ComputerBase Menü
Aktuelles

DNS und Timeout bei 3CX, Pi-Hole und Ubiquiti

Chuck Norris123

Chuck Norris123

Lt. Commander
Registriert
Apr. 2008
Beiträge
1.281
Hallo,

ich bin aus anderen Foreneinträgen leider nicht schlau geworden, deswegen frage ich hier separat.

Ich habe 2 Phänomene in meinem Netzwerk, welche ich nicht verstehe, wo mir hier aber hoffentlich jemand weiterhelfen kann.
Ich habe eine selbst installierte 3CX-Anlage laufen, welche seit dem letzten Update nur noch, auch intern, über die 3CX FQDN erreichbar sein sollte. Nun habe ich auf meinem Pi-hole (läuft auf der Synology als VM) den entsprechenden DNS-Eintrag auf die interne IP-Adresse gesetzt, jedoch funktioniert das irgendwie nicht wie gedacht.

Ich habe die sonstige Netzwerktechnik von Ubiquiti, auch das USG-Pro 4 mit 2 getrennten Netzwerken und es zeigt sich folgendes Verhalten:

Synology mit der 3CX-VM und der Pi-hole VM ist in Netz A. Wenn ich einen Laptop in Netz B hänge, funktioniert die Namensauflösung über FQDN und auch der Zugriff auf die 3CX.
Wenn ich aber den selben Laptop in Netz A hänge, kommt über den Webbrowser der Fehler "ERR Connection Timed Out". Wenn ich dann mit nslookup nachsehe, kommt die richtige IP (von Pi-hole). Ich kann sie auch mit den entsprechenden Namen pingen und bekomme eine Antwort. Tippe ich im Webbrowser anstelle von "https://3cxdomain:5001" wo der Timeout kommt "https://3cxvmip:5001", erscheint das Benutzerinterface (nach dem Hinweis, dass es keine sichere Verbindung ist) mit dem Hinweis, dass ich eigentlich FQDN oder https brauchen würde. - Wie kann das sein? - Ich habe ja eigentlich eine entsprechende Verbindung da ich ja über die IP direkt draufkomme?!

Edit: Nun bin ich soweit dahintergekommen, dass es anscheinend an einer FW-Regel zur Netzwerktrennung liegt: - Block IP-Group 192.168.0.0/16 to IP-Group 192.168.0.0/16 sollte ja eigentlich Netz A und Netz B trennen, es sei denn es ist Verkehr von B auf A und umgekehrt erlaubt. Wenn ich diese aber pausiere, dann funktioniert die Namensauflösung auch in Netz A auf Netz A. - Wie kann das sein, da ja eigentlich damit im 192.168.1.1/24er Netz die obere Regel nicht greifen sollte?!

Die andere seltsame Eigenheit ist, dass ich einen PC (Windows 10) habe, der die Namensauflösung irgendwie unlogisch macht:

Der PC ist in Netz A - Ich bekommt mit nslookup von Pi-hole die interne IP der 3cxVM. Wenn ich aber versuche diese mittels Namen zu pingen, pingt er die localhost IP 127.0.0.1 - Ich kann mit nicht wirklich erklären, woran das liegt?! Denn auch hier komme ich nicht über die Domäne auf die 3CX, wobei ich eben nicht weis, ob es an dieser Namensauflösung liegt, oder an einer Fehlkonfiguration der Firewall. Über die IP funktioniert es auch hier wie oben beschrieben...

Normalerweise ist doch im eigenen Netz die Firewall nicht beteiligt? - Sprich wenn ich z.B. von 172.16.1.10 zu .1.12 möchte, geht das nicht über die Firewall?! Wenn ich aber wie im Fall von Netz B auf A möchte muss ich ja über die Firewall, was aber eben auch tadellos funktioniert. Oder liege ich da falsch?
Ich habe schon FW-Regeln gesetzt, die nur gewissen Devices intern Zugriff ins jeweilig andere Netz gewähren, aber eigentlich geht es eben genau innerhalb des Netzwerks A nicht?!

Vielleicht weis jemand einen Rat, was ich noch probieren könnte um die 2 Probleme in den Griff zu bekommen.
Danke für die Hilfe dazu im Voraus.
Fg
Chuck
 
Zuletzt bearbeitet:
Chuck Norris123 schrieb:
IP-Group 192.169.0.0/16
Zum Vergrößern anklicken....
Das ist eine öffentliche IP Adresse bzw. Bereich.
Sollst / "darfst" du in privaten Netzen nicht benutzen.
Verstoß gegen RFC 1918.

Ansonsten ist der Rest zu Wirr und zu wenig Informationen über dein Netzwerk.
 
  • Gefällt mir
Reaktionen: Raijin
Wenn du wirklich Hikfe willst, dann musst du dein Netzwerksetup erheblich genauer beschrebien, inkl. aller Routen und Firewall-Regeln.
Was ist bei dir ein FQDN? Und die Nameserver wissen auch, wer der DNS Server für die Domain ist? Das mit den öffentlichen IPs steht ja schon da, das macht alles kaputt. Übrigens: nur, weil du eine Firewall-Regel setzt, sind die Netze nicht getrennt. Da musst du auch noch VLANs einrichten.
 
  • Gefällt mir
Reaktionen: Raijin
Hallo,

sorry, habe mich bei der IP-Gruppe bzw. FW-Regel vertippt. Es sind natürlich beides mal die Bereiche 192.168.0.0/16.
Die FQDN ist jener Name, den 3CX für den Zugriff intern, als auch extern nutzt. Sprich der FQDN von 3CX. In dem Netzwerk gibt es keine interne Domäne mit Domaincontroller.
Dann will ich mal versuchen, hier das Netzwerk besser zu beschreiben:

Es gibt in Richtung Internet ein ISP-Modem von Magenta, dann kommt die Ubiquiti USG-Pro 4, auf der entsprechend verschiedene VLANs eingerichtet sind für Netzwerk A (192.168.1.X/24) und Netzwerk B (192.168.10.X/24).
In Netzwerk A befindet sich das Synology NAS, welches mit Portainer Pi-hole und entsprechend im VMM die 3CX-Anlage installiert hat.
Dementsprechend gibt es natürlich an erster Stelle in der Firewall eine Regel, welche Netzwerk B ohne Portbeschränkung den Zugriff auf die 2 IPs der 3CX und Pi-Hole erlaubt.
Die Block-Regel kommt dann ganz unten, um eben die restlichen IPs entsprechend gegenseitig zu blockieren.
Im Pi-hole ist der DNS-Eintrag (my3cxname.3cx.at) mit der IP der 3CX gesetzt, sodass die Geräte intern die IP von 3CX auch richtig von Pi-hole mitgeteilt bekommen.
Selbstverständlich ist in den Netzwerk-Setups in allen VLANs natürlich Pi-hole der erste DNS-Server, gefolgt von 4.4.4.4 eingetragen.

Ich hoffe damit ist ungefähr klar, wie das Setup ist.

Die erste Frage dazu ist nur, weswegen der Zugriff von Netzwerk B zu Netzwerk A schon dauerhaft über den Webbrowser mit der entsprechenden Domain (https://my3cxname.3cx.at:5001) funktioniert hat, intern in Netzwerk A aber nicht. Dieser funktioniert nur, wenn ich die entsprechende Block-Regel entferne. Direkt über die IP hat es aber auch vorher in Netzwerk A intern funktioniert.
So wie ich das verstanden habe, greift die FW doch normalerweise nicht, wenn ich in dem IP-Bereich 192.168.1.X/24 bleibe, sprich in Netzwerk A den DNS-Server, die 3CX usw. ansprechen will.

Die zweite Frage betrifft eben nur den Windows 10 PC in Netzwerk A, welcher mit dem Befehl "nslookup my3cxname.3cx.at" die richtige IP von Pi-hole anzeigt, sprich die IP von 3CX wo er eigentlich hin sollte. Wenn ich dann aber den Befehl "ping my3cxname.3cx.at" eingebe, pingt er auf 127.0.0.1 und auch der interne Zugriff über den Browser wie oben funktioniert nicht.

Ich hoffe damit habe ich alles so beschrieben, das der Fehler für euch entsprechend nachvollziehbarer ist.
Danke für die Hilfe!
Fg
 
Chuck Norris123 schrieb:
Die zweite Frage betrifft eben nur den Windows 10 PC in Netzwerk A, welcher mit dem Befehl "nslookup my3cxname.3cx.at" die richtige IP von Pi-hole anzeigt, sprich die IP von 3CX wo er eigentlich hin sollte. Wenn ich dann aber den Befehl "ping my3cxname.3cx.at" eingebe, pingt er auf 127.0.0.1 und auch der interne Zugriff über den Browser wie oben funktioniert nicht.
Zum Vergrößern anklicken....
Hm.. nslookup ist korrekt, aber ping nicht. Durch beides wird ein DNS-Query ausgelöst, aber nslookup macht ihn selbst, während ping den Query vom System machen lässt. Dadurch kann ggfs ein Eintrag in der hosts-Datei bei ping reingrätschen, weil das System erst dort reinschaut. Guck mal nach ob da eventuell ein Eintrag steht.
 
Chuck Norris123 schrieb:
Die erste Frage dazu ist nur, weswegen der Zugriff von Netzwerk B zu Netzwerk A schon dauerhaft über den Webbrowser mit der entsprechenden Domain (https://my3cxname.3cx.at:5001) funktioniert hat, intern in Netzwerk A aber nicht.
Zum Vergrößern anklicken....
Da könnte ein DNS Rebind Schutz greifen. Ist sowas vorhanden? Auf welche IP soll zugegriffen werden? Wird die korrekt aufgelöst?

Chuck Norris123 schrieb:
So wie ich das verstanden habe, greift die FW doch normalerweise nicht, wenn ich in dem IP-Bereich 192.168.1.X/24 bleibe, sprich in Netzwerk A den DNS-Server, die 3CX usw. ansprechen will.
Zum Vergrößern anklicken....
Richtig. Die Frage ist: Wird die richtige IP aufgelöst? Da bin ich mir nicht sicher. Ggf. bekommst du die öffentliche IP des FQDN zurückgeliefert, siehe unten.

Chuck Norris123 schrieb:
Selbstverständlich ist in den Netzwerk-Setups in allen VLANs natürlich Pi-hole der erste DNS-Server, gefolgt von 4.4.4.4 eingetragen.
Zum Vergrößern anklicken....
Das ist heikel. Viele Systeme nutzen den 2. DNS Server nicht als Fallback, sondern machen Load-Balancing. Anfragen an 4.4.4.4 werden dann natürlich nicht die richtige interne IP zurückliefern.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

E
PI-Hole wird ignoriert
2
Antworten
35
Aufrufe
2.152
EK38
E
D
Probleme mit Wireguard (und Pi-hole) nach Hardwaretausch
Antworten
11
Aufrufe
801
Blutomen
B
Picard87
pi-hole auf Synology NAS blockt nicht
Antworten
10
Aufrufe
2.011
Raijin
Raijin
Aorus Elite
FRITZBox!7590AX und pi-hole mit unbound
Antworten
7
Aufrufe
3.909
SeniorY
SeniorY
B
  • Gesperrt
Synology DNS auch auf Pi-Hole stellen?
Antworten
14
Aufrufe
1.947
TheManneken
TheManneken
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 160 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz