UniFi Gateway Max – pihole unbound richtig einstellen

Keine Kommentare

UniFi Gateway Max – Pi-hole und Unbound richtig einstellen

Hier eine Schritt-für-Schritt-Anleitung, um Pi-hole als zentraler Ad-Blocker und Unbound als sicherer DNS-Resolver mit dem UniFi Gateway Max zu integrieren. Dieses Setup sorgt für ein schnelleres, werbefreies und sicheres Netzwerk.

1. Vorbereitung

Stelle sicher, dass folgende Komponenten vorhanden und erreichbar sind:

  • UniFi Gateway Max (DHCP, DNSForwarder, Firewall)
  • Ein Server oder Raspberry Pi mit Pi-hole und Unbound (kann auf dem selben Gerät laufen)
  • Korrekte IP-Adressen für Pi-hole und Unbound (z. B. statische IPs im selben Netz)

2. UniFi Gateway Max konfigurieren

A. DHCP-Server anpassen

  1. UniFi Controller öffnen → netzwerk → DHCP-Server (für das relevante Netz/VLAN).
  2. Erweitert auswählen.
  3. DNS-Server auf die IP-Adresse von Pi-hole setzen (z. B. 192.168.1.10).
    Alle Geräte im Netz erhalten nun Pi-hole als primären DNS-Server.
  4. Speichern.

Tipp: Ältere UniFi-Versionen haben ggf. die Option unter DNS-Forwarder → Upstream-DNS zu deaktivieren, um Konflikte zu vermeiden.

B. DNS-Forwarder deaktivieren (optional)

Wenn du den integrierten DNS-Forwarder des Gateway-Max nicht brauchst:

  1. UniFi Controller → netzwerk → DNS-Forwarder.
  2. Aktivieren auf Nein setzen.
  3. Speichern.

Dadurch wird verhindert, dass der Gateway eigene DNS-Anfragen verarbeitet und alle Querys an Pi-hole/Unbound weiterleitet.

C. Firewall prüfen

Stelle sicher, dass der Gateway keine Regeln blockiert, die DNS-Verkehr (UDP/TCP Port 53) zwischen Geräten und Pi-hole/Unbound erlauben.

3. Pi-hole konfigurieren

A. Upstream-DNS auf Unbound setzen

  1. Pi-hole Web UI öffnen → Einstellungen → DNS.
  2. 5. Upstream-DNS-Server auswählen → Eigenen Server hinzufügen.
  3. Die IP-Adresse von Unbound eintragen (in den meisten Fällen 127.0.0.1 oder die statische IP deines Unbound-Servers).
  4. Speichern und Dienst neu starten.

Wichtig: Wenn Unbound auf einem anderen Gerät läuft, muss die IP des Geräts hier eingegeben werden. Stelle sicher, dass das Gerät im selben Netzwerk erreichbar ist.

B. Caching anpassen (optional)

  • Max. Caching-Einträge: 10.000 (Standard ist 500)
  • TTL für Cachen: 300 Sekunden (5 Minuten)
    Diese Einstellungen beschleunigen Pi-hole und reduzieren Last auf Unbound.

4. Unbound konfigurieren

A. Unbound installieren

Auf dem Pi-hole-Server (z. B. Raspberry Pi oder Linux-Server):

# Für Debian/Ubuntu
sudo apt update
sudo apt install unattended-upgrades unbound

# Für Raspberry Pi (Raspbian)
sudo apt update
sudo apt install unbound

B. Unbound-Konfiguration bearbeiten

  1. Datei öffnen: 
    sudo nano /etc/unbound/unbound.conf
  2. Wichtige Einstellungen:
server:  
    interface: 127.0.0.1          # Nur lokal erreichbar  
    port: 53                      # Standard-DNS-Port  
    access-control: 127.0.0.0/8 allow  
    do-tld-file: yes              # Automatische TLD-Erkennung  
    use-syslog: yes               # Protokolldateien für Fehleranalyse  
    val-permissive: yes           # DNSSEC (empfohlen)  
    root-hints: file: /etc/unbound/root.hints  

    # Vorwärtsauflösung: Sichere Upstreams  
    forward-zone:  
        name: "."  
        forward-addr: 9.9.9.9      # Quad9 (sicher & werbefrei)  
        forward-addr: 149.112.112.112  

    # Optional: Lokale Domains (falls benötigt)  
    # local-zone: "mein.local" static  
    # local-data: "mein.local. IN A 192.168.1.100"
  1. Datei speichern und Dienst neu starten: 
    sudo systemctl restart unbound
sudo systemctl enable unbound

C. Unbound für DNSSEC aktivieren

  • In der Konfigurationsdatei unter server: die Zeile val-permissive: yes aktivieren.
  • DNSSEC schützt vor DNS-Spoofing und gewährleistet die Echtheit der Antworten.

5. Testen und überprüfen

A. DNS-Abfrage testen

Auf einem Client-Gerät (z. B. Laptop) im selben Netzwerk:

dig @ example.com
# oder
nslookup example.com
  • Ergebnis prüfen:
    • Die Antwort muss von Pi-hole kommen.
    • Überprüfe, ob Werbung blockiert wird (z. B. dig @ advertising.com).

B. Pi-hole-Statistiken prüfen

  • Öffne im Browser: http:///admin
  • Dashboard zeigt blockierte Anfragen, Queries und Ads an.

C. Unbound-Log prüfen

tail -f /var/log/unbound.log

Unterstützt keine Fehler und zeigt normale Auflösungen an.

6. Häufige Probleme und Lösungen

Problem Lösung
Pi-hole bekommt keine Antworten – Prüfe, ob Unbound auf Port 53 läuft (`sudo netstat -tulnp
Werbung wird nicht blockiert – Pi-hole-Cache leeren (Einstellungen → „Cache leeren“). <br> – DNS-Einstellungen im Browser zwischenspeichern.
DHCP vergibt falsche DNS-IP – Im UniFi Gateway die DHCP-Konfiguration speichern und Clients einen DHCP-Client-Refresh durchführen (z. B. Router-Neustart oder ipconfig /renew unter Windows).

7. Vorteile dieses Setups

  • Werbeblockade: Pi-hole filtert Werbung und Tracker.
  • Sicherheit: Unbound validiert DNSSEC und verhindert DNS-Spoofing.
  • Geschwindigkeit: Lokale DNS-Auflösung reduziert Ladezeiten.
  • Kontrolle: Zentrale Verwaltung über UniFi und Pi-hole-Web UI.

Mit diesen Schritten hast du ein leistungsstarkes, sicheres und werbefreies Netzwerk aufgebaut. Viel Erfolg!

Keine ähnlichen Artikel gefunden.

Kommentar hinterlassen

Kommentare

Noch keine Kommentare. Starte eine Diskussion?

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert