Pi-Hole IPv6 Android [gelöst]

Xie_Lau · May 21, 2022, 4:00pm

Pi-Hole Aktuell!

System: Debian Bullseye x86_64 | 5.0.10-14-amd64

Fritzbox 6591

Problem:

Der Pi-Hole erlaubt es Clients welche eine IPv6 Adresse besitzen den DNS-Filter zu umgehen.

Alle Netzwerk Internen IPv4 Adressen werden wie gewünscht gefiltert. Aber alle Android Geräte wie Mobilphones und Tablets bleiben davon unberührt.

Ich habe alle IPv6 Adressen aus dem Pi-Hole die ich finden konnte gelöscht.

Über ip -6 address show werden mir trotzdem noch Adressen angegeben.

Hilfe:

Ich möchte den Pi-Hole vollkommen IPv6 losgelöst bekommen. Alle Clients auch Android sollen über den Pi-Hole gefiltert werden.

Hat jemand ne Ahnung wie es geht?

Bucking_Horn · May 21, 2022, 6:25pm

Deine IPv6-fähigen Clients nutzen bevorzugt die IPv6-Adresse Deiner FritzBox als DNS-Server. Es wird Dir also rein gar nichts nutzen, IPv6-Adressen auf dem Pi-hole zu deaktivieren.

Du solltest stattdessen in der FritzBox ein ULA-Präfix konfigurieren und dauerhaft verteilen lassen, siehe z.B. IPv6 mit FritzBox. Dann solltest Du die ULA-Adresse Deines Pi-hole-Rechners als lokalen DNS-Sever für IPv6 in der FritzBox einstellen.

Das sollte mit jeder freien FB gehen, aber falls das von Deiner Provider-FB nicht angeboten werden sollte, kannst Du alternativ auch IPv6 in der FB komplett deaktivieren. Das funktioniert logischerweise aber nur, wenn Du nicht ausschließlich an einem IPv6-Anschluss hängst.

Xie_Lau · May 22, 2022, 10:57am

Danke, das war eine wirklich hilfreiche Antwort.

Dann ist die Zeit vom Pi-Hole für mich Persönlich wohl auch gegessen, und ich Wechsel direkt auf PFSense mit Squidguard. Das scheint die wirklich bessere Lösung für mich zu sein.

Bucking_Horn · May 22, 2022, 11:42am

Dann hast Du meine Antwort vielleicht noch nicht richtig verstanden:

Es ist völlig egal, welche anderen (IPv6-)DNS-Server sich sonst so in Deinem Netzwerk tummeln - solange ausschließlich Deine FritzBox ihre eigene IPv6-Adresse als DNS-Server bekannt gibt, werden Deine IPv6-fähigen Clients bevorzugt Deine FritzBox-IPv6 für DNS-Anfragen verwenden.

Es handelt sich also nicht um eine spezifische Pi-hole-Frage, sondern um eine Konfigurationsfrage bezüglich der IPv6-Einstellungen Deiner FritzBox.

(Die von Dir angesprochene Kombination aus Firewall und HTTP-Proxy deckt auch deutlich andere Anwendungsfälle ab als Pi-hole als DNS-Filter, mit deutlich höheren Hardware-Anforderungen, insbesondere, wenn Squid über ein gefaktes MITM-Zertifikat auch HTTPS-Verbindungen abdecken soll.
Die zunehmende Unterstützung von Techniken wie Certificate Pinning auf Serverseite sorgt außerdem dafür, dass Umleitung und Aufbrechen von HTTPS-Verbindungen auf einem Proxy immer häufiger fehlschlagen. Die Filterung von HTTPS-Inhalten ist bei solchen Webseiten dann nicht mehr möglich.
Über DNS sind Domänen nach wie vor filterbar, was in der von Dir angesprochenen Kombination dann allerdings die Firewall übernehmen müsste.
Da Firewalls auf IP-Adressebene filtern, ist hierfür ggf. ein entsprechendes Plugin nachzurüsten.)

Xie_Lau · May 22, 2022, 2:31pm

Doch habe ich richtig verstanden, ich wollte nur nicht an der Fritte fummeln. Nun habe ich das trotzdem umgestellt und es läuft…

Schade ist das bei der Eingabe der URL http://www.xxxxxxxxxx.xx kein Hinweis kommt das die Domain geblockt wurde, nur wenn ich www nicht setze dann schon. Sicherlich wieder so eine Kleinigkeit

system · June 12, 2022, 2:32pm

This topic was automatically closed 21 days after the last reply. New replies are no longer allowed.