Lancom und Pi-hole DNS Server

Forum zu aktuellen Geräten der LANCOM Router/Gateway Serie

Moderator: Lancom-Systems Moderatoren

Pauli
Beiträge: 401
Registriert: 06 Mär 2006, 15:49

Lancom und Pi-hole DNS Server

Beitrag von Pauli »

Hallo,

ich habe in meiner DMZ einen Pi-hole Server als DNS Server installiert.

Nun möchte ich, wenn auch immer der Lancom als DNS benutzt wird, er die Anfragen nicht an den Provider DNS weitergibt, sonder an meinen Pi-hole Server.

Daher habe ich unter IPv4 Adressen DNS die DMZ Adresse des Pi-hole Servers eingetragen. Scheinbar fragt er aber nicht von allen Netzten den Pi-hole? Ich habe diverse VLANs für Iot etc. und dort ist der Lancom mit der jeweiligen Subnetz-Adresse als DNS eingetragen und ich habe erwartet, wenn der DNS Eintrag gesetzt ist werden die Anfragen dort hin weitergeleitet wenn der DNS erreichbar ist?

Vielleicht habe ich auch einen Denkfehler, daher Danke für die Unterstützung.
Pauli
Pauli
Beiträge: 401
Registriert: 06 Mär 2006, 15:49

Re: Lancom und Pi-hole DNS Server

Beitrag von Pauli »

Also im Trace sehe ich so etwas:

Code: Alles auswählen

[DNS] 2019/09/08 19:31:02,133  Devicetime: 2019/09/08 19:31:02,157
DNS Rx (MM): Src-IP 172.16.25.61, RtgTag 0
Transaction ID: 0x0357
Flags: 0x0100 (Standard query, No error)
Queries
  spectrum.s3.amazonaws.com: type A, class IN

STD A for spectrum.s3.amazonaws.com
Not found in local DNS database => forward to next server

[DNS] 2019/09/08 19:31:02,133  Devicetime: 2019/09/08 19:31:02,157 [info] : 
create new source map entry for 172.16.25.61
using IPv4 DNS server 217.237.151.142 on T-ONLINE
Ich hatte erwartet die Weiterleitung würde an die Adresse unter IPv4 - Adressen - DNS erfolgen, aber der Lancom leitet an den DNS der via PPP kommt weiter!?

Danke, Pauli
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: Lancom und Pi-hole DNS Server

Beitrag von backslash »

Hi pauli
Daher habe ich unter IPv4 Adressen DNS die DMZ Adresse des Pi-hole Servers eingetragen.
wo? Etwa unter IPv4 -> Adressen -> Nameserver-Adressen?
Auch wenn das an prominenter Stelle steht, ist es leider falsch... Diese Adressen werden RAS-Clients zugeweisen, vom LANCOM selbst aber nur alle aller letzter Rückfall verwendet.

Für deinen Zweck mußt du unter IPv4 -> DNS -> Weiterleitungen eine Weiterleitung für "*" (oder besser: "?*" - das funktioniert auch auf dem CLI ohne Klimmzüge) an den RASPI einrichten - da reicht dann auch aus, nur eine Adresse des RASPI anzugeben...

Gruß
Backslash
Pauli
Beiträge: 401
Registriert: 06 Mär 2006, 15:49

Re: Lancom und Pi-hole DNS Server

Beitrag von Pauli »

wo? Etwa unter IPv4 -> Adressen -> Nameserver-Adressen?
Auch wenn das an prominenter Stelle steht, ist es leider falsch... Diese Adressen werden RAS-Clients zugeweisen, vom LANCOM selbst aber nur alle aller letzter Rückfall verwendet.
OK, da haben wir den Fehler, denn genau dort habe ich es eingetragen.
Für deinen Zweck mußt du unter IPv4 -> DNS -> Weiterleitungen eine Weiterleitung für "*" (oder besser: "?*" - das funktioniert auch auf dem CLI ohne Klimmzüge) an den RASPI einrichten - da reicht dann auch aus, nur eine Adresse des RASPI anzugeben...
Wenn ich die Weiterleitung nach ?* an die Pi-hole Instanz (läuft nicht auf einem RASPI, sondern als VM unter Ubuntu) eintrage, was passiert wenn Pi-hole nicht erreichbar ist? Wird dann wieder auf die Provider DNS zurückgriffen oder muss ich hier z.B. noch 9.9.9.9 als zweiten DNS eintragen damit die Auflösung auch noch klappt wenn Pi-hole mal abgeschmiert ist?

Danke.
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: Lancom und Pi-hole DNS Server

Beitrag von backslash »

Hi Pauli
Wenn ich die Weiterleitung nach ?* an die Pi-hole Instanz (läuft nicht auf einem RASPI, sondern als VM unter Ubuntu) eintrage, was passiert wenn Pi-hole nicht erreichbar ist? Wird dann wieder auf die Provider DNS zurückgriffen oder muss ich hier z.B. noch 9.9.9.9 als zweiten DNS eintragen damit die Auflösung auch noch klappt wenn Pi-hole mal abgeschmiert ist?
da mußt du schon die 9.9.9.9 als zweites Weiterleitungsziel (per Komma separiert hinter der Pi-Hole-Adresse) eintragen - aber das hattest du ja bisher auch nicht...



Gruß
Backslash
Pauli
Beiträge: 401
Registriert: 06 Mär 2006, 15:49

Re: Lancom und Pi-hole DNS Server

Beitrag von Pauli »

Was meinst Du, mit das hattest Du bisher auch nicht? Inder Regel gibt der Provider ja mind. 2 DNS an den Lancom, somit sollte zumindest einer erreichbar sein. Ich will eben falls mal was mit dem Pi-hole ist noch eine Auflösung haben.

Könnte ich als zweiten dann auch die IP des Lancom eintragen, damit er wieder wie bisher ein Forward macht oder habe ich dann einen Loop gebaut und die Anfrage kommt neu rein und wird demnach wieder an den PH weitergeleitet?

Hast Du eine Empfehlung?

Danke, Pauli
Pauli
Beiträge: 401
Registriert: 06 Mär 2006, 15:49

Re: Lancom und Pi-hole DNS Server

Beitrag von Pauli »

Und noch ein Frage: Sollte ich in der Konstellation den DNS-Server des Lancom an oder aus haben?

Danke, Pauli
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: Lancom und Pi-hole DNS Server

Beitrag von backslash »

Hi pali
Was meinst Du, mit das hattest Du bisher auch nicht? Inder Regel gibt der Provider ja mind. 2 DNS an den Lancom, somit sollte zumindest einer erreichbar sein. Ich will eben falls mal was mit dem Pi-hole ist noch eine Auflösung haben.
du hattest den Pi-Hole als 1. und 2. DNS-Server unter IPv4 -> Adressen eingetragen und damit letztendlich intendiert, daß eben NUR der Pi-Hole angefragt wird und es eben KEINEN Fallback auf die DNS-Server des Providers gibt...
Könnte ich als zweiten dann auch die IP des Lancom eintragen, damit er wieder wie bisher ein Forward macht oder habe ich dann einen Loop gebaut und die Anfrage kommt neu rein und wird demnach wieder an den PH weitergeleitet?
das LANCOM kann zwar die Schleife auflösen, wenn der Pi-Hole die Anfragen selbst wieder an das LANCOM zurückleitet - diese werden dann immer zum Internet-Provider geleitet - aber daß man das LANCOM selbst als Weiterleitungsziel einträgt, damit es ein Forwarding zum Internet-Provider macht, ist nicht vorgesehen...
Und noch ein Frage: Sollte ich in der Konstellation den DNS-Server des Lancom an oder aus haben?
Wenn du den DNS-Server ausschaltest, dann kanns du kein selektives Forwarding mehr machen - oder anders ausgedrückt: wenn der DNS-Server abgeschaltet ist, gibt es nur noch das Forwarding zum Internetprovider.

Gruß
Backslash
Pauli
Beiträge: 401
Registriert: 06 Mär 2006, 15:49

Re: Lancom und Pi-hole DNS Server

Beitrag von Pauli »

Was meinst Du, mit das hattest Du bisher auch nicht? Inder Regel gibt der Provider ja mind. 2 DNS an den Lancom, somit sollte zumindest einer erreichbar sein. Ich will eben falls mal was mit dem Pi-hole ist noch eine Auflösung haben.
du hattest den Pi-Hole als 1. und 2. DNS-Server unter IPv4 -> Adressen eingetragen und damit letztendlich intendiert, daß eben NUR der Pi-Hole angefragt wird und es eben KEINEN Fallback auf die DNS-Server des Providers gibt...
Nee, hatte ich nur bei DNS1, aber OK verstanden und abgehakt.
Und noch ein Frage: Sollte ich in der Konstellation den DNS-Server des Lancom an oder aus haben?
Wenn du den DNS-Server ausschaltest, dann kanns du kein selektives Forwarding mehr machen - oder anders ausgedrückt: wenn der DNS-Server abgeschaltet ist, gibt es nur noch das Forwarding zum Internetprovider.
Genau das will ich ja, wenn die Weiterleitung via ?* an den Pi-hole nicht funktioniert, soll er automatisch den DNS des Providers nutzen. Wenn dies passiert wenn ich nur die IP des Pi-hole eintrage ist doch alles genau so wie ich es will.

Und noch ein Frage: Sollte ich in der Konstellation den DNS-Server des Lancom an oder aus haben? Eigentlich nutze ich den Lancom nur als Weiterleitung oder macht es Sinn den Lancom DNS für VPN Verbindungen etc. eingeschaltet zu lassen?

Wie immer vielen Dank für die super Unterstützung,
Pauli
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: Lancom und Pi-hole DNS Server

Beitrag von backslash »

Hi Pauli,
Genau das will ich ja, wenn die Weiterleitung via ?* an den Pi-hole nicht funktioniert, soll er automatisch den DNS des Providers nutzen. Wenn dies passiert wenn ich nur die IP des Pi-hole eintrage ist doch alles genau so wie ich es will.
da hast du was falsch verstanden. Das worauf du dich hier beziehst, war die Antwort auf deine Frage, ob du den DNS-Server abschalten sollst - und da ist die Antwort: Nein, sonst funktioniert die Weiterleitung zum Pi-Hole nicht.

Das, was du willst - Fallback auf den Provider, wenn der Pi-Hole ausfällt - funktioniert nur, wenn du einen der DNS-Server des Provides statisch als zweite Weiterleitung angibst, also unter IPv4 -> DNS ->
Weiterleitungen
(wenn der allerdings ausfällt, ist "Essig"...)

Code: Alles auswählen

Domäne:       ?*
Routimng-Tag: 0
Gegenstelle:  IP-des-Pi-Hole, IP-des-Provider-DNS

Gruß
Backslash
Pauli
Beiträge: 401
Registriert: 06 Mär 2006, 15:49

Re: Lancom und Pi-hole DNS Server

Beitrag von Pauli »

OK+Danke, So habe ich es jetzt eingerichtet und sieht aktuell auch gut aus.

Pauli
tom63
Beiträge: 238
Registriert: 01 Dez 2007, 15:26

Re: Lancom und Pi-hole DNS Server

Beitrag von tom63 »

backslash hat geschrieben: 10 Sep 2019, 11:05 Hi Pauli,
Genau das will ich ja, wenn die Weiterleitung via ?* an den Pi-hole nicht funktioniert, soll er automatisch den DNS des Providers nutzen. Wenn dies passiert wenn ich nur die IP des Pi-hole eintrage ist doch alles genau so wie ich es will.
da hast du was falsch verstanden. Das worauf du dich hier beziehst, war die Antwort auf deine Frage, ob du den DNS-Server abschalten sollst - und da ist die Antwort: Nein, sonst funktioniert die Weiterleitung zum Pi-Hole nicht.

Das, was du willst - Fallback auf den Provider, wenn der Pi-Hole ausfällt - funktioniert nur, wenn du einen der DNS-Server des Provides statisch als zweite Weiterleitung angibst, also unter IPv4 -> DNS ->
Weiterleitungen
(wenn der allerdings ausfällt, ist "Essig"...)

Code: Alles auswählen

Domäne:       ?*
Routimng-Tag: 0
Gegenstelle:  IP-des-Pi-Hole, IP-des-Provider-DNS

Gruß
Backslash
hallo zusammen,

wir nutzen 1781ef+ unter 10.12.0787 und wollten ebenfalls einen pi-hole als ad-blocker nutzen.

allerdings haben wir zwei interne ip-netze konfiguriert die aber beide den selben telekom internetzugang nutzen.
was waere der einfachste weg zu erreichen dass nur clients aus dem einen internen netz den pi-hole automatisch nutzen die clients im anderen netz aber nach wie vor direkt den dns von der telekom?

netter gruss
tom
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: Lancom und Pi-hole DNS Server

Beitrag von backslash »

Hi tom63,

Weiterleitungen anhand des Netzes zu separieren nicht vorgesehen. Weiterleitungen können nur anhand des Routing-Tags separiert werden. Dazu mußt du den beiden Netzen unterschiedliche Routung-Tags geben und dann Weiterleitung für "?*" für das eine Tag an den Pi-Hole und für das andere direkt an die Internet-Verbindung einrichten:

Code: Alles auswählen

Domäne:      ?*
Routing-Tag: Tag des NETZ1
Gegenstelle: TELEKOM

Domäne:      ?*
Routing-Tag: Tag des NETZ2
Gegenstelle: IP des Pi-Hole
Durch die verschiednene Routing-Tags hast du dann nur das Problem, daß sich die beiden Netze nicht mehr direkt sehen können. Um sie wieder gegenseitig sichtbar zu machen braucht du Firewall-Regeln die den jeweiligen Traffic umtaggen:

Code: Alles auswählen

ALLOW-NETZ1->NETZ2
Routing-Tag: Tag des NETZ2
Aktion:      übetragen
Quelle:      alle Stationen im lokalen Netz NETZ1
Ziel:        alle Stationen im lokalen Netz NETZ2
Dienste:     alle Dienste

ALLOW-NETZ2->NETZ1
Routing-Tag: Tag des NETZ1
Aktion:      übetragen
Quelle:      alle Stationen im lokalen Netz NETZ2
Ziel:        alle Stationen im lokalen Netz NETZ1
Dienste:     alle Dienste
Gruß
Backslash
tom63
Beiträge: 238
Registriert: 01 Dez 2007, 15:26

Re: Lancom und Pi-hole DNS Server

Beitrag von tom63 »

backslash hat geschrieben: 05 Okt 2020, 11:29 Hi tom63,

Weiterleitungen anhand des Netzes zu separieren nicht vorgesehen. Weiterleitungen können nur anhand des Routing-Tags separiert werden. Dazu mußt du den beiden Netzen unterschiedliche Routung-Tags geben und dann Weiterleitung für "?*" für das eine Tag an den Pi-Hole und für das andere direkt an die Internet-Verbindung einrichten:

Durch die verschiednene Routing-Tags hast du dann nur das Problem, daß sich die beiden Netze nicht mehr direkt sehen können. Um sie wieder gegenseitig sichtbar zu machen braucht du Firewall-Regeln die den jeweiligen Traffic umtaggen:

Gruß
Backslash
hallo backslash,

vielen vielen dank fuer die schnelle und ausfuehrliche antwort/anleitung!

ich muss mir das jetzt erst einmal auf einem unserer router ansehen um zu verstehen ob ich mit meinen recht geringen kenntnissen dazu ueberhaupt im stande bin. in jedem fall toll was man mit den lancoms alles machen kann/koennte wenn man ahnung von der sache hat :)

melde mich zurueck sobald ich das ganze ansatzweise ueberreisse

danke + netter gruss
tom

edit: wenn ich es richtig verstehe sieht es so aus als haetten unsere beiden netze bereits verschiedene routing tags? und es ist derzeit (gewollt) so dass man zwar aus dem 'intranet-netz' auf das 'guestnet_netz' zugreifen kann - umgekehrt aber nicht. ich glaube mich zu erinnern dass das ohne firewall regel ging einfach weil das routing tag '0' beim 'intranet' unter dem '1' vom 'guestnet' war??? waere damit dann die teile mit den routing tags und firewall regeln verzichtbar - und ich muestte nur diesen eintrag machen wenn der pi-hole nur fuer das 'guestnet' zustaendig sein soll?

Code: Alles auswählen

Domäne: ?*
Routimng-Tag: 1
Gegenstelle:  IP-des-Pi-Hole, IP-des-Provider-DNS
Du hast keine ausreichende Berechtigung, um die Dateianhänge dieses Beitrags anzusehen.
tom63
Beiträge: 238
Registriert: 01 Dez 2007, 15:26

Re: Lancom und Pi-hole DNS Server

Beitrag von tom63 »

backslash hat geschrieben: 05 Okt 2020, 11:29 Durch die verschiednene Routing-Tags hast du dann nur das Problem, daß sich die beiden Netze nicht mehr direkt sehen können. Um sie wieder gegenseitig sichtbar zu machen braucht du Firewall-Regeln die den jeweiligen Traffic umtaggen:

Code: Alles auswählen

ALLOW-NETZ1->NETZ2
Routing-Tag: Tag des NETZ2
Aktion:      übetragen
Quelle:      alle Stationen im lokalen Netz NETZ1
Ziel:        alle Stationen im lokalen Netz NETZ2
Dienste:     alle Dienste

ALLOW-NETZ2->NETZ1
Routing-Tag: Tag des NETZ1
Aktion:      übetragen
Quelle:      alle Stationen im lokalen Netz NETZ2
Ziel:        alle Stationen im lokalen Netz NETZ1
Dienste:     alle Dienste
hallo backslash,

habe jetzt einmal ein bisschen rumprobiert - waere nett wenn du dich nochmal meinem wirrsinn annehmen koenntest.

1) das mit den netzen die 'sich nicht mehr sehen koennen' habe ich noch nicht ganz verstanden. aktuell habe ich (wie auf dem bild im oberen post zu sehen) 2 netze (intranet und guestnet) da intranet tag 0 und guestnet tag 1 hat kann ich von allen clients in intranet auf alles in guestnet zugreifen. das ist auch wunderbar so und soll so bleiben. kann ich dann also auf die von dir vorgeschlagene firewallregel verzichten oder habe ich dann ein (anderes) problem?

2) wenn ich den pi-hole in das 'guestnet' haenge geht alles wunderbar und alle clients in beiden netzen loesen dns ueber den pihole auf. leider haette ich den pihole aber lieber im 'intranet' nur dann funtioniert der internetzugriff fuer die clients vom guestnet nicht mehr. wie koennte man das loesen dass das klappt und dennoch der zugriff von clients im 'guestnet' auf das 'intranet' gesperrt bleibt?

3) wenn ich bei der dns umleitung im lancom mit komma getrennt eine fallback dns-server-ip (zb 8.8.8.8) angebe ist der pihole sofort wirkungslos und die clients verwenden direkt nur die google server (8.8.8.8). also irgendwie muss man das mit dem(n) fallback dns servern anders machen?

netter gruss aus bayern
tom
Antworten