Ein Gerät für das Internet sperren (nur 4 augewählte Domains zulassen)

Hallo,
aktuell läuft mein pi-hole mit diversen Geräten problemlos. Nun möchte ich für ein Gerät (Tablet) den Internetzugang so einschränken, dass dieses Gerät nur 4 ausgewählte Domains erreichen kann.
Leider habe ich mit meinen Versuchen keinen Erfolg.
Was habe ich getan?

1. Eine neue Gruppe "Tablet" definiert
2. Die Internetadressen in die Whitelist eingetragen
3. Testweise " (\.|^)t-online\.de$" als Regex in die Blacklist eingetragen (Somit sollte alles mit t-online nicht mehr erreichbar sein)
4. Die Mac-Adresse des Tablet der Gruppe "Tablet" zugewiesen (Default entfernt)
5. Die Whitelist- und Blacklisteinträge der Gruppe "Tablet" zugewiesen.

Vom Tablet sind weiterhin alle Einträge mit "t-online" erreichbar. Somit weiß ich nicht mehr weiter.

Wer kann helfen? Was verstehe ich falsch?

Viele Grüße
Jürgen

Klingt eigentlich ganz gut.

Bitte lade ein Debug Log hoch und poste hier anschliessend nur das Token.
Das Token generierst Du über

pihole -d

wobei Du die Frage nach dem Upload bejahst, oder Du machst das über die Weboberfläche:
Tools > Generate Debug Log

Eine mögliche Erklärung wäre noch: das Tablet verwendet nicht/nicht nur Pi-hole als DNS server.
Schau doch mal im Query Log, ob die Anfrage nach t-online vom Tablet dort auftaucht.

Hallo yubiuser,

anbei die gewünschte Info:
Token
Viele Grüße
Jürgen

   * Received 301 bytes from eth0:192.168.70.250
     Offered IP address: 192.168.70.5
     Server IP address: 192.168.70.250
     Relay-agent IP address: N/A
     BOOTP server: (empty)
     BOOTP file: (empty)
     DHCP options:
      Message type: DHCPOFFER (2)
      server-identifier: 192.168.70.250
      lease-time: 604800 ( 7d )
      renewal-time: 302400 ( 3d 12h )
      rebinding-time: 529200 ( 6d 3h )
      netmask: 255.255.255.0
      broadcast: 192.168.70.255
      domain-name: "lan"
      dns-server: 192.168.70.250
      dns-server: 192.168.180.50


[✓] IPv6 address(es) bound to the eth0 interface:
   2001:aXXXXXXX does not match the IP found in /e

Es gibt für dein Tablet min 2 Wege Pi-hole zu umgehen. Du hast IPv6 in deinem Netzwerk aktiv (und die Geräte bekommen globale Adressen), und du gibst 2 DNS Server via DHCP raus.

Danke für die Info. Dann werde ich diese Einstellungen auch direkt am 2. Pi-Hole durchführen.

Wie kann ich denn dafür sorgen, dass auch die IPV6-Anfragen über den Pi-Hole laufen? Ich hatte verstanden, dass dies mit "meinen" Einstellungen" automatisch auch der Fall ist.

Viele Grüße
Jürgen

Du musst in deinem Netzwerk ULAs aktivieren und die des Pi-holes als DNS Server setzen.

Das hängt davon ab, was Dein Router Dir diesbezüglich an Konfigurationsmöglichkeiten erlaubt.

Wenn Dein Router nirgends die Konfiguration von IPv6-Adressen für DNS-Server zulässt, aber trotzdem seine eigene IPv6 (oder die der ISP-DNS-Server) annonciert, dann bleibt als letztes Mittel nur noch das komplette Deaktivieren von IPv6.

Wird auch das vom Router nicht unterstützt, können und werden Clients Deinen Pi-hole generell über IPv6 umgehen.

Danke für Eure Tipps.
IPV6 hat sich seit heute erledigt. Ich habe jetzt ein Kabelmodem vor der FB7490. In der FB und im pi-Hole (DHCP) ist nun IPV6 deaktiviert (kann das Kabelmodem nicht).

Den Rest muss ich noch testen. War jetzt erst einmal mit der Umstellung beschäftigt

Viele Grüße
Jürgen

Hallo zusammen,

ich habe nun noch einmal getestet. Wenn ich vom Gerät die IP-Adresse auswähle, dann funktioniert es. Versuche ich das Gerät jedoch über die MAC-Adresse zu sperren, geht es nicht.
Könnt Ihr das reproduzieren?
Da die IP per DHCP vergeben wird, wäre natürlich eine Sperre über die MAC-Adresse gut. Alternativ muss ich diesem Gerät eine Feste IP verpassen

Viele Grüße
Jürgen

Meinst du in "Group Management" / "Clients" die Drop-Down Auswahl?:

Ich habe es eben probiert (per MAC) und bei mir funktioniert es. Stelle es doch mal ein und generiere einen neuen Debug Token.

Ja unter "Group Management" / "Clients" habe ich das eingerrichtet. mitt der nun übertragenen Einstellung funktioniert es.

Token

Soll ich auch noch für die Einstellung unter der es nicht funktioniert ein Token erzeugen?

Ja, bitte.

Ich habe die Einstellung auf beiden pi-hole identisch eingetragen. Bei Bedarf kann ich auch vom 2. Pi-Hole (Docker-Installation) ein Token senden.

Und nun der Token, bei dem die Sperre nicht funktioniert.
Token

Da hast du ja eigentlich nur die IP des Tablets aus der Konfiguration entfernt, oder? Per MAC ist es ja in beiden Konfigurationen dabei.

Mir fallen zwei Sachen ein: Ganz banal, stimmt die MAC zum Gerät?

Ich sehe verschiedene IP-Bereiche, die nicht zu einem /24 Netz gehören. Das ist erstmal kein Problem per se, wenn du DNS Anfragen jedoch über einen Router schickst, wird die MAC dabei jedoch nicht übertragen (Ausnahme z.B. EDNS(0)). Hast du so ein "komplexeres" Setup?

[✓] IPv4 address(es) bound to the eth0 interface:
   192.168.70.250/24

   3     2             192.168.100.2                                                                                         2021-04-23 19:36:02  2021-04-23 20:02:25                                           
   6     1             192.168.160.51                                                                                        2021-04-23 19:54:12  2021-04-23 20:02:18  FHEM-Tablet 

Ja ich habe mehrere VLANs.
In einem VLAN (192.168.160.0/24 ist das Tablet
In einem VLAN (192.168.100.0/24 ist der PC
In einem VLAN (192.168.180.0/24 ist der 2. PI-HOLE als DNS-Server
Und im VLAN 192.168.70.0/24 ist der Router (FB7490) und der 1. DNS-Server inkl DHCP.

Die MAC-Adresse habe ich aus der "DHCP-Tabelle"
XX:XX:XX:XX:XX:XX 192.168.160.51 android-9ffb6b2454359f99

Ich habe die Ursache gefunden

MAC address recognition only works for devices at most one networking hop away from your Pi-hole.

Viele Grüße
Jürgen

Was verwendest du als Router?

FB7490 + CISCO SG-250 als Switch

Gibt es einen technischen Grund für diese Einschränkung bei MAC-Adressen?