Guest netwerk en Pihole

Toolhead

Toolhead

UniFier
24 sep 2022
38
11
8
Ik heb een default netwerk (192.168.0.x), een iot netwerk (192.168.40.x VLAN 40) en de firewall rule gemaakt dat netwerk iot toegang heeft tot het ip-adres van de Pihole ( die zit in het default netwerk ) en alleen op de DNS poort. Dat werkt prima.

Nu heb ik een Guest netwerk aangemaakt (192.168.80.x VLAN 80) en wil ook in dat Guest netwerk de Pihole als DNS server gebruiken.
Dezelfde rule aangemaakt, maar dan voor het Guest netwerk.
Maar dat werkt niet.

Iemand een idee waarom niet?
Ben behoorlijk nieuw met Unifi ....
 
En als je die rule gewoon weg laat, werkt het dan wel ? Bij mijn IoT netwerk is die regel naar de PiHole echt nodig maar voor Guest niet; die heeft al de native client isolation. Mijn Guest netwerk heeft gewoon de PiHole als DNS zonder speciale firewall regel.
 
staan je firewall regels in de juiste volgorde? want als je eerst alle verkeer van VLAN 80 naar default LAN blokkeert dan gaat ie niet meer verder met een allow rule verderop in de lijst...
Daarnaast kun je er ook voor kiezen om gewoon alle port/IP groups (gehele RFC 1918 ranges) toegang te geven tot je pihole, maar dan wel alleen op TCP en UDP en alleen tot poort 53...
 
Laatst bewerkt:
@Eddie the Eagle
Als ik de rule weglaat heb ik internet toegang, maar dns loopt niet via de Pihole.
Zou die rule onder "guest in" of onder "lan in" moeten staan?
 
Toolhead zei:
@Eddie the Eagle
Als ik de rule weglaat heb ik internet toegang, maar dns loopt niet via de Pihole.
Klik om te vergroten...

Bij mij wel hoor; subnet xxx.xxx.2.xxx is Guest netwerk en de getoonde DNS servers zijn mijn 2 Piholes in xxx.xxx.1.xxx (hoofd netwerk).

1664628445871.png

Toolhead zei:
Zou die rule onder "guest in" of onder "lan in" moeten staan?
Klik om te vergroten...

Je maakt juist geen eigen regels voor Guest; die worden automatisch door je controller aangemaakt. Daar zit onder andere een regel bij die lokale DNS toestaat (3001 in Guest Local bij mij maar weet niet zeker of dat overal gelijk is).


1664628931887.png
 
Laatst bewerkt:
De pc krijgt inderdaad de pihole (192.168.0.7) als dns server.Screenshot 2022-10-01 192204.png

Maar de reclame komt gewoon door:
Screenshot 2022-10-01 192313.png
 
Toolhead zei:
In de logs van pihole ook geen ip in de 192.168.80.x reeks
Klik om te vergroten...
Bij mij wel dus.....werkt prima, ik was even met diezelfde laptop op het Guest network en had de Sonos App openstaan. De Phone Home functie van die app wordt gewoon tegengehouden net als nog de nodige andere blocked domains die ik niet in de screenshot heb.

1664657778998.png
 
Misschien omdat een Guest netwerk client-isolation aan heeft staan?

Ik heb hier trouwens onlangs ook een topic over geopend.
Mijn oplossing is zo:

- Ik geef in de DHCP géén DNS-server aan. Daardoor krijgt alles en iedereen in alle netwerken, guest en andere, allemaal de Unifi router als DNS server. Iedereen stelt zijn DNS dus aan de router, net zoals in de default standaard instellingen.
- Ik geef in de Internet-sectie van de settings aan dat de Unifi-router zelf als primare DNS de PiHole heeft. Hij gaat dus niet zelf het internet op, maar vraagt het aan de PiHole.
- In de piHole staan een paar gewone DNS servers zoals Google enzo aangevinkt.
- optioneel: eventueel staat in de router nog een 2e DNS, zoals 8.8.8.8 van google. Voor als de PiHole niet werkt.

Voordelen:
- Ik hoef maar op één plek (internet-sectie van de router) een wijziging te maken.
- Ik heb dus niet meerdere instellingen die allemaal goed moeten staan voordat het werkt.
- Ik kan gewoon een gastnetwerk of extra netwerk toevoegen en alles draait via de PiHole. Ik hoef niet voor elk netwerk ook nog firewall-regels te maken.
- De interne adressen worden óók geresolved, omdat de vragen eerst bij de router komen. En die weet alle interne namen. (Anders moet je hiervoor nog een setting in PiHole wijzigen).
 
neon admin zei:
Misschien omdat een Guest netwerk client-isolation aan heeft staan?

Ik heb hier trouwens onlangs ook een topic over geopend.
Mijn oplossing is zo:

- Ik geef in de DHCP géén DNS-server aan. Daardoor krijgt alles en iedereen in alle netwerken, guest en andere, allemaal de Unifi router als DNS server. Iedereen stelt zijn DNS dus aan de router, net zoals in de default standaard instellingen.
- Ik geef in de Internet-sectie van de settings aan dat de Unifi-router zelf als primare DNS de PiHole heeft. Hij gaat dus niet zelf het internet op, maar vraagt het aan de PiHole.
- In de piHole staan een paar gewone DNS servers zoals Google enzo aangevinkt.
- optioneel: eventueel staat in de router nog een 2e DNS, zoals 8.8.8.8 van google. Voor als de PiHole niet werkt.

Voordelen:
- Ik hoef maar op één plek (internet-sectie van de router) een wijziging te maken.
- Ik heb dus niet meerdere instellingen die allemaal goed moeten staan voordat het werkt.
- Ik kan gewoon een gastnetwerk of extra netwerk toevoegen en alles draait via de PiHole. Ik hoef niet voor elk netwerk ook nog firewall-regels te maken.
- De interne adressen worden óók geresolved, omdat de vragen eerst bij de router komen. En die weet alle interne namen. (Anders moet je hiervoor nog een setting in PiHole wijzigen).
Klik om te vergroten...
Ik doe het ook zo maar enige nadeel is dat ik niet kan zien welke pc nu welke logging veroorzaakt.
 
edwin2019 zei:
Ik doe het ook zo maar enige nadeel is dat ik niet kan zien welke pc nu welke logging veroorzaakt.
Klik om te vergroten...
Uiteraard want de client gaat onnodig eerst via de gateway naar de Pihole en dan weer terug naar diezelfde gateway ipv dat die client rechtstreeks naar de Pihole gaat (en daar de logging doet)....zou mijn keuze niet zijn. De Pihole ziet in jullie geval alleen maar verkeer vanaf de gateway komen; dat haalt veel inzicht weg en je maakt een overbodige lus in je routering.
 
Laatst bewerkt:
  • Leuk
Waarderingen: LTAX04 en dbw
Je wilt niet weten wat ik af en toe tegen kom bij klanten en dan vinden ze het ook nog gek dat sommige dingen niet werken. Ik ben soms verbaasd dat ze nog internet hebben met al die onnodige en dubbele rules :ROFLMAO:
 
  • Haha
Waarderingen: Eddie the Eagle
Eddie the Eagle zei:
Uiteraard want de client gaat onnodig eerst via de gateway naar de Pihole en dan weer terug naar diezelfde gateway ipv dat die client rechtstreeks naar de Pihole gaat (en daar de logging doet)....zou mijn keuze niet zijn. De Pihole ziet in jullie geval alleen maar verkeer vanaf de gateway komen; dat haalt veel inzicht weg en je maakt een overbodige lus in je routering.
Klik om te vergroten...
Misschien heb ik verkeerd gelezen. Router deelt ip adres router uit als gateway en voor de dns het ip adres van de pihole. Client doet dus een normaal dhcp request. Voordeel is dat ik op de router evt dns kan aanpassen en hooguit de clients opnieuw moet starten. De apparaten die een vast ip adres nodig hebben (printers, switches enz) deel ik binded aan MAC adres uit buiten dhcp range (draytek router)
 
edwin2019 zei:
Misschien heb ik verkeerd gelezen.
Klik om te vergroten...

Is even de vraag

@neon admin heeft het anders dan bij mij; die laat de DHCP DNS server leeg in de LAN sectie daar waar ik daar de Piholes heb staan.

1664782771023.png

In dat geval gaat de request door naar de Gateway; daar staan ook DNS servers bij de WAN sectie

1664782946454.png

Bij mij staat daar 'Auto' aangevinkt zoals je ziet; dat wil zeggen dat de gateway zelf de DHCP van de ISP (Ziggo bij mij) gebruikt om de Ziggo DNS servers toegewezen te krijgen. Daar wordt verder door een Client dus niks mee gedaan in mijn geval; die hebben immers de Pihole toegewezen gekregen.

@neon admin heeft daar echter het IP adres van zijn Pihole ingevuld waardoor een client dus eerst terecht komt bij de gateway die vervolgens de request doorzet naar de Pihole. Een extra lusje zeg maar.

1664783135856.png


Ik vraag me nu inderdaad af welke IP logging er in dat geval plaatsvind in de Pihole (client of gateway ?).

En om weer helemaal on topic te komen ;)......het lukt de topic starter dus niet om vanuit een Guest netwerk bij die Pihole te komen hetgeen in de standaard setup van een Guest netwerk gewoon lukt.
 
Mijn firewall rules heb ik aangemaakt (alleen voor IOT) door de video van Crosstalk te volgen.
Zoveel staat er niet in, maar ik kan ze wel eens verwijderen om te testen of het dan wel werkt.
Nu staat het als volgt:
Schermafbeelding 2022-10-03 om 10.36.40.png
 
Die regel 2005 zou het goed kunnen zijn; mogelijk is die ook van toepassing op je guest netwerk. Je hoeft niks te verwijderen, je kunt ook een regel pauzeren; begin eens met die 2005.
 
Activiteit
Er wordt op dit moment (nog) geen nieuwe reactie gepost.
  Topic Status: Hallo . Er is al meer dan 14 dagen geen nieuwe reactie meer geplaatst.
  De inhoud is mogelijk niet langer relevant.
  Misschien is het beter om in plaats daarvan een nieuw onderwerp te starten..

Vergelijkbare onderwerpen

B
Kan Synology niet benaderen vanuit VLAN (UniFi)
Reacties
26
Weergaven
306
Routers
Eddie the Eagle
Eddie the Eagle
E
UniFi gateway in bestaand netwerk
Reacties
5
Weergaven
333
Routers
EU_J
E
rheinen
Geen internet bij 'verplaatsen' Pi-holes naar ander VLAN
Reacties
28
Weergaven
460
Overig
gjurriens
G
PE1PQX
  • Vraag
UDM/Pro "UDM-setup" netwerk??
Reacties
4
Weergaven
322
Routers
PE1PQX
PE1PQX
PJaco
Vlan iot synology nas
Reacties
16
Weergaven
1K
Routers
Hehedreammachine
H
Bovenaan Onderaan
Terug