Netzwerk-Konfig - was macht Sinn


#1

Hallo Zusammen

Mein PI-hole läuft soweit ganz gut und filtert ordentlich Webseiten raus. Trotzdem würde ich gerne eure Meinung zu meiner Netzwerk-Konfiguration hören.

Ausgangslage jetzt:

  • ISP-Router (192.168.1.1). DHCP deaktiviert. Auf dem Router sind zwei externe DNS des ISP hinterlegt.
  • DHCP-Server auf dem Pi-hole aktiviert. DNS-Adresse=Pi-hole (192.168.1.50), Gateway=192.168.1.1
  • Pi-hole Konfig für Upstream-DNS = 192.168.1.1

Macht das Sinn so? Oder wäre es besser, beim Pi-hole Upstream-DNS die zwei externen DNS vom ISP zu hinterlegen und beim Router diese zwei zu entfernen und stattdessen den Pi-hole (192.168.1.50) anzugeben? Wie würdet ihr es anstellen?

Danke für eure Meinung und viele Grüsse

Fred


#2

Hallo,

beim Router diese zwei zu entfernen und stattdessen den Pi-hole (192.168.1.50) anzugeben

kann nur für mich sprechen, aber so würde ich es machen - und so habe ich es gemacht. Die vom Provider vorgegebenen DNS-Server im Router durch die IP von Pi-hole ersetzen und in Pi-hole die von dir gewünschten Upstream-DNS-Server auswählen bzw. angeben.


#3

wozu? Der DHCP-Server des Phiole gibt den DNS-Server des Phiole bekannt. Was auf dem Router konfiguriert ist, ist doch völlig egal.
Im Gegenteil, wenn Pihole ausfällt, wäre durch Aktivierung des DHCP-Servers eine schnelle Fallbacklösung realisiert.

Also…
PIHOLE:
DHCP, DNS, als Upstream ein externer DNS-Server oder lokaler Resolver

Router im Regelbetrieb:
DHCP deaktiviert, als Upstream ein externer DNS-Server

Router im Fallback-Betrieb:
DHCP aktiviert, als Upstream ein externer DNS-Server


#4

Danke für eure Antworten! Beide Varianten scheinen also möglich zu sein. :sweat_smile:

Könnten je nach Variante die Pi-hole Statistiken im Webinterface “aussagekräftiger” sein? :thinking: Bei meiner “DNS-Variante” sehe ich bei den “Top-Clients” oft die externe (öffentliche) IP meines Routers mit den meisten Abfragen… oder ist das ein normales Verhalten? :thinking:

Viele Grüsse

Fred


#5

Konfiguration 1:

Client -> Pi-hole -> Router -> externer Server
Der Router stellt alle Anfragen direkt an externe Server

Konfiguration 2:

Client -> Pi-hole -> externer Server
Der Router muss ebenfalls übers Pi-hole anfragen und wird somit in den Statistiken miterfasst.

Ich würde persönlich Variante 2 vorziehen (so ähnlich ist es bei mir zuhause auch konfiguriert), da ein Gerät weniger in der Schleife hängt und die Anfragen durchkaut. Die Laufzeitdifferenz ist jedoch vermutlich nicht spürbar.

Bzgl Notfalllösung falls das Pi-hole ausfällt: Ja, kann man machen wie von @MaDa vorgeschlagen, aber ich muss sagen, dass ich auf meinem heimatlichen Pi-hole sogar sämtliche Entwicklungsarbeit durchführe und tatsächlich noch nie in die Verlegenheit gekommen bin eine Notfalllösung zu aktivieren. Pi-hole ist as “set and forget” Lösung entworfen, die man einmal installiert und die dann immer weiter und weiter und weiter… läuft ohne irgendwelche Wartung zu benötigen. Das funktioniert erfahrungsgemäß auch in >99% der Fälle genau so.


#6

Hmmm,
da ich Pihole in der Haupt-Instanz nicht auf einem Raspi laufen lassen, sondern auf einer Zotac-Box mit Linux-Mint, kann es schon mal passieren, dass ich das Linux-Basis-System verbastele (zb. durch Kombinationen mit Stubby oder unbound etc) und neu aufsetzen muss. Aber ich habe noch einen dezidierten Raspi als Fallback … und dien Router als Fallback-Fallback :slight_smile:


#7

Als Top-Client? Da fehlt mir jedliche Phantasie, in welcher Konstellation das möglich sein sollte. Immerhin müssten die Anfragen an Pihole von Deiner externen Adresse kommen.


#8

Ja, erstaunlicherweise. Meine Konfig ist so, wie in meinem ersten Post hier angegeben. Die Clients erhalten definitiv den pi-hole als DNS-Server und die “Filterung” klappt wunderbar. Aber eben, in dieser Top-Client Statistik ist mir einfach aufgefallen, dass als Top-Client der FQDN der externen Router-IP erscheint. :thinking: Ich bin diese Woche leider nicht daheim, mache dann sonst mal noch einen Printscreen. :smile:

Viele Grüsse

Fred


#9

So also, da bin ich nochmals… :smile:

Habe meine Konfig nun noch umgestellt und auch beim Router den pi-hole als DNS hinterlegt. Somit sieht es so aus:
Router: 192.168.1.1, DHCP-Server ausgeschaltet, DNS = pi-hole IP
Pi-hole: DHCP-Server aktiviert, DNS = pi-hole IP, Gateway = 192.168.1.1, pi-hole Upstream-DNS = 2x Externe IPV4 DNS-Adressen des Internet Service Providers

Alle Clients erhalten die korrekten IPs mit dem pi-hole als DNS, die Filterung klappt wunderbar (im Schnitt rund 30% gefiltert). Von den ca. 15 Clients sehe ich dann im pi-hole Webinterface folgende “Top Clients Statistik”:

1: 192.168.1.1 mit 7’752 Requests
2: Client Notebook 1’312 Requests
3: FQDN der externen Router IP, 1055 Requests
4: Client 2 mit 1’053 Requests
5: Client 3 mit 545 Requests
usw.

Ich frag mich hier einfach, ob das eine “normale” Statistik ist mit dem Router auf Platz 1 und der externen IP des Routers auf Platz 3. Ist das auf irgendeine Art und Weise erklärbar?

Danke und viele Grüsse

Fred


#10

Im Router das PiHole als DNS zu adressieren würde für mich nur Sinn machen, wenn auf dem Router auch DHCP aktiviert ist. Ansonsten kann ja niemand aus dem Netz beim Router anfragen. Der Router selbst braucht ggfs. eine Update-Adresse beim Firmware-Lieferanten, dafür wäre aber eine externer DNS besser, um auch bei Nichterreichbarkeit des Phiole auflösen zu können.

1: 192.168.1.1 mit 7’752 Requests

ist für mich völlig unplausibel … außer, Du hast Clients manuell den Router ans DNS-Server zugewiesen, die nun via Deines DNS-Forwardings zum PiHole geschickt werden.

Dafür fällt mir nix sinnvolles ein, da eine externe Router-Adresse normalerweise keinen FQDN hat, außer Du nutzt DynDNS. Dann müsstest Du die DynDNS-Adresse irgendwie (öffentlich?) bereitgestellt haben, um darüber DNS-Auflösungen anzubieten. Das wäre keine gute Idee.


#11

Danke für Deine Antworten Mada!

Dass das Ändern des DNS im Router bei deaktiviertem DHCP Nichts bringt, habe ich mir auch gedacht. Wollte aber nur mal sicher gehen und schauen, ob sich was verändert. :grinning:

Bei den Clients habe ich definitiv nirgends manuelle Einstellungen vorgenommen. Den Router kriegen die Clients einzig als Gateway zugeteilt. Einzig der TV-Box traue ich nicht so recht. Die ist zwar scheinbar auf DHCP-Bezug konfiguriert (keine Einstellungsmöglichkeiten…), aber hier habe ich null Möglichkeiten zu checken, was die so macht. Im pi-hole Webinterface sehe ich zumindest, dass sie eine IP-Adresse bezogen hat.

DynDNS oder Ähnliches benutze ich nicht. Ich hab mich auch gewundert, was das für einen Client ist. Die DNS-Namensauflösung hat dann eben ergeben, dass es sich hier um die externe IP-Adesse des Router handelt, welche er im Moment vom ISP zugeteilt gekriegt hat.

Keine Ahnung. Die Statistik ist auch nicht wirklich wichtig. :grin: Vielleicht ändert sie sich ja auch noch. Folgefrage ohne dass ich gesucht habe: Lassen sich diese Statistiken irgendwie zurücksetzen? Edit: Ah ja, DB moven…

Danke und viele Grüsse

Fred


#12

Naja, wenn keine manuellen Einstellungen möglich sind, muss sie ja die IP-Adresse per DHCP zugeteilt bekommen (ergo auch den DNS-Server). Also, kann sie nicht den Router als DNS-Server nutzen.

Yepp… und danach würde ich unruhig schlafen und der Ursache intensivst (!) nachgehen.
Das würde ich nicht auf sich beruhen lassen. Du musst doch wissen, wer an Deinem externen Zugang rumnuckelt und Informationen von außen aus Deinem LAN abholt. Providerseitig wird eigentlich nur eine IP vergeben. Das die auch einen DNS-Namen vergeben, wäre mir neu. Notfalls würde ich den Datenverkehr mitschneiden.
Aber bevor Du Dich von mir verrückt machen lässt, hat ja evtl ich jemand anderes @DL6ER eine Idee.


#13

Dank Dir, MaDa.

Ich mach mal ein paar Nachforschungen… :wink:

Viele Grüsse

Fred


#14

Mal ein kurzer Zwischenstand:

Habe meine Frage einfach mal in die Community meines Providers geschrieben und folgende Antwort zum FQDN-Top10 Eintrag gekriegt:

Das ist ein Teil der Reverse DNS Domain welche in diesem Fall den /60er IP Prefix als einen vom ISP erkenntlich macht, welchen sie ihren Kunden mittels 6RD geben. Pi Hole kann vermutlich einen Reverse DNS Lookup machen, was auch Sinn macht, um IP Adressen zu Hostnamen, FQDN zuzuordnen. Vermutlich werden deine Host’s welche nicht nur eine Legacy IP (IPv4) haben sondern eine IP (IPv6) :wink: so aufgelöst.
Theoretisch sollte der Host Teil somit mittels rDNS aufgelöst werden aber mit dem Interface Teil in Hex ergänzt werden. Anscheinend macht das Pi Hole aber (noch) nicht und zeigt dir nur den Host Teil an.

:man_shrugging:
Viele Grüsse

Fred


#15

ich verstehe nur Bahnhof, sorry. Liegt sicher an mir.


#16

Geht mir genau so. Daher diesen hier am Schluss. :man_shrugging:

Dachte, vielleicht bin ich zu doof und jemand hier kann mich erleuchten.:sweat_smile: