Hi

ich hab gerade ein Verständnisproblem. Pi-Hole + Unbound läuft bei mir auf einem Windowsserver unter WSL1. Funktioniert für das Subnet in dem sicher der Server befindet einwandfrei. Jetzt hätte ich den DNS-Server, sprich die entsprechenden Ports auch in anderen Subnetzen verfügbar. Das Netzwerk ist über Subnetze und Vlan-Tagging separiert.

Netzwerk sieht wie folgt aus:
Subnet|Ip-Range|Vlan-id
1|192.168.1.0/24|10
2|192.168.2.0/24|20
3|192.168.3.0/24|30
4|192.168.4.0/24|40

Ja, ich könnte für alle Subnetze ne statische Route für den Server in Subnet 192.168.1.0/24 erstellen und das Eth-Port auf dem der Server hängt für alle VLan-IDs taggen. Das möchte ich aber nicht, da auf dem Server noch andere Dinge laufen und dort z.b. auch Datei-/Druckerfreigaben, RDP, etc. offen ist.

Wie bekomme ich es hin, dass TCP+UDP jeweils port 53 und 853 von allen Clients erreichbar sind?

Sorry falls das trivial ist und ich einfach zu wenig Verständnis von Netzwerken habe.

Danke schon mal und Grüße

Hi

ich hab gerade ein Verständnisproblem. Pi-Hole + Unbound läuft bei mir auf einem Windowsserver unter WSL1.

Das Ziel von WSL ist es Linuxprogramme mit wenig Aufwand unter Windows laufen lassen zu können - also Linuxprogramme möglichst stoßfrei in Windows zu integrieren.

Funktioniert für das Subnet in dem sicher der Server befindet einwandfrei. Jetzt hätte ich den DNS-Server, sprich die entsprechenden Ports auch in anderen Subnetzen verfügbar. Das Netzwerk ist über Subnetze und Vlan-Tagging separiert.

Netzwerk sieht wie folgt aus:
Subnet|Ip-Range|Vlan-id
1|192.168.1.0/24|10
2|192.168.2.0/24|20
3|192.168.3.0/24|30
4|192.168.4.0/24|40

Ja, ich könnte für alle Subnetze ne statische Route für den Server in Subnet 192.168.1.0/24 erstellen und das Eth-Port auf dem der Server hängt für alle VLan-IDs taggen. Das möchte ich aber nicht, da auf dem Server noch andere Dinge laufen und dort z.b. auch Datei-/Druckerfreigaben, RDP, etc. offen ist.
An der Stelle trifft jetzt obige WSL-Idee der engen Integration von Windows und Linux auf den Wunsch beides wieder getrennt haben zu wollen. Gute Integration und gute Trennung gleichzeitig geht jedoch nicht.

Wie bekomme ich es hin, dass TCP+UDP jeweils port 53 und 853 von allen Clients erreichbar sind?

Echte VM für den Pi-Hole. Dann hat der auch sein eigenes Netzwerkinterface und ist vom Virtualisierungshost hinreichend getrennt.

Ich weiß jetzt nicht wie gut der vSwitch von Hyper-V auf Windows Server ist, aber ich hoffe mal, dass Du den so konfigurieren kannst, wie du es brauchst. Zumindest sollte er nicht die unsäglichen DHCP-Automatismen von Client Windows haben.

Grundsätzlich muss man sich schon in die Netzwerkthematik reinfuchsen, wenn man VLANs nutzen möchte. Wo will ich zwischen den Netzwerken vermitteln (routen) und wo will ich gezielt blocken (Firewall)? Und wer übernimmt die Aufgabe?

Hi,

bin gerade verwirrt, warum willst du statische Routen machen, oder werden deine Vlans nirgends geroutet (was sehr merkwürdig wäre).
Nutzt du L3 Switch oder Router on a Stick (Routing auf "Firewall")?
Je nach Ansatz musst du doch nur den anderen Subnetzen Zugang auf die DNS Ports der Pihole Adresse erlauben und Gut.

Wenn es Probleme durch WSL gibt -> Hyper-V, nutzen am besten SET Switch erstellen (wenn du nur eine Nic hast mit AllowmanagementOS Option).
Diesen Anschluss am Switch auf tagged, und im Hyper-V kannst dann für jede VM (und Host)direkt Vlan ID setzen.

ich bekomme es nicht gebacken den subnetzen zugriff auf ip:port des pi-hole zu geben.

es kommt ein mikrotik router mit routerOS 6.36 zum einsatz.

Ok also Router on a stick, du machst die Freigaben für die Vlan im mikrotek?

"Funktioniert für das Subnet in dem sicher der Server befindet einwandfrei."

Nur vom Server aus oder wirklich vom ganzen Subnetz aus?
Wenn nur vom Server, WSL Problem mit Routing.
Wenn vom ganzen Subnetz aus WSL Firewall.

PS.: du kannst Dir viele Probleme ersparen indem du einfach Hyper-V benutzt.
WSL Apps von außen erreichbar zu machen ist immer eher ein Krampf

jup vlan werden über den mikrotik gehandelt. das problem ist, dass die konfig ziemlich konfus ist. wurde von einem externen itler gemacht, der leider nicht mehr verfügbar ist. durch ein update des os sind die teils bridges, ports und netze umbenannt worden. die hardware wird ersetzt aber bis dahin soll sie einfach laufen und pihole für alle netze wäre nett.

pi-hole und unbound funktioniert aus dem kompletten subnet. ist erreichbar und filtert auch schon aus. wird für das subnet auch direkt als dns vom dhcp verteilt.

Ok, dann muss im RouterOS das freigegeben werden.
Da kann ich Dir leider auch nicht helfen, fand das imho auch recht "unübersichtlich" und hab mich deshalb nie damit beschäftigt (Pfsense regelt).
Frage durch was willst das ersetzen?

es kommt ein mikrotik router mit routerOS 6.36 zum einsatz.
Das uralte RouterOS solltest du ganz dringend aktualisieren, diese Version hat eine ganz schlimme Sicherheitslücke: https://blog.mikrotik.com/security/winbox-vulnerability.html

Ach.. lass er hat sicher keinen Angreifer bemerkt..