Pi Hole + MacOS + Speedport-Router: eine mögliche Konfiguration

piusr · May 20, 2017, 9:03am

Nachtrag zu "3 Tage Pi hole, naja", wo ich ja anfangs einige Schwierigkeiten hatte...

Hallo zusammen,
falls jemand mit obigen Geräten Probleme hat, stelle ich noch einmal meine Einstellungen hier zusammen.
Der Haken: Ich habe irgendwo gelesen, dass ein Abschalten von IPv6 möglicherweise interne OS Dienste behindern kann. Dazu kann ich nichts sagen, mir ist bislang nichts aufgefallen.

Speedport 724v:
Der Speedport wurde von "Telekom" auf "andere Hersteller" umgeschaltet, damit mehr Einstellungen
möglich sind, z. B. andere DNS Server.

Die "IPv6-ULA" Einstellung habe ich nicht eingeschaltet.
(Siehe Heimnetzwerk-LAN/Name und Adresse des Routers)
Die DNS Server habe ich auf eine andere Adresse eingestellt.
Es gibt DNS Server, die auch diverse Plagen unterdrücken.
Hier kann man aber jede bevorzugte DNS IP wählen, also auch die der Telekom.
Viele nehmen die von Google oder OpenDNS, ich habe Yandex-Safe genommen.

Pi hole:
Beim Pi Hole ist DHCP nicht aktiviert.
Ich hab ihm eine IP Adresse gegeben, die ausserhalb des Vergabebereich des Speedport Routers liegt: 192.168.2.xxx.
(Beispiel: Speedport Vergabebereich 100-150, Pi hole = 160)
IPv6 habe ich ausgeschaltet.
Die DNS Einstellung des Pihole zeigt auf die Speedport IP, also 192.168.2.1, sonst keine weitere

MacOS:

(Edit: Siehe unten)
IPv6 habe ich ausgeschaltet, das geht nur übers MacOS Terminal.
Bei 10.9.5 ist das:
networksetup -setv6off Ethernet oder
networksetup -setv6off wi-fi
(Sollte man das nicht beibehalten wollen, schaltet man in den Netzwerkeinstellungen IPv6 wieder auf "automatic")
Aber dann laden Webseiten teils sehr langsam. Anders konnte ich es nicht lösen. Auch mit IPv6 ULA nicht.

Die DNS Einstellung des Mac (Systemeinstellungen/Netzwerk) zeigt auf die Pihole IP,
also 192.168.2.xxx, als domain "pi.hole" eingeben.
Zum Schluss noch den DNS cache gelöscht:
Im Terminal:
dscacheutil -flushcache
sudo killall -HUP mDNSResponder

Die Terminal-Befehle können je nach OS X Version leicht variieren, deshalb googln.
(Am WIN7 Rechner habe ich ebenfalls IPv6 deaktiviert.)

Diese Einstellung ist eine von verschiedenen möglichen Varianten.
Nach einigem hin und her bin ich nur mit dieser Lösung zurecht gekommen und soweit zufrieden damit.
Vielleicht hilft dies jemanden. Viel Erfolg!

Edit:
Ich habe die Konfiguration am Mac nun auf "Link Lokal" umgestellt, in der Hoffnung IPv6 nicht ganz und gar abgeschaltet zu haben, falls interne MacOS Dienste IPv6 erwarten sollten. (?).

Also ohne das Terminal gebrauchen zu müssen unter Systemeinstellungen/ Netzwerk/ weitere Optionen/ IPv6 konfigurieren.
Es funktioniert ebenso (nach früher anderem Ergebnis bei mir).

Ich habe den Eindruck, dass bei dem vielen Rumprobieren doch auch mal was hakt.
Beispielsweise hatte ich gestern wieder den Problemfall, dass ich meinen SMTP Email Server nicht
mehr erreichen konnte. Das Verhalten hatte ich früher schon einmal.
Zur Ursache kann ich nichts sagen.
Jedenfalls gibt es im Speedport eine Einstellung "sichere Emailserver verwenden".
Die habe ich probeweise mal ausgeschaltet und siehe da, Emailversand geht wieder. Obwohl ich die Emailserver nicht verändert hatte und es sich um T-Online handelt.
Nur so als Hinweis, dass nicht jemand anderes auch stundenlang rumsucht. -

StrangerHereMyself · May 23, 2017, 7:45am

Hi piusr,

vielen Dank für den Tip mit networksetup -setv6off Ethernet. An einem Mac benutze ich einen USB-Ethernet Adapter und der Befehl sa eine wenig anders aus:

networksetup -setv6off "Apple USB Ethernet Adapter" (o.ä.)

Mit networksetup -listallhardwareports kann man ja sehen wie all die Schnittstellen genau heisen. Zusätzlich zu deinem Setup benutze ich noch eine Transparent pfSense Firewall.

Deutsche Telekom Speedport 724V --> pfSense Transparent Firewall --> Switch --> Phiole, Access Point Mobile Devices

Deine Methode zum abschalten von IPv6 funktioniert gut für macOS, allerdingss bekamen meine IOS Geräte immer noch eine IPv6 Adresse zugewiesen. Zuerst habe ich versucht mit einer Firewall Regel den IPv6 DHCP Traffic zu unterbinden.
(block IPv6 UDP (Source Any : Dest Any) with Source Ports 546-547 : Dest Ports 546-547) Leider hatte ich damit nur teilweise Erfolg.
Danach habe ich in pfSense den IPv6 Traffic komplette abgeschaltet. D.h. die transparente Firewall (Bridge) gibt einfach keine IPv6 Pakete mehr weiter. Mein iPad bekam somit keine ipv6 Adresse mehr.
Das laden von Internet Seiten ist seither deutlich schneller.

Auf folgendem thread wird noch beschrieben wie pi-Hole mit https umgeht:

Es wird davon gesprochen dass https requests einfach nur Zurüchgewiesen werden sollten (Reject) weil Browser damit besser umgehen können. Eine Block-Rule würde ggf dazu führen dass weiterhin versucht wird wine Verbindung aufzubauen und damit länger braucht um aufzugeben.

Dar ich mir nicht 100% sicher war ob ich nun einen IPtables Reject Rule auf dem pi-hole machen sollte, habe ich eine Reject Rule fur Port 443(Dest: Phiole) auf pfSense eingesetzt.

piusr · May 23, 2017, 8:51pm

Hi StrangerHereMyself,

ja, bei iOS klappt das mangels weiterer Netzwerkeinstellungen leider nicht.
Die anderen Themen, die du erwähnst, sind interessant, kann ich mir aber erst in einigen Tagen ansehen, danke einstweilen!

Edit: So ich bin wieder zu Hause...

Vielleicht kannst du kurz noch ein paar Dinge erwähnen. pfsense kenne ich nicht nicht, ich habe dazu zwar Infos gefunden, bin aber dadurch nicht viel schlauer geworden. Bin mit Netzwerktechnik aber nicht gross geworden. Es scheint um eine Firewall zu gehen. Auf welcher Hardware läuft das bei dir? Und wenn du IPv6 komplett blocken kannst, dann müsste es ja auch funktionieren, wenn der Mac mit IPv6 wieder in der Standardeinstellung läuft... also "Ein". Gruß Piusr

StrangerHereMyself · June 9, 2017, 7:58pm

Hi piusr,

PfSense is eine Open Source Firewall und läuft auf fast jedem PC (mini) mit intel bzw AMD CPU. Es gibtvauch kleine ATOM CPU basierende minicomputer um energie zu sparen. Wichtig ist dass man 2 Netzwerkschnitstelken hat.
Die einarbeitung ist jedoch ziemlich zeitaufwendig ohne Netzwerk Vorkenntnisse.
Natürlich gibt es auch andere Firewall Produkte die die gleiche Funktionen bieten.

In diesem Fall ist die Firewall "transparent" konfiguriert. DH. Netzwerkverkehr wird durch die Firewall durchgeleitet und "inspiziert". Es wird eine Regel erstellt welche dann alle ipv6 Pakete blockiert (bzw nicht mehr weiterleited).
Das Ergebins is dass meine iOS Geräte erst gar keine IPv6 Adressen mehr erhalten.
Diese Konfiguration funktioniert aber nur dann wenn man das WiFi Netzwerk des Speedports abschaltet.

Speedport <-> Firewall <-> Switch <-> WiFi

piusr · June 12, 2017, 3:54pm

Hallo und danke für die Info.
Interessant einerseits, und auch recht aufwendig im Verhältnis zum Nutzen.
Gut, wenn man so einen Mini PC rumliegen hat, warum nicht.
Für mich persönlich liegt die Grenze beim Raspberry, mehr sollte es eigentlich für mich nicht sein, um Werbung zu blocken. Wäre nicht schlecht, gäbe es Router, die eine DNS Blockingfunktion integriert haben.
Zumindest kenne ich keinen. Gruß Piusr