Gezielte Kontrolle im Netzwerk: So funktioniert die Unify DNS Umleitung für ein einzelnes Gerät

In der heutigen vernetzten Welt ist das Management und die Sicherheit des Heim- oder Büronetzwerks entscheidender denn je. Immer mehr Geräte sind online, und damit wächst auch der Wunsch nach granularer Kontrolle: Wer darf wann was sehen? Wie schütze ich spezifische Nutzer vor schädlichen Inhalten, ohne den gesamten Netzwerkverkehr zu drosseln oder zu filtern? Besonders im Kontext eines zentralisierten Netzwerkmanagements wie dem von UniFi stellt sich die Frage, wie man eine solche gezielte Kontrolle auf Ebene eines einzelnen Geräts umsetzen kann. Dieser Artikel taucht tief in die Materie der DNS-Umleitung ein und zeigt, wie Sie mit UniFi und spezialisierten DNS-Servern wie Pi-hole oder AdGuard Home maßgeschneiderte Regeln für jedes Ihrer Geräte erstellen können.

Grundlagen des Domain Name Systems (DNS)

Bevor wir uns den Details der DNS-Umleitung widmen, ist es wichtig, die Funktionsweise des Domain Name Systems (DNS) zu verstehen. Stellen Sie sich das Internet als ein riesiges Telefonbuch vor. Jede Webseite, jeder Server und jeder Dienst hat eine einzigartige IP-Adresse (z.B. 172.217.16.142). Da es für Menschen einfacher ist, sich Namen (wie google.com) anstelle von Zahlen zu merken, übersetzt das DNS diese menschenfreundlichen Domainnamen in die von Computern verstandenen IP-Adressen. Wenn Sie `google.com` in Ihren Browser eingeben, fragt Ihr Gerät einen DNS-Server, der ihm die entsprechende IP-Adresse liefert, damit die Verbindung aufgebaut werden kann. Standardmäßig nutzen Geräte die DNS-Server Ihres Internetanbieters oder global bekannte Server wie Google DNS oder Cloudflare DNS.

Warum gezielte Kontrolle durch DNS-Umleitung?

Die Fähigkeit, den DNS-Verkehr gezielt zu steuern, eröffnet eine Vielzahl von Möglichkeiten für Netzwerkadministratoren, Eltern oder Technikbegeisterte:

• Netzwerksicherheit verbessern: Indem Sie bekannte Quellen von Malware, Phishing oder Ransomware auf DNS-Ebene blockieren, können Sie die Sicherheit für bestimmte Geräte erheblich steigern. Dies ist besonders nützlich für Geräte, die anfälliger für Bedrohungen sein könnten.
• Inhaltsfilterung und Jugendschutz: Möchten Sie verhindern, dass Kinder auf bestimmte Webseiten zugreifen können, ohne den Zugriff für Erwachsene einzuschränken? Eine DNS-Umleitung kann helfen, jugendgefährdende Inhalte oder soziale Medien für bestimmte Geräte zu filtern.
• Werbeblockierung: Adblocker auf Browserebene sind effektiv, aber nicht alle Geräte (Smart-TVs, IoT-Geräte, Apps) unterstützen sie. Eine DNS-basierte Werbeblockierung sorgt für ein werbefreies Erlebnis auf allen Geräten, für die sie konfiguriert ist.
• Zugriff auf lokale Ressourcen: In Entwicklungsumgebungen oder bei der Nutzung lokaler Server können Sie bestimmte Domainnamen auf interne IP-Adressen umleiten, um den Zugriff zu vereinfachen.
• Performance-Optimierung: In einigen Fällen kann die Nutzung spezifischer DNS-Server die Auflösungszeiten verkürzen, auch wenn dies weniger der Hauptgrund für gezielte Umleitungen ist.

Die wahre Stärke liegt in der Gezieltheit. Anstatt eine globale Regel für das gesamte Netzwerk anzuwenden, möchten Sie vielleicht nur das Tablet Ihres Kindes vor bestimmten Inhalten schützen, während Ihr Arbeitsrechner uneingeschränkten Zugang hat.

Die Herausforderung in UniFi: DNS für einzelne Geräte

Die UniFi Network Application von Ubiquiti bietet ein beeindruckendes Maß an Kontrolle über Ihr Netzwerk. Sie ermöglicht eine zentrale Verwaltung von Access Points, Switches und Routern, die Konfiguration von WLANs, VLANs und vieles mehr. Wenn es jedoch um die direkte Zuweisung von DNS-Servern für ein einzelnes Gerät geht, stößt man auf eine Einschränkung:

UniFi konfiguriert DNS-Server in der Regel auf Netzwerkebene über den DHCP-Server. Das bedeutet, dass alle Geräte, die eine IP-Adresse von einem bestimmten Netzwerk (oder VLAN) über DHCP erhalten, dieselben DNS-Server zugewiesen bekommen. Es gibt in den Client-Einstellungen der UniFi Network Application keine direkte Option, um einem spezifischen Gerät einen individuellen DNS-Server zuzuweisen, ohne dieses Gerät in ein komplett separates Netzwerk zu verschieben oder die Konfiguration manuell am Gerät selbst vorzunehmen.

Dies ist eine wichtige Erkenntnis: Die UniFi DNS Umleitung im Sinne einer direkten Zuweisung eines spezifischen rekursiven DNS-Servers an einen einzelnen Client ist nicht Teil der Kernfunktionalität der UniFi-Software für DHCP-Clients. Stattdessen müssen wir einen cleveren Umweg gehen, der die Stärken von UniFi mit denen eines spezialisierten DNS-Servers kombiniert.

Die smarte Lösung: UniFi in Kombination mit einem spezialisierten DNS-Server (z.B. Pi-hole oder AdGuard Home)

Die effektivste Methode zur Implementierung einer gezielten DNS-Umleitung für einzelne Geräte in einem UniFi-Netzwerk besteht darin, einen dedizierten, lokalen DNS-Server einzurichten und alle Geräte in Ihrem Netzwerk anzuweisen, diesen Server zu verwenden. Dieser lokale DNS-Server übernimmt dann die feingranulare Filterung und Umleitung basierend auf den IP-Adressen der anfragenden Geräte. Die beliebtesten und leistungsfähigsten Lösungen hierfür sind Pi-hole und AdGuard Home.

Schritt 1: Einen dedizierten DNS-Server einrichten (Pi-hole oder AdGuard Home)

• Was Sie benötigen: Einen kleinen Computer wie einen Raspberry Pi, eine virtuelle Maschine (VM) auf einem Server oder sogar einen Docker-Container auf einem NAS-System.
• Installation: Folgen Sie den Anweisungen für Pi-hole (z.B. curl -sSL https://install.pi-hole.net | bash) oder AdGuard Home (Download und Ausführung der Binärdatei). Beide sind relativ einfach einzurichten und bieten eine webbasierte Oberfläche zur Konfiguration.
• Funktion: Diese Server empfangen DNS-Anfragen von Ihren Geräten. Basierend auf konfigurierten Blacklists, Whitelists oder benutzerdefinierten Regeln können sie Anfragen blockieren, umleiten oder an einen vorgelagerten (Upstream) DNS-Server weiterleiten. Der entscheidende Vorteil: Sie können Regeln clientbasiert anwenden.

Schritt 2: UniFi zur Nutzung des dedizierten DNS-Servers konfigurieren

Nachdem Ihr Pi-hole oder AdGuard Home betriebsbereit ist und eine feste IP-Adresse (z.B. 192.168.1.50) in Ihrem Netzwerk hat, müssen Sie UniFi anweisen, diesen als primären DNS-Server für Ihre Netzwerk-Clients zu verwenden.

1. Melden Sie sich bei Ihrer UniFi Network Application an.
2. Navigieren Sie zu den Einstellungen (Zahnrad-Symbol).
3. Wählen Sie im Menü Netzwerke aus.
4. Bearbeiten Sie das Netzwerk, für das Sie die DNS-Einstellungen ändern möchten (z.B. Ihr Standard-LAN). Klicken Sie auf das entsprechende Netzwerk.
5. Suchen Sie im Bereich „DHCP-Server” nach der Option DHCP-DNS-Server.
6. Wählen Sie hier „Manuell” aus und geben Sie die feste IP-Adresse Ihres Pi-hole oder AdGuard Home-Servers ein (z.B. 192.168.1.50).
7. (Optional) Sie können einen zweiten DNS-Server hinzufügen, falls Ihr Pi-hole ausfällt (z.B. 1.1.1.1 von Cloudflare oder 8.8.8.8 von Google). Beachten Sie jedoch, dass Clients in diesem Fall möglicherweise den sekundären DNS-Server verwenden und somit die Filterung Ihres Pi-hole umgehen könnten. Für maximale Kontrolle ist oft nur ein DNS-Server (Ihr Pi-hole/AdGuard Home) sinnvoll.
8. Speichern Sie die Änderungen.
9. Wichtig: Damit die Änderungen wirksam werden, müssen Ihre Geräte neue DHCP-Leases anfordern. Dies geschieht entweder durch einen Neustart der Geräte oder durch manuelles Freigeben und Erneuern der IP-Adresse auf jedem Gerät.

Nun leiten alle Geräte in diesem Netzwerk ihre DNS-Anfragen an Ihren lokalen DNS-Server weiter.

Schritt 3: Gezielte Regeln im Pi-hole/AdGuard Home für einzelne Geräte definieren

Jetzt kommt der Teil, in dem die „gezielte Kontrolle für ein einzelnes Gerät” stattfindet. Sowohl Pi-hole als auch AdGuard Home bieten Mechanismen, um Regeln basierend auf der Client-IP-Adresse anzuwenden.

Für Pi-hole:

• Melden Sie sich im Web-Interface Ihres Pi-hole an.
• Pi-hole identifiziert Clients standardmäßig anhand ihrer IP-Adressen. Um spezifische Regeln für ein Gerät zu erstellen, können Sie Custom Lists (Custom Adlists) erstellen und diese für bestimmte Clients aktivieren/deaktivieren, oder Sie nutzen die Gruppenverwaltung.
• Gruppenmanagement (empfohlen): Erstellen Sie in Pi-hole Gruppen (z.B. „Kindergeräte”, „Elterngeräte”, „IoT-Geräte”). Weisen Sie dann spezifische Blocklisten, Whitelists oder Blacklists diesen Gruppen zu. Anschließend können Sie die IP-Adresse eines Geräts einer bestimmten Gruppe zuweisen.
  • Gehen Sie zu „Groups” -> „Clients” und fügen Sie Clients mit ihren IP-Adressen hinzu. Geben Sie ihnen einen beschreibenden Namen (z.B. „Tablet_Kind1”).
  • Weisen Sie dann diese Clients den entsprechenden Gruppen zu (z.B. „Kindergeräte”).
  • Jetzt können Sie unter „Adlists” oder „Domains” bestimmte Listen oder Regeln den Gruppen zuweisen. Eine Blacklist für Social Media kann beispielsweise der Gruppe „Kindergeräte” zugewiesen werden, ist aber für die Gruppe „Elterngeräte” deaktiviert.

Für AdGuard Home:

• Melden Sie sich im Web-Interface Ihres AdGuard Home an.
• AdGuard Home bietet eine noch intuitivere Oberfläche für die Client-spezifische Konfiguration.
• Navigieren Sie zu Clients-Einstellungen. Hier sehen Sie alle Geräte, die DNS-Anfragen gestellt haben.
• Klicken Sie auf einen Client (IP-Adresse), um dessen Einstellungen zu bearbeiten. Sie können dem Client einen Namen geben und dann für diesen spezifischen Client festlegen:
  • Welche Filterlisten angewendet werden sollen (z.B. keine Werbeblockierung, nur Sicherheitsfilter, oder erweiterte Filterlisten).
  • Bestimmte Domains blockieren oder zulassen.
  • Zugriff auf den „Sicheren Suchmodus” erzwingen.
  • Den „Kinderschutz” aktivieren, der bekannte problematische Websites blockiert.
  • Den Zugriff auf bestimmte Dienstanbieter blockieren (z.B. soziale Netzwerke, Glücksspiel).

Durch diese Konfiguration im Pi-hole oder AdGuard Home haben Sie die gezielte Kontrolle, die Sie gesucht haben, und UniFi fungiert als der Vermittler, der alle Anfragen an Ihren intelligenten DNS-Server weiterleitet.

Alternative Ansätze (für fortgeschrittene Nutzer)

Während die Kombination mit Pi-hole/AdGuard Home die flexibelste Lösung ist, gibt es weitere Ansätze, die in bestimmten Szenarien sinnvoll sein könnten:

• VLANs für maximale Isolation: Wenn Sie wirklich Netzwerk-getrennte DNS-Server für Gruppen von Geräten benötigen, können Sie VLANs (Virtual Local Area Networks) in UniFi erstellen. Jedes VLAN kann ein eigenes Subnetz und damit auch eigene DHCP-Einstellungen haben, einschließlich dedizierter DNS-Server. Ein einzelnes Gerät in ein eigenes VLAN zu verschieben, ist jedoch mit erheblichem Konfigurationsaufwand verbunden und in den meisten Fällen overkill, wenn es nur um DNS-Filterung geht. Es bietet aber die höchste Isolationsstufe.
• Manuelle DNS-Konfiguration am Gerät: Sie können die DNS-Einstellungen auch direkt auf dem einzelnen Gerät ändern (z.B. in den Netzwerkeinstellungen von Windows, macOS, Android oder iOS). Das Gerät würde dann die DHCP-zugewiesenen DNS-Server ignorieren und Ihre manuellen Einstellungen verwenden.
  • Vorteil: Schnell und direkt.
  • Nachteil: Bypasst die zentrale Kontrolle; das Gerät kann theoretisch wieder auf Standard-DNS zurückgesetzt werden; erfordert manuelle Konfiguration auf jedem Gerät. Dies ist nicht ideal für eine „gezielte Kontrolle im Netzwerk„, da es vom Gerät selbst abhängt.
• Statische DNS-Einträge in UniFi: UniFi ermöglicht es, statische DNS-Einträge (Host-Overrides) unter Einstellungen > Netzwerke > WAN > Erweiterte Einstellungen > DNS-Server > DNS-Server-Überschreibungen oder für das lokale Netzwerk unter Einstellungen > Netzwerk > Ihr_Netzwerk > DHCP > DHCP-Namensserver zu definieren. Diese sind jedoch dazu gedacht, bestimmte Domainnamen (z.B. meinserver.local) auf eine bestimmte IP-Adresse umzuleiten, und dies gilt dann für alle Clients, die den UniFi-DHCP-Server nutzen. Sie sind nicht dazu gedacht, den rekursiven DNS-Server für ein einzelnes Gerät zu ändern oder spezifische Filterregeln anzuwenden.

Vorteile der gezielten DNS-Umleitung

Die hier beschriebene Methode bietet eine Reihe von klaren Vorteilen:

• Zentrale Verwaltung der Regeln: Alle Filter- und Umleitungsregeln werden an einem Ort (Pi-hole/AdGuard Home) verwaltet.
• Feingranulare Kontrolle: Ermöglicht unterschiedliche Regeln für verschiedene Geräte oder Gerätegruppen.
• Netzwerkweite Abdeckung: Schützt alle Geräte, die den lokalen DNS-Server nutzen, einschließlich Smart-TVs, IoT-Geräte und Spielkonsolen, die keine Browser-Erweiterungen unterstützen.
• Verbesserte Sicherheit und Privatsphäre: Reduziert Tracking und Exposition gegenüber schädlichen Inhalten.
• Keine Softwareinstallation auf den Endgeräten nötig: Die Filterung erfolgt auf Netzwerkebene.
• Skalierbarkeit: Neue Geräte werden automatisch geschützt, sobald sie eine IP-Adresse erhalten.

Herausforderungen und Best Practices

• Feste IP-Adressen für Clients: Um die Client-spezifische Filterung in Pi-hole/AdGuard Home zu erleichtern, sollten Sie den Geräten, die Sie gezielt steuern möchten, eine statische IP-Adresse über UniFi’s DHCP-Reservierung zuweisen. Dadurch ändert sich die IP-Adresse des Geräts nie, und Ihre Regeln bleiben konsistent.
  • In UniFi: Navigieren Sie zu „Client-Geräte”, klicken Sie auf das gewünschte Gerät, gehen Sie zu „Einstellungen” -> „Netzwerk” und aktivieren Sie „Feste IP-Adresse verwenden”.
• Bypass-Versuche: Versierte Nutzer könnten versuchen, die DNS-Filterung zu umgehen, indem sie manuelle DNS-Einstellungen auf ihren Geräten vornehmen oder VPNs nutzen. Überlegen Sie, ob Sie im UniFi-Firewall Regeln implementieren müssen, um jeglichen ausgehenden DNS-Verkehr (Port 53) zu blockieren, der nicht an Ihren Pi-hole/AdGuard Home gerichtet ist.
• Transparenz: Informieren Sie betroffene Nutzer über die Filterung und deren Zweck, um Frustrationen zu vermeiden.

Fazit

Die gezielte DNS-Umleitung für ein einzelnes Gerät in einem UniFi-Netzwerk ist ein mächtiges Werkzeug für Netzwerksicherheit, Inhaltsfilterung und Werbeblockierung. Obwohl die UniFi Network Application keine direkte „per-Client DNS-Zuweisung” als integrierte Funktion bietet, lässt sich dieses Ziel effektiv und elegant durch die Kombination mit einem spezialisierten DNS-Server wie Pi-hole oder AdGuard Home erreichen. Indem UniFi alle DNS-Anfragen an diesen intelligenten lokalen Server weiterleitet, können Sie feingranulare Regeln anwenden, die genau auf die Bedürfnisse jedes einzelnen Geräts in Ihrem Netzwerk zugeschnitten sind. Dies schafft ein sichereres, saubereres und kontrollierteres Online-Erlebnis für alle.