: https://www.synology-forum.de/threa...e-unbound-um-domain-lokal-aufzuloesen.127925/). Auch das funktionierte perfekt.

Seit ich nun die FritzBox 7590 durch eine Unifi UDM-SE ersetzt habe und die Einstellungen der UDM-SE ähnlich wie zuvor meine Fritzbox konfiguriert habe, stelle ich einige seltsame Verhaltensweisen fest:
1. Wenn ich früher mit dem Handy einen Wireguard-Tunnel zur Fritzbox aufgebaut hatte, funktionierte auf dem Handy sofort das Adblocking von AdGuard (nach Browser-Refresh). Das ist nun nicht mehr so...es scheint eine Weile zu dauern, bis das Blocking greift. So als würde das Handy noch eine Weile einen anderen DNS-Server benutzen.
2. Laut AdGuard-Statistik werden nur noch rund 3% aller Anfragen geblockt (über alle Geräte gerechnet).
3. Mein Laptop (Windows 10 Pro) blockiert, wenn er daheim im WLAN/LAN ist, keinerlei Werbung mehr und die DNS-Rewrites funktionieren nicht mehr. Wenn ich den Laptop per Wireguard mit der UDM-SE verbinde, gehen sowohl DNS-Rewrites als auch Adblocking.
Eine Überprüfung per nslookup am Windows-Laptop sieht allerdings normal aus.

Es scheint also irgendein Problem mit dem Übernehmen der DNS-Einstellungen an Clients zu geben. Ich bin über jeden Rat dankbar, wonach ich forschen könnte.

Auf der UDM-SE läuft UnifiOS 3.2.12, das restliche Heimnetz ist ebenfalls mit Komponenten von Ubiquiti ausgestattet (letztere sind nicht neu, sondern waren vorher zusammen mit der Fritzbox in Betrieb). Übrigens hat das Unifi-System im Gegensatz zur Fritzbox keinen DNS-Rebind-Schutz - diesen hatte ich zuvor in der Fritzbox für besagte Umschreibung der Synology-Adressen aktiviert.

 

[the other]

Moinsen,
was sagen denn die Clients dazu?
Also: welchen DNS Server zeigen die denn an?
Bei windows mal im Terminal mit ipconfig /all
und insgesamt: https://www.heise.de/tipps-tricks/DNS-Server-pruefen-so-geht-s-7332108.html

Auf den androids kannst das in den WLAN Einstellungen sehen...oder mit ner App (empfehlenswert > https://play.google.com/store/apps/details?id=net.techet.netanalyzerlite.an&hl=de&gl=US)

 

[Fritz Fritzl]

Danke für deine Antwort!

was sagen denn die Clients dazu?
Also: welchen DNS Server zeigen die denn an?

Siehe die angehängten Screenshots. PC1 ist ein PC hier im Heimnetzwerk. PC2 ist mein Laptop, mit dem ich die Probleme gesehen hatte. Die 4 übergebenen Adressen der DNS-Server sind das, was ich per Pi-Hole verteile.

Ich habe allerdings gerade etwas festgestellt: auf beiden Computern funktioniert die DNS-Umschreibung für die NAS-Geräte nur mit Firefox, aber mit Chrome und Edge nicht.

Ich kann auch mit den Clients auf SMB-Freigaben, die ich per DNS-Namen verbunden habe, zugreifen - also scheint der DNS zu funktionieren, aber es gibt ein Problem mit Chromium-basierten Browsern?

EDIT: Ich habe nun den Laptop per Wireguard mit dem Heimnetz verbunden, jetzt funktioniert die Umschreibung mit FF und Chrome, aber nicht mit Edge.

 

[Barungar]

Warum haben die Clients vier DNS-Server? Wovon auch noch drei öffentliche DNS-Server sind?
Die Öffentlichen bringen Dir eh nichts, wenn es um Deinen Pi-Hole geht. Ich würde an den Clients ausschließlich den Pi-Hole nutzen und die drei Öffentlichen rauswerfen.

 

[Fritz Fritzl]

Danke auch dir!

Warum haben die Clients vier DNS-Server?

Ich habe in der UDM-SE mehr als nur den lokalen DNS-Server eingetragen, um einen Fallback zu haben, wenn der Container/das NAS mit dem DNS-Server mal ausfällt.

Sorgt dieses Setup etwa dafür, dass meine Clients sich einfach aus den 4 übergebenen DNS-Servern einen aussuchen?

 

[Barungar]

Ja, das könnte ein Grund dafür sein. Es ist eher keine "best practise" lokale und öffentliche DNS-Server an einem Client zu mischen.
Wenn Du Ausfallsicherheit möchtest, dann mach Dir einen zweiten Pi-Hole, und dann trägst Du beide Pi-Holes bei den Clients ein.

 

[Fritz Fritzl]

und dann trägst Du beide Pi-Holes bei den Clients ein.

Ich möchte nicht an den DNS-Settings der Clients herumstellen müssen, das soll der DHCP-Server verteilen (aufgrund der Anzahl an Clients).

Oder meintest du, dass ich dann per DHCP-Server einfach auch das zweite Pi-Hole/AdGuard mitgebe?

 

[Barungar]

Ja, z.B. bei einem ordentlichen DHCP-Server kann man ja durchaus mehr als einen DNS-Server an die Clients verteilen.

 

[Fritz Fritzl]

Mit Unifi kann man natürlich mehrere DNS-Server per DHCP verteilen.

Ich habe nun auf einem ohnehin laufenden Server Pi-Hole installiert und werde das nun mit einzelnen Clients testen. Wenn alles gut aussieht, wird es netzwerkweit neben AdGuard als 2ter DNS angegeben (ich hatte in meinem zweiten Post versehentlich "Pi-Hole" geschrieben, aber meinte eigentlich AdGuard Home).

Vielen Dank noch mal!

 

[Barungar]

Du kannst Dir natürlich auch zwei AdGuard's installieren, auch so würdest Du DNS-Redundanz erreichen.
Letztlich ist es gleich, es sollten halt nur zwei getrennte "Server" sein und sie sollten nicht auf dem gleichen Switch stecken.

Stichwort: Single-Point-of-Failure

Meine Switche sind z.B. mindestens mit jeweils zwei anderen Switchen verbunden, manche auch mit drei oder vier anderen Switchen, so dass selbst wenn ein Switch ausfällt das LAN grundseätzlich noch alles andere erreichen kann.

 

[Fritz Fritzl]

Letztlich ist es gleich, es sollten halt nur zwei getrennte "Server" sein und sie sollten nicht auf dem gleichen Switch stecken.

Naja, sie befinden sich beide in Gebäude 2, aber das Internet kommt in Gebäude 1 an. Sie hängen zwar an verschiedenen Switches (einer im Keller, wo auch die Gebäudevebindung ankommt, der andere im OG), aber wenn die Vebindung zwischen den Gebäuden ausfällt, gibt es keinen DNS mehr. Wenn aber nur der Switch im OG ausfällt, wäre das Pi-Hole im Keller von Gebäude 2 noch erreichbar.

Mal was wichtigeres: ich habe nun das neu aufgesetzte Pi-Hole als 2ten DNS in den DHCP-Settings der UDM-SE eingetragen - jetzt habe ich doch aber wieder das potentielle Problem, dass die Clients sich einen der beiden DNS "aussuchen" können?

 

[Barungar]

Ja, das ist richtig. Allerdings hast Du beide DNS-Server unter Deiner Kontrolle und Du kannst "sicherstellen", dass sie lokale Anfragen korrekt beantworten. Eine andere Art DNS-Serverredundance zu erreichen wäre z.B. CARP. Das ist vom Prinzip eine "Cluster-IP", die von beiden Servern bedient werden kann - zu einem Zeitpunkt aber immer nur von einem der Server bedient wird. Wenn der aktive Server ausfällt, übernimmt innerhalb weniger Sekunden der passive Server die IP. Ich selbst betreibe drei DNS-Server mit CARP. So brauchst Du den Clients nur eine IP mitteilen. Insgesamt braucht das Konstrukt vier IP-Adressen. Die CARP-IP und die drei IPs der der physischen DNS-Server. Die Clients nutzen aber nur die CARP-IP, damit ist sicher gestellt, dass diese eine IP "dreifach abgesichert" ist.

 

[Fritz Fritzl]

Ja, das ist richtig. Allerdings hast Du beide DNS-Server unter Deiner Kontrolle und Du kannst "sicherstellen", dass sie lokale Anfragen korrekt beantworten.

Ist nur nervig, dass ich dann meine DNS-Rewrites auch auf dem Pi-Hole pflegen muss und gar nicht weiss, ob der das kann - evtl. richte ich lieber ein 2tes AdGuard ein.

Am liebsten wäre mir ja, dass die UDM-SE merkt, wenn DNS 1 ausfällt und nur dann DNS 2 an die Clients verrät. Aber vermutlich wäre das schwierig, im Betrieb auf die Schnelle neue DHCP-Leases zu erzwingen und wird deshalb nicht so gehandhabt.

/EDIT:

Art DNS-Serverredundance zu erreichen wäre z.B. CARP

Das klingt gut, schaue ich mir mal an!

 

[Barungar]

Dann nimm zwei AdGuards, wenn die unter Linux laufen... kannst Du eigentlich ohne Probleme CARP implementieren.