Bitte überprüfen: IPv6 funktioniert aber ggf. falsch konfiguriert

Token: https://tricorder.pi-hole.net/STSerEk4/

Hallo. Ich hatte schon seit einiger Zeit Pihole mit Unbound in Betrieb in Verbindung mit einer Fritzbox 7490.

Nun habe ich einen neuen Internetprovider (Telekom), der neben IPv4 auch IPv6 ermöglicht. Ich habe daher entsprechende Einstellungen vorgenommen, damit nicht nur IPv4 sondern auch IPv6 über Pihole/Unbound läuft.

Es scheint alles zu funktionieren, aber ich bitte freundlich darum, dass jemand mal meine Einstellungen prüft, ob alles in Ordnung und sinnvoll ist. Token siehe ganz oben.

1. FRITZBOX

Ich habe zuerst in den Heimnetz>Netzwerk-Einstellungen der Fritzbox unter IPv6 die hier Fritz!Box (DE) - Pi-hole documentation beschriebenen IPv6-Einstellungen genauso vorgenommen (inkl. manuell ausgewähltem zufälligen Präfix usw.), sodass Pihole eine eigene IPv6 Adresse bekommen hat.

Dann habe ich diese IPv6-Adresse des Pihole in der Fritzbox unter Heimnetz>Netzwerkeinstellungen „IPv6 als DNSv6-Server im Heimnetz“ (Lokaler DNSv6-Server) eingetragen. Und danach außerdem unter Internet>Zugangsdaten>DNS als „DNSv6-Server“.

(Ich nutze auch VPN zur Fritzbox und das Gastnetz der Fritzbox. Daher war bereits für IPv4 die fixe IPv4 des Pihole an diesen beiden Stellen als DNS eingetragen)

Ich habe in den Heimnetz>Netzwerk-Einstellungen der Fritzbox unter IPv6 nichts an „DHCPv6-Server im Heimnetz“ geändert. Das ist aktiv und steht auf „nur DNS-Server zuweisen“.

2. RASPBERRY PI

Die IPv6 des Pihole habe ich dann auch unter /etc/pihole/setupVars.conf eingetragen. Außerdem habe ich /etc/unbound/unbound.conf.d/pi-hole.conf editiert
und do-ip6: auf yes gesetzt.

3. PIHOLE-WEBINTERFACE

In den Pihole-Einstellungen (Webinterface) habe ich unter DNS-Upstreamserver neben dem bestehnden 127.0.0.1#5335 (Ipv4) auch noch ::1#5335 (IPv6) eingetragen (für Unbound)

Dann Unbound, Pihole, Fritzbox alles neugestartet.

Pi-holes Konfigurations-Empfehlungen für unbound führen zu einer funktionierenden Installation.

Auf den ersten Blick weicht Deine Konfiguration von unseren Empfehlungen ab.

Wenn diese Abweichungen nicht begründet sind, würde ich empfehlen, die unbound-Konfiguration genau wie beschrieben vorzunehmen.

Danke, aber das beantwortet leider nicht meine Fragen. Unbound funktionierte bei mir wie in der geposteten Anleitung und das hatte ich auch genauso eingerichtet. Wohlgemerkt: Als ich nur IPv4 nutzte.

Es geht jetzt um IPv6. Und sowohl um Pihole als auch um Unbound.

Die von mir gesetzten IPv6-spezifischen Einstellungen sind natürlich begründet und nicht zufällig gewählt. In der Regel basieren sie auf bisherigen Erfahrungen und Anleitungen.

Ich bin aber kein Fachmann, sondern nur interessierter Nutzer und kann dabei durchaus Fehler machen oder Dinge falsch verstehen. Daher meine Bitte, meine Konfiguration mal anzusehen. Ich habe ja auch den Token gepostet, sodass dies möglich wäre.

Etwas unsicher bin ich mir z.B. beim DNSv6-Eintrag der fritzbox unter Internet>Zugangsdaten>DNS, d.h. ob es richtig ist, dort (genau wie im Falle IPv4) nochmal die gleiche 6er Adresse eintzutragen wie unter Heimnetz>Netzwerk>Netzwerkeinstellungen>IPv6. Es ist eine mit "f" beginnede Adresse, die auf dem manuell angelegten Präfix basiert. Ziel die IPv6 des Pihole an beiden Stellen in der Fritzbox einzutragen, ist u.a., dass auch das Gastnetz der Fritzbox über Pihole laufen soll und VPN zur Fritzbox weiterhin funktioniert.

Etwas unsicher bin ich mir auch, ob neben dem IPv4er auch der 6er-DHCP-Server auf der Fritzbox unter Heimnetz>Netzwerk>Netzwerkeinstellungen>IPv6 aktiv sein soll/muss. Ich habe da die Voreinstellungen nicht geändert. Der DHCPv6 ist an.

Was Unbound angeht habe ich bzgl. der genannten Konfigurationsempfehlung ja nur zwei Anpassungen wegen IPv6 vorgenommen, was in der geposteten Empfehlung gar nicht thematisiert wird. In anderen Anleitungen wurde das aber genannt: Ich habe etc/unbound/unbound.conf.d/pi-hole.conf editiert
und do-ip6: auf yes gesetzt. Außerdem habe ich in den Pihole-Einstellungen (Webinterface) unter DNS-Upstreamserver neben dem bestehnden 127.0.0.1#5335 (Ipv4) auch noch ::1#5335 (IPv6) eingetragen (für Unbound). Spricht etwas dagegen?

Die letztgenannte Einstellung ist überflüssig.
Sie produziert im Zweifel nur periodisch zusätzlichen und redundanten DNS-Verkehr, ohne zusätzlichen Nutzen.
Ähnliches gilt für do-ip6 in unbound, wobei hier u.U. zusätzlich noch ein potentieller Verlust an Privatsphäre zu verbuchen ist (auch wenn dieser in einer ansonsten unveränderten Standard-Konfiguration vernachlässigbar sein dürfte).

Dein ursprüngliches Topic enthält keine Frage, und auch keine Problembeschreibung.

Wenn Du mit Deiner Konfiguration keine Schwierigkeiten hast, funktioniert sie augenscheinlich wohl.

Wie gesagt, führen die Konfigurations-Empfehlungen für unbound zu einer funktionierenden Installation. Abweichungen sind also nur in begründeten Situationen sinnvoll.

Aus welchen Gründen weichst Du denn von den empfohlenen Einstellungen ab?

Meine Frage/Problembeschreibung lautet, ob meine unter #1 beschriebenen IPv6-spezifischen Einstellungen für Pihole und Unbound in Ordnung und sinnvoll sind, auch wenn es auf den ersten Blick funktioniert.

Die Konfiguration Unbound betrifft das nur am Rande. Das meiste betrifft die Pihole-Einstellungen in der Fritzbox.

Von der Konfigurationsempfehlung bzgl. Unbound bin ich abgewichen, weil sie keinerlei Angaben zu IPv6 enthält und andere Anleitungen darauf eingehen und auch in der Konfurationsdatei selbst diese IPv6-spezifischen Einträge vorgesehen sind. Daher meine Frage, ob etwas dagegen spricht. Wenn ich Dich richtig verstehe, würdest du trotz IPv6 die Konfigurationsdatei und auch die Einträge für Upstreamserver in Pihole so belassen, wie wenn man nur IPv4 nutzt? Warum?

Das lässt sich von mir nicht seriös beantworten, da sich die Antwort nur im Kontext sowohl der Gegebenheiten Deiner Netzwerk-Anbindung und -Konfiguration als auch Deiner persönlichen Präferenzen ermitteln lässt.

Ich kann auch nicht wissen, warum andere Anleitungen andere Einstellungen verwenden. Sofern Du Empfehlungen aus anderen Anleitungen folgst, solltest Du diesbezügliche Fragen bei dem Ersteller der Anleitung platzieren.

Meine grundsätzliche Empfehlung wäre nach wie vor, nicht unbegründet von unserer Anleitung abzuweichen. Anpassungen würde ich nur vornehmen, sofern es bei Befolgung der Anleitung zu Problemen kommt.

Das ist richtig.
Das 'Warum' habe ich oben bereits erläutert: Die Einstellungen sind überflüssig.
Sie sind normalerweise weder erforderlich noch bieten sie einen zusätzlichen Nutzen.

Du nimmst eventuell an, dass besondere Einstellungen notwendig sind, damit IPv6 für DNS funktioniert.
Das ist nicht der Fall: Das DNS-Protokoll ist indifferent bezüglich des Transport-Protokolls - eine DNS-Anfrage für einen DNS-Datensatz wird unabhängig davon beantwortet, ob ein Client diese über IPv4 oder IPv6 gestellt hat.

Unbound:

Ich bin tatsächlich davon ausgegangen, dass ich wegen Zuschaltens der IPv6-Funktionalität (neuer Internet-Provider) spezifische Einstellungen vornehmen muss, damit Anfragen über Unbound gehen. Nicht nur wegen irgendwelcher Anleitungen, sondern auch, weil es entsprechende Einträge in der Unbound-Konfigurationsdatei gibt, wenn auch auskommentiert. Ich bin jetzt bei der Telekom. Das ist also kein natives IPv6, nur falls das eine Rolle spielt. Ich verstehe dich so, dass ich trotz IPv6 die Einstellungen für Unbound wie unter IPv4 belassen kann, also im Webinterface nur 127.0.0.1#5335 als einziger Upstream DNS und in der Unbound-Konfigurationsdatei do-ip6: auf no. Weil die von mir vorgenommenen IPv6-Einstellungen an diesen Stellen nichts bringen. Ok.

Pihole (Raspberry Pi):

Da habe ich die IPv6 unter /etc/pihole/setupVars.conf eingetragen. Ist das in Ordnung? Die IPv4 steht da auch.

Fritzbox:

Sie hängt direkt an einem Telekom DSL-Anschluss und ist als Router konfiguriert. Als ich nur IPv4 hatte, war die IPv4 des Pihole an zwei Stellen als DNS eingetragen. Unter Netzwerkeinstellungen für die Fritzbox selbst und unter Zugangsdaten für DHCP-Clients. Sinn und Zweck ist, dass ich im Pihole sehe, welche Geräte sich verbinden, dass ich weiter VPN zur Fritzbox nutzen kann und dass auch das Gastnetz über Pihole läuft, weil man keinen Gastnetz-DNS konfigurieren kann.

Deshalb bin ich mal davon ausgegangen, dass ich nun das gleiche mit der IPv6 des Pihole machen muss. Also an den beiden Stellen eintragen, wobei nun auch ein DHCPv6 läuft. Hier ist mir immer noch unklar, ob das so sein muss. Wenn du, Bucking_Horn, das vielleicht nicht beantworten kannst, falls ich Dich da richtig verstanden habe, weiß es vielleicht sonst jemand?

Was mir noch in der Fritzbox aufgefallen ist: Nach dem Aktivieren von IPv6 in der Fritzbox gingen "Standard DNS-Anfragen" über den IPv6-Provider DNS. Stand so zumindest in der Fritzbox-Online-Übersicht. Auch als ich die IPv6 des Pihole unter Heimnetz-Netzwerkeinstellungen einstellte, blieb das augenscheinlich so. Als ich dann die IPv6 des Pihole auch unter Zugangsdaten>DNS reinschrieb, sprang die Angabe bzgl Standardanfragen sofort auf IPv4 um.

Die ganze Zeit über zeigte ein Check unter dnsleaktest.com die mir vom Provider zugewiesene IP an, auch bei den Tests wurde nur diese IP als Resolver angezeigt.

Unsere Guides sind so geschrieben, dass sie in der überwiegenden Mehrzahl der Fälle zu einer funktionierenden Konfiguration führen.
Trotzdem kann eine Empfehlung in speziellen Fällen unangebracht oder glatt falsch sein. In einem solchen Fall würden wir in diesem Forum dann jeweils versuchen, eine für die jeweilige Fehlersituation passende Lösung zu finden. Das fällt natürlich leichter, wenn zuvor nach unseren Empfehlungen vorgegangen wurde. Wenn abweichende Konstellationen häufiger vorkommen, finden sich in manchen Guides dann entsprechende Hinweise (die übrigens auch von Usern aus der Community eingebracht und eingepflegt werden).

Aus Deiner Beschreibung kann ich allerdings aktuell keine Fehlersituation erkennen?

Da fällt mir spontan exakt eine einzige Person ein, die das definitiv beantworten kann:
Du selbst.

So wie ich Dich verstehe, ist Dein Problem ja nicht, dass Du aktuell ein Problem hast, sondern dass Dir IPv6 noch nicht vertraut ist.

Das betrifft deutlich mehr als nur Pi-hole, und da wirst Du Dich wohl oder übel allmählich selbst einarbeiten müssen - naturgemäß genau soviel und soweit Dich das im Detail interessiert.

Das Lesen von entsprechenden Artikeln und auch von Posts hier im Forum kann dabei helfen, Dein Verständnis weiter zu entwickeln und zu schärfen.

Es gibt dabei für eine Konfiguration kein allgemeingültiges 'richtig' oder 'falsch'.
Nicht einmal mehr oder weniger optimal lässt sich trivial beantworten.
Am ehesten ginge noch 'funktioniert' oder 'funktioniert nicht' (und die Frage hast Du ja bereits mit 'funktioniert' beantwortet ).

Zu jedem Konfigurationsparameter in Pi-hole, unbound oder dem Betriebssystem gibt es Argumente, Motivationen und nicht zuletzt persönliche Präferenzen, die Anteil an der persönlichen Entscheidung für diesen oder einen anderen bestimmten Konfigurationswert haben.

Wenn Dir Zeit, Wissen oder Interesse fehlt, Dich damit eingehender zu beschäftigen, hast Du mit den Empfehlungen aus den Guides schon einmal einen guten Startpunkt.
Es ist sinnvoll, mit einer auf diesen Empfehlungen basierenden Konfiguration zu starten, und diese dann von dort aus -entsprechend dem persönlichen Kenntnisstand, zwischenzeitlich gesammelten eigenen Erfahrungen und den jeweiligen netzwerkspezifischen Anforderungen- anzupassen und weiter zu entwickeln.

Sofern Du also mit dem Ergebnis zufrieden bist, Du keine Unregelmässigkeiten beobachtest, und es -wie Du schreibst- funktioniert, ist die belastbarste Aussage, die ein Dritter treffen kann:
Du hast nichts offensichtlich falsch gemacht.

Ich habe auch eine Fritzbox und einen Pi-Hole mit Unbound in IPv4 und IPv6 laufen, allerdings ist im Webinterface nur die ipv4 Adresse mit Port hinterlegt. Vorteile hat es keine,da du im Heimnetz mit dem Adressraum kein Problem hast und die DNS Server Adressen eh nicht nach draußen gehen.

Es läuft seit langer Zeit mit allen Updates problemlos. In der Ranking Liste der Top Devices werden alle Geräte doppelt gelistet, da jedes Gerät 2 IP Adressen hat.

Mein 1&1 Anschluss identifiziert sich als Telekom Anschluss und läuft auch nativ mit ipv6.

Hallo wd9895, also im Webinterface des Pihole nur ein Upstreameintrag, so wie Bucking_Horn schon geschrieben hatte. Wird auch in diesem Thread beschrieben:

Hast du das ansonsten in der Fritzbox so wie ich eingestellt? Unter Internet>Zugangsdaten bei IPv6 auch die komplette ULA eingetragen wie sie auch unter Heimnet>Netzwerk>IPv6 unter "DNSv6-Server im Heimnetz" steht?

Was wird denn bei dir in der Fritzbox unter Internet>Online-Monitor bei genutzte DNS-Server angezeigt? Bei mir steht da die IPv4 des Pihole als Standard, die komplette ULA darunter, wie sie auch unter Heimnet>Netzwerk>IPv6 unter "DNSv6-Server im Heimnetz" steht.

Hast Du DHCPv6 aktiv? Hier wird zB davon abgeraten:

Hast du in der Fritzbox etwas unter Rebindschutz eingetragen? Ichbislang nicht.

Bei meiner Fritzbox steht bei genutzten DNS Servern die ipv4 und die ipv6 Adresse beginnend mit fe80.

DNS rebind Schutz ist aktiv mit pi.hole

Ich habe die Fritzbox mal neu gestartet. Jetzt steht in der Fritzbox unter Online-Monitor, dass die DNS-Anfragen an Pihole/Unbound über die IPv6 des Pihole (ULA) laufen, vorher wars die IPv4 des Pihole. Unter dnsleaktest.com - Test wird trotzdem weiterhin die mir von meinem Provider zugewiesene und nach außen sichtbare IPv4 angezeigt. Dann ist das wohl richtig konfiguriert.

Als Ausnahme beim Rebindschutz hatte ich mal testweise pi.hole eingetragen, konnte aber nicht erkennen, was das bringt. Liegt vermutlich, daran, dass ich die Pihole-IP nicht nur unter Heimnetz-Netzwerkeinstellungen, sondern auch unter Internet>Zugangsdaten eingetragen habe, was ich das hier richtig deute und es noch gilt:

@wd9895 Hast du denn unter Heimnetz>Netzwerkeinstellungen>IPv6 den DHCPv6 aktiv oder abgeschaltet? Bei mir läuft er. Einige empfehlen RA an, aber DHCPv6 auszumachen:

Ipv6 ist voll aktiv in meiner Fritzbox.
Ein Vorteil hat es wohl nicht, aber es funktioniert.

This topic was automatically closed 21 days after the last reply. New replies are no longer allowed.