Das Bermuda-Dreieck der Netzwerke: Wie man DNS- und Timeout-Probleme zwischen 3CX, Pi-Hole und Ubiquiti endlich löst

Kennen Sie das Gefühl? Sie haben ein robustes Netzwerk mit Ubiquiti Hardware, schützen sich mit einem Pi-Hole vor unerwünschter Werbung und verlassen sich für Ihre Kommunikation auf 3CX. Eigentlich eine Traumkombination für Effizienz und Kontrolle. Doch plötzlich tauchen sie auf: hartnäckige DNS-Probleme, Verbindungsabbrüche und frustrierende Timeouts. Ihr Netzwerk, das so stabil sein sollte, fühlt sich an wie ein digitales Bermuda-Dreieck, in dem Datenpakete spurlos verschwinden und die Nerven blank liegen. Sie sind nicht allein! Viele Netzwerkadministratoren und Enthusiasten kämpfen mit genau dieser Konstellation. Aber keine Sorge, in diesem umfassenden Leitfaden lüften wir das Geheimnis dieses Dreiecks und zeigen Ihnen Schritt für Schritt, wie Sie Ihre DNS- und Timeout-Probleme zwischen 3CX, Pi-Hole und Ubiquiti ein für alle Mal in den Griff bekommen.

Das Bermuda-Dreieck der Netzwerke: Die Protagonisten

Bevor wir uns den Lösungen widmen, werfen wir einen kurzen Blick auf die Akteure in unserem Netzwerk-Drama und verstehen ihre Rolle:

3CX – Das Kommunikationszentrum

3CX ist eine leistungsstarke Software-PBX (Private Branch Exchange), die für moderne VoIP-Telefonie und Unified Communications eingesetzt wird. Sie benötigt eine absolut zuverlässige DNS-Auflösung, um SIP-Trunks, STUN-Server, ihre eigenen FQDNs (Fully Qualified Domain Names) und andere externe Dienste zu erreichen. Schon kleine Verzögerungen oder Fehlauflösungen können zu Sprachqualitätsproblemen, Registrierungsfehlern bei IP-Telefonen oder sogar komplettem Ausfall der Telefonie führen.

Pi-Hole – Der Wächter des Datenverkehrs

Pi-Hole fungiert als DNS-Sinkhole und Werbeblocker auf Netzwerkebene. Jedes Gerät in Ihrem Netzwerk, das Pi-Hole als DNS-Server nutzt, profitiert von der Filterung. Doch genau hier kann der Haken liegen: Wenn Pi-Hole falsch konfiguriert ist, kann es nicht nur Werbung, sondern auch legitime DNS-Anfragen blockieren oder deren Auflösung verzögern, besonders wenn es um interne Hostnamen oder spezielle 3CX-Dienste geht.

Ubiquiti (UniFi) – Der Lotse im Netzwerk

Ubiquiti mit seiner UniFi-Produktlinie (Router wie UDM/USG, Switches, Access Points) bildet das Rückgrat der meisten Netzwerke, die diese Kombination nutzen. UniFi ist oft der DHCP-Server, die Firewall und das Gateway zum Internet. Es verteilt die DNS-Server an alle Clients und kann durch fehlerhafte Firewall-Regeln oder falsch konfigurierte DNS-Weiterleitungen eine entscheidende Rolle bei den Problemen spielen.

Wo das Problem liegt: Der Knoten im DNS-Kabel

Die Schwierigkeiten entstehen oft durch ein komplexes Zusammenspiel von Fehlkonfigurationen, die einzeln harmlos erscheinen, aber in der Summe ein unlösbares Rätsel bilden. Hier sind die Hauptursachen:

• DNS-Auflösungs-Chaos: Oft leitet Pi-Hole Anfragen an den UniFi-Router weiter, der sie wiederum an den Pi-Hole zurückschicken könnte, oder es entstehen Schleifen. Clients (inkl. 3CX) erhalten möglicherweise nicht den korrekten primären DNS-Server. Interne Hostnamen werden nicht aufgelöst, während externe FQDNs funktionieren – oder umgekehrt.
• Firewall-Barrieren: Die UniFi-Firewall kann unbemerkt legitime DNS-Anfragen (UDP/TCP Port 53) oder die für 3CX notwendigen Ports blockieren. Manchmal darf Pi-Hole keine externen DNS-Server erreichen, oder 3CX kann seine SIP-Trunks nicht registrieren.
• Timeout-Tücken: Langsame DNS-Auflösung führt zu Wartezeiten, die in Timeouts münden. Dies kann durch überlastete DNS-Server, fehlerhafte Weiterleitungen oder zu viele Retransmissions verursacht werden, bevor eine gültige Antwort ankommt.
• Das Zusammenspiel von DHCP und DNS: Wenn der UniFi-DHCP-Server nicht die korrekten DNS-Server an die Clients verteilt, oder wenn 3CX selbst eine statische IP mit falschen DNS-Einträgen hat, beginnt das Dilemma.
• SIP ALG: Obwohl moderne 3CX-Installationen oft mit einem 3CX-SBC (Session Border Controller) oder Tunnel arbeiten, kann eine aktive SIP ALG (Application Layer Gateway) im UniFi-Router bei direkten STUN-Setups weiterhin Probleme verursachen, indem sie SIP-Pakete manipuliert.

Die Rettungskapsel: Schritt für Schritt zur Lösung

Nun packen wir das Problem an. Die Lösung erfordert ein systematisches Vorgehen. Nehmen Sie sich Zeit für jeden Schritt.

1. Die Grundlage schaffen: Netzwerk-Topologie und IP-Planung

Bevor Sie beginnen, visualisieren Sie Ihr Netzwerk. Es ist entscheidend, dass sowohl Ihr 3CX-Server als auch Ihr Pi-Hole über statische IP-Adressen verfügen. Dies verhindert, dass sich ihre IPs ändern und die Konfiguration ungültig wird. Reservieren Sie diese IPs am besten im UniFi DHCP-Server.

• IP-Adresse für Pi-Hole: z.B. 192.168.1.10
• IP-Adresse für 3CX-Server: z.B. 192.168.1.11

2. Ubiquiti (UniFi) – Der Lotse im Netzwerk

Die UniFi-Controller-Einstellungen sind das Herzstück Ihrer Netzwerkinfrastruktur. Hier müssen die Weichen richtig gestellt werden.

DHCP-Server-Einstellungen: Die DNS-Route festlegen

Dies ist der wichtigste Schritt, um sicherzustellen, dass alle Geräte die richtigen DNS-Server verwenden.

1. Navigieren Sie im UniFi Controller zu Settings > Networks.
2. Wählen Sie Ihr primäres LAN (z.B. Default oder LAN).
3. Scrollen Sie zum Abschnitt DHCP Server.
4. Unter DHCP DNS Server stellen Sie primär die IP-Adresse Ihres Pi-Hole ein (z.B. 192.168.1.10).
5. Als sekundären DNS-Server können Sie einen zuverlässigen öffentlichen DNS-Server wie Cloudflare (1.1.1.1), Google (8.8.8.8) oder Quad9 (9.9.9.9) eintragen. Dies dient als Fallback, falls Ihr Pi-Hole ausfällt. Wichtig: Tragen Sie hier nicht die IP Ihres UniFi-Routers (UDM/USG) ein, wenn dieser wiederum auf Pi-Hole verweist, um Schleifen zu vermeiden.
6. Speichern Sie die Änderungen.

Nach dieser Änderung sollten Sie alle Clients (inkl. 3CX) neu starten oder ihre Netzwerkadapter erneuern (ipconfig /release > ipconfig /renew unter Windows), damit sie die neuen DNS-Einstellungen erhalten.

Firewall-Regeln: Freie Fahrt für DNS und 3CX

Stellen Sie sicher, dass keine Firewall-Regeln den Datenverkehr blockieren, der für DNS und 3CX notwendig ist.

1. Navigieren Sie zu Security > Firewall > Rules.
2. Regel für Pi-Hole (Optional, aber empfohlen): Erstellen Sie eine LAN IN-Regel, die Pi-Hole (Source: Pi-Hole IP) erlaubt, beliebige externe DNS-Server (Destination: Any, Port 53 UDP/TCP) zu erreichen, wenn Sie restriktive Regeln haben. Normalerweise ist dies im LAN nicht nötig, aber bei VLANs oder strengen Setups kann es helfen.
3. Regeln für 3CX: Überprüfen Sie, ob alle für 3CX benötigten Ports offen sind (wenn 3CX direkt Exposed ist). Wenn Sie einen 3CX SBC oder Tunnel verwenden, stellen Sie sicher, dass die Ports für diesen Dienst korrekt weitergeleitet werden. Der 3CX Firewall Checker ist hier Ihr Freund!
4. DNS-Traffic: Standardmäßig ist der interne DNS-Traffic auf Port 53 (UDP/TCP) erlaubt. Stellen Sie sicher, dass dies nicht durch eine restriktive Regel versehentlich blockiert wird.

DNS-Server für UniFi selbst

Ihr UniFi-Router (UDM/USG) selbst muss auch wissen, welche DNS-Server er verwenden soll. Dies ist für Firmware-Updates, Zeitsynchronisation und andere Router-Funktionen wichtig.

1. Gehen Sie zu Settings > Internet.
2. Wählen Sie Ihre WAN-Verbindung.
3. Unter DNS Server können Sie hier ebenfalls zuverlässige öffentliche DNS-Server eintragen (z.B. 1.1.1.1 und 8.8.8.8). Es ist möglich, hier auch Ihren Pi-Hole einzutragen, aber nur, wenn Sie sicher sind, dass Pi-Hole nicht wiederum auf den UniFi-Router als Upstream-DNS verweist (siehe Pi-Hole-Konfiguration unten).

SIP ALG deaktivieren

Wenn Ihre 3CX-Instanz direkt mit externen SIP-Trunks ohne SBC/Tunnel kommuniziert, kann SIP ALG (Application Layer Gateway) im UniFi-Router Probleme verursachen. Normalerweise ist SIP ALG auf UniFi UDM/USG-Geräten standardmäßig deaktiviert oder nicht mehr als Option sichtbar. Falls vorhanden, suchen Sie die Option unter Settings > Security > Firewall > SIP und stellen Sie sicher, dass sie deaktiviert ist.

3. Pi-Hole – Der Wächter des Datenverkehrs

Die korrekte Konfiguration von Pi-Hole ist entscheidend, um DNS-Schleifen zu vermeiden und lokale Hostnamen aufzulösen.

Upstream-DNS-Server: Die Quelle der Wahrheit

Ihr Pi-Hole muss wissen, wohin es DNS-Anfragen senden soll, die es nicht selbst beantworten kann (z.B. externe Domains).

1. Öffnen Sie das Pi-Hole-Webinterface und navigieren Sie zu Settings > DNS.
2. Wählen Sie unter Upstream DNS Servers zuverlässige öffentliche DNS-Server aus (z.B. Cloudflare, Google, Quad9). Aktivieren Sie mindestens zwei, vorzugsweise einen IPv4 und einen IPv6.
3. Ganz wichtig: Stellen Sie nicht die IP Ihres UniFi-Routers hier ein, wenn Ihr UniFi-Router wiederum den Pi-Hole als DNS-Server für Clients verwendet. Dies führt zu einer DNS-Schleife! Pi-Hole sollte direkt die externen DNS-Server ansprechen.
4. Aktivieren Sie optional Use Conditional Forwarding.

Bedingte Weiterleitung (Conditional Forwarding): Das Geheimnis lokaler Namen

Dies ist ein oft übersehener, aber absolut entscheidender Schritt, damit Pi-Hole lokale Hostnamen (z.B. meinserver.local oder 3cx-server) und die Hostnamen von Geräten, die über DHCP vom UniFi-Router IPs erhalten haben, auflösen kann.

1. Im selben Settings > DNS-Bereich unter Advanced DNS settings finden Sie Use Conditional Forwarding. Aktivieren Sie es.
2. Geben Sie unter IP address of your DHCP server die IP-Adresse Ihres UniFi-Routers (z.B. 192.168.1.1) ein. Dies ist die IP, die als DHCP-Server fungiert und die lokalen Hostnamen kennt.
3. Geben Sie unter Local domain name Ihren lokalen Domainnamen ein (z.B. local, fritz.box oder einen von Ihnen gewählten Namen).
4. Speichern Sie die Einstellungen.

Durch die bedingte Weiterleitung wird Pi-Hole alle Anfragen für Ihre lokale Domain an den UniFi-Router weiterleiten, der diese dann korrekt auflösen kann. Externe Anfragen gehen wie gewohnt an die öffentlichen Upstream-DNS-Server.

Whitelisting und lokale DNS-Einträge

Falls Sie immer noch Probleme mit der Erreichbarkeit spezifischer 3CX-Dienste oder SIP-Trunks haben, die möglicherweise von Pi-Hole blockiert werden (was selten ist, aber vorkommen kann), können Sie diese manuell auf die Whitelist setzen.

1. Navigieren Sie zu Whitelist im Pi-Hole-Webinterface.
2. Fügen Sie die entsprechenden FQDNs hinzu.
3. Für statische lokale Einträge, die nicht über Conditional Forwarding aufgelöst werden, können Sie unter Local DNS > DNS Records manuelle Einträge hinzufügen (z.B. 3cx.ihredomain.local auf 192.168.1.11).

4. 3CX – Das Kommunikationszentrum

Die 3CX-Instanz selbst muss korrekt konfiguriert sein, um die Dienste des Pi-Hole zu nutzen.

DNS-Einstellungen auf dem 3CX-Server

Wenn Ihr 3CX-Server eine statische IP-Adresse hat, stellen Sie sicher, dass sein primärer DNS-Server auf Ihren Pi-Hole verweist. Der sekundäre DNS sollte ein öffentlicher DNS sein, wie in der DHCP-Konfiguration.

• Überprüfen Sie die Netzwerkeinstellungen Ihres 3CX-Betriebssystems (Linux oder Windows) und stellen Sie sicher, dass der Pi-Hole (z.B. 192.168.1.10) als primärer DNS-Server eingetragen ist.

FQDN und Firewall-Checker

Stellen Sie sicher, dass Ihr 3CX FQDN korrekt ist und der 3CX Firewall Checker ohne Fehler durchläuft. Der Firewall Checker testet die Erreichbarkeit aller benötigten Ports und Dienste und gibt wertvolle Hinweise, falls noch Probleme in Ihrer UniFi-Firewall oder NAT-Konfiguration bestehen.

5. Testen und Troubleshooting: Der Praxistest

Nach allen Änderungen ist es Zeit für den Test. Geduld und systematisches Vorgehen sind hier der Schlüssel.

• nslookup oder dig: Führen Sie diese Befehle von Ihrem 3CX-Server aus.
  • Testen Sie die Auflösung externer Domains (nslookup google.com).
  • Testen Sie die Auflösung interner Hostnamen (nslookup server.local oder nslookup router.local).
  • Testen Sie 3CX-spezifische Domains oder die FQDNs Ihrer SIP-Trunks.

  Stellen Sie sicher, dass die Abfragen schnell und korrekt von Ihrem Pi-Hole beantwortet werden.

• Pi-Hole Query Log: Überprüfen Sie im Pi-Hole-Webinterface das Query Log. Sehen Sie hier, welche Anfragen von welchem Client kommen und wie sie beantwortet (oder blockiert) werden. Dies ist ein unschätzbares Werkzeug zur Fehlersuche.
• UniFi Insights/Client Devices: Im UniFi Controller können Sie unter Client Devices sehen, welche IP-Adressen und DNS-Server Ihren Geräten zugewiesen wurden. Vergewissern Sie sich, dass der Pi-Hole korrekt als primärer DNS auftaucht.
• Paket-Capture (Wireshark): Für fortgeschrittene Fehlersuche kann ein Paket-Capture auf dem 3CX-Server oder dem UniFi-Router (wenn unterstützt) detaillierte Einblicke in den DNS-Verkehr geben und zeigen, wo Pakete verloren gehen oder falsch geroutet werden.
• Neustarts: Nach größeren Änderungen ist es oft ratsam, den Pi-Hole, den UniFi-Router und den 3CX-Server einmal neu zu starten, um sicherzustellen, dass alle Änderungen übernommen wurden.

Häufige Fallstricke und fortgeschrittene Tipps

• DHCP-Reservierungen: Wie bereits erwähnt, sind statische IPs (idealerweise als DHCP-Reservierungen im UniFi Controller) für 3CX und Pi-Hole unerlässlich.
• UniFis „DNS Server” vs. „DHCP DNS Server”: Verwechseln Sie nicht die „DNS Server”-Einstellung unter WAN mit den „DHCP DNS Server”-Einstellungen unter Networks. Ersteres ist für den Router selbst, letzteres für die von ihm verteilten Clients.
• IPv6: Vergessen Sie nicht die IPv6-Einstellungen, falls Ihr Netzwerk IPv6 nutzt. Stellen Sie sicher, dass Pi-Hole auch für IPv6-Anfragen konfiguriert ist und die Clients die korrekten IPv6-DNS-Server (Pi-Hole IPv6-Adresse und/oder öffentliche IPv6-DNS) erhalten.
• VLANS: Wenn Sie VLANs verwenden, müssen Sie die DHCP-Server-Einstellungen und Firewall-Regeln für jedes VLAN entsprechend konfigurieren, um sicherzustellen, dass alle Geräte den Pi-Hole als DNS-Server nutzen und dieser Zugriff auf externe DNS hat.

Fazit: Friede im Bermuda-Dreieck

Die Kombination aus 3CX, Pi-Hole und Ubiquiti ist leistungsstark, kann aber durch fehlerhafte DNS-Konfigurationen zu einem Albtraum werden. Mit dieser detaillierten Anleitung sollten Sie jedoch in der Lage sein, die hartnäckigsten DNS- und Timeout-Probleme zu beseitigen. Der Schlüssel liegt in der sauberen Konfiguration des UniFi-DHCP-Servers, der korrekten Upstream-DNS-Server-Definition im Pi-Hole und der Aktivierung der bedingten Weiterleitung für lokale Netzwerknamen. Wenn diese Schritte sorgfältig befolgt werden, wird Ihr Netzwerk von einem Bermuda-Dreieck zu einem stabilen und zuverlässigen Kommunikationszentrum. Endlich können Sie sich entspannen und die Vorteile Ihres optimierten Netzwerks in vollen Zügen genießen!