Pi-hole + FB7590 und FB7490 als MESH Repeater

Ich verwende einen Pi-hole als DNS Server. In der FB7590, welche hinter einem Draytek Modem hängt, ist der Pi-hole korrekt als DNS Server 3x eingetragen, 1x als lokaler DNS Server und unter Zugangsdaten 2x als DNS Server. Das funktioniert vollkommen problemlos.
Zwei FB7490 sind als MESH Repeater mit der FB7590 per LAN verbunden. Sie erhalten Ihre Einstellungen von der FB7590 per DHCP. Die Einstellung eines lokalen DNS Server ist in den zwei FB7490 in dieser Konstellation nicht möglich, ich meine, das erfolgt ja mittels DHCP.
Ich habe bisher unter Zugangsdaten als DNS Server die IP der FB7590 eingetragen, was soweit, für mich ersichtlich, zu keinerlei Problemen führte.

Wäre es sinnvoller, auch hier die IP des Pi-hole zu verwenden?

Die Antwort würde u.a. davon abhängen, welche DNS-Server ein Client verwendet, der über eine Repeater-7490 mit dem Heimnetz verbunden ist, und welche DNS-Server ein Client verwendet, der über eine Repeater-7490 mit dem Gastnetz verbunden ist.

Das lässt sich z.B. auf einem entsprechend verbundenen Windows-Client über folgendes Kommando herausfinden:

ipconfig /all

In der Ausgabe interessieren uns dann die im Abschnitt DNS-Server aufgelisteten IP-Adressen.

Das stimmt, solange IPv6 in Deinem Netzwerk keine Rolle spielt.

Ist IPv6 aktiv, solltest Du auch eine stabile IPv6-Adresse Deines Pi-hole-Rechners als lokalen DNS-Server in Deiner FritzBox konfigurieren.

Mangels momentan zu kontaktierendem Windows-PC habe ich es mit einem Androiden per WLan versucht. Dieser zeigt dann als DNS-Server die IP des Pi-hole an.
Ob WLan - Heimnetz oder LAN sollte doch wohl egal sein?
Im WLan - Gastnetz wird als DNS-Server die 192.168.178.1 angezeigt, das ist bestimmt die Vorgabe von AVM. Dennoch denke ich, daß letztendlich auch alle DNS-Anfragen über den Pi-hole laufen und dort gegebenenfalls gefiltert werden.

Nein, IPv6 ist nicht aktiv.

Ich habe inzwischen in beiden FB7490 unter Internet - Zugangsdaten - DNS-Server als bevorzugte DNSv4-Server die IP des Pi-hole eingetragen. Auch dies scheint bisher problemlos zu funktionieren.

Zum Vergleich werde ich noch einmal die IP der FB7590 eintragen, um zu sehen, ob das einen Unterschied macht.

Danke bis hierher für die Tipps.

WLAN/LAN ist egal, aber das Betriebssystem ist es womöglich nicht.
Es ist gar nicht so einfach, einem Smartphone verlässliche Angaben über sämtliche verwendete DNS-Server (IPv4 und IPv6) zu entlocken.

Heimetz vs. Gastnetz macht definitiv einen Unterschied, da FBen die DNS-Konfiguration nur für das Heimnetz erlauben. Im Gastnetz einer solitären FB ist die IPv4-Adresse des DNS-Server immer 192.168.179.1.
Das Gastnetz lässt sich damit nur filtern, indem man Pihole als Upstream-DNS-Server der FB einstellt (DNS-Server unter Zugangsdaten). Pi-hole sieht daher für Anfragen aus dem Gastnetz keine individuellen Clients.

Ich würde zusätzlich noch mit Zugangsprofilen arbeiten und nur dem Pi-hole und anderen Geräten die dank hardcodiertem DNS Probleme machen direkt den Zugriff auf DNS ermöglichen.

Heisst, du legst unter Internet-->Filter-->Listen-->Netzwerkanwendungen einen neuen Eintrag DNS an:

Dort Port 53 und 853 rein, ruhig auch TCP und UDP

Dann sperrst du diese Anwendung im Zugangsprofil Standard und packst dort alle deinen normalen Geräte rein, in das Profil Unbeschränkt kommt dann eben der Pi-hole und die problematischen Geräte rein...

Somit kann kein normales Gerät mehr ohne den Pi-hole DNS-Anfragen auflösen...

Möchtest du noch einzelne IP's blockieren, z.b. den hardcodierten GoogleDNS (8.8.8.8) auf Androiden, legst du eine statische Route in der Fritz!Box wie hier an:

Ich werde das noch mit einem Windows-PC testen. :thinking:

...Wie ich gesehen habe...

Beide Upstream-DNS-Server Einstellungen verweisen auf den Pi-hole.

Das sollte dann so passen. Danke nochmals für die Info`s zu.

Das habe ich bereits seit geraumer Zeit nach einer Anleitung so gemacht. (DNS-Block - Profil]

Das muss ich mir ansehen, aber kann ich mir da nicht Probleme mit einem Client einhandeln, wo die 8.8.8.8. bewusst gewollt ist?

Wüsste nicht wo es mit dem 8.8.8.8 bzw. ja ohne Probleme geben sollte - der wird ja imo nur beim Androiden als 2. DNS hart benutzt..

Via DHCP der Fritz!Box kann ich nämlich nur den ersten DNS-Server vergeben - weiss net ob der DHCP vom Pi-hole zwei DNS-Server übergeben kann...

Ich habe 2 Routen nach der Anleitung gesetzt (8.8.8.8/8.8.4.4) und werde das somit testen.

Korrekt, man kann nur einen Eintrag setzen.

Jetzt tun sich mir nach Sichtung und Test der Einstellungen in der FB7590 ein paar Fragen auf und ich merke, dass meine Wissenslücken doch ziemlich groß sind. Nachfolgend meine Fragen:

Nach setzen von zwei IPv4 Routen in der FB7590 (8.8.8.8 und 8.8.4.4 - siehe oberhalb) kann kein Client mehr die 8.8.8.8 bzw. 8.8.4.4 anpingen. Das ist ja so gewollt und funktioniert auch.

Oberhalb wurde auf einen DNS-Block verwiesen. Den hatte ich schon lange in der FB7590 im Zugangsprofil Standard erstellt und auch korrekt zugewiesen.

Was mich nun aber sehr irritiert ist, dass ein beliebiger Client z.B. die 1.1.1.1 anpingen kann, ich denke Port 53 ist doch durch den DNS-Block für diesen Client gesperrt?
Alle Clients außer dem Pi-hole sind im Zugangsprofil Standard.
Da die Clients entweder per DHCP oder manuell den Pi-hole als DNS-Server zugewiesen bekommen, sollte doch nur dieser funktionieren?

Ich nehme an, dass ich da irgendetwas völlig falsch verstehe, oder in meinem Aufbau passt etwas nicht?

Durch die statische Route in der Fritz!Box wird die Ping-Anfrage an den Pi-hole geschickt, dieser leitet die Anfrage nicht weiter und somit bekommt der Client auch keine Antwort...

Die 1.1.1.1 können die Clients pingen, aber keine DNS-Anfragen stellen, diese laufen über TCP/UDP Port 53...

Für Ping müsstest du das ICMP Protokoll blockieren, dies lässt sich aber mit der Fritz!Box nicht für die Sperren nutzen...

Ok, die Auswirkungen der statischen Route habe ich verstanden.
Da wurde Ping und DNS von mir fälschlicherweise in denselben Topf gepackt.

Auch wenn es inzwischen nicht mehr zum Thema passt, wie kann ich denn testen, dass TCP/UDP Port 53 für die entsprechenden Clients blockiert ist?
Wird nicht der Pi-hole von den Clients auch per TCP bzw. UDP Port 53 kontaktiert?

Von der Verwendung einer statischen Route würde ich abraten.

Zum einen braucht es die statische Route überhaupt nicht, wenn die DNS-Ports bereits über ein Zugangsprofil mit den entsprechenden Netzwerkanwendungen gesperrt sind.
DNS-Anfragen werden dann bereits wegen des DNS-Blocks gezielt verweigert.

Eine statische Route leitet demgegenüber den gesamten für 8.8.8.8 bestimmten Netzwerkverkehr an Deinen Pi-hole-Rechner weiter.

Sie ist gegenüber dem DNS-Port-Block auch aufwändiger einzurichten und ggf. zu warten, da hier jede umzuleitende DNS-Server-Adresse (IPv4 und IPv6) einzeln konfiguriert werden müsste.

Das ist richtig.
Dadurch lässt sich 8.8.8.8 auch vom Pi-hole-Rechner aus nicht mehr zu Test- oder Analysezwecken verwenden, z.B. in einem nslookup heise.de 8.8.8.8

Darüber hinaus kann eine statische Route zu dem mögllicherweise unerwünschten Seiteneffekt führen, dass andere über die umgeleitete IP-Adresse eigentlich erreichbaren Dienste (wie z.B. ein Webserver) dann ebenfalls nicht mehr genutzt werden können (Googles DNS-Server haben z.B. eine im Browser nutzbare Weboberfläche, die bei Umleitung aller IP-Adressen für dns.google nicht mehr erreichbar wäre).

Richtig, deshalb sollte dem Pi-hole-Rechner auch ein Zugangsprofil zugeordnet sein, in dem die DNS-Ports nicht geblockt sind.

Über einen gezielt an einen öffentlichen DNS-Server gerichtetes nslookup lässt sich überprüfen, ob die Port-Blockade funktioniert.
Bei korrekter Konfiguration sollte das eben erwähnte

nslookup heise.de 8.8.8.8

dann auf allen Clients in einen Time-Out laufen - nur auf dem Pi-hole-Rechner sollte die Auflösung erfolgreich sein.

1 Like

Ok, verstanden

Kann ich so bestätigen:

Ich habe nmap verwendet...

1x mit gesetzter statischer Route

root@pihole:~# nmap -p 53 8.8.8.8
Starting Nmap 7.80 ( https://nmap.org ) at 2022-04-26 20:36 CEST
Note: Host seems down. If it is really up, but blocking our ping probes, try -Pn
Nmap done: 1 IP address (0 hosts up) scanned in 3.19 seconds

1x ohne statische Route

root@pihole:~# nmap -p 53 8.8.8.8
Starting Nmap 7.80 ( https://nmap.org ) at 2022-04-26 20:38 CEST
Nmap scan report for dns.google (8.8.8.8)
Host is up (0.019s latency).

PORT   STATE    SERVICE
53/tcp filtered domain

Nmap done: 1 IP address (1 host up) scanned in 8.97 seconds

Ist so eingerichtet.

Stimmt, siehe Client...

root@DietPi:~# nslookup heise.de 8.8.8.8
;; connection timed out; no servers could be reached

und beim Pi-hole...

root@pihole:~# nslookup heise.de 8.8.8.8
Server:         8.8.8.8
Address:        8.8.8.8#53

Non-authoritative answer:
Name:   heise.de
Address: 193.99.144.80
Name:   heise.de
Address: 2a02:2e0:3fe:1001:302::

Schlussfolgernd: ->>> DNS-Block wirkt, ->>> statische Route unnötig, eventuell sogar schädlich.

Das hat sich gelohnt, ich bedanke mich noch einmal recht herzlich bei

und auch bei

2 Likes

This topic was automatically closed 21 days after the last reply. New replies are no longer allowed.