Pi hole IPv6 Problem

Hallo,

betreibe pi-hole seit Tagen auf einem RPi zero problemlos mit Raspbian Buster lite bei 62% RAM-Auslastung.
Heute musste ich ihn aufgrund Arbeiten am Stromkasten ausschalten für einige Stunden.
Nach dem späteren Neustart erhält er scheinbar nicht die korrekte Uhrzeit, ein Setzen via ssh "date -s “01/06 20:31” hat keine Auswirkung.

Pi hole ist in der Fritzbox für IPv4- und IPv6-Adressen eingetragen. IPv4 kann pi hole scheinbar auflösen, IPv6-Seiten kann ich allerdings nicht erreichen (aus dem Telekom Netz).

Trage ich in der FritzBox für IPv6-Adressen wieder die FritzBox ein (und belasse es für IPv4 beim Pi Zero), so funktioniert alles prima.

Wo kann das Problem liegen, dass IPv6 nicht mehr korrekt mit pi hole funktioniert und warum ist die Uhrzeit plötzlich falsch gesetzt bzw. holt der Pi zero nicht die aktuelle Uhrzeit ?

A Pi does not have an internal clock, and in some cases following a power loss the time is incorrect. If the time is very incorrect, then the Pi cannot get the correct time from a timeserver.

Either of these commands can reset the time on the Pi - put in the correct date/time as needed.

sudo date --set="21 December 2018 11:53:30"
timedatectl set-time '2015-11-20 16:14:50'

Okay, using your tipps I set time to 21:44 via ssh. Pi hole‘s web GUI is showing 21:14 now.

Timezone is set correctly to Berlin.

How is it possible for getting time/date on boot automatically?

Is this possibly the problem IPv6 is not working correctly?

The Pi OS does this automatically, but if the time is very inaccurate it can’t get an accurate time from the NTP servers. If it just has a bit of drift, then time sync will work.

Meine Fritzbox verweist nun IPv4-Anfragen auf die Pi hole IP.
IPv6-Anfragen weisen momentan direkt auf die FritzBox aufgrund der Probleme mit pi hole.

Welche IPv6-Adresse trage ich als lokalen Server ein ?
Die Fritzbox zeigt für pi hole folgende IPv6-Adresse an:
2003:d0:bf3e:2b00:b227:XXXX:XXXX:XXXX
fe80::44dd:dce4:XXXX:XXXX
: : 44dd:dce4:XXXX:XXXX (IPv6 Interface-ID)

Der Eintrag für einen lokalen IPv6-Server in der Fritzbox nutzt 8 x 4 Zeichen.
Wie trage ich Adressen ein, die diese Zeichenmenge nutzt ausfüllt ?

Danke…

Anscheinend hast Du IPv6 noch nicht korrekt konfiguriert.

Meine Erläuterungen zu Deiner Anfrage IPv6-Problem: Fritzbox vom August letzten Jahres sind damit auch hier anwendbar.

Ich habe nun alles - wie in Deinem Link beschrieben - konfiguriert.
Es läuft bis jetzt wunderbar.

Pi hole ist in der Fritzbox als lokaler DNS-Server für IPv4- und IPv6-Adressen konfiguriert.
In der Fritzbox sind bei mir die Google-DNS-Server als Upstream-Server hinterlegt.

Dennoch habe ich pi hole wie folgt konfiguriert:

Wollte damit DNSSEC nutzen.

Nun frage ich mich, warum in den pi hole-Settings die Fritzbox lediglich für IPv4 als Upstream-DNS-Server hinterlegt ist, nicht jedoch für IPv6.

Die gewünschte Art der Namensauflösung wird direkt im DNS-Request angegeben (A für IPv4 oder AAAA für IPv6).

Über welches Protokoll diese Anfrage Deinen Pi-hole erreicht hat, spielt dabei keine Rolle, ebenso wenig wie das Protokoll, das zur Weitergabe der Anfrage verwendet wird.

Der DNS-Server entscheidet, wie er diese Anfrage weiterverarbeitet.

Die Fritzbox stellt insofern eine Besonderheit dar:
Da wir ja wissen, dass wir für sie sowohl IPv4- als auch IPv6-Upstream-DNS-Server eingestellt haben, reicht hier auch eine Adresse aus.
Selbstverständlich kannst Du da auch noch die IPv6-Adresse der FritzBox eintragen, macht keinen Unterschied.

Bei externen Servern muss man hingegen unterstellen, dass IPv4 und IPv6 am besten durch den über das jeweilige Protokoll erreichbaren Server beantwortet werden können.

Danke…

Macht es denn Sinn, dass ich in der Fritzbox Google als Upstream und ebenfalls in den pi hole settings weitere Upstream-DNS-Server eingetragen habe ?

Und, bisher wird mein Gäste-WLAN ja nicht gefiltert… das kann ich doch ändern, wenn ich bei der Fritzbox den pi hole als Upstream einstelle in den Internet-Settings ? Dann wiederum habe ich das Gefühl, dass die Fritzbox auf pi hole als lokalen DNS-Server verweist, der die Anfragen nach Filterung an die Fritzbox weitergibt - die wiederum hat dann ja wieder pi hole als Upstream in den Internet-Settings stehen. Das wäre doch eine endlose Abfrage.

Ich bin überfragt, ob das mit der FritzBox geht.

Ich selbst setze DNSSEC nicht ein, da mir das auf einem RPi zu risikoreich ist.

DNSSEC benötigt zu jedem Zeitpunkt eine genau gehende Uhr.

Ein RPi verfügt aber über keine Real Time Clock (RTC), weshalb z.B., bei einem Reboot die Zeit durchaus mal ein paar Minuten oder auch länger falsch sein kann, bis sich der RPi wieder mit einem Zeitserver synchronisiert hat.

DNSSEC funktioniert bei größeren zeitlichen Abweichungen aber nicht, weshalb es dann auch keine Namensauflösung gibt.

Für die Benutzer sieht das dann so aus, als hätten sie keine Internetverbindung.


Ja, aber dann sollte Dein Pi-hole nicht mehr die FritzBox als Upstream-Server verwenden. Das würde einen DNS-Loop verursachen - das hast Du ganz richtig erkannt.

Solange Dein Gastnetz ungefiltert bleiben soll, kann die FB als einziger Upstream-Server für Deinen Pi-hole eingetragen bleiben (d.h. Du brauchst die zusätzlichen Server nicht zwingend, zumal wenn sie identisch zu den in der FB hinterlegten sind).

Ich möchte dann eher DNSSEC deaktivieren, die Fritzbox als DHCP-Server verwenden und p hole IPv4/IPv6 UND das Gästenetz filtern lassen.

Dann trage ich pi hole als Upstream-DNS-Server für IPv4 und IPv6 in der Fritzbox in den Internet-Settings ein. Fraglich ist dann, was genau ich in den Settings von pi hole einstelle und was eben nicht. Hast Du hier ggf. Screenshots ?

Momentan, ohne Gastnetz-Filterung, verwirrt mich etwas, dass meine Fritzbox im Upstream die Google-Server eingetragen hat, während in den pi hole-Settings auch weitere Upstream-DNS-Server wie die Fritzbox und weitere (Quad9) eingetragen sind.

Hallo,
ich habe in etwa die gleiche Konfiguration. Dank @Bucking_Horn habe ich eine gut laufende Konfiguration erstellt. Die findest du hier:

klick

Bei Advanced DNS settings sollte nicht angehakt sein:
Never forward reverse lookups for private IP ranges
Use DNSSEC

Erklärungen dazu findest du samt viel Lesenswertem von @Bucking_Horn in den Beiträgen darunter.

Du entfernst dann für Pi-hole unter Settings|DNS einfach die Custom-Einträge für die FritzBox.

@Bucking_Horn

Gut, dann pi hole -> Settings -> DNS -> Custom Fritzbox raus
Und, unter pi hole > Settings -> DNS -> beliebigen Upstream aktivieren (Quad9) etc ?

In der FritzBox trage ich dann als UPSTREAM den pi hole mit IPv4 und IPv6 ein… aber ich muss ja noch einen alternativen DNS-Server eintragen… welchen ?

Dann wird auch das Gäste-(W)LAN gefiltert.

Wenn Du den Luxus einen zweiten RPi mit P-hole hast, dann dessen Adresse.
Ansonsten eben dieselbe Adresse nochmal :wink:

Da Dein Pi-hole jetzt im Gastnetz die DNS-Fragen von Deiner FB beantwortet. solltest Du sicherheitshalber in der FritzBox noch eine Ausnahme vom DNS-Rebind-Schutz für Pi-hole definieren.
Das kann ungefähr so aussehen:
dnsbind

Im Rebind-Schutz steht der pi hole bereits mit 192.168.178.x und pi.hole.
Dann müsste der pi hole (als einziger Filter) noch aus dem GästeLAN erreichbar sein… er hat doch aber nur die Nicht-GästeLAN-Adresse.

D. h., ich kann doch ggf. gar keine GästeLAN-IP im Rebind-Schutz für pi hole eintragen ?

Dann hast Du Pi-hole schon vom Rebind-Schutz ausgenommen, prima.

Ja, Pi-hole ist im Gästenetz nicht erreichbar.

Deine Fritzbox schon (die ist sozusagen der Mittelpunkt aller ihrer Netze), und die leitet ja die DNS-Anfragen an die über Internet | Zugangsdaten | DNS-Server konfigurierten Upstream-DNS-Server weiter.

Und genau da hast Du jetzt ja Deinen Pi-hole eingetragen :wink:

Eine Frage dazu noch, bitte:
In den Interneteinstellungen der Fritzbox 7590 gibt es nun unter “DNS” die neue Option “DNS over TLS (DoT)”.

Meine Fritzbox ist ja nun DHCP-Server, der pi hole Raspi der lokale DNS-Server und die Fritzbox dann wiederum Upstream-DNS.

Was passiert, wenn ich nun DoT aktiviere in der Fritzbox ?

Was sagt die Doku der Fritzbox zu der Funktion? In meiner 7490 gibt es die Option nicht.

Ansonsten: Versuch macht kluch :smile: