Michael HülsenIm Heimnetzwerk läuft eine AdGuard-Instanz, die eigentliche verschiedene Werbungsanbieter und -tracker für die Clients blockieren sollte. Zumindest lief das bis zu dem Zeitpunkt, als ich das Netzwerk in mehrere virtuelle Netzwerke (VLANs) aufgeteilt habe.
Mit Unifi kann man komfortable mehrere Netzwerksgemente erstellen, z.B. eins für Server/IoT-Geräte, und weitere virtualle Netzwerke für verschiedene Client-Klassen (Gäste, interne Geräte, etc.). Diese Zuweisung läuft über verschiedene WiFi-SSIDs, die von den Access Points ausgesendet werden.
Anbei der schematische Aufbau:
AdGuard funktionierte nun nicht mehr wie erwartet. Die IP der AdGuard-Instanz wurde auch als domain name server (DNS) per DHCP den Clients bekannt gemacht. Es gab folgende Beobachtungen:
1.) Das Gateway (192.168.0.1) war der einzige Client, der in den AdGuard-Statistiken auftauchte.
2.) Clients außerhalb des Haupt-LANs (192.168.1.0/24) empfingen weiterhin Werbung.
Die Lösung war zweigeteilt. Zunächst mussten die VLANs so konfiguriert werden, dass der DHCP-Dienst den Adguard-DNS aus dem Haupt-LAN auch in jedem einzelnen VLAN bekannt macht. So wird die erste DNS-Auflösungsanfrage dorthin gesandt. Das wiederum wird von der Firewall blockiert, die den Traffic der VLANs untereinander regelt. Die DNS-Anfragen aus den VLANs zum DNS-Host muss dann freigegeben werden.
Accept VLAN --> 192.168.1.1 on port 53 for TCP/UDP
Et voilà, alles funktioniert (wieder).