Pihole läuft auf einem Rasberry Pi als DNS. Die Fritzbox 7490 ist DHCP. An Fritzbox ist neben dem Pihole noch ein Freifunk-Router angeschlossen. ISP: Telekom. Leitung: DSL
Pi-Hole DNS-Einstellungen: (zurzeit. Ich habe im Laufe der Zeit schon einiges ausprobiert, aber es wurde nicht dauerhaft besser)
Allow only local requests
Never forward reverse lookups for private IP ranges
Use DNSSEC
Use Conditional Forwarding 192.168.1.1/24 und 192.168.1.1 (Fritzbox)
Einstellungen in der Fritzbox 7490:
Internet > Zugangsdaten > DNS-Server: 1. DNS-Server: Pi-Hole, 2. DNS-Server: Quad9 (beide für IPv4 und IPv6)
Begründung: Zweiter DNS-Server Quad9 soll beim Gastnetz wegen anhaltender Probleme für bessere Konnektivität sorgen. Ich weiß, dass Ad-Blocking dann nicht mehr richtig funktioniert.
Internet > Zugangsdaten > IPv6: IPv6-Unterstützung aktiv > IPv6-Anbindung: Native IPv6-Anbindung verwenden (Telekom unterstützt natives IPv4 und natives IPv6)
Heimnetz > Netzwerk > Netzwerkeinstellungen > DNS-Rebind-Schutz: Hier ist mein Freifunk-Router angegeben.
DHCPv6-Server in der FRITZ!Box für das Heimnetz aktivieren: > FRITZ!Box wird als DNS-Server via DHCPv6 bekannt gegeben.
Frage: Ist das so richtig oder ist da etwas problematisch?
Hintergrund ist der, dass ich teils Probleme habe Internetseiten zu erreichen, d. h. sie werden oft lange nicht gefunden und dann irgendwann doch. Hier soll in erster Linie geklärt werden, ob die Fritzbox richtig konfiguriert ist. Step by Step.
Danke für den Tipp. Das habe ich schon gemacht und auch größtenteils befolgt. Leider werden da auch nicht alle Fragen beantwortet, z. B. werden da keine Angaben gemacht, wie man mit einem Freifunk-Router im Netzwerk umgeht, falls der überhaupt eine Rolle spielt (der hängt am Gastnetzwerkanschluss). Mir würde aber schon weiter helfen, wenn mir jemand sagen kann, dass die von mir vorgenommen Einstellungen so korrekt sind. Oder wenn nicht: was falsch ist.
Meine Probleme könnten mit der Konfiguration der FB zusammen hängen. Oder auch mit der Konfiguration des Pi-holes. Der Techniker von der Telekom sagt, die Leitung ist in Ordnung.
Die Konfiguration von Pi-hole als Upstream der FB hat gegenüber der Konfiguration als lokaler DNS-Server den Vorteil, das auch das Gastnetz gefiltert wird, aber den Nachteil, das DNS-Anfragen nicht mehr client-spezifisch zugeordnet werden können.
Wenn Du allerdings Pi-holes Conditional Forwarding aktivierst und gleichzeitig Pi-hole als Upstream-DNS-Server Deiner Fritzbox einstellst, dann hast Du -wie im Guide erläutert- einen potentiellen DNS-Loop (DNS-Endlosschleife) konfiguriert - z.B. würde eine Anfrage für www.google.de.fritz.box zwischen FB und Pi-hole endlos hin- und hergereicht (praktisch bis zum Timeout).
Da DNS-Anfragen von Clients oft routinemässig um die Suchdomäne erweitert werden, könnte dies Deine Beobachtung zumindest insoweit erklären, als nur Clients aus dem Gastnetz betroffen wären.
Das lässt sich wegen entsprechender Konfigurationsmöglichkeiten für das Gastnetz in der FritzBox nicht vermeiden. Du könntest einen entsprechenden Verbesserungsvorschlag bei AVM einreichen, wie z.B. in PiHole + Fritz.Box + Gastzugang - #8 by DL6ER formuliert (ein Entwurf für einen Vorschlag steht im letzten Absatz).
Ich würde also zunächst einmal auf die Gastnetz-Filterung verzichten.
Wenn das keine Besserung bringt, dann beschreibe Dein Fehlverhalten bitte etwas konkreter, möglichst mit Beispielen, und lade ein Debug Log hoch und poste hier anschliessend nur das Token URL.
Das Token generierst Du über
pihole -d
wobei Du die Frage nach dem Upload bejahst, oder Du machst das über die Weboberfläche: Tools > Generate Debug Log
Die Probleme habe nicht nur ich im Heimnetz (über LAN), sondern auch ein Mitbewohner im Gastnetz (über WLAN).
Habe ich eventuell die Anleitung falsch verstanden und man sollte entweder Pihole auf WAN-Seite ODER auf LAN-Seite einstellen? Ich hatte das als UND verstanden. Ich hatte mir eigentlich gedacht, dass in der FB zum einen der globale DNS (für Gastnetz und LAN) und im Heimnetz nur der für das LAN eingerichtet wird. Vielleicht habe ich das fundamental falsch interpretiert. Wenn ich das aber jetzt endlich richtig verstehe, dann reicht es, wenn ich das pihole auf WAN-Seite als DNS eintrage und im LAN unter Heimnetz die Fritzbox, richtig?
So ganz langsam leuchtet mir der Fehler ein. Der Upstream-DNS-Server soll im Pihole konfiguriert sein und ist es dort auch.
Ich hatte hier absichtlich kein Debug-Token eingestellt, weil ich dachte, das ist zu viel auf ein Mal. Kann ich aber ja machen. Also hier:
Irgendwie kommt gefühlt keine Antwort mehr, sobald ich ein Token hoch lade. Naja, ich habe jetzt im Heimnetzwerk die FB als DNS eingetragen. Neues Token:
Die Menschen, die hier den (absolut ehrenamtlichen) Support bieten, haben auch mal Wochenende, betreuen auch noch anderssprachige Foren.
Außerdem steht oben über dem deutschsprachigen Teil, dass es länger dauern kann, bis der Support hier antwortet.
Also habe Geduld.
Laut Debug Log trägt eth0 nur eine link-lokale und eine GUA IPv6-Adresse:
[✓] IPv6 address(es) bound to the eth0 interface:
2003:<redacted>:3769/64
fe80::<redacted>::2a60/64
Setup variables deuten aber auf die beabsichtigte Verwendung einer ULA-Adresse hin.
Du solltest sicherstellen, dass die in der FritzBox für hinterlegte Pi-hole-IPv6-Adresse auch tatsächlich verfügbar ist. Die aktuellen eth0-Zuordnungen auf Deinem Pi-hole-Hostrechner erhälst Du z.B. mit
Hmm. Ich habe die Einstellungen in der FB mal wie folgt geändert:
Router Advertisement im LAN aktiv
War eingestellt: Unique Local Addresses (ULA) zuweisen, solange keine IPv6-Internetverbindung besteht (empfohlen)
Habe ich jetzt geändert zu: Unique Local Addresses (ULA) immer zuweisen
DNSv6-Server im Heimnetz
war nicht aktiviert, aber habe ich jetzt aktiviert: DNSv6-Server auch über Router Advertisement bekanntgeben (RFC 5006)
Ist das so korrekt?
Also die in der FB für Pihole hinterlegte Adresse unter der nun aktivierten Einstellung "DNSv6 Server im Heimnetz"? Die dort eingestellte IPv6-Addresse ist übereinstimmend mit der zweiten Adresse, die ich nach ip -6 address show eth0 bekomme (efixroute dynamic).
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 state UP qlen 1000
inet6 2003:[xxx]:52d4/64 scope global mngtmpaddr noprefixroute dynamic
valid_lft 7155sec preferred_lft 1493sec
inet6 fd00:[xxx]:bf8/64 scope global mngtmpaddr noprefixroute dynamic
valid_lft 7155sec preferred_lft 3555sec
inet6 fe80:[xxx]:2a60/64 scope link
valid_lft forever preferred_lft forever
Bin mir, ehrlich gesagt, nicht so sicher, was mir die Ausgabe sagt.
Es zeigt Dir alle auf dem eth0-Netzwerk-Interface aktuell zugeordneten IPv6-Adressen an.
Das erklärt, warum Dein Pi-hole-Hostrechner überhaupt keine ULA-Adresse auf eth0 hatte.
Über die ULA-Adresse war Pi-hole damit nicht erreichbar.
IPv6-präferierende Dual-Stack-Clients werden daher zunächst erfolglos eine Verbindung zu dieser nicht existierenden ULA-Adresse versucht haben, bevor sie auf IPv4 zurückgefallen sind. Das könnte also auch den von Dir beobachteten trägen Seitenaufbau erklären.
Deine diesbezügliche Anpassung sollte das nun behoben haben.
Dann bin ich ja mal gespannt und hoffe, dass nun alles prima läuft!