Die gewünschte Art der Namensauflösung wird direkt im DNS-Request angegeben (A für IPv4 oder AAAA für IPv6).
Über welches Protokoll diese Anfrage Deinen Pi-hole erreicht hat, spielt dabei keine Rolle, ebenso wenig wie das Protokoll, das zur Weitergabe der Anfrage verwendet wird.
Der DNS-Server entscheidet, wie er diese Anfrage weiterverarbeitet.
Die Fritzbox stellt insofern eine Besonderheit dar:
Da wir ja wissen, dass wir für sie sowohl IPv4- als auch IPv6-Upstream-DNS-Server eingestellt haben, reicht hier auch eine Adresse aus.
Selbstverständlich kannst Du da auch noch die IPv6-Adresse der FritzBox eintragen, macht keinen Unterschied.
Bei externen Servern muss man hingegen unterstellen, dass IPv4 und IPv6 am besten durch den über das jeweilige Protokoll erreichbaren Server beantwortet werden können.
Macht es denn Sinn, dass ich in der Fritzbox Google als Upstream und ebenfalls in den pi hole settings weitere Upstream-DNS-Server eingetragen habe ?
Und, bisher wird mein Gäste-WLAN ja nicht gefiltert... das kann ich doch ändern, wenn ich bei der Fritzbox den pi hole als Upstream einstelle in den Internet-Settings ? Dann wiederum habe ich das Gefühl, dass die Fritzbox auf pi hole als lokalen DNS-Server verweist, der die Anfragen nach Filterung an die Fritzbox weitergibt - die wiederum hat dann ja wieder pi hole als Upstream in den Internet-Settings stehen. Das wäre doch eine endlose Abfrage.
Ich selbst setze DNSSEC nicht ein, da mir das auf einem RPi zu risikoreich ist.
DNSSEC benötigt zu jedem Zeitpunkt eine genau gehende Uhr.
Ein RPi verfügt aber über keine Real Time Clock (RTC), weshalb z.B., bei einem Reboot die Zeit durchaus mal ein paar Minuten oder auch länger falsch sein kann, bis sich der RPi wieder mit einem Zeitserver synchronisiert hat.
DNSSEC funktioniert bei größeren zeitlichen Abweichungen aber nicht, weshalb es dann auch keine Namensauflösung gibt.
Für die Benutzer sieht das dann so aus, als hätten sie keine Internetverbindung.
Ja, aber dann sollte Dein Pi-hole nicht mehr die FritzBox als Upstream-Server verwenden. Das würde einen DNS-Loop verursachen - das hast Du ganz richtig erkannt.
Solange Dein Gastnetz ungefiltert bleiben soll, kann die FB als einziger Upstream-Server für Deinen Pi-hole eingetragen bleiben (d.h. Du brauchst die zusätzlichen Server nicht zwingend, zumal wenn sie identisch zu den in der FB hinterlegten sind).
Ich möchte dann eher DNSSEC deaktivieren, die Fritzbox als DHCP-Server verwenden und p hole IPv4/IPv6 UND das Gästenetz filtern lassen.
Dann trage ich pi hole als Upstream-DNS-Server für IPv4 und IPv6 in der Fritzbox in den Internet-Settings ein. Fraglich ist dann, was genau ich in den Settings von pi hole einstelle und was eben nicht. Hast Du hier ggf. Screenshots ?
Momentan, ohne Gastnetz-Filterung, verwirrt mich etwas, dass meine Fritzbox im Upstream die Google-Server eingetragen hat, während in den pi hole-Settings auch weitere Upstream-DNS-Server wie die Fritzbox und weitere (Quad9) eingetragen sind.
Gut, dann pi hole -> Settings -> DNS -> Custom Fritzbox raus
Und, unter pi hole > Settings -> DNS -> beliebigen Upstream aktivieren (Quad9) etc ?
In der FritzBox trage ich dann als UPSTREAM den pi hole mit IPv4 und IPv6 ein... aber ich muss ja noch einen alternativen DNS-Server eintragen... welchen ?
Wenn Du den Luxus einen zweiten RPi mit P-hole hast, dann dessen Adresse.
Ansonsten eben dieselbe Adresse nochmal
Da Dein Pi-hole jetzt im Gastnetz die DNS-Fragen von Deiner FB beantwortet. solltest Du sicherheitshalber in der FritzBox noch eine Ausnahme vom DNS-Rebind-Schutz für Pi-hole definieren.
Das kann ungefähr so aussehen:
Im Rebind-Schutz steht der pi hole bereits mit 192.168.178.x und pi.hole.
Dann müsste der pi hole (als einziger Filter) noch aus dem GästeLAN erreichbar sein... er hat doch aber nur die Nicht-GästeLAN-Adresse.
D. h., ich kann doch ggf. gar keine GästeLAN-IP im Rebind-Schutz für pi hole eintragen ?
Dann hast Du Pi-hole schon vom Rebind-Schutz ausgenommen, prima.
Ja, Pi-hole ist im Gästenetz nicht erreichbar.
Deine Fritzbox schon (die ist sozusagen der Mittelpunkt aller ihrer Netze), und die leitet ja die DNS-Anfragen an die über Internet | Zugangsdaten | DNS-Server konfigurierten Upstream-DNS-Server weiter.
Und genau da hast Du jetzt ja Deinen Pi-hole eingetragen
Dann verschlüsselt Deine Fritzbox sämtlichen *DNS-Datenverkehr* zu den unter **Internet | Zugangsdaten | DNS-Server** eingetragenen DNS-Servern mittels TLS (sofern von diesen unterstützt).
DoT = DNS over TLS
TLS = Transport Layer Security, dasselbe Verfahren wird auch für sicheren Datentransport von und zu Webseiten über HTTPS genutzt
Während der Übertragung zu diesen Servern ist es damit Dritten nicht mehr (oder zumindest nicht mehr ohne erheblichen Aufwand) möglich, die angefragten Hostnamen mitzulesen.
Auf den DNS-Servern selbst werden die DNS-Anfragen natürlich wieder entschlüsselt und sind dort deshalb auch zugreif- und auswertbar.
EDIT: Vielleicht sollte man noch erwähnen, dass diese Funktion momentan der Laborversion 7.19 für die FritzBoxen vorbehalten ist.
Grundsätzlich ist Pi-hole an dieser Funktion völlig unbeteiligt.
Die Funktion erfasst nur die DNS-Anfragen der FritzBox selbst.
Nutzt man seine FB als Upstream-Server für Pi-hole, dann profitiert der öffentliche versendete DNS-Datenverkehr natürlich auch von der DoT-Verschlüsselung. Im lokalen Netz läuft der DNS-Verkehr nach wie vor unverschlüsselt.
ich habe bisher unter pihole/settings/DNS unter "Upstream DNS server - Custom IPv4" lediglich 192.168.178.1#53 für die FritzBox 7590 eingetragen... die Fritzbox möchte ich nun für IPv6 dort ebenfalls hinterlegen.
Mit ping6 habe ich die IPv6 der FritzBox ausgelesen:
"2003:d0:bf30:2000:cece:1eff:XXXX:XXXX"
Kann ich diese dort nun exakt so eintragen ? Müsste es nicht eine IPv6 mit "fd00" beginnend sein ?
Wenn Du ein ULA-Präfix in der FritzBox vergibst, kannst Du auch auf die ULA-Adresse der FB umzustellen.
Die wird in der FB etwas versteckt unter Heimnetz|Netzwerk|Netzwerkeinstellungen|IPv6-Adressen direkt über dem ULA-Präfix angezeigt.
Die FritzBox ist konfiguriert auf „ULA im er zuweisen“.
Die dortige IPv6 der FritzBox habe ich unter pihole/settings/upstream dns server/custom (ipv6) hinterlegt, und zwar genau so, wie es die Fritzbox anzeigt:
fd00::cece:1eff:xxxx:xxxx... korrekt?
Eines danach bitte noch:
Im Dashboard wird unter top clients die jeweilige IPv6-Adresse angezeigt... das ist kryptisch. Kann dort nicht, wie bei IPv4, der „Klarname“ angezeigt werden wie beispielsweise „iPhone Person A“... wie in der Fritzbox unter Heimnetz sichtbar?
