Pi-hole DNS und Synology DHCP funktioniert nicht (Namensauflösung)

[juemuc]

Hallo zusammen,
ich hoffe ihr könnt helfen. Ich habe folgende Konstellation:

1. FB7490 als Router (als DNS-Server PI-Hole) -> funktioniert
2. PI-Hole als DNS-Server und als DHCP -> funktioniert

Nun möchte ich den DHCP-Server der Synology (DS415+) nutzen. Egal welche Einstellungen ich am PI-Hole verwende.

• Never forward non-FQDNs (aus)
• Never forward reverse lookups for private IP ranges (aus)
• Use DNSSEC (an)
• Use Conditional Forwarding (an)
  local network 192.168.0.0/16
  IP address of your DHCP server (router) - IP-Adresse der Syno
  Local domain name (optional) (Domainname, der in der Syno eingetragen ist)

Es ich erreiche kein Gerät mehr über die Namensauflösung. Was mache ich falsch?
Ein Test mit der FB als DNS-Server war hingegen erfolgreich. Warum die Synology als DHCP? Weil ich auf diverse VLANs umstellen möchte und der DHCP-Server der Synology dies sehr einfach ermöglicht.
Viele Grüße
Jürgen

 

[blurrrr]

Es ich erreiche kein Gerät mehr über die Namensauflösung. Was mache ich falsch?

Nichts genaues weiss man nicht, aber via "nslookup" z.B. kannst Du in der Eingabeaufforderung schon genau sehen, a) wer gefragt wird und b) was das Ergebnis der Anfrage ist. Vielleicht hilft Dir das ja schon auf die Sprünge. Ebenso sollten beim piHole auch die Logs einsehbar sein, damit Du auch dort sehen kannst, was dort ankommt bzw. ob überhaupt was ankommt. Viel Erfolg!

 

[juemuc]

nslookup 192.168.0.20 192.168.0.50 liefert den Namen des Gerätes mit der IP-Adresse 192.168.0.20 (192.168.0.50 ist die IP der Syno = DHCP-Server)

nslookup gerätename 192.168.0.50 liefert ein "time out". Die Syno kann also den Namen nicht auflösen.

nslookup 192.168.0.20 192.168.0.60 liefert den Namen des Gerätes mit der IP-Adresse 192.168.0.20 (192.168.0.60 ist die IP des pi-hole DNS-Server)

nslookup gerätename 192.168.0.60 liefert ;; connection timed out; no servers could be reached

Ich bin ratlos. Die Syno scheint keinen Hostnamen zu liefern.

 

[the other]

Moinsen,
Hmm, und in der synology ist PiHole als DNS eingetragen?
Was ich nicht verstehe ist die Kombination der Aussagen
Fritzbox als Router und umsteigen auf Vlans. Wie willst du dein Vorhaben realisieren?
Läuft PiHole auf der Himbeere oder ist das ne docker Installation?

 

[blurrrr]

Die Syno wird nur Hostnamen liefern, wenn die dort auch im DNS eingetragen sind, ansonsten funktioniert die interne Auflösung der Hostnamen anders (NetBIOS). Hier mal ein MS-Artikel dazu: https://support.microsoft.com/de-de/topic/reihenfolge-der-microsoft-tcp-ip-hostnamensauflösung-dae00cc9-7e9c-c0cc-8360-477b99cb978a

EDIT: Wenn die sonstigen Hostnamen im DNS beim piHole eingetragen sind, sollte dieser diese auch auflösen können, ggf. fehlt dann nur das DNS-Suffix, was an jede Anfrage angehängt wird (Bsp: aus "hostname" wird automatisch "hostname.domain.tld").

 

[juemuc]

Hallo zusammen,
danke für Eure Infos. Die Namensauflösung funktioniert grundsätzlich nicht. Somit werde ich erst einmal den Hinweis von blurrrr prüfen. Die Hostnamen in pi-hole eintragen funktioniert natürlich. Ist aber nicht mein Ziel.

VLANs werden über einen CISCO-Switch realisiert. Das kann die FB ja nicht

Viele Grüße
Jürgen

 

[the other]

Moinsen,
warum dann nicht auch dhcp über den switch laufen lassen? Dann kommt (bis auf DNS) alles aus einer Hand: routing und vlan via cisco als layer3 switch und dhcp dazu....

 

[juemuc]

Der Switch sg-250 kann das leider nicht. War hier zu sparsam

 

[the other]

Moinsen,
schade und ärgerlich...geht leider erst ab den 300ern der SOHO switche afaik...

 

[juemuc]

Wie funktioniert den der DNS-Server auf der Syno? Ist dieser brauchbar? Dann hätte ich den DHCP- und DNS-Server zur Verfügung.

 

[the other]

Moinsen,
Was ist eigentlich dein Grund dafür, dass du PiHole bzw. Unbound (ggf. installiert?) nicht als DNS und dhcp Server nutzt?

 

[juemuc]

Hallo,

nachdem ich dachte, ich hätte alles korrekt eingerichtet, war heute morgen die gesamte Hausautomation "out of order" :-(

Zusätzlich ist die DHCP-Konfiguration für VLANs nicht so einfach wie auf der Syno. Hier hat man sofort einen Überblick, welche Geräte sich die IP über die Syno gezogen haben und die leasetime.
pi-hole würde ich dann als "Web-Blocker" noch einbinden.


Viele Grüße
Jürgen

PS.: Alternativ lege ich mir einen sg-350 zu

 

[the other]

Moinsen,
Ich würde eher empfehlen, darüber nachzudenken ob das Geld statt teurem switch nicht besser in einen neuen Router investiert wäre.
Zb draytek oder auch pfSense oder ähnliches... Da hast du dann alles drin, Routing kannst du wenn du das unbedingt willst trotzdem über den switch machen...

 

[juemuc]

Das ist auch eine Idee.
Also nicht das DNS der Syno nutzen?
Viele Grüße
Jürgen

 

[blurrrr]

Also ich nutz den DNS der Syno + Hardwarefirewall (VLANs, DHCP, etc.)

 

[juemuc]

Hallo blurrr,

dann werde ich das die nächsten Tage einmal probieren und hoffe dann auf Deine Unterstützung

Viele Grüße
Jürgen

 

[blurrrr]

Einfach der Anleitung folgen, wenn es dann noch irgendwo klemmt, kann man sicherlich mal schauen wo das Problem liegt.

 

[juemuc]

Hallo blurrrr,

ich habe den DNS-Server nach dieser Anleitung DNS-Installations eingerichtet. Leider finktioniert die Namensauflösung nicht. ich habe z.B. eine HUE-Bridge aus und wieder eingeschaltet, sodass sie die IP über die Syno bezieht. Ein nslookup mit dem Namen der Bridge liefert aber "unbekannt". Ich habe mal meine Einstellungen angehängt. Wo ist das Problem?

Aktuell bin ich wieder zurück auf die FB.

Was ist das Ziel:

DHCP und DNS (für interne Namensauflösung) über Syno, da die FB kein VLAN kennt. pi-hole dann später als Werbeblocker.

Auf dem Switch habe (hatte) ich als DNS-Server ebenfalls die Syno angegeben.

Ich hoffe, du kannst helfen

Viele Grüße
Jürgen

 

[the other]

Moinsen,
nur mal ein Schuss ins Blaue bei dem sonnigen Wetter...
hast du die Firewall aktiv?
VLANs schon aktiv (auf dem switch)?
alle clients mit Namen und IP (feste IP) eingetragen?

 

[blurrrr]

Ein nslookup mit dem Namen der Bridge liefert aber "unbekannt".

Also mal so grundlegend:

1) Im DNS wurde eine "Domäne" hinterlegt (domain.tld)
2) Wenn innerhalb des Kontextes der Domäne Hosts eingetragen werden, lautet der korrekte Hostname "hostname.domain.tld"

Somit sollte der Lookup auf "bridge.<Deine Domain>.<TLD>" erfolgen.

3) Es gibt noch etwas namens "DNS-Suffix". Das ist etwas, was an <hostname> automatisch vom Client angehängt wird. Das ist normalerweise die entsprechende Domäne (domain.tld). Ruft man jetzt "hostname" auf, macht der Client daraus automatisch ein "hostname.domain.tld".

Schau einfach mal hier im Forum (und/oder bei Google), da wirst Du sicherlich sehr schnell fündig. Allerdings würde ich "vorerst" nur mit den FQDNs agieren und das Thema mit den DNS-Suffixen erstmal beiseite lassen. Sofern es nicht schon grundlegend funktioniert, muss man sich um die Feinarbeit auch erstmal keinerlei Gedanken machen.

Was die Verkettung der Dinge angeht: Ich persönlich würde folgende Konstellation bevorzugen:

Client -> Syno-DNS -> Fritzbox -> Pihole -> Internet-DNS-Server (z.B. 8.8.8.8/Google)

Das ist auch einfach erklärt: Als primärer DNS-Server soll die Syno dienen und wird somit als erstes angesprochen. Danach kommt die Fritzbox, was lediglich daran liegt, dass ich auch gern "fritz.box" aufrufen können möchte. Alles danach bewegt sich in Richtung Internet-Auflösung und da soll in erster Instanz der Pihole den Müll wegfiltern, also kommt dieser als nächster in der Liste. Dieser hat dann mit seinen Regeln die Hoheitsgewalt über alles was das Internet betrifft (und vor allem: fummelt bei "internen" Sachen nicht rum). Der Pihole bedient sich dann eben an irgendwelchen DNS-Servern im Internet.

Nebst dem: Auch entsprechende "Views" im Syno-DNS definiert (welche Netze welche Domains abfragen dürfen - wird gern vergessen)? ??

hast du die Firewall aktiv?

Da wäre dann eine Portausnahme für das lokale Netz/die lokalen Netze für Port 53/UDP hinzuzufügen.

VLANs schon aktiv (auf dem switch)?

Wenn VLANs im Spiel sind, muss man natürlich auch entsprechend auf das Routing und die entsprechenden Firewall-Regeln achten. Hier wäre es empfehlenswert, sich erstmal voll auf das LAN zu konzentrieren und alle anderen Netze step-by-step nachzuziehen.

EDIT: Was die Feinarbeiten und generell das Konstrukt als solches angeht: Sieh erstmal zu, dass Dein Client den Syno-DNS entsprechend abfragen kann und auch eine vernünftige Antwort erhält. Darauf baut dann auch alles weitere auf. Solange das nicht funktioniert, muss man auch erst garnicht nach allem anderen schauen ?