Die richtigen Einstellungen in der Fritzbox, können in beiden DNS Einstellungen in der Fritzbox ohne Probleme der pihole eingetragen werden?

Hallo,

nachdem ich den Tipp in einem anderen Thread bekommen habe, die Anleitung Fritz!Box (DE) - Pi-hole documentation für die Fritzbox zu verwenden, habe ich noch einige Fragen zur Konfiguration.

In der Anleitung sind mir die Warnhinweise mit dem DNS-Loop noch nicht ganz klar. Bei der Konfiguration des Pi-holes als lokaler DNS-Server auf der LAN-Seite wird empfohlen, die Fritzbox als Upstream-Server von Pi-hole zu nutzen, solange Pi-hole nicht der Upstream-Server der Fritzbox ist. Andernfalls würde ein DNS-Loop entstehen. Aktuell habe ich den Pihole noch als lokalen DNS Server hier eingetragen, ich habe nur das Gefühl das es nicht alles filtert.

In der Konfiguration des Pi-holes als Upstream-DNS-Server auf der WAN-Seite wird hingegen davor gewarnt, die Fritzbox als Upstream-DNS-Server im Pi-hole einzustellen, da dies ebenfalls zu einem DNS-Loop führen würde.

Allerdings wird auch darauf hingewiesen, dass bei ausschließlicher Verwendung dieser Konfiguration im Pi-hole-Dashboard keine individuellen Clients sichtbar sind und daher nicht alle Funktionen von Pi-hole genutzt werden können. Wenn dies gewünscht ist, muss Pi-hole als DNS-Server via DHCP an die Clients verteilt werden. Was ich ja möchte. Was so klingt als wäre es kein Problem den pihole in beiden DNS Einstellungen so einzutragen. Und es nur zu einem Loop kommt wenn im pihole selber die Fritzbox eingetragen wird.

Die Einstellung "Hostnamen in Pi-hole statt IP-Addressen - Conditional forwarding" sollte ebenfalls nur verwendet werden, wenn die Fritzbox nicht gleichzeitig der Upstream-DNS-Server des Pi-hole ist, um einen DNS-Loop zu vermeiden. Ich habe es erstmal weg gelassen. Die anderen Einstellungen mit dem Filtern habe ich übernommen.

Es ist nicht ganz klar, ob der Pi-hole in allen drei Fritzbox-DNS-Einstellungen eingetragen werden kann, ohne einen DNS-Loop zu verursachen. Ich möchte, dass alle Geräte im Netzwerk über den Pi-hole laufen und auch der Gastzugang und möglichst alle Funktionen des Pi-hole nutzt. Also
Group Management usw.

Die konkreten Fragen lauten:

Kann der Pi-hole bei "Pi-hole als Upstream DNS Server der Fritz!Box (WAN Seite)" ((Clients) -> Fritz!Box -> Pi-hole -> Upstream DNS Server = Internet/Zugangsdaten/DNS-Server) bei Haupt- und Alternativ-DNS eingetragen werden, um alle gewünschten Funktionen zu erhalten?
Wenn ja, muss ich in der Fritzbox bei DNS-Rebind-Schutz den Raspi/pihole eintragen?

Nutzt der Pi-hole bei den Einstellungen in der Browser-Konsole (settings/DNS/Upstream DNS Servers) die DNS-Server zur Verbindung zum Internet und filtert danach? Kann dort auch weitere DNS-Server eingetragen werden, falls der aktuelle ausfällt?

Vielen Dank im Voraus für Eure Hilfe!

Nein - das steht so auch direkt in den Docs:

Wird ausschließlich diese Konfiguration genutzt, sind im Pi-hole Dashboard keine individuellen Clients sichtbar. Für Pi-hole scheinen alle Anfragen von der Fritz!Box zu kommen. Dadurch können nicht alle Funktionen von Pi-hole genutzt werden, z.B. die Möglichkeit, Clients individuell zu filtern (Group Management).

Natürlich.
Pi-hole prüft die DNS-Anfragen eines Clients gegen die konfigurierten Blocklisten und leitet dann nach der Filterung zugelassene DNS-Anfragen an die konfigurierten DNS-Server weiter, bevorzugt an den am schnellsten antwortenden Server.

OK Danke erstmal. Ich habe jetzt vor der Antwort testweise beides gleichzeitig in die Fritz Box eingetragen. Da funktioniert zwar die Blockierung der Testseite auch im Gast Netz. Ich kam aber nicht mehr auf die Oberfläche vom pi im Browser.

Welche Einstellung muss ich den nun wählen wenn ich das Gast-Netz auch mit dabei haben möchte sowie die Möglichkeiten die ich gern wollte.
Weil im Hinweis ja steht, wird diese Einstellung ausschließlich verwendet,
"Wenn dies gewünscht ist, muss Pi-hole (zusätzlich) als DNS Server via DHCP an die Clients verteilt werden (siehe oben)."

Das ist verwirrend. Das habe ich ja gerade gemacht, dürfte ich aber wohl gar nicht. Und wenn ich nicht auf die Oberfläche vom pi komme nützt mir das ja auch nichts.

Und was wäre wenn ich nur die eine DNS Zeile mit der IP vom Pihole im lokalen DNS einstelle und zusätzlich im Pi hole die Fritzbox eintrage? Das dürfte dann ja funktionieren, oder ?

Wenn du sowohl im Gastnetz filtern willst als auch individuelle Clients sehen willst, dann solltest du

1. Im Pi-hole einen anderen DNS-Server als die FB als Upstream DNS setzen (vermeidet den Loop)
2. Pi-hole's IP per DHCP (LAN) verteilen lassen
3. Pihole 2xals Upstream für die FB selbst setzen (WAN)

1.+.2. hatte ich so gemacht. 3. bitte nochmal genau erläutern.

Ich mußte nämlich gerade an den PC mit LAN Kabel, weil auch die Fritzbox Oberfläche mit dem Smartphone nicht mehr funktionierte.
Die IP vom pi hole ist also wieder nur im lokalen DNS eingetragen.
Bei Upstream im Pi hole sind zwei öffentliche DNS Anbieter eingetragen.

Bei "Bevorzugter DNSv4-Server" und " Alternativer DNSv4-Server" in Internet/Zugangsdaten/DNS-Server

Nur dann funktioniert die Filterung im Gastnetz

Das liegt vermutlich daran, dass du noch kein Conditional Forwarding aktiviert hast. Würde ich auch erstmal weglassen, bis alles andere funktioniert. Lege im Pi-hole einen Local DNS Record an mit fritz.box und der entsprechenden IP

Ja, stimmt. Ich hatte "Conditional Forwarding" noch nicht eingerichtet. Ich weiß auch nicht, wie ich "Local DNS Records" erstellen kann. Einige Leute haben geschrieben, dass sie die Fritzbox im Pi Hole eingetragen haben, aber aufgrund eines Loops scheint dies nicht in Verbindung mit der DNS-Einstellung, die auch den Gast filtert, zu funktionieren.

Als ich vorhin fragte, ob ich den Pi Hole zusätzlich zum lokalen DNS in der Fritzbox bei Standard und alternativ eintragen kann, wurde mir oben "nein" geantwortet. Nun wird gesagt, dass es an etwas anderem liegen könnte, warum ich nicht auf die Fritzbox und den Pi Hole zugreifen konnte. Ich meine jedoch, dass es früher einmal funktioniert hat, als ich alles eingetragen hatte. Das ist jedoch Jahre her und ich habe einiges vergessen, zumindest geht es mir so.

Ich weiß auch nicht, ob ich damals irgendetwas in der Fritzbox eingestellt habe, aber seit ich den Pi Hole eingerichtet habe, funktioniert "fritz.box" nicht mehr und auch andere Geräte im Heimnetzwerk lassen sich nur noch numerisch ansprechen.

Edit. Habe das Menü im Pi hole gefunden. Fritz.box und http://pi.hole/admin/login.php funktionieren je auch.

Eintragen kannst Du den schon, aber das war mitnichten die von Dir formulierte Frage.
Du hast vielmehr gefragt, ob Du alle gewünschten Funktionen des Pi-hole nutzen kannst, wenn Du Pi-hole als Upstream-DNS-Server der FritzBox verwendest.
Und das gibt ein klares Nein:
Wie erläutert, wirst Du die Geräte aus dem Gastnetz nicht über Pi-holes Group Management individuell client-spezifisch filtern können.

Ich würde empfehlen, zunächst auf die Filterung des Gastnetzes zu verzichten und die FB bei den normalen ISP-DNS-Servern zu lassen.

Für den Anfang wäre es ausreichend, die FB Pi-hole als lokalen DNS-Server verteilen zu lassen und in Pi-hole (edit: unter Settings | DNS) nur die FritzBox-IP-Adresse als Upstream DNS Server einzutragen. Alternativ wählst Du beliebige DNS-Server und aktivierst Pi-holes Conditional Forwarding.

Ach so, dann habe ich es falsch aufgefasst. Group Management wäre mir höchstens im normalen Netz wichtig gewesen. Gast meinte ich generell nur mit Filterung. Wenn das nicht so funktioniert, dann ist es eben so. Ich muss gast nicht zwingend einstellen. Ich kann auch das Gast Konto als normales laufen lassen und mit Filter belegen. Es bleibt in der Familie. Aber wie machen es denn dann andere mit der Fritzbox die den Gast gern dabei gehabt hätten?

Die Fritzbox in den pihole eintragen, damit meinst Du wohl bei Dns Upstream DNS Servers-
Custom 1 (IPv4)- die IP der Fritzbox eintragen?

Vermutlich ist "mit Fritzbox im Pihole" eintragen "Use Conditional Forwarding" gemeint. Da habe ich nun die Fritzbox mit Standardeinstellung erstellt.
Gerade bin ich nicht zu Hause, kann aber mit Wireguard auf den pihole zugreifen

Ich weiß nur nicht ob die Konfiguration so gut ist. Zumindest meint mein Sohn, der an der PS5 mit WLAN im Netz ist, das seit gestern, das Internet schlecht ist. Könnte Zufall sein, oder der pihole etwas bremsen.

Was ich auch noch nicht weiß wie ich das machen soll, ist die Möglichkeit nur einem Client eine Internetseite erlauben oder zu verbieten.

Was mir ebenfalls aufgefallen ist, das es keine Nachprüfung vom Pi-hole gibt wenn ein DNS Server im Browser verwendet wird. In meinem hatte ich im Linux Mint Firefox Browser DNS über Https noch aktiviert gehabt. Da gingen die gesperrten Seiten dann natürlich trotzdem.

Vermutlich funktioniert das auch bei anderen Betriebssystemen und Browsern. Ich stelle mir hier ein Admin vor, der glaubt mir dem pihole den Verkehr von mehreren Leuten zu blocken, dabei lässt es sich mit einer normalen Konfiguration umgehen. Ich möchte das ja selbst im Haushalt nicht.

Gäbe es da noch Möglichkeiten den Netzwerkverkehr nachträglich bei jedem Abgang zu kontrollieren und doch zu sperren? Weil im Log sieht es so aus als wäre die Seite für den Client geblockt, tatsächlich ist die aber durch das eigene DNS frei.

Genau.

Das geht über Pi-holes Group Management.

Pi-hole hat weder Zugriff auf einen Client noch auf die Software, die darauf läuft.
Ein DNS-Filter wie Pi-hole sieht stets nur die an ihn gestellten DNS-Anfragen.

Auch wenn in der Regel der vom Netzwerk lokal propagierte DNS-Server verwendet wird: Prinzipiell kann ein Client oder eine darauf laufende Software DNS-Anfragen an beliebige DNS-Server stellen. So lässt sich In den allermeisten Betriebssystemen der zu verwendende DNS-Server einfach manuell einstellen.

Wenn ein Client oder eine Software für die Verwendung eines anderen DNS-Server konfiguriert ist, gehen diese DNS-Anfragen an Pi-hole vorbei (und aus diesem Grund sind DNS-Filter für sich alleine auch nicht als Kindersicherungsmassnahme geeignet).

Ein Admin weiss das und konfiguriert entsprechende Firewallregeln für DNS (Port 53) auf dem Router oder auf einer dedizierten Firewall, um unerwünschten DNS-Verkehr zu unterbinden oder umzuleiten.

Die Firewall der FritzBox erlaubt zwar eine solche Umleitung nicht, aber immerhin die Unterbindung - auf die Beipiele dazu bist Du bereits in Pi-holes FritzBox Guide gestossen.

Für DNS-over-TLS lässt sich analog Port 853 sperren oder umleiten.

DNS-over-HTTPS lässt sich auf diesem Wege nicht einhegen, da hier der normale HTTPS-Verkehr (Port 443) genutzt wird.
Hier führt die entsprechende Konfiguration des Browsers zum Ziel.

Mozilla-basierte Browser wie Firefox prüfen anhand einer speziellen Anfrage, ob DoH genutzt werden soll.
Pi-hole beantwortet diese Anfrage nach dieser Mozilla Canary Domain standardmässig so, dass Firefox die Verwendung von DoH deaktiviert.

Das macht Firefox aber nur, wenn bei der Einrichtung (oder ggf. später) nicht die explizite Verwendung von DoH aktiviert wurde. Anderenfalls muss man DoH im Browser wieder deaktivieren.

Danke das hilft mir schon mal weiter. Gib es für Group Management irgendwo eine gute ausführliche Anleitung?

Wenn ich bei Upstream DNS Servers-
Custom 1 (IPv4)- die IP der Fritzbox eintrage, müssen dann die anderen DNS Server, die oben eingetragen sind dort ganz raus und nur die Fritzbox dort eingetragen lassen? Und in der Fritz Box bei lokalen DNS Server die ip vom Pihole trozdem drin lassen?

Ja stimmt, mit der Fritzbox selbst kann man über die Firewall ja auch noch viele Ports schließen die einiges erlauben und Blacklisten als Filter zuweisen. Bei DNS over Https, wäre das dann natürlich immernoch ein Schlupfsloch wenn man keinen Browser wählt der die Auswahl eines DNS Servers unterbindet. Da müsste man ja sonnst irgendwie HTTPS generell ausschalten, wenn ich das richtig verstanden habe. Und das wäre ja für viele Zwecke sehr unklug.
Das ist schon bei der Einrichtung der Fritzbox sehr zweifelhaft. Hier werden teilweise Passwörter ohne HTTPS übertragen und in Klarnamen angezeigt.

Edit: Die Einstellung in der Fritzbox, aus der Anleitung, die DNS abfragen mit Filtern verhindern soll, hatte bis jetzt bei dem Linux Mint Firefox noch nicht geklappt. Evt. hat es noch etwas damit zu das die Fritzbox IP noch nicht bei "Upstream DNS Servers-
Custom 1 (IPv4)" im Pi hole eingetragen ist. Ich hoffe das auch uBlock Origin dann trotzdem noch funktioniert, im Browser selber funktioniert das ja zumindest auch nochmal anders. Man könnte zwar in about:config Https-DNS unterbinden aber wenn man es nicht generell hinbekommt das jede Anfrage immer über den pihole läuft, was ja wohl nicht möglich ist, kann man das auch schon wieder umgehen wenn man die Werte kennt und das nicht stickt explizit untersagt wird. Aber womöglich haben große Firmen nochmal ganz andere Schutzvorrichtungen um das zu verhindern.

Hatte ich in meinem Post oben bereits verlinkt.

Wie bereits erläutert, lassen sich DoH-Anfragen nicht über diesen Weg blockieren.
Der sicherste Weg ist die Deaktivierung der entsprechenden Option im Browser.

Es gibt einige Domänen-Blocklisten mit bekannten DoH-Servern, deren Zweck die Verhinderung der DNS-Auflösung eines DoH-Servers und damit der Initiierung der DoH-Kommunikation ist. Sofern diese im HOSTS-Format vorliegen, sind sie auch mit Pi-hole verwendbar.

Das ist allerdings kein vollständiger Schutz, denn zum einen kann die DoH-Kommunikation diekt über die IP-Adresse erfolgen (und damit ohne eine DNS-Auflösung), und es kommen natürlich laufend neue, unbekannte DoH-Server hinzu.
Lediglich die direkte IP-Kommunikation zu bekannten DoH-Servern lässt sich dann ggf. über IP-Blocklisten für dedizierte oder Router-Firewalls blockierten, sofern die Firewall das unterstützt.

OK, das es da eine Hostliste mit bekannten DoH-Servern gibt, ist ja schonmal etwas. Die Anleitung zum "Group Management" fand ich persönlich etwas knapp gehalten.
Aber nun nur noch die wichtigste Frage zum Abschluss.

Dann hast Du vermutlich die Beispiele (Examples) übersehen.

Du hast Deine Fragestellung im Laufe des Posts so oft angepasst und erweitert, dass ich das nur mit einem entschiedenen 'Es kommt darauf an' beantworten kann, sofern nicht meine vorherige Antwort zutrifft:

Ja, die Beispiele habe ich tatsächlich übersehen. Ich wusste nicht das es daneben weiter geht.
Damit sind erstmal alle Fragen beantwortet. Danke nochmal.

Jetzt habe ich nochmal den pihole ausgiebig getestet. Leider bin ich nicht zufrieden.
Was habe ich gemacht? Die Anleitung von hier Fritz!Box (DE) - Pi-hole documentation übernommen. In meinem Fall den pihole in der Fritzbox bei lokalen DNS Server eingetragen und die Fritzbox im Pihole bei settings - DNS unten bei Forwarding sowie als einzigen Custom DNS Server.
Die DNS Anfragen sind extrem langsam und im Dashboard im gelben Kasten bei "percentage blocking" steht nur noch 15%. Es war zwar schon auf 20%.
Bevor ich den Raspberry neu aufgesetzt habe und den pihole neu eingerichtet habe stand da was von ungefähr 45%. Und das schon ziemlich am Anfang. Ich glaube aber das ich da in beiden Einstellungen bis auf den alternativen DNS Server eingetragen habe und nichts im Pi-hole selber wie es in der Anleitung empfohlen wird.
Der Seitenaufbau dauert übrigens 7-30 Sekunden.

"percentage blocking" ist nur die Aussage, wie viele der im Netzwerk anfallenden Anfragen geblockt wurden. Die Angabe ist abhängig von den Anfragen, welche von den Geräten gestartet wurden und ansonsten nicht als "Leistungsmerkmal" des pihole zu gebrauchen, sondern eher als "Tacho" zu sehen. Die Angabe hängt auch von der Anzahl der Domains in den Listen ab, wobei "viel hilft viel" hier nicht zielführend ist, sondern zu unerwünschten Blockaden führen kann. Ich habe aktuell rund 870.000 Domains in den Listen und 15 percentage blocking".

Screenshot_2023-03-02-12-23-19-35_3aea4af51f236e4932235fdada7d16431080×2400 174 KB