Unifi DNS-Probleme zwischen VLANs

Tags: DNS Unifi

Inhaltsverzeichnis

Wenn VLANs plötzlich nicht mehr sprechen: Mein DNS-Mystery mit Unifi & BIND9

Eine kleine Geschichte aus meinem Homelab

In meinem Homelab läuft eigentlich alles ziemlich rund. Zwei BIND9-DNS-Server kümmern sich um meine interne Namensauflösung, VLANs sind sauber getrennt und durchdacht, meine Webdienste hängen hinter einem Reverse Proxy, abgesichert durch HTTPS und geschützt über feingranulare Access-Control-Listen. So weit, so stabil – bis eines Tages Home Assistant einfach keinen Zugriff mehr auf Zigbee2MQTT hatte. Statt der gewohnten Oberfläche: 403 Forbidden.

Was zum…? Ich hatte an der Konfiguration nichts verändert. Also begann die übliche Reise – Wireshark auf, dig und nslookup in der Hand, Logs gewälzt. Schnell wurde klar: Die DNS-Auflösung funktioniert – aber nur in dem VLAN, in dem auch die DNS-Server stehen. In anderen VLANs dagegen bekomme ich beim dig die öffentliche IP meines Dienstes zurück, statt der internen. Und mit +norecurse gibt’s nur noch ein schnödes SERVFAIL.

An diesem Punkt war klar: Hier wird irgendetwas umgeleitet. Irgendetwas (oder jemand) greift in meine DNS-Requests ein. Aber was?

Die Spur führt zu Unifi

Nachdem ich in den Interneteinstellungen meines Unifi-Controllers die DNS-Server manuell auf meine internen BIND9-Instanzen gesetzt hatte, lief plötzlich wieder alles wie gewohnt. Doch das war für mich keine saubere Lösung, eher ein Workaround. Ich wollte verstehen, warum das Ganze überhaupt schief lief.

Und dann – durch einen Zufall – fand ich diesen Satz auf einer Support-Seite von Unifi:

 „Clients, die benutzerdefinierte DNS-Server verwenden, werden zur Verwendung des UniFi Gateway DNS-Servers umgeleitet, wenn die Werbeblockierung aktiviert ist.“

Bingo.

Was wirklich passiert ist

Sobald das Unifi Ad Blocking aktiv war, hat das Gateway die DNS-Anfragen meiner Clients umgebogen – weg von meinen eigenen DNS-Servern, hin zu seinen eigenen. Diese kannten natürlich meine internen Domains nicht und reichten die Anfragen einfach an externe Resolver weiter.

Die Folge: Meine Clients erhielten die öffentliche IP meines Dienstes zurück – statt der privaten. Als sie versuchten, diese Adresse aufzurufen, schlug der Reverse Proxy sofort Alarm. Für ihn kam die Anfrage von außen (wegen SNAT durch das Gateway), also wurde sie zu Recht von der ACL geblockt. Aus Sicht des Proxys war das ein Angriff.

Die Lösung? Einfach – wenn man’s weiß

Ich hab’s getestet, Schritt für Schritt:

  1. Ad Blocking deaktiviert im Unifi Controller.
  2. Die manuell eingetragenen DNS-Server aus den Interneteinstellungen gelöscht – zurück auf „automatisch“.
  3. dig +norecurse getestet → saubere interne IP.
  4. Zugriff auf Zigbee2MQTT → alles läuft wieder.

Was mich anfangs Stunden gekostet hat, war im Endeffekt eine versteckte Komfortfunktion von Unifi – mit unbequemen Nebenwirkungen.

Mein Fazit für dich

Wenn du in deinem Unifi-Netzwerk plötzlich DNS-Probleme zwischen VLANs bekommst und dir deine internen Dienste nicht mehr sauber auflösen, dann prüf, ob Ad Blocking aktiv ist.
Gerade in Homelabs mit eigener DNS-Infrastruktur kann genau das zu unerwarteten Nebeneffekten führen. Nicht immer liegt der Fehler in der eigenen Konfiguration – manchmal greift einfach der Hersteller zu sehr unter die Arme.

🔗 Noch mehr aus meinem Homelab?

Wenn dir dieser Beitrag gefallen hat, schau gern auf meinem YouTube-Kanal vorbei. Dort findest du viele tiefgehende Anleitungen, praktische Beispiele und alles rund um Netzwerke, Server und Selbsthosting.

👉 YouTube.com/@NetworkStudent

Ich freue mich, wenn du ein Abo dalässt oder den Kanal weiterempfiehlst – so verpasst du nichts und hilfst mir gleichzeitig, neue Inhalte zu erstellen.

💡 Unterstützen ohne Mehrkosten

Wenn du sowieso gerade planst, dir einen vServer oder Webhosting bei Netcup zu holen, kannst du meinen Affiliate-Link nutzen. Für dich bleibt alles gleich – ich bekomme eine kleine Provision zur Unterstützung meines Blogs.

netcup.com

Transparenz ist mir wichtig:

  • Dieser Beitrag ist rein redaktionell und wurde nicht gesponsert.
  • Der Affiliate-Link ist natürlich komplett freiwillig.

Danke, wenn du mich auf diesem Weg unterstützt! 🙏