Pi-hole:Finger weg vom LAN-Traffic?!

Hallo,

Pi-hole läuft mittlerweile bei mir. Jedoch noch nicht zu 101%, wie ich es gerne hätte.

Beobachtetes und erwartetes Verhalten

Ich habe weitere Rasperry Pis im lokalen Heimnetzwerk am Laufen. Auf einem läuft die Heimautomatisierung OpenHAB und auf dem laufen auch eigene Python-Skripte, die OpenHAB über das Netzwerkprotokoll bzw., so wie ich es verstehe, die Erweiterung von TCP/IP, MQTT, mit Daten versorgt (Temperatur, Luftfeuchtigkeit,...) bzw. die von OpenHAB darüber angewiesen werden, z:B. die Rolläden herunterfahren zu lassen.
Ein anderer Raspberry Pi hat KODI am Laufen und darauf den TVHeadend Client, der über eine angeschlossene USB-SAT-Box mit der SAT-Fernsehen ermöglicht.

Mit erfolgreicher Inbetriebnahme von Pi-hole sind auf einmal meine Rolläden z.B. nicht mehr zeitgesteuert heruntergefahren und ich konnte ich auch nicht mehr manuell über OpenHAB herunterfahren lassen.
KODI konnte mir z.B. auch keine Senderauflistung machen, obwohl für mein Verständnis alles auf dem einen Raspberry Pi passiert, so ist TVHeadend ein Server, über den ich theoretisch auch im LAN TV schauen kann.

Erst, als ich den Pi-hole Docker Container heruntergefahren und die Raspberry Pis neu gestartet hatte, lief wieder alles. Danach habe ich den DNS bei beiden Raspberry Pis vom Pi-hole auf den Router gesetzt und den Pi-hole Docker wieder hochgefahren. Auch danach lief wieder alles.

Mein "erwartetes" oder eher gewünschtes Verhalten wäre, dass Pi-hole alles, was sich innerhalb meines LANs (das kann über Hostnamen oder IPs sein) abspielt, ungefiltert passieren lässt. Nur Dinge, die von außen kommen sollten gefiltert werden. K.A., ob das überhaupt möglich ist, da ab dem Router ja alles übers lokale Netz läuft.
-> die einzelnen Requests herauszufinden, die von meinen Raspberry Pis gemacht werden, wäre wohl keine Option und ich würde bei meinem Workaround bleiben.

Debug Token:

Habe ich keines, da ich nicht weiß, ob das in dem Fall Sinn macht. Kann ich aber gerne ggf. nachliefern.

Vielleicht habt ihr ja Ideen oder es gibt dafür eine einfache Lösung, die ich einfach noch nicht gefunden habe.

Vielen Dank und viele Grüße!

Sofern Dein Pi-hole tatsächlich DNS-Anfragen von außerhalb Deines Netzwerkes entgegennähme, würdest Du Deinen Pi-hole als Open Resolver betreiben.

Das Pi-hole-Team stellt sich ausdrücklich gegen die Verwendung von Pi-hole als Open Resolver.
Dies gefährdet sowohl Dich als auch potentiell jeden Internet-Nutzer, da ein solcher DNS-Server z.B. in einer DNS Amplification attack verwendet werden kann.

Wir leisten für eine Verwendung als Open Resolver absolut keinen Support.

Alle von Pi-hole verarbeiteten DNS-Anfragen stammen von privaten IP-Adressen (Clients) aus Deinem Heimnetzwerk.

Wenn Du diese ungefiltert passieren lassen würdest, bräuchtest Du Pi-hole nicht.

Außerdem filtert Pi-hole als DNS-Server keine IP-Adressen, sondern ausschließlich Domänen.

Deine Beobachtung deutet auf etwas anderes hin:

Deine Software zur Rolladen-Steuerung nimmt möglicherweise zu Servern im Internet Kontakt auf, deren Domänen durch Pi-hole geblockt werden.
Nebenbei: Dies würde übrigens auch bedeuten, dass diese Steuerung ohne Internetzugriff ebenfalls nicht läuft. Gleiches gilt, falls die angesprochenen Server vorübergehend nicht erreichbar sein sollten, oder wenn der Hersteller sich dazu entschliesst, die Server nicht mehr weiter zu betreiben.

Welche Domänen geblockt werden, wird durch die von Dir konfigurierten Blocklisten bestimmt.

Dementsprechend müsstest Du znächst einmal herausfinden, welche der von der Rolladensteuerung angesprochenen Domänen von Pi-hole geblockt werden, welche davon ggf. den Ausfall der Steuerung hervorrufen, und auf welchen Blocklisten diese geführt werden.

How do I determine what domain an ad is coming from? kann bei dieser Analyse helfen.

Anschliessend kannst Du versuchen, den Zugriff auf diese Domänen auf verschiedene Weisen zu erlauben, entweder über gezieltes Whitelisting oder mittels client-spezifischer Filterung und Anpassung der verwendeten Blocklisten.

Alternativ schleust Du den DNS-Verkehr dieser Clients wie bisher komplett an Pi-hole vorbei und nimmst dabei in Kauf, dass auch andere Daten an die von diesem Client kontaktierten Domänen abfliessen.

Danke erstmal für deine Antwort. Ich habe mich entweder mißverständlich ausgedrückt oder du verstehst mich falsch. Wie auch immer, wie reden aneinander vorbei

Nein, der Pi-hole ist definitiv nur in meinem LAN ansprechbar.

Das meinte ich aber nicht, sondern, wenn ich z.B.

bild.de anfrage, dann löst Pi-hole mir den Namen in eine IP auf, die keine "LAN-IP" (den Begriff bitte nicht auf die Goldwaage legen; also z.B. nicht 192.168.1.5) ist, sondern eine "WAN-IP". Klar kommt die Anfrage und der Aufruf von bild.de von einem Gerät aus meinem lokalen Netzwerk.

Wenn ich aber server.lan aufrufe, dann steckt dahinter z.B. die "LAN-IP" 192.168.1.2.

-> Anfragen, die Pi-hole als "LAN-IPs" auflöst, sollten ungefiltert bleiben. Die, die es als "WAN-IPs" auflöst, sollten, je nach Blacklist, gefiltert werden. Z.B. sollte bild.de durchkommen. Wenn aber bild.de wiederum analytics mitladen will, dann sollte das geblockt werden, da in der Blackliste. Die Blackliste habe ich übrigens nicht selbst definiert, sondern übernommen.

Im Fall von "WAN-IPs" bzw. WAN-Anfragen ist das klar. Das würde einer leeren Blacklist gleich kommen.

Zum Thema Internetzugriff der Rolladensteuerung muss ich sagen: Jein. Ich habe google calendar in OpenHAB eingebunden, da ich drin Termine angelegt habe, die sich täglich von Abends bis zum nächsten Morgen gehen. Darin heißt es "6 Uhr Terminbeginn, öffne den Rolladen und 20 Uhr Terminende, schließe den Rolladen". Das ist ein guter Punkt, das müsste ich überprüfen.
Wenn ich in der OpenHAB-App, die auf meinem Raspberry Pi gehostet ist, den Schieberegler manuell auf schließen schiebe, dann passiert da nicht mehr, als dass eine MQTT message an ein topic "rolladen-schliessen" gepublished wird mit den Metadaten "{pin: 12, action: close}". Darauf hört wiederum mein selbst geschriebenes Pythonscript und setzt dann GPIO 12 auf high, damit sich die Kontakte meiner Handfernbedienung des Rolladens schließen. Das ist also eine ziemliche Bastelllösung für die ich aber die Hand ins Feuer lege, dass sie nicht ins Internet geht, keinen Clouddienst hinten dran hat, o.ä.

Genau das ist eigentlich, was ich gerade nicht machen wollte, da ich sonst ja für alles, was ich neu im Netzwerk mache, ggf. whitelisten-Einträge schreiben muss. Die Blacklist will ich nicht editieren, sonst werde ich die wohl nicht mehr ohne weiteres updaten können?!

Ich werde dann wohl bei meinem "Workaround" bleiben.und nur Handys, Tablets, Laptops und PCs im Netzwerk über Pi-hole laufen lassen und den Rest wie gehabt. Im Grunde auch kein Problem, ich habe mir nur mehr Sicherheit auch für die Geräte erhofft. Vermutlich reicht es schon Pi-hole für die o.g. Geräte einzusetzen.

Vielen Dank und viele Grüße!

Die Unterdrückung von Zugriffen auf IP-Adressen ist Aufgabe einer Firewall.

Wie erläutert, ist Pi-hole ein DNS-Filter.

Als solcher sieht Pi-hole ausschließlich Deinen LAN-Traffic, und davon auch nur die DNS-Anfragen.

Erlaubte DNS-Anfragen leitet Pi-hole an einen öffentlichen DNS-Server weiter.

Davon abgesehen, dass also die DNS-Anfragen und nicht die Antworten gefiltert werden (die Filterung der IP-Adressen aus der DNS-Antwort wäre auch langsam und ineffektiv): Woher sollte ein öffentlicher DNS-Server eine private IP-Adresse aus Deinem Netzwerk kennen?

Pi-hole kann an Deiner Beobachtung also nur beteiligt sein, wenn eine DNS-Anfrage durch Deine Einstellungen geblockt wurde, d.h.

Die Kenntnis der Domänen ist dabei entscheidend:
Ohne diese lässt sich nicht feststellen, mit welchem Server Deine Rolladen-Software Kontakt aufnehmen möchte.

Sofern dabei eine lokale Domäne blockiert würde (also z.B. ein einfacher Hostname wie laptop bzw. ein um die lokale Domäne ergänzter FQDN wie laptop.fritz.box oder laptop.lan), so wäre es sehr wahrscheinlich, dass dies aufgrund von manuell hinzugefügten Domänen oder RegEx-Ausdrücken erfolgt wäre.
In einem solchen Fall sollten die entsprechenden Einträge so korrigiert werden, dass sie nicht mehr zum unerwünschten Overblocking führen.

This topic was automatically closed 21 days after the last reply. New replies are no longer allowed.