DNS (Pihole) für 2 Subnetze

W

wit4r7

Profi
Thread Starter
Mitglied seit
21.09.2018
Beiträge
94
Hallo,

ich habe eine Frage zur Einrichtung/Umsetzbarkeit folgenden Problems:

Aktuell sieht mein Netzwerk so aus: Fritzbox mit einem Subnetz (10.0.0.x/24) und einem pihole (10.0.0.2) im selben Subnetz. Die Fritzbox (10.0.0.1) (DHCP Server ) gibt als DNS sich selber aus. In der FB steht dann als DNS das pihole.

Nun möchte ich gerne mein Netzwerk etwas umbauen. Ich möchte aus Sicherheitsgründen gerne etwas mehr Struktur und stärke Abgrenzung einzelner Geräte & Serverdienste.

Von meiner FB(10.0.0.x/24) geht ein Kabel zu einem MikroTik Router.
An der FB werde ich den DHCP deaktivieren und werde das an den MT übergeben. Ich möchte dann zwei Subnetze (192.168.0.x/24 und 192.168.1.x/24)über den MT bereitstellen. Über VLANs möchte ich dann eine Segmentierung meiner Geräte vornehmen und entsprechend den beiden Subnetzen zuweisen.

Die Frage die ich mir nun Stelle: Um das piHole weiterhin als DNS zu nutzen, muss es im selben Subnetz sein wie die Fritzbox sein oder? Alternativ könnte ich auch ein zweites pihole aufsetzen und in jedes Subnetz eins stellen.

Letztes wäre natürlich aus reinen ITSec Gründen besser oder da im ersten theoretisch über den DNS falsche Adressauflösungen möglich wären?!


Weiß einer, wie sich die Fritzbox verhält, wenn ich bereits dort auf LAN4 den Guestzugang aktiviere? Als Idee: 2 Kabel mit bereits je einem Subnetz zu dem Mikrotik und dann wie oben beschrieben.

Ich hoffe, meine Gedanken sind soweit nachvollziehbar. Bin noch in der Lernphase :-)

Vielen Dank für eure Antworten
wit4r7
 
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Ich nehme an, die Fritte macht Dein I-Net und Telefon.
Mit der Firewall der Fritte kann man nicht viel machen...
Ich würde sie zum Brückenkopf degradieren und das Netzwerk(-System) mit dem Mikrotik aufbauen....im MT kannst Du dann DNS-Anfragen gezielt zum Pihole forwarden, je nach Quelle.
Was für ein Modell ist es...mit/ohne WLAN?
 
Ich nehme an, die Fritte macht Dein I-Net und Telefon.
Zum Vergrößern anklicken....
Ja genau :-)

Mit der Firewall der Fritte kann man nicht viel machen...
Zum Vergrößern anklicken....
Deshalb der Umbau auf den MT.

Ich würde sie zum Brückenkopf degradieren und das Netzwerk(-System) mit dem Mikrotik aufbauen....im MT kannst Du dann DNS-Anfragen gezielt zum Pihole forwarden, je nach Quelle.
Zum Vergrößern anklicken....

Ok, also Pi-Hole an den MT und dann die anderen darauf Forwarden?

Was für ein Modell ist es...mit/ohne WLAN?
Zum Vergrößern anklicken....
Ohne. Ist ein RB3011UiAS-RM. Allerdings kommt das WLAN eh nicht von der Fritte sondern vone einem Zyxel NWA1123-AC-PRO (mit VLAN Support).
 
....dann würde ich den pihole in ein eigenes Subnetz legen, habe ich auch so...zB 192.168.10.x (pihole=192.168.10.10).
DHCP usw machst Du ganz normal mit dem MT---DNS für die Clients ist immer der MT im jeweiligen Netz.
Dann im MT bei /ip - DNS den pihole als ersten DNS und einen anderen "normalen" (falls dein pihole ausfällt) als 2ten DNS eintragen
Dann brauchst Du in der Firewall zwei DST-NAT Regeln (tcp + udp, port 53)...alles was nicht vom pihole kommt wird auf den MT-Router (zb 192.168.0.1) umgebogen (ip-firewall-NAT)
...fertig.
Einziger Nachteil: im pihole wird immer der MT als einziger Client angezeigt....was ja auch stimmt, durch das DST-nat.
Vorteil: ..dafür kommt aber auch nix am pihole vorbei....und wenn der mal ausfällt geht DNS trotzdem noch.

EDIT: Korrektur...muss latürnich DST-NAT sein ;-)
 
Zuletzt bearbeitet:
Danke für die Info. Werde ich mir so mal anschauen. Klingt auf jeden Fall erstmal logisch
 
Moin zusammen,

ich habe eine ähnliche Konfiguration bei mir. Auch mit Mikrotik.
Mein piHole ist im Lan 192.168.1.0/24 mit der 192.168.1.3. Nun wollte ich mein Gäste WLan (192.168.100.0/24) auch über den piHole laufen lassen.
Leider umgeht er immer den piHole oder aber er kann keinen DNS auslösen. Das mit dem DST-Nat von oben hat auch leider nicht funktioniert :-/

Hat jemand noch eine Idee wo ich gucken kann?
 
...best-guess: Dein piHole ist im gleichen Netz wie Dein Home-LAN,,,Dein Gäste-Netz ist davon in der Firewall komplett getrennt (hoffentlich)....dann wird die Firewall die Weiterleitung zum piHole nicht durchlassen. Du musst also in der Firewall im Gästenetz ein Loch lassen für den PiHole.
 
hominidae schrieb:
...best-guess: Dein piHole ist im gleichen Netz wie Dein Home-LAN,,,Dein Gäste-Netz ist davon in der Firewall komplett getrennt (hoffentlich)....dann wird die Firewall die Weiterleitung zum piHole nicht durchlassen. Du musst also in der Firewall im Gästenetz ein Loch lassen für den PiHole.
Zum Vergrößern anklicken....
Ich werde das heute noch einmal in Ruhe prüfen. Danke!
 
...die Firewall Regeln sind übersichtlicher wenn Du ganze Netze, ohne Port-Holes einsetzen kannst....aus dem Grund habe ich meinen piHole in ein eigenes Netz (VLAN) verbannt und lasse Routing in/von diesem Netz einfach bei allen anderen zu.
 
Anmelden, um zu antworten.
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh