Hallo,
aktuell läuft mein pi-hole mit diversen Geräten problemlos. Nun möchte ich für ein Gerät (Tablet) den Internetzugang so einschränken, dass dieses Gerät nur 4 ausgewählte Domains erreichen kann.
Leider habe ich mit meinen Versuchen keinen Erfolg.
Was habe ich getan?
Eine neue Gruppe "Tablet" definiert
Die Internetadressen in die Whitelist eingetragen
Testweise " (\.|^)t-online\.de$" als Regex in die Blacklist eingetragen (Somit sollte alles mit t-online nicht mehr erreichbar sein)
Die Mac-Adresse des Tablet der Gruppe "Tablet" zugewiesen (Default entfernt)
Die Whitelist- und Blacklisteinträge der Gruppe "Tablet" zugewiesen.
Vom Tablet sind weiterhin alle Einträge mit "t-online" erreichbar. Somit weiß ich nicht mehr weiter.
Bitte lade ein Debug Log hoch und poste hier anschliessend nur das Token.
Das Token generierst Du über
pihole -d
wobei Du die Frage nach dem Upload bejahst, oder Du machst das über die Weboberfläche: Tools > Generate Debug Log
Eine mögliche Erklärung wäre noch: das Tablet verwendet nicht/nicht nur Pi-hole als DNS server.
Schau doch mal im Query Log, ob die Anfrage nach t-online vom Tablet dort auftaucht.
* Received 301 bytes from eth0:192.168.70.250
Offered IP address: 192.168.70.5
Server IP address: 192.168.70.250
Relay-agent IP address: N/A
BOOTP server: (empty)
BOOTP file: (empty)
DHCP options:
Message type: DHCPOFFER (2)
server-identifier: 192.168.70.250
lease-time: 604800 ( 7d )
renewal-time: 302400 ( 3d 12h )
rebinding-time: 529200 ( 6d 3h )
netmask: 255.255.255.0
broadcast: 192.168.70.255
domain-name: "lan"
dns-server: 192.168.70.250
dns-server: 192.168.180.50
[✓] IPv6 address(es) bound to the eth0 interface:
2001:aXXXXXXX does not match the IP found in /e
Es gibt für dein Tablet min 2 Wege Pi-hole zu umgehen. Du hast IPv6 in deinem Netzwerk aktiv (und die Geräte bekommen globale Adressen), und du gibst 2 DNS Server via DHCP raus.
Danke für die Info. Dann werde ich diese Einstellungen auch direkt am 2. Pi-Hole durchführen.
Wie kann ich denn dafür sorgen, dass auch die IPV6-Anfragen über den Pi-Hole laufen? Ich hatte verstanden, dass dies mit "meinen" Einstellungen" automatisch auch der Fall ist.
Das hängt davon ab, was Dein Router Dir diesbezüglich an Konfigurationsmöglichkeiten erlaubt.
Wenn Dein Router nirgends die Konfiguration von IPv6-Adressen für DNS-Server zulässt, aber trotzdem seine eigene IPv6 (oder die der ISP-DNS-Server) annonciert, dann bleibt als letztes Mittel nur noch das komplette Deaktivieren von IPv6.
Wird auch das vom Router nicht unterstützt, können und werden Clients Deinen Pi-hole generell über IPv6 umgehen.
Danke für Eure Tipps.
IPV6 hat sich seit heute erledigt. Ich habe jetzt ein Kabelmodem vor der FB7490. In der FB und im pi-Hole (DHCP) ist nun IPV6 deaktiviert (kann das Kabelmodem nicht).
Den Rest muss ich noch testen. War jetzt erst einmal mit der Umstellung beschäftigt
ich habe nun noch einmal getestet. Wenn ich vom Gerät die IP-Adresse auswähle, dann funktioniert es. Versuche ich das Gerät jedoch über die MAC-Adresse zu sperren, geht es nicht.
Könnt Ihr das reproduzieren?
Da die IP per DHCP vergeben wird, wäre natürlich eine Sperre über die MAC-Adresse gut. Alternativ muss ich diesem Gerät eine Feste IP verpassen
Da hast du ja eigentlich nur die IP des Tablets aus der Konfiguration entfernt, oder? Per MAC ist es ja in beiden Konfigurationen dabei.
Mir fallen zwei Sachen ein: Ganz banal, stimmt die MAC zum Gerät?
Ich sehe verschiedene IP-Bereiche, die nicht zu einem /24 Netz gehören. Das ist erstmal kein Problem per se, wenn du DNS Anfragen jedoch über einen Router schickst, wird die MAC dabei jedoch nicht übertragen (Ausnahme z.B. EDNS(0)). Hast du so ein "komplexeres" Setup?
Ja ich habe mehrere VLANs.
In einem VLAN (192.168.160.0/24 ist das Tablet
In einem VLAN (192.168.100.0/24 ist der PC
In einem VLAN (192.168.180.0/24 ist der 2. PI-HOLE als DNS-Server
Und im VLAN 192.168.70.0/24 ist der Router (FB7490) und der 1. DNS-Server inkl DHCP.
Die MAC-Adresse habe ich aus der "DHCP-Tabelle"
XX:XX:XX:XX:XX:XX 192.168.160.51 android-9ffb6b2454359f99