Probleme mit der Firewall des Unifi Dream Router

Guten Abend,

ich habe im Moment erstmal nur eine gewisse Testumgebung aufgebaut, bevor ich mein aktuell Produktives Netzwerk "umbaue". Die ersten Tests liefen eigentlich sehr vielversprechend. Nur bin ich jetzt auf ein Problem gestoßen, welches mir ordentlich den Tag versaut.

Aber bevor ich zu meinem Problem komme, kurz ein Überblick über meine vorhandene Hardware, Einstellungen und der gleichen.

Die Hardware:

1. Unifi Geräte

• Unifi Dream Router
• Unifi AP 6 Lite

2. Sonstige Geräte im Netzwerk

• 1 PC im HomeNetwork
• 2 Wemos D1 Mini als Testwebserver (jeweils einer im IoTDev und einer im HomeNetwork zum Testen der Firewall)
• 1 Windows Tablet im IoTDev Netzwerk
• 1 Mini Testserver mit Proxmox als Basis im "Server Netz"
  
  
  • ein PiHole als LXC Container
  • ein IoBroker als LXC Container (noch nicht aktiv)
    

Die Einstellungen:

1. 3 VLANs (IoTDev. [VLAN 10], HomeNetwork [VLAN 20] und "Server Netz" [VLAN 100]), dazu 2 WLAN Netzwerke (einer für IoTDev und einer für HomeNetwork)
2. Das "Managent VLAN [VLAN 1]" habe ich unberührt gelassen, bis auf dass dort die Unifi Geräte drin sind.
3. Ich habe 3 Firewall-Regeln definiert.
   
   1. "Block IoT to HomeNetwork", das funktioniert. (Im Type LAN in habe ich einfach als Source das IoTDev angegeben und als Destination das Netzwerk HomeNetwork und das alles als Drop)
   2. "Blockieren des Zugriffs auf die Gateways" aller VLANs aus dem IoTDev Bereich (Type ist LAN Local, als Source habe ich das Netzwerk IoTDev gewählt und als Destination habe ich die Port / IP Group "all Gateways" (hier habe ich alle IPs der Gateways eingetragen) gewählt und als Portgruppe die 3 Ports für den Zugriff auf die UDM (22, 80, 443)
   3. "Allow HomeNetwork to Lokale DNS Server", diese Regel Funktioniert nicht, hier habe ich mal ein Screenshot dazu gemacht, zu den Einstellungen:

   

4. Die Gruppen für die "Allow HomeNetwork to Lokale DNS Server" - Regel bestehen zum einen aus den IP Adressen des PiHoles und zum anderen aus dem Port 53 für DNS

Die 3. Firewall Regel habe ich auch in den anderen Typen versucht zu testen, nur leider ohne Erfolg. Das Problem ist, sobald ich für die Geräte im Netzwerk "HomeNetwork" als DNS den PiHole angebe, kann ich google und co nicht mehr aufrufen. Der Ping nach google (8.8.8.8) geht, aber sonst nix. Wenn ich hingegen meinen PC, welcher sich normal im Netzwerk "HomeNetwork" befinde ins VLAN "Server Netze" packe und dann den PiHole als DNS eintrage läuft alles wie gewünscht über den PiHole.

Ich habe die Allow Regel auch auf Position 1 geschoben, vor den Drop Regeln. Auf Dauer sollen zwar alle Netzwerke oder zumindest einige den PiHole nutzen, aber dann kann man ja als Source auch Any oder eine Gruppe erstellen und auswählen.

Ich weiß nicht, ob diese Informationen schon reichen oder noch weitere benötigt werden. Die Firewall Regel, die nicht funktioniert habe ich in verschiedenen Videos und auch im Netz schon gesehen, der einzige große Unterschied zu mir ist, dass die meisten eine Dream Maschine Pro im Einsatz haben und kein Dream Router, wo ich hoffe nicht das Problem liegt.

Aktuell habe ich das hinter der FritzBox noch hängen für die Testphase. Ist zwar doppeltes NAT und so, ich hoffe aber, dass ich das meiste Trotzdem vorher schon mal testen kann.

Michael

Kurze Info an vielleicht die anderen, die vor einem ähnlichen Problem stehen, noob_at_pc hat mir da sehr gut geholfen. Es waren ein paar Einstellungen im PiHole, die quer geschossen haben. Ich füge mal 2 Screenshots an, in denen die Einstellungen zu sehen sind die benötigt werden.

An sich ist alles nun erledigt. Danke für die Hilfe. Wollte aber anderen auch diese Informationen weiter geben. Schließlich lernen so alle was drauß, die es Interessiert.

Michael