Hallo zusammen,
seit heute betreibe ich in meinem Haus ein PiHole auf einem Pi 3B+ der an einer Fritzbox hängt. Der DHCP Server der Fritzbox ist so eingestellt, dass er im Heimnetz die PiHole IP als DNS Server angibt. Das funktioniert auch soweit und die Anfragen scheinen alle schön über das PiHole zu laufen. Habe dies mit nslookup nachgeprüft. Nun habe ich aber einmal die Gegenprobe gemacht und das PiHole ausgeschaltet. Ergebnis war, dass ich irgendwie immer noch ins Internet komme.
Ich habe daraufhin (mit abgeschaltetem PiHole) einmal nslookup aufgerufen und habe folgende Ausgabe erhalten:
C:\Users\chris>nslookup www.cnn.com
DNS request timed out.
timeout was 2 seconds.
Server: UnKnown
Address: 192.168.1.10
DNS request timed out.
timeout was 2 seconds.
DNS request timed out.
timeout was 2 seconds.
Nicht autorisierende Antwort:
Name: turner-tls.map.fastly.net
Addresses: 2a04:4e42:3::323
151.101.113.67
Aliases: www.cnn.com
Weshalb schafft Windows es denn immer noch den Hostnamen aufzulösen?
Auch wenn ich ipconfig /flushdns zuvor ausführe ändert sich am obigen Verhalten nichts.
Ich hoffe es kann mir hier jemand dieses komische Verhalten erklären. Ist meine Konfiguration noch fehlerhaft?
Möglicherweise ist IPv6 aktiv und du hast vergessen, die Link Local des RPi, also die fe80:: als lokalen DNS-Server in die Fritzbox einzutragen. Die gibt die dann ebenso wie die IPv4 an die Netzwerkgeräte. Ansonsten gibt sie ihre ULA als DNS-Server bekannt und damit ist die Umgehung des Pihole möglich.
Hostnamen müssen nur einmal zu Beginn einer Kommunikation aufgelöst werden, danach kennt Dein Client ja die Adresse, was bis zum Ablauf der TTL (time-to-live, wird mit der DNS-Antwort zurückgegeben) so bleibt, möglicherweise auch länger, da verschiedene Instanzen (z.B. OS und Browser) auf einem Client cachen können.
Mit ipconfig /flushdns hast Du schon einmal den OS-Cache geleert, aber um sicher zu sein, solltest Du auch Deinen Browser beenden und neu starten.
Darüber hinaus hängt es von Deiner Konfiguration ab, ob ggf. noch weitere DNS-Server im Spiel sind.
Wo hast Du Pi-hole denn in der FB eingetragen?
EDIT: Hast Du dieselbe Frage hier zweimal geposted ?
Also die Fritzbox is so konfiguriert, dass sie die IPV4 (192.168.1.10) und die IPV6 (fd00::...) des Pihole an die DHCP clients weiterleitet. Ich habe das Ganze IPV6 Zeug nach der folgenden Seite eingestellt: Pi-Hole – IPv6 und die Fritz!Box - adminForge
Ich sehe auch die IPv4 und IPv6 Adresse des Pihole's im Netzwerkstatus meines Windows Rechners. Soweit macht das die Fritzbox also im Netzwerk richtig bekannt. Wenn ich dann jedoch das Pihole abschalte erhalte ich oben erwähntes Verhalten. Windows kann aus irgend einem Grund die Domain immer noch auflösen.
Es geht mir ja noch nicht einmal um den Browser. Der hat ja evtl. noch einmal seinen ganz eigenen Cache. In erster Linie frage ich mich warum Windows selbst mit dem Befehl nslookup den Namen noch auflösen kann. Das hätte ich nach einem flushdns nicht erwartet.
Ja, sorry. Die Anmerlung auf der Seite hier war, dass die deutsche Community recht klein ist und ich mitunter sehr lange auf eine Antwort warten müsste. Daher habe ich mich eben noch einmal auf Englisch bemüht. Wusste ja nicht, dass Ihr sooooo fix seid.
Der Hinweis, dass auch der Browser DNS cached (im Firefox kann man das prima deaktivieren) ist zwar richtig, greift aber bei nslookup nicht.
Zur Konfiguration der Fritzbox noch folgender Hinweis:
Um sie zur Bekanntgabe der IPv6 des Pihole zu bewegen, empfehle ich die Nutzung dessen Link Local und nicht die ULA. Der Grund: Wenn man (sinnvoller weise) mit IPv6-Privacy-Extension arbeitet, wird das Pihole mit den Anfragen von (bevorzugten) privatisierten ULAs geflutet. Das kann unübersichtlich werden. Steht stattdessen die Link Local des Pihole im RA, benutzen die Clients normalerweise auch ihre Link Local für DNS-Anfragen an Pihole. Also besser in dieser Weise eintragen:
Wobei freilich die richtige Hardware-ID des Pihole-Rechners einzusetzen ist. Und: Das funktioniert ausschließlich bei Clients, die sich exakt im selben Netzwerksegment befinden, also direkte Nachbarn. Link Locals sind nicht routbar.
Da hat wohl mein find die Ausgabe auf eine Zeile begrenzt - sorry
Tatsächlich gibt ipconfig /all alle DNS-Server aus, aber das ist erstens sehr viel und beinhaltet zweitens auch irgendwo die MAC, die man besser nicht öffentlich posten sollte (da persistent eindeutig).
Kannst Du herausfinden, wieviele und welche DNS-Server Dein Win10 bei aktiviertem IPv6 mit ipconfig /all auflistet?
ipconfig /all liefert mir nur die IPv4 und die IPv6 des PiHole's als DNS Server. Außer denen beiden habe ich keinerlei DNS Einträge. Und genau daher bin ich so verwundert, dass es wohl immer nicht irgendwie klappt mit der Namensauflösung.
Also Tests mit Browser lass bitte erstmal weg! Das kannst du nur machen, wenn du dort den DNS-Cache deaktivieren kannst (in Firefox via about:config). Alles andere wird nix.
Tools wie nslookup, ping und tracert nutzen den Systemcache und der cached auch nicht nur viel, sondern ewig. Der sollte zwar eigengentlich via ipconfig /flushdns geleert werden, aber man kann auch - zumindest vorüebergehend, dauerhaft empfiehlt sich das nicht - den Cache frühzeitig altern lassen:
Dort ein DWORD mit dem Namen MaxCacheTtl einfügen. Dessen Wert (dezimal) in Sekunden bestimmt die Obsoleszenz von DNS-Records. Da kann man auch mal mit einer Sekunde experimentieren.
Ich betone experimentieren. Das erspart beim Testen das ständige Flushen.
Needless to say: Diese Änderung wirkt erst nach einem Reboot. Den DNS-Cache-Dienst darf man (zumindest bei Win10) nicht mal als Admin händisch neustarten.
Ok, ich habe den Wert mal auf 1 Sekunde gestellt und neu gestartet. Auch NetBios über TCP/IP habe ich deaktiviert. Dennoch, auch nun kann ich per nslookup nach dem Reboot noch den Host auflösen:
C:\Users\chris>nslookup www.test.com
DNS request timed out.
timeout was 2 seconds.
Server: UnKnown
Address: fd00::c861:abb3:548d:acc1
DNS request timed out.
timeout was 2 seconds.
DNS request timed out.
timeout was 2 seconds.
Nicht autorisierende Antwort:
DNS request timed out.
timeout was 2 seconds.
Name: www.test.com
Address: 69.172.200.235
Auch exotische Domains die ich zuvor zu 100% noch nie besucht habe "http://www.bom.gov.au/" kann ich ansprechen. Mein Browser benötigt aber rund 6-8 Sekunden um die Domain aufzulösen. Puh, das ist eine harte Nuss.
Ja, 1000%. Die F!B zeigt mir diese IP für mein PiHole an. Das Pihole hat diese IP in seiner config auch angezeigt. Ein Ping ist nicht möglich. Das PiHole habe ich derzeit aus. Die IPs stimmen alle. Windows hat irgendwas in der Hinterhand wo es immer noch in der Lage ist Hostnamen aufzulösen wenn der normale Weg über den DNS nicht klappt.
Das ist dann mit Sicherheit kein Pi-hole-Problem... aber ein ziemlich fragwürdiges Verhalten von Windows.
Und das zweite Mal, dass mir das innerhalb von zwei Wochen unterkommt: @jpgpi250 hat vor 12 Tagen (in einem anderen Zusammenhang) etwas ähnliches berichtet - we may be up to some unsolicited behaviour in Windows here..
