Nach Update auf V5 keine Filterung mehr über VPN

Guten Morgen,

bei mir läuft Pi.hole auf einem Zero, habe vor kurzem V5 update gemacht, im heimischen WLAN läuft alles wie vorher.

Nun bin ich von unterwegs per VPN mit meinem Netzwerk verbunden und kann den Pi auch problemlos erreichen. Allerdings findet keine Filterung statt. Die Zugriffe per VPN sind auch nicht im Query Log enthalten.

Meine Internetverbinding geht über eine LTE-Router, mit dem ich per WLAN verbunden bin. Das Gerät ist ein S9 mit Stock Android 10. Eine Fritzbox 7490 mit aktueller Labor Software ist in Gebrauch. Auch bei direkter LTE-Verbindung mit dem S9 ergibt sich das gleiche Bild, keine Filterung.

Vor dem Update auf V5 hat die Filterung über VPN funktioniert, allerdings hatte ich da auch noch nicht die Laborversion auf der Fritzbox.

Ideen dazu?

Hallo @zeroer.

Erstmal habe ich ein paar mehr Fragen dazu :slight_smile:

VPN Endpunkt ist die Fritzbox oder der Pi? Hast du schon mal probiert, ob es mit der nicht-Laborversion wieder geht?

Wenn pihole über das VPN erreichbar ist, kannst du mal probieren, ob er auf explizite DNS anfragen reagiert (d.h. von einem Gerät am anderen Ende des VPN Tunnels)

nanopi@nanopi:~$ dig google.de @IP

IP= IP des Piholes

Ich nutze das Fritzbox-VPN, das dürfte damit auch der Endpunkt sein (vielleicht verstehe ich aber die Frage auch nicht ganz richtig, bin eher Anfänger in Netzwerk-/Linux-Fragen).

Nicht-Labor habe ich noch nicht probiert, bin ja gerade unterwegs...

Das Dig-Kommando habe ich gerade getestet (musste dazu dnsutils installieren, ich hoffe mal, das kommt dem Pihole nicht in die Quere...), allerdings sagt mir die Antwort leider nichts...
$ dig google.de @192.168.6.15

; <<>> DiG 9.14.7 <<>> google.de @192.168.6.15
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 7574
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;google.de. IN A

;; ANSWER SECTION:
google.de. 142 IN A 172.217.18.99

;; Query time: 126 msec
;; SERVER: 192.168.6.15#53(192.168.6.15)
;; WHEN: Sun May 17 09:22:32 CEST 2020
;; MSG SIZE rcvd: 54

Ja, ist sie :slight_smile:

Die Antwort besagt, dass 192.168.6.15 (dein Pihole) die Anfrage mit google.de=172.217.18.99 bentwortet hat. D.h. dein Pihole an sich funktioniert auch über das VPN. Du kannst ja mal im Query Log schauen, ob du die Anfrage siehst.

Ich denke also, dass deine VPN Einstellungen durch das Update der FB verändert wurden. Schau mal, ob du da den DNS Server manuell festlegen kannst.

Danke, ja, im Query Log ist die Anfrage enthalten. Alle anderen Aufrufe allerdings nicht, der Pihole scheint also über das VPN nicht als DNS verwendet zu werden. Habe gerade nochmal die Einstellungen bzgl. VPN überprüft, sehen aus wie vorher und es gibt keine Einstellung für DNS.

Werde mal die nächste Laborversion diesbezüglich testen.

Mach mal noch folgendes: VPN an und dann einfach nochmal

dig google.de

Man sieht in der Antwort nämlich auch, welcher Server antwortet.

Dann kannst du sehen, welchen DNS deine Endgeräte aktuell nutzen, wenn der VPN an ist.

SERVER: 8.8.8.8#53(8.8.8.8)

Das ist doch der DNS von Google? Keine Ahnung, warum der eingestellt ist. Kann sein, dass ich den bei der Ersteinrichtung oder Neueinrichtung des Pi eingetragen hatte. Habe aber im Pihole andere Custom IPs als Upstream eingetragen.

Ja, ist es.
Ich denke es ist ein Konfigurationsproblem bei deinen Clients - sie nutzen Google statt pihole wenn das VPN aktiv ist.
Ich habe noch kurz an die Möglichkeit gedacht, dass sie dann die FB nutzen und es da irgendwelche Weiterleitungsprobleme bestehen, dann hättest du als Antwort aber Server=IP-FB erhalten.

Inzwischen glaube ich, dass es nichts mit Pihole V5 und auch nicht mit der Firmware der Fritzbox zu tun hat.
Ich hatte zum Zeitpunkt des Wechsels auf V5 den Pi in der Fritzbox nur bei den Heimnetz Einstellungen eingetragen. Damit läuft dann der Gastzugang ohne Filterung durch den Pi, das sollte bei mir aus bestimmten Gründen auch so sein (Onleihe auf Tolino funktioniert trotz Whitelisting nicht mit Pihole, das ist aber eine andere Geschichte).

Jetzt habe ich den Pi zusätzlich auch noch als DNS Server bei Internet-Zugangsdaten eingetragen (hatte ich zu V4-Zeiten früher auch schon einmal, seinerzeit klappte die Filterung durch den Pi auch über VPN) - und sofort filtert der Pi wieder bei VPN-Zugang.