Irgendwie funktioniert es nur so halb - Konfig Pi-Hole + Fritzbox

Hallo in die Runde!

Nachdem meine SD Karte "abgeraucht" ist, habe ich das System auf einer neuen Karte wieder aufgesetzt. Soweit, so einfach. Und nun habe ich so viel rumgefummelt und es immer noch nicht richtig hinbekommen, trotz viiiieeel Recherche...daß ich mich hilfesuchend an Euch wende.

Ich beschreibe es mal so umfassend, vielleicht hilft dies auch anderen Usern bei Ihrer Recherche wenn sie mal auf diesen Beitrag stoßen und hoffentlich auch Lösungsansätze aus der Community in den Antworten landen.

Vorab der Istzustand:
In Betrieb ist eine Fritzbox 7590 mit Firmware 7.50 und der IP 192.168.x.1 sowie ein Raspberry 3 auf dem das aktuelle Pi-Hole läuft und hat die 192.168.x.67

Auf der FB habe ich unter Internet->Zugangsdaten->DNS sowohl beim DNSv4 unter bevorzugt wie auch alternativ die 192.168.x.67 eingetragen sowie bei IPv6 die -hoffentlich richtige- IPv6 Adresse des Pi-Hole (ausgelesen im FB Netzwerk in den EIgenschaften zur IP)

Unter Heimnetz->Netzwerk->Netzwerkeinstellungen->IPv4 Einstellungen steht bei DNS Server die IP Adresse der Fritzbox, also die 192.168.x.1
Bei IPv6 habe ich "ULA immer zuweisen" ausgewählt, Lokaler DHCPv6-Server ist angeklickt und die IPv6 Adresse des PI-Hole eingetragen sowie "DNS Server Präfix IA_PD und IA_NA zuweisen" ausgewählt.
Und zuletzt ist unter Heimnetz->Netzwerk->Netzwerkeinstellungen bei DNS-Rebind-Schutz die 192.168.x.67 des Pi-Hole eingetragen.

Beim Pi-Hole sieht es wie folgt aus: Es gibt 2 Gruppen, "Default" und "Ausnahmen", letztere für Geräte die komplett unbeachtet des Pi-Hole direkt ins Netz sollen. Da sind Familienmitglieder, die kein Verständnis für das Pi-Hole haben, mit ihren Geräten drin.

Unter Settings->DNS habe ich einerseits bei den Upstream DNS Servern bei IPv4 und IPv6 Quad9 filtered/ECS/DNSSEC ausgewählt und unter Custom 1 und 3 noch einen anderen Upstream DSN Server.
In den Advanced Settings, auf der gleichen Seite, sind beide "Never forward..." sowie Use DNSSEC angehakt, das Rate Limiting beides auf 0 gesetzt und "Use Conditional Forwarding" ebenfalls angehakt und zum einen 192.168.x.0/24 und 192.168.x.1 sowie fritz.box eingetragen.

Weitere Einstellungen wüsste ich, neben den Blocklisten, nicht was noch zu tun wäre.

Probleme:
Obwohl ich eine gut gepflegte Blacklist selbst erstellt habe, in dem ich sehr viele Domains von Exodus manuell eingetragen habe und ebenfalls noch zahlreiche Einstellungen, die ich nach 2 Jahren in Netguard manuell geblockt hatte, übertragen, wird vieles nicht blockiert wenn ich uBlock im Browser ausschalte. Beispiel ebayKleinanzeigen.
Wenn ich mit meinem Android Telefon die Kleinanzeigen App öffne, ist ebenfalls Werbung angezeigt.

Wenn ich mich nun aber via VPN mit dem Heimnetz über WireGuard einwähle, in dessen Profil als DNS Explizit die 192.168.x.67 eingetragen ist, werden diese Werbungen geblockt.

Daher gehe ich davon aus, daß das Pi-Hole vermutlich richtig eingestellt ist, aber in Kombination mit der Fritzbox nicht richtig läuft.
Frage 1: Was habe ich falsch gemacht?

Wenn ich über den Desktop Browser mit aktiviertem uBlock auf Facebook gehe, werden so gut wie keine Webeposts angezeigt. Wenn ich via WLAN mit dem Android Telefon die FB App nutze, sehe ich die Werbung.
Frage 2: Liegt das an der App generell oder hat uBlock Einstellungen, die ich noch nicht ins Pi-Hole übertragen habe?

In der Logdatei des Pi-Hole werden häufig Domains, die definitiv von meinem Mobilgerät angesurft wurden, als Client "pi.hole" angezeigt und es kann in der letzten Spalte auch keinerlei Aktion (Blacklist/Whitelist) vorgenommen werden.
Frage 3: Ist das normal? Eine falsche Einstellung von mir?

Ich bin inzwischen echt verzweifelt, weil ich nicht voran komme und befürchte es irgendwann bis zu Disfunktion zu verfummeln...

Please help!

Wackermann

Bitte lade ein Debug Log hoch und poste hier anschließend nur die Token-URL.
Das Token generierst Du über

pihole -d

wobei Du die Frage nach dem Upload bejahst, oder Du machst das über die Weboberfläche:
Tools > Generate Debug Log

EDIT: Und vorab schonmal zu Frage 3:

Wahrscheinlich ist das kein Grund zur Beunruhigung:
Bei aktiviertem DNSSEC wäre es normal, dass Pi-hole die benötigten DNS-Anfragen zur Überprüfung der digitalen Signatur für die aufgerufene Domäne stellt, s.a. Understanding DNSSEC validation using Pi-hole's Query Log.
Das sind dann Anfragen vom Typ DS oder DNSKEY, im Gegensatz zu A oder AAAA für die Anfrage der IP-Adresse.

Danke schon mal das Du Dich meines Problems annimmst!

Die Token-URL: https://tricorder.pi-hole.net/IsjwPakT/

Jetzt hab ich es von meiner Fummelei...seit 15:36 Uhr keine Logeinträge mehr. Was hab ich jetzt nur gemacht...?

...und ich habe weiter gefummelt. Nun geht es wieder. Zumindest überwiegend.

Ich habe es komplett umgedreht. In der Fritzbox steht nun unter Internet->Zugangsdaten->DNS bei IPv4 und v6 jeweils zwei externe DNS (Quad9 und Digitalcourage). Unter Heimnetz->Netzwerk->Netzwerkeinstellungen->IPv4 Einstellungen steht nun bei DNS Server die IP Adresse des Pi-Hole und dasselbe bei IPv6.

Damit funktioniert nun auch scheinbar das meißte Blocking.

Doch, obwohl nun bei ebay Kleinanzeigen alles geblockt wird und auch auf dem Android Endgerät sowohl im WLAN wie auch über VPN in der Kleinanzeigen und Heise App geblockt wird, so werden die Anzeigen auf einer Google Suchseite nicht geblockt.

Was habe ich vergessen? In den zahlreichen Blocklisten die ich im Einsatz habe, sollten die Google Adserver doch vertreten sein...

Und nun bekomme ich teilweise im Pi-Hole Log IP Adresse angezeigt und teilweise die Namen der Geräte. Das ist inkonsistent. Und...im Gegensatz zu vorher, werden keine IPv6 Adresse der Netzwerkgeräte mehr angezeigt, sondern die v4 Adressen.
grübel

Hat jemand eine Idee?

Pi-hole erhält -wie jeder DNS-Filter- grundsätzlich nur DNS-Anfragen aus Deinem Netzwerk.
Es kann demzufolge auch nur die Auflösung von Domänen blockieren - das allerdings für jede aus Deinem Netzwerk erhaltene DNS-Anfrage, unabhängig davon, ob die ein Browser, ein Betriebssystem oder eine sonstige Software gestellt hat.
Wenn Inhalte und Werbung über dieselbe Domäne ausgeliefert werden, kann Pi-hole entweder die Domäne erlauben (also Inhalte samt Werbung) oder blockieren - und damit Werbung samt Inhalten unterdrücken.

Eine Browser-Erweiterung wie uBlock Origin sieht hingegen die komplette URL.
Sie kann daher potentiell gezielt z.B. Text erlauben und Werbegrafiken unterbinden, auch wenn diese von derselben Domäne ausgeliefert wurden - allerdings eben ausschließlich diejenigen genau des Browsers, in dem sie installiert wurde.

Pi-hole und Browser-Erweiterungen ergänzen sich also.

Dies bedeutet für Deine Beobachtung:
Das ist ein erwartetes Ergebnis.

Möglicherweise nichts - das wird sich nach Deiner zwischenzeitlichen Fummelei jetzt wohl nicht mehr eindeutig klären lassen.

Zumindest Deine beiden Gruppen werden aber mit Deiner ursprünglichen Einstellung nicht funktioniert haben, da Deine Clients ihre DNS-Anfragen bislang an die FritzBox geschickt haben.
Erst die FB hat sie dann an den unter Internet|Zugangsdaten|DNS eingetragenen Pi-hole weitergesendet. Demzufolge wäre auch nur Deine FB in Pi-hole als Client aufgetaucht - eine client-spezifische Filterung ist damit nicht möglich.

Allerdings weist Dein Debug Log durchaus DNS-Anfragen von individuellen Client-IPs aus, was zu Deiner ursprünglichen Beschreibung im Widerspruch steht(!?).

Für mögliche Optionen bei der Konfiguration der FritzBox und damit ggf. verbundenen Auswirkungen könntest Du einen Blick werfen auf Fritz!Box (DE) - Pi-hole documentation.

This topic was automatically closed 21 days after the last reply. New replies are no longer allowed.