ich habe erfolgreich den WireGuard Tunnel auf meinem UCG am laufen.
Verbinde ich dann mein Handy, etc. mit dem Netz, dann kann ich alles per IP pingen, aber eine Auflösung per Hostname (mit ohne Domain) funktioniert nicht 
Habe in der WireGuard Config (UCG und Handy) als DNS div. ausprobiert, aber es funktioniert nicht:
Lokale UCG IP, WireGuard IP, vorg. DNS (nur einen, mal zwei, und mal alle drei).
Das einzige was funktioniert ist, wenn ich in dem öffentlichen DNS Server meine Hosts mit der lokal Netz IP einpflege (sehr unschön).
Gibt es irgendein Schalter, etc. im UCG der gesetzt werden muß, damit der lokale DNS Server vom UCG im WireGuard Tunnel genutzt werden kann??
Ich gehe mal davon aus, das die DNS Config dann richtig im WireGuard Peer vom Handy eingetragen werden muß und nicht im UCG Peer.
Also mal eben schnell aus der Hüfte geschossen, ohne spezielles UCG-Wissen, denn ich nutze pfsense.
Hast du denn mal in die Firewall-Rules gesehen?
- ping ist ICMP
- DNS nutzt primär den Port 53 (UDP und TCP)
- DNS over TLS (DoT) den Port 853 (UDP und TCP)
Diese sollten also aus dem WG-Tunnel erreichbar sein.
Nachtrag: denk auch an evtl. getätigte Einstellungen zum privaten DNS-Modus in den Smartphones, Tablets, etc.
wenn Verbindung vorhanden ist, geht ping - zu jedem Host (auch UCG) per IP - jedoch nicht per Hostname
Ich habe auch eine Freigabe (Policy) vom externen WireGuard Netz in das interne Netz und zum Gateway angelegt mit allen Ports erlaubt - dassollte eigentlich auch den DNS mit einschliessen.
Wenn ich DNS Check (Tool-App) auf dem Handy mache, dann sehe ich, das wegen VPN der Default Handy DNS Server nicht genutzt wird.
Es wird der eingestellte Server genutzt - also wenn nur der lokale UCG DNS eingestellt ist, wird der genutzt Port 53, UDP - jedoch kommt ein Netzwerk Fehler - welcher???
Tja, das kannst nun wirklich nur du vor Ort herausfinden.
Da du ja offenbar bekennender Windows Hasser, bist, hast du doch bestimmt (so wie ich auch) ein oder gar mehrere Linux-Notebooks am Start und damit stehen dir doch alle Tools zur Fehleranalyse zur Verfügung.
Dazu musst du doch nur ein solches Linux-Notebooks statt des Smartphones per Wireguard mit der UCG verbinden und schon solltest du wissen, was da genau wo nicht mehr weitergeht.
wenn ich auf dem UCG ein tcpdump des WireGuard Interface und dem DNS Port 53 mache, dann sehe ich die Anfragen - aber diese werden nicht beantwortet
das gleiche aus dem LocalNet - dann sehe ich die Antworten im tcpdump
Die Anfragen scheinen also am DNS an zu kommen…
Aber warum antwortet der DNS nicht bei Anfragen aus dem WireGuard VPN???
tcpdump -i WireGuardInterfaceName -nn udp and port 53
In der pfsense gibt es in den General DNS Resolver Options die Option Network Interfaces. Dort kann man die Interfaces, auf die der DNS Resolver lauschen soll, definieren.
Der Erläuterungstext sagt dazu:
Interface IP addresses used by the DNS Resolver for responding to queries from clients. If an interface has both IPv4 and IPv6 addresses, both are used. Queries to addresses not selected in this list are discarded. The default behavior is to respond to queries on every available IPv4 and IPv6 address.
Auf deutsch: Anfragen an Adressen, die nicht in dieser Liste ausgewählt sind, werden verworfen. Evtl. gibt es bei deiner UCG ja eine vergleichbare Option und die Anfragen werden daher von der UCG verworfen, da aus einem nicht selektierten Netz stammend.
also mit dem UniFi DNS bekomme ich es nicht hin - habe jetzt einen DNS Server (technitium/dns-server) im Docker hochgezogen und es klappt sofort.
Muss dann die Einträge im DNS Docker pflegen und den DNS Server als ersten DNS Server im DHCP eintragen - könnte den Unifi als Fallback (zweiter DNS Server) nutzen - wäre dann nur doppelte Pflege - bei meinen paar Einträgen machbar
Ich gehe davon aus, dass du im UCG einfach nicht auf den DNS erlaubt hast?
deine Antwort wäre hilfreich, wenn du sagen würdest - was, wo und wie
Wenn ich wüsste was du meinst, dann geht es nicht, oder ich hätte den Thread nicht aufmachen müssen…
Firewall-Konfiguration im UCG hast du doch schonmal gemacht oder?
nur zur Sicherheit - ich baue vom UCG einen WireGuard VPN Client Tunnel zum CloudRouter auf - zu diesem verbindet sich dann auch das Handy.
Im UCG habe ich eine Static Route zum Tunnel angelegt und zwei Zone Regel für External nach Internal und Gateway angelegt und alles erlaubt.
Es geht auch alles, nur der UCG DNS antwortet nicht, aber im tcpdump sehe ich das die Anfragen am DNS ankommen.
Ein anderer DNS im Docker arbeitet ohne Probleme - das funktioniert für mich. Finde nur ziemlich krank das dies bei dem Tunnel nötig ist und der nicht den UCG DNS nutzen kann.
Jetzt die Frage was sollte ich noch machen - die Anfragen kommen am DNS an, nur antwortet dieser nicht.
Ich denke das liegt an der Konfiguration des DNS im UCG, der nicht das VPN Netz berücksichtigt und ich finde keine Schalter um am DNS was einzustellen…
Das wäre auch meine erste Vermutung. Ich denke da solltest du dich mal an ein UCG-Forum oder deren Support wenden.
statt alle Einträge im Docker DNS zu doppeln, ist die einfachere Lösung - den UCG mit IP als Forwarder einzutragen und den Docker DNS nur in den WireGuard Peers zu verwenden.
Der Docker DNS leitet dann die Anfrage an das UCG weiter - diese kommen ja dann aus dem lokalen Netz und werden daher aufgelösst - und der Docker DNS kann die damit an den VPN Client ausliefern.
Das ist dann in den DNS Settings ein Eintrag und das war es - der Docker DNS muß nur für das VPN laufen
Man muß also nicht viel DNS können um es zu nutzen
Man braucht da denke ich auch noch eine Regel, die auf das Gateway an sich erlaubt, das wird nämlich unterschieden bei UniFi…
Wenn du nach Internal erlaubst, kannst du die Gateway-IP trotzdem nicht pingen…
(Hab da gestern mal wieder rumgetestet)
hab eine Regel von External zum Gateway.
Ping geht zum Gateway und alle im Netz.
Anfragen kommen vom VPN auch am Gateway DNS an, nur werden diese nicht beantwortet.
Bei den anderen Interfaces werden die DNS Anfragen beantwortet.
Daher ist die Lösung mit einen Forward DNS im Docker für mich auch Ok - eigentlich unnötig, wenn DNS im UniFi mal richtig implementiert wäre - aber das ist eine never ending Story 
Es ist zwar schon besser geworden, aber im Vergleich zu anderen immer noch schlecht und im Verhältnis zu dem was der UniFy sonst alles kann - einfach unterirdisch…