Geen internet bij 'verplaatsen' Pi-holes naar ander VLAN

[rheinen]

Hoi allemaal, ik loop tegen een probleem aan, waar ik niet uit kom. Ik zie waarschijnlijk iets kleins over het hoofd. Hopelijk kan één van jullie de oplossing geven.

Doel:
Op dit moment heb ik twee Pi-holes draaien in mijn Main LAN met statische IP-adressen 192.168.1.15 & 16. Ik wil deze graag verplaatsen naar mijn Servers VLAN met het IP-reeks 192.168.30.X.

Oude situatie:
- In mijn netwerk heb ik de volgende (V)LANS: Main, Guest, IoT en Servers.
- Via firewallregels heb ik ingesteld dat Main overal naartoe mag. Inter-VLAN-verkeer is geblokkeerd.
- In de firewallregels heb ik ook ingesteld dat DNS-verkeer (poort 53) naar de Pi-holes (192.168.1.15 & 16) is toegestaan vanuit elk (V)LAN. Overig verkeer naar poort 53 is geblokkeerd.
- De firewallregels die DNS-verkeer toestaan naar de Pi-holes, staan voor de regels die overig DNS-verkeer blokkeren.
- Ik heb voor elk netwerk handmatig ingesteld als DNS-servers de IP-adressen van de Pi-holes.

Tot zover geen problemen. Alles werkt naar behoren.

Vervolgens pas ik het volgende aan:

Nieuwe situatie:
- De Pi-holes verplaats ik naar het Servers VLAN met statische IP-adressen 192.168.30.5 & 6.
- In de firewallregels stel ik in dat DNS-verkeer (poort 53) naar de Pi-holes (192.168.30.5 & 6) is toegestaan vanuit elk (V)LAN. Overig verkeer naar poort 53 is geblokkeerd.
- De firewallregels die DNS-verkeer toestaan naar de Pi-holes, staan voor de regels die overig DNS-verkeer blokkeren.
- Voor elk (V)LAN-netwerk stel ik als DNS-servers in de statische IP-adressen van de Pi-holes (192.168.30.5 & 6).

Probleem:
Ik heb geen internet.

Hoe dit op te lossen?

 

[Eddie the Eagle]

Overig verkeer naar poort 53 is geblokkeerd.

Je hebt toch een algemene 'block inter-vlan' regel met RFC1918 (?) Lijkt me deze overbodig.

Hoe ik dit soort dingen debug......regel voor regel pauzeren en testen. Dan loop je vanzelf tegen de regel aan die de boosdoener is. Zet anders eens een snapshot van je regels (het overzicht scherm) hier.

 

[RvdE]

Heeft de Servers Vlan wel internet?
Waar staat je Pihole interface op ingesteld? Pihole -> settings -> DNS -> interface

Mijn ervaringen is dat als die ingesteld staat op Local only je geen internet hebt op je andere Vlans. Bij mij staat 'ie op 'respond eth0 only'.

 

[rheinen]

Bedankt voor jullie reacties.

@Eddie the Eagle De regel om overig verkeer naar poort 53 te blokkeren is nodig, zodat bijvoorbeeld onze Google Hubs in IoT VLAN geen gebruik kunnen maken van Google's DNS. Zonder die regel deden ze dat namelijk wel.

Zie bijgevoegd een overzicht van mijn firewallregels.

@RvdE Deze staat op Permit all origins. Excuses, ik was dat vergeten te vermelden. Edit: en Server VLAN heeft wel internet in de oude situatie.

 

[Eddie the Eagle]

Bedankt voor jullie reacties.
De regel om overig verkeer naar poort 53 te blokkeren is nodig, zodat bijvoorbeeld onze Google Hubs in IoT VLAN geen gebruik kunnen maken van Google's DNS. Zonder die regel deden ze dat namelijk wel.

Ah ja tuurlijk, die willen naar buiten en da`s geen inter-vlan. Ik doe hetzelfde met mijn (non Unifi) camera`s.

 

[rheinen]

Ik heb de nieuwe situatie nog eens toegepast met één van de piholes. Ik zie in mijn desktop dat als DNS-server is ingesteld 192.168.30.6. Wanneer ik een website wil bezoeken, zie ik ook een query in de pihole logs. Ik heb kan echter geen verbinding maken met de website of andere websites. De foutmelding is 'Server niet gevonden'.

 

[Eddie the Eagle]

Ik zie er niks geks aan, ik denk dat ik al je regels snap. Die Accept Gast naar Pi-Hole is volgens mij overbodig. Als je Network Isolation aan hebt voor je Gast netwerk, dan wordt automatisch een soortgelijke regel aangemaakt. Tenminste zo werkt het hier.

Dus....ik zou toch eens beginnen met een regel op pauze zetten, testen, en dan naar de volgende. En het zou zo maar kunnen dat het niks met de firewall te maken heeft.

 

[rheinen]

Ik heb Network Isolation op mijn Gast netwerk uitstaan, omdat ik anders in Home Assistant bepaalde devices op dat netwerk niet kan pingen met de Ping (ICMP) integratie.

Ik ga je advies opvolgen en kijken welke regel of regels roet in het eten gooien. Ik houd je op de hoogte. Bedankt zover.

 

[rheinen]

Ik ben denk ik alweer wat wijzer. De firewallregels zijn niet de boosdoener. Ik maak gebruik van Pihole met Unbound en ik denk dat het aan die combinatie ligt.

Edit: ik krijg namelijk een SERVFAIL.

 

[Davey400]

Niet alles gelezen, maar heb je er rekening mee gehouden dat DNS UDP is?

Edit: never mind, zie net je screenshot. Ik loop rustig door.

 

[rheinen]

Niet alles gelezen, maar heb je er rekening mee gehouden dat DNS UDP is?

Wat wil je daar precies mee zeggen?

 

[Davey400]

Excuses voor de verwarring. Als je alleen TCP rules aan zou hebben gemaakt zou het niet goed zijn gekomen; in het screenshot staat ‘all’, dus mijn opmerking sloeg weer nergens op.

 

[rheinen]

Haha, geen probleem. Ik ben allang blij dat je mee denkt. Maar goed, het probleem is nog niet opgelost en ligt dus mogelijk aan de configuratie Pihole + Unbound. Mocht je daar nog ideeën over hebben, dan houd ik mij aanbevolen. Ik ben er in ieder geval nog niet uit.

 

[Eddie the Eagle]

Reboot al gedaan neem ik aan ?

/etc/unbound/unbound.conf.d

daar staat bestand pi-hole.conf en helemaal onderaan staan de local IP-ranges, staan al je netwerken daar genoemd ? Of in range.

 

[d4rk4ngel]

Zou het te maken kunnen hebben met je DHCP?

Maar waarom wil je ze verplaatsen?

 

[rheinen]

Reboot al gedaan neem ik aan ?

/etc/unbound/unbound.conf.d

daar staat bestand pi-hole.conf en helemaal onderaan staan de local IP-ranges, staan al je netwerken daar genoemd ? Of in range.

De netwerken staan erin:

# Ensure privacy of local IP ranges
pr# Ensure privacy of local IP ranges
private-address: 192.168.0.0/16
private-address: 169.254.0.0/16
private-address: 172.16.0.0/12
private-address: 10.0.0.0/8
private-address: fd00::/8
private-address: fe80::/10

@d4rk4ngel Ik wil ze verplaatsen, omdat ik veel threats krijg op mijn Pi-holes van buitenaf. Dan vind ik het een fijner/veiliger idee als ze niet in mijn Main LAN staan. Daarnaast loop ik nu tegen dit probleem aan, en dat wil ik gewoon oplossen. Zit een beetje in de aard van het beestje

 

[dbw]

Unbound maakt toch ook niet gebruik van poort 53. Maar van 5335 (althans bij mij wel)

 

[rheinen]

Ja, dat is een goede, maar in de oude situatie heeft ie het altijd gedaan op poort 53, ook met unbound op poort 5335. Het is toch vreemd dat het met het verplaatsen naar een ander VLAN dan niet werkt. Maar ik zal het eens proberen door poort 53 te wijzigen naar 5335.

 

[gjurriens]

Hoi, misschien heel simpel gedacht hoor. Maar kan het zijn dat je geen regel voor de nieuwe pihole adressen naar buiten open hebt staan. De piholes moeten namelijk wel voor dns het internet op kunnen.

SERVERFAIL geeft volgens mij aan dat er geen verzoek naar een andere dns server gestuurd kan worden voor een request.

P.s. vanaf mijn mobiel waren de regels wat lastig lezen, vandaar dat ik het toch maar even post.

 

[Bolten88]

Ik zie in dit topic de vraag ‘heeft de pi hole wel toegang tot internet in jou servers vlan’ niet beantwoord. Ik heb een vermoeden dat het daar in zit. Zijn de upstream server(s) wel bereikbaar vanaf dat vlan en is zijn default gateway bereikbaar?