Netzwerkprobleme mit Telekom Router / UniFi / Pihole und NginxProxyManager

Hoschy

New member
Hallo Zusammen,

ich bin irgendwie mit meinem Latein am Ende und wollte mal bei Euch nachfragen was ich Falsch gemacht habe, weil ich ständig Abbrüche habe.
Ich hoffe ich bin hier in der richtigen Kategorie gelandet. Es geht hier um folgende Hardware die ich gewissermaßen konfiguriert habe.
Speedport Smart 4 ist verbunden mit einem UniFi Dream Machine SE. Das Speedport funktioniert mit Hybride 5G Empfänger steckt mit dran.
Speedport wurde WLan abgeschalten, da nicht benötigt. Ports wurden nur freigegeben an die Dreambox für die DiskStation damit sie erreichbar ist.
So weit ist am Speedport nichts weiter vorgenommen wurden.
Jetzt geht es weiter mit der Dream Machine. Dort wurden folgendes gemacht Netzwerk Klasse B eingerichtet. Ports nur freigegen für Diskstation. DNS Server zeigt auf Pihole ( Rasperry 4 ).
Es wurden mehre DNS Einträge getätigt die alle auf den NginxProxyManager zeigen. Geräte wie Switch 16 Port + mehre kleine Switchs + WiFi von UniFi wurden auch alle eingerichtet auf der Dream Machine SE. Funktioniert auch alles so weit ich das beurteilen kann.

Pihole funktioniert auch so weit. Bei ihn wurde unter Settings --> DNS zuerst der Unbound eingetragen und als zweites die Dream Machine SE. Sonst wurde nichts geändert.

Jetzt gibt es noch den NginxProxyManager. Es wurden eigene Zertifikate erstellt auf einem Proxmox System ( nach Anleitung auf YouTube ). Diese Zertifikate funktionieren alle und wurden beim NPM alle eingefügt unter SSL Certificates und dann wurden die Einträge getätigt unter Proxy Hosts. Sind alle drin und werden grün angezeigt.

So jetzt funktioniert so weit alles, bis das manchmal eine bestimmte Adresse nicht erreichbar ist. Und ich habe absolut keine Ahnung warum das so ist. Es gibt Adressen wie zum Beispiel ducker.lan oder router.lan. Das funktioniert eine ganze Weile und plötzlich geht eine Adresse davon nicht. Man geht ins Terminal und gibt ein ping drucker.lan da bekommt man Antwort und dann gibt man ein homepage.lan und man bekommt: Ping-Anforderung konnte Host "homepage.lan" nicht finden. Überprüfen Sie den Namen, und versuchen Sie es erneut.

10 Minuten später geht sie wieder. Ich steige nicht dahinter wie man das anständig konfiguriert. Das mit den DNS ist irgendwie eine Kunst für sich. Aber es geht dabei nicht nur um die DNS Einträge sondern auch um das Internet was manchmal einfach abricht. Nix geht dann mehr, außer man zieht den Router vom Strom und wartet mal und dann steckt man Netzstecker wieder rein und dann geht es wieder für 1 bis 3 Tage. Das ist einfach kein Dauerzustand und Nervt tierisch. Ich weiß nicht ob der Fehler an meiner Konstruktion / Konfiguration liegt oder ob wo anders das Problem liegt.

Gibt es jemanden von Euch der da mehr Durchblick hat als ich?

Ich danke Euch

Gruß

Hoschy
 
Hi!
Nix geht dann mehr, außer man zieht den Router vom Strom und wartet mal und dann steckt man Netzstecker wieder rein und dann geht es wieder für 1 bis 3 Tage.
Das muss nicht zwingend mit dem anderen Problem zusammenhängen.
Man geht ins Terminal und gibt ein ping drucker.lan da bekommt man Antwort und dann gibt man ein homepage.lan und man bekommt: Ping-Anforderung konnte Host "homepage.lan" nicht finden. Überprüfen Sie den Namen, und versuchen Sie es erneut.
In so einem Fall versuch es mal mit nslookup <Hostname> und achte vor allem darauf, welcher Resolver (DNS-Server) Dir antwortet. Du hast den Clients nicht zufällig mehrere DNS-Server zugewiesen? Es sollte - so wie ich das bei Deinem Konstrukt verstehe - lediglich der piHole als DNS an die Clients verteilt werden.
 
Hi!

Das muss nicht zwingend mit dem anderen Problem zusammenhängen.

In so einem Fall versuch es mal mit nslookup <Hostname> und achte vor allem darauf, welcher Resolver (DNS-Server) Dir antwortet. Du hast den Clients nicht zufällig mehrere DNS-Server zugewiesen? Es sollte - so wie ich das bei Deinem Konstrukt verstehe - lediglich der piHole als DNS an die Clients verteilt werden.

Nein so war es nicht gedacht: Pihole dient als Werbeblocker mit unbound ( hab halt Unbond mit installiert, weil eventuell besser ), aber da hab ich jetzt keine Ahnung ob es an Unbound liegt. Die Dream Machine hat seit neustem Update einen DNS Server mit dabei. Deswegen habe ich mich für die Dream Machine als DNS Server entschieden. Heißt jeder der im Netzwerk ist muss erst auf den Pihole Werbeblocker, und dann ist im Pihole wie gesagt bei Settings / DNS der Unbound eingetragen als erstes und dann als zweites die Dream Machine. Von der Dream Machine gehts dann zum NgnixProxyManager, weil man bei ihm gültige Zertifikate hinterlegen kann. So ist der Plan gewesen und der Aufbau. Problem war aber auch schon bevor die Dream Machine als DNS Server genutzt wurde. Ich habe bis heute nicht den Fehler gefunden was ich Falsch gemacht habe.

Gruß

Hoschy
 
der Unbound eingetragen als erstes und dann als zweites die Dream Machine
...und die haben die "gleichen" Informationen bzgl. "*.lan"? Irgendwer muss ja bei Dir für ".lan" verantwortlich sein. Diese Stelle "muss"(!) irgendwann in der Verkettung auch gefragt werden, wenn Anfragen bzgl. ".lan" beim primären Resolver (piHole) eintreffen.
 
...und die haben die "gleichen" Informationen bzgl. "*.lan"? Irgendwer muss ja bei Dir für ".lan" verantwortlich sein. Diese Stelle "muss"(!) irgendwann in der Verkettung auch gefragt werden, wenn Anfragen bzgl. ".lan" beim primären Resolver (piHole) eintreffen.
Die Dream Machine hat die DNS Einträge mit lan. Die Einträge zeigen alle auf die IP des NginxProxyManager. Wie gesagt der Pihole dient nur zum blocken von Werbung. Ich denke einfach mal das ich es so richtig eingestellt habe? Oder hab ich was falsch gemacht?

Kurz nochmal zum Verständnis: Speedport Router bekommt das DSL aus der Dose und vom 5G Empfänger. Dann geht vom Speedport ein Kabel in den WAN Anschluss der Dream Machine. Die hat ein default Netzwerk ( im Moment ). In diesem Netzwerk ist als DNS der Pihole eingetragen. Die DNS Einträge für *.lan sind in der Dream Machine eingetragen unter Routing oben im Reiter DNS und zeigen alle auf die IP Adresse zum NginxProxyManager. Ich checke es halt leider nicht ganz wie man es genau eintragen muss, weil ich gehe davon aus, dass der Client den Browser öffnet und eine Adresse eingibt. Dann geht das zur Dream Machine dort wird gesagt geh zum Pihole und dann bekommst du deine Webseite. Hast du aber jetzt eine lan Adresse, dann schickt dich der Pihole zurück zur Dream Machine ( weil die Einträge da drin stehen ) und leitet dich zum ProxyManager weiter und dann bekommst du deine Seite angezeigt.

Funktioniert das so wie ich das denke? Oder habe ich einen Denkfehler? Ich check das mit den DNS Einträgen und Routing nicht so.

Wäre echt super, wenn ich das irgendwann hinbekommen würde bis es perfekt funktioniert. Manchmal geht auch kein Discord mehr oder Teamspeak funktioniert nicht mehr. Manchmal gehen bestimmte Webseiten nicht auf oder das Internet ist ganz weg.
Ich steige nicht dahinter wo ich den Fehler gemacht haben könnte.

Gruß

Hoschy
 
Ich check das mit den DNS Einträgen und Routing nicht so.
Dann sollte man sich damit "vielleicht" etwas intensiver auseinander setzen (und ja, das heisst "lernen") 😜😇 Aber macht Dir nix draus, ich versteh vieles auch nicht (teilweise mag mein Hirn die Dinge auch einfach nicht) 😁

Also erstmal Routing und DNS haben "nix" miteinander zu tun. Routing kann man sich wie Strassen und Städte vorstellen, DNS ist dann eher sowas wie ein Telefonbuch/Gelbe Seiten. Nur weil Du die Strassen/Wege kennst, weisst Du noch lange nicht, wer wo wohnt. Nur weil Du weisst, wo wer wohnt, weisst Du noch lange nicht, über welche Strassen Du dorthin kommst.

Routing - für Deinen Fall - ist relativ einfach erklärt: Es folgen immer alle dem Standard-Gateway (Route zu 0.0.0.0/0) "sofern"... nichts anderes angegeben ist bzw. nicht zufällig wer einen Weg zum Ziel kennt. Halt wie in der Fahrschule - wenn der Fahrlehrer nix von rechts/links sagt, geht es "immer gradeaus".

DNS ist "baumartig" aufgebaut, Wikipedia hat ein schönes Schaubild dazu: https://de.wikipedia.org/wiki/Domain_Name_System#/media/Datei:Dns-raum.svg

Ich breche den Begriff "DNS-Server" mal ganz kurz in 2 andere Begrifflichkeiten auf: 1) Resolver und 2) Nameserver. Die Nameserver sind die, die Dinge "wissen" (also "wirklich"). Sie pflegen ihre Einträge in Dateien/Datenbanken. Jeder Nameserver ist für diverse Zonen zuständig z.B. "domain.tld", "domain2.tld", ein anderer Nameserver wiederum könnte z.B. für "domain3.tld" zuständig sein, usw. Die Nameserver sind i.d.R. die, die nach den entsprechenden DNS-Records gefragt werden. Also merke: Nameserver "wissen" , da sie die Records verwalten.

Auf der anderen Seite stehen die "Resolver". Das sind eigentlich nur kleine Arbeitsknechte, die sich auf den Weg machen, um für einen anfragenden Client ein Ergebnis zu bekommen. Auf Deinem Rechner z.B. läuft ein Resolver. Dieser Resolver befragt den/die angegebenen "DNS-Server", z.B. einen Router (oder piHole, oder Unifi-Dings, oder was auch immer). Nun weiss man aber, dass man seinem Client auch nicht unbegrenzt viele DNS-Server unterjubeln kann und wir wissen ja auch, dass verschiedene Nameserver für verschiedene Domains zuständig sind. Kriegen wir also alles garnicht unter... Der vermeintliche "DNS-Server" auf z.B. dem Router ist somit auch nur ein "Resolver" (also wieder nur einer, der woanders nachfragt).

Bei Dir ist das dann irgendwas in die Richtung (schon allein intern)... Resolver fragt Resolver fragt Resolver fragt Resolver. Mit jedem weiteren Resolver dazwischen erhöht sich auch die Zeit, bis der Client eine Antwort auf seine Anfrage bekommt.

So... nun zu den "Besonderheiten"... Ein Resolver fragt also immer andere, die Nameserver wissen die Ergebnisse. Resolver können Ergebnisse allerdings auch einfach zwischenspeichern. Somit erhalten Sie einmal die Antwort und geben diese für eine gewisse Zeitspanne (TTL des Records) direkt an die Clients zurück.

Jetzt wo wir wissen, was ein Resolver eigentlich ist und macht und wir ebenfalls wissen, dass die Resolver auch einen Zwischenspeicher (Cache) haben, kommt das Thema unbound. Unbound ist kein "Nameserver", sondern ein "Cache-manipulierender Resolver". Heisst: Wenn Du dort etwas hinterlegst (z.B. workstation.lan), dann weiss nur Unbound davon und auch nur der Unbound kann Dir die IP zu workstation.lan zurückgeben (ausser einer der anderen Resolver hat vorher mal das Ergebnis vom Unbound bekommen und ggf. noch im Cache).

Wenn Du nun dem z.B. piHole zwei Adressen zum nachfragen gibst (Unbound und etwas anderes), wer garantiert Dir denn jetzt, dass der piHole IMMER(!) - denn das "muss" ja so sein (s.o.) - den Unbound fragt, wenn es um irgendwas bzgl. ".lan" geht? Wenn "nur" Unbound Anfragen bzgl. ".lan" beantworten kannst, dann brauchst Du zwingend (damit keine komischen Effekte auftreten) ein "conditional forwarding" (eine bedingte Weiterleitung). Diese Weiterleitung sieht frei übersetzt dann wie folgt aus:

Wenn irgendwas bzgl. Domaine XY angefragt wird (z.B. ".lan"), dann frag DNS-Server ABC (z.B. "Unbound"). Somit landen "alle" Anfragen, die was mit ".lan" zu tun haben "immer" beim Unbound. Alles andere geht die gewohnten Wege. Probier das vielleicht erstmal aus und berichte, wie es so gelaufen ist :)
 
Erstmal Danke für die Bemerkenswerte Erklärung. Ich werde es mir sicher noch 4 bis 8 mal durchlesen um zu verstehen wonach ich genau schauen muss. Im ersten Moment erkenne ich daraus, dass wohl Unbound eventuell das Problem ist. Weil ich habe mal nslookup homepage.lan ins Terminal eingeben und als Antwort bekam ich das:

Server: pi.hole
Address: IP vom Pihole

*** homepage.lan wurde von pi.hole nicht gefunden: Non-existent domain.

Mir stellt sich halt jetzt die Frage, warum Antwortet der Pihole, wenn ich doch dem Pihole gesagt habe das er diese DNS Adresse auf der Dream Machine findet. Ich ging halt davon aus, wenn der Pihole die Adresse nicht kennt, dann gibt er es weiter an die Dream Machine. Hab ich wohl falsch gedacht. DNS ist echt ein Thema wo ich verzweifeln könnte.

Hab jetzt mal aus Pihole den Unbound entfernt und nur die Dream Machine eingetragen. Bis jetzt funktionieren die lan Adressen.
 
Zuletzt bearbeitet:
Der piHole ist ja auch nur ein Resolver und fragt andere, das Problem könnte durchaus in dieser Konstellation liegen:
Pihole funktioniert auch so weit. Bei ihn wurde unter Settings --> DNS zuerst der Unbound eingetragen und als zweites die Dream Machine SE.
Schau mal, ob Du ein "conditional forwarding" (DNS) für "lan" anlegen kannst (falls sowas möglich ist, sollte es aber) und setz das auf auf die Unifi-Kiste. Somit wird bei allen Anfragen nach *.lan die Unifi-Kiste befragt.

Mir stellt sich halt jetzt die Frage, warum Antwortet der Pihole
Der piHole antwortet, weil Du ihn gefragt hast. Das Ding besorgt Dir die Antwort. Da gibt es auch 2 unterschiedliche Möglichkeiten (iterativ/rekursiv), ein Schaubild bei Wikipedia zeigt es ganz gut: https://de.wikipedia.org/wiki/Domain_Name_System#/media/Datei:Dns-abfrage.svg :)
 

Zurzeit aktive Besucher

Letzte Anleitungen

Statistik des Forums

Themen
5.252
Beiträge
52.328
Mitglieder
4.996
Neuestes Mitglied
rettungshasi
Zurück
Oben