Hallo,
ich habe einen Openwrt-Router mit zwei Subnetzen konfiguriert: Ein Hauptnetzwerk (192.168.1.0/24) und ein Gast-Netzwerk (192.168.3.0/24). Mein Pi-Hole ist im Hauptnetzwerk. Clients aus dem Gast-Netzwerk sollen den Pi-Hole auch benutzen.
Das Problem ist aber, dass ich keine Clients aus dem Gast-Netzwerk im Query Log sehe.
Meine Konfiguration ist wie folgt:
Ich verbreite in beiden Subnetzen über DHCP options den Pi-Hole als DNS-Server. Das funktioniert auch, denn auf den Clients im Gastnetzwerk sehe ich die Adresse des Pi-Hole als DNS-Server in der IP Konfiguration.
Ich habe im Router die Firewall so konfiguriert, dass man vom Gast-Netzwerk auf Port 53 (DNS) im Hauptnetzwerk zugreifen darf, also ein Client DNS-Anfragen an Pi-Hole senden kann.
In den Pi-Hole-DSN-Settings habe ich "Permit all origins" konfiguiert, um auch Anfragen aus dem Gastnetzwerk zuzulassen.
Trotzdem sehe ich im Query Log vom Pi-Hole nur Clients aus dem Hauptnetzwerk, nicht aus dem Gastnetzwerk. Jemand eine Idee, woran das liegen kann?
danke, aber leider taucht kein Eintrag im Query log auf.
Obwohl im Client unter Netzwerkeigenschaften nur der pi-hole als DNS-Server angezeigt wird, nimmt nslookup immer den Router (Standardgateway) als DNS-Server. Wie kann das sein?
Ich dachte die bevorzugte Variante zur Verbreiten von pi-hole als DNS-Servers an die Clients ist über DHCP options und genau so machen ich das (DHCP option "6, <IP-Adresse vom PiHole>)
nslookup pi.hole
Server: <routername>.lan
Address: fdc1:xxxx:xxxx::x
DNS request timed out.
timeout was 2 seconds.
*** pi.hole wurde von <routername>.lan nicht gefunden: Non-existent domain.
Sehr wahrscheinlich ist dies die IPv6-Adresse Deines Routers.
Wenn das der Fall ist, gibt Dein Router seine eigene IPv6-Adresse als DNS-Server an und ermöglicht es Deinen Clients so, Pi-hole zu umgehen.
Du müsstest also einen Weg finden, Deinen Router so zu konfigurieren, dass er die IPv6-Adresse Deines Pi-Hole-Host-Rechners als DNS-Server anbietet oder aber seine eigene nicht mehr anbietet.
Für weiterführende Einzelheiten zu den IPv6-Konfigurationsoptionen Deines Routers solltest Du die Dokumentationsquellen für Deinen Router heranziehen.
Wenn Dein Router die Konfiguration von IPv6-DNS leider nicht unterstützt, könntest du ggf. IPv6 insgesamt deaktivieren, sofern Du nicht anderweitig darauf angewiesen bist
Wenn Dein Router auch das nicht unterstützt, werden Deine Clients Pi-hole immer über IPv6 umgehen können.
Ein einzelnes nslookup ist immer eine Momentaufnahme; es zeigt nur den jeweils für die konkrete Anfrage verwendeten DNS-Server, aber nicht alle DNS-Server, von denen Dein Client ggf. Kenntnis hat.
Sofern Dein Router seine eigene IPv6-Adresse als DNS-Server verteilt, vermeidet ein Abschalten von DHPCv6 möglicherweise das Problem nur teilweise.
Die meisten IPv6-Clients beziehen ihre Netzwerkeinstellungen nicht über DHCPv6, sondern konfigurieren sich selbständig über SLAAC/NDP.
Dein Router darf also auch über diese Wege nicht seine eigene IPv6 als DNS-Server annoncieren.
Ich hatte bewusst nach der DNS-Anfrage im Query Log gefragt.
Wenn diese überhaupt nicht auftaucht, gehen Anfragen definitiv an Pi-hole vorbei.
Wenn sie zwar auftaucht, aber unter der Adresse Deines Routers, dann maskiert möglicherweise Dein Router oder Deine Firewall-Regel die Client-IP.
Das müsstest Du dann im Router beheben.
Ich habe mit tcpdump getestet: Anfragen werden vom client an den pihole gesendet, aber es gibt keine Antwort und sie tauchen im query log nicht auf. Es scheint also so zu sein, dass sie nicht beim pi-hole ankommen bzw. nicht den Übergang vom guest zum lan network schaffen - was ich aber eigentlich mit der folgenden Firewall-Regel im openwrt router erlaubt habe
config rule
option target 'ACCEPT'
option src 'guest'
option name 'guest dns pihole'
option dest 'lan'
option dest_port '53'
list dest_ip '192.168.1.x'
