Pi-Hole und FritzBox Setup Anleitung

Wenn man einen modernen Router hat, welcher erlaubt seinem Heimnetz über DHCP ipv4 und ipv6 DNS Server zu setzen bevorzuge ich persönlich 2, weil dann muss ich mich auch nicht mit der DNS Rebind Problematik rumärgern und meine Fritzbox bleibt weiterhin DHCP Server.

Möglichkeit 1 habe ich nicht im Einsatz

zu 1. Ja, dies ist alles so korrekt. Ich habe Haken bei immer die gleiche Adresse zuweisen gesetzt, das habe ich aber auch generell bei allen meinen Geräten und im Firmenumfeld macht man so etwas auch (DHCP Reservierung)

  1. Ich habe ULA gesetzt. Verstanden habe ich das so. Eine ipv4 Adresse in deinem Heimnnetz z.b. 192.168.178.50 bleibt immer gleich, egal was dein Provider macht (nur du kannst die ändern). Eine IPV6 Adresse von einem Gerät in deinem Netzwerk kann sich ändern (es ändert sich zwar nur ein Teil, aber auch eine Teiländerung ist ja eine andeere Adresse), je nachdem was dein Provider macht. Und ULA in der Firtzbox wirkt dem entgegen, weil die Fritzbox nicht mehr die "Änderung" vom Provider durchreicht, sondern in deinem Netz mittels ULA dafür sorgt das alle deine Geräte ihre adresse bis in alle Ewigkeit (oder wenn du sie persönlich abänderst) behalten.

ich habe 1 im Einsatz. Mir gefällt das Konzept dass alles was der pihole durchlässt an den router durchgereicht wird. Und in der Fritzbox selber kann ich ja DNS Upstreams einstellen wie ich lustig bin (oder gibt es Provider, welche einem Netzwerkseitig zwingen ihre DNS zu nehmen?)

Die von dir erwaähnte zusätzliche Aufrufhierarchie wird man immer haben, da ja der pihole praktisch zusätzlich in das Netzwerk kommt:

vorher: Client ->Bitte rufe www.google.de -> Fritzbox -> Internet
jetzt: Client ->Bitte rufe www.google.de -> pihole -> fritzbox -> internet

ich habe die beiden Haken bei
“Never forward non-FQDN”

“never forward reverse lookups for private IP ranges”

aktiviert.

ein Fully qualified domain name ist www.ichbineinerichtigedomain.de . Eine Non FQDN ist www.ichbineinerichtigedomain.hierstehtnurnochquatsch , endet also nicht auf .de, .com oder so (neuerdings gehen zwar auch .hamburg usw, aber das will ich jetzt nicht weiter ausführen)

wenn du eine selbstgemacht domainendung hast wie .irgendwas, dann sollte man den Haken rausnehmen.

bei dem 2. Haken bin ich auch nicht sicher, habe ihn persönlich aber aktiviert

Dein Versuch hier mal eine ultimativ-glaktische Anleitung zu bauen ist supergeil! Da helf ich gerne, wenn ich kann.

Und ULA in der Firtzbox wirkt dem entgegen, weil die Fritzbox nicht mehr die “Änderung” vom Provider durchreicht, sondern in deinem Netz mittels ULA dafür sorgt das alle deine Geräte ihre adresse bis in alle Ewigkeit (oder wenn du sie persönlich abänderst) behalten.

Exakt! Und das erkennt man daran, dass die von der FB vergebenen IPv6 Adressen mit fd00:: beginnen, während eine selbst erzeugte IPv6 z.Bsp. 2038:etc lauten.
Das sog. ULA-Präfix fd00 kann man ändern, wenn's einem wichtig ist.

Wenn man also seinem RPi eine fest IPv4 verpasst, dann sollte man ihm auch eine feste IPv6 verpassen (damit die sich nicht mitten im Betrieb sechs Wochen später ändert und man ewig rumsucht).

Und damit man (ganz sicher) eine feste IPv6 kriegt (die sich nicht mehr ändert), aktiviert man in der FB die Funktion "Unique Local Addresses (ULA) immer zuweisen".
Und dann kann man auf dem Pi-hole (zBsp, mit ifconfig) die IPv6 Adresse auslesen und bei der FB unter "Lokaler DNSv6-Server:" eintragen.

Damit hat

  • der RPi eine feste IPv4 und eine fest IPv6 (beide von der FB)
  • die FB die Info dass DNS für IPv4 und IPv6 der RPi/das Pi-hole macht
  • und alle Clients teilt die FB das dann ebenfalls mit, auf dass die auch nicht weitersuchen, egal ob sie über IPv4 oder IPv6 arbeiten.

Klappt halt glaub ich nur, wenn die FB die DHCP Adressen verteilt. Also die Lösung 2.

Edit: Vergessen: Alles geht zackig auf PC/Mac/IPhone/Android. Auch die von Dir genannten Seiten, auch wenn ich auch nicht weiß, was bei der Testseiten-Sammelseite richtig oder falsch ist. Ein Screenshot wäre hilfreich, aber immerhin lädt alles.

2 Likes

Ich häng' mich mal an diesen Thread an. Nachdem mein Android Smartphone einfach keine dauerhafte Verbindung mehr zur Fritzbox aufbauen konnte, habe ich Ursachenforschung betreiben müssen.
Zumindest Android Smatphones haben noch Probleme mit Wlan über IPv6, solange die Fritzbox advertisments nach RFC 5006 verteilt. Nachdem dieser Haken nicht mehr gesetzt war, ging alles prima.

Wer IPv6 verwenden will, sollte auch drauf achten die iptables rules für v6 zu setzen:

ip6tables -A INPUT -p tcp --destination-port 443 -j REJECT --reject-with tcp-reset
ip6tables -A INPUT -p udp --destination-port 80 -j REJECT --reject-with icmp6-port-unreachable
ip6tables -A INPUT -p udp --destination-port 443 -j REJECT --reject-with icmp6-port-unreachable

sudo apt install ip6tables-persistent

Das Problem langsam ladender Seiten und nicht funktioniendem Chromecast lässt sich beheben, wenn du in der Fritzbox ins Heimnetz -› Netzwerkeinstellungen gehst und nach unten scrollst bis du das siehst:
DNS-Rebind-Schutz
FRITZ!Box unterdrückt DNS-Antworten, die auf IP-Adressen im eigenen Heimnetz verweisen (DNS-Rebind-Schutz). Hier können Sie eine Liste von Domainnamen angeben, für die der DNS-Rebind-Schutz nicht gelten soll.

Domainnamen-Ausnahmen:
Hier die IP vom Raspberry eintragen. Die selbe IP wie beim ersten und zweiten DNS Server Eintrag der Fritzbox.

Erst jetzt ist Pi Hole fertig konfiguriert.

Danach können lokale Clients wie SmartTV oder Chromecast Pi Hole als DNS Server finden und das Problem der langsam ladenden Seiten wird auch gelöst, da nicht auf IPv6 vergebens gesucht wird, nachdem IPv4 abgeklappert wurde, was enorm Zeit kostet…

1 Like

Hallo Gemeinde :slight_smile:

Ich muss denn Thread ausgraben, hab alles installiert, bei meiner FritzBox7360 unter: Zugangsdaten, DNS-Server meine IP vom Pi-Hole eingefügt aber dann lädt er leider die Internetseiten nicht mehr und unten steht: Host auflösen. Hab über Google das hier gefunden:

Auf Fritz!Boxen funktioniert das allerdings aufgrund der integrierten DNS-Rebind Protection nicht.

Hab auch schon bei der Fritz Box DNS Rebind Schutz meine IP vom Pi-Hole eingetragen, leider keine Besserung.

Jetzt lese ich hier das ich unter Heimnetz -> Heimnetzübersicht -> Netzwerkeinstellungen -> IPV4-Adressen: Pi-Hole IP als DNS eintragen kann, aber bei mir gibt es dort nur: IPv4-Adresse, Subnetzmaske, DHCP-Server vergibt IPv4-Adressen, Gastnetz, IPv4-Adresse... Leider keine Möglichkeit eine DNS Adresse einzugeben.

Unter denn Einstellungen vom Pi-Hole hab ich auch schon etliches ausprobiert, stehe auf dem Schlauch :smiley:

Kann mir da jemand weiterhelfen? Bin über jede Hilfe sehr dankbar!

Grüsse

Bist Du sicher, dass Du die richtige IP bei den zwei DNS Servern der Fritzbox eingetragen hast¿
? Denn Pi Hole sollte auch ohne rebind Schutz halbwegs funktionieren.

Die IP findest Du in der Konsole mit hostname-I
Ich habe DNS watch beim Pi-hole angegeben und mit der Rebind Ausnahme läuft das Surfen gleich schnell wie ohne Pi-hole.

Vielleicht hilft es, Pi-hole von Grund auf neu zu installieren, musste ich auch schon, einmal war bei mir Netzwerkkabel nicht ganz eingesteckt... ich bin überzeugt, dass das Problem bei einem übersehenen Detail liegt.

1 Like

Hii

Ja ich bin mir 100% sicher, habs nochmals überprüft:

Neu installiert hab ich auch schon, sorry habe ich vergessen zu erwähnen. Was mir noch einfällt, ich hab zuhause zwei Netgear Orbi RBK50 für mein WLAN, muss ich vielleicht dort die DNS Weiterleitung auch einrichten? Netzwerkkabel kann ich ausschliessen sonst hätte ich keine Verbindung zu im. Ein- und augeschalten hab ich in auch schon.

Danke für deine Hilfe :slight_smile:
Gruss

Das sieht soweit korrekt aus. Die selbe IP bei den Rebind DNS Ausnahmen eintragen.
Vereinfachen ist bei der Fehlersuche oft hilfreich, ich würde die Hotspots erst mal weglassen und mit dem RPi direkt am Router anschliessen beginnen.
Hast Du dem Raspberry in der Fritzbox eine fixe Adresse zugewiesen?
Was zeigt die Pi Hole Admin Seite im Browser an?

1 Like

Ich hab denn Fehler gefunden, mein Netgear WLAN Verstärker war als Router aktiviert anstatt als einfacher AP-Modus, kurz umgeschalten, woala es funktioniert :heart_eyes::sunglasses: da wird es ein durcheinander gegeben haben.

Danke für die Hilfe :slight_smile:

:clapping:

1 Like

Wieso arbeitet ihr so?
Bei mir ist alles super schnell und sauber mit folgender Config:

Netz besteht aus FritzBox mit mehreren Accesspoints (Powerline) WLAN repeatern etc.

Fritzbox arbeitet als DHCP Server und hat als lokalen DNS Server die Pi-Hole Adresse eingetragen. Somit propagiert die FritzBox bei Anfragen der Clients den PI-Hole als DNS Server.

Im Pi-Hole ist wiederum die FritzBox unter Custom1 (IPv6 und IPv4) die FritzBox IP eingetragen.

In der FritzBox unter Zugangsdaten-DNS-Server steht die 1.1.1.1 und 1.0.0.1 Cloudflare als IPv4 und die 2606:4700:4700::1111 und 2606:4700:4700::1001 als IPv6 drin.

Wer (wie ich) IPv6 aktiv hat jetzt noch auf dem Pi-Hole:

ip6tables -A INPUT -p tcp --destination-port 443 -j REJECT --reject-with tcp-reset
ip6tables -A INPUT -p udp --destination-port 80 -j REJECT --reject-with icmp6-port-unreachable
ip6tables -A INPUT -p udp --destination-port 443 -j REJECT --reject-with icmp6-port-unreachable

sudo apt install ip6tables-persistent

Und alles läuft (inkl. Auflösung der lokalen Namen) stabil und schnell. Mein Netz ist nicht wirklich klein und keines der Geräte hat Werbung oder verzögerte Antworten.
Aktuell:
7 Android Handys
1 iPhone
3 Android Tablets
2 Streaming Player
5 Alexa
3 Chromecast
3 FireTV
5 Windows PCs
14 IoT (Lichtschalter etc)
1 IoBroker (Raspi)
2 Drucker

und das beste: nur unter dieser Konfiguration funktioniert die Filterung (Jugendschutz, Zeitschaltung, etc.) sauber. Obendrein sind meine Freunde, die mal im Gastnetz sind begeistert, da auch diese durch das Pi-Hole laufen und keine Werbung mehr haben :wink:

1 Like

Interessant, erlaubst Du noch ein paar Nachfragen?

Wie ist bei die die IPV6-Konfiguration auf der Fritzbox? Wie sieht Dein Pihole-Dashboard aus - werden die IP-Adressen reportet oder die DNS-Namen? Auch bei den IPv6-Adressen?

Warum hast Du auf dem Raspi Iptables aktiv? Macht doch eigentlich nur Sinn auf Gateway oder Router.
Warum forwardest Du DNS-Afragen wieder auf die Fritzbox ansatt direkt auf die externen Forwardeer?

Warum?
Warum nicht einfach IPv6 komplett deaktiveren, wenn man ehr nur mit IPv4 unterwegs ist.

Dashbord: Alles wenn es aufgelöst werden kann hat die DNS Namen. Domains sowieso, Clients fast alle mit Namen. (IPv4 Alle IPv6 90%)

iptables ist aktiv um https: Anfragen sofort die nicht erreicht werden könne sofort beendet werden und nicht ewige Suche stattfindet. Habe ich hier aus dem Forum und nachdem ich dies aktiv habe läuft alles wie geschmiert.

Mit dem forward der Anfragen ist sichergestellt, dass die FritzBox sowohl Gastnetz als auch alle Rules in den Filtern handeln kann.
Und wenn der Pi-Hole ne Anfrage nicht selbst beantworten kann geht er eben zur FritzBox und diese fragt dann bei Cloudflare,
Klar ein Metrik mehr in der Abfrage, aber das ist extremst gegenüber den gewonnenen bzw. nicht verlorenen Zusatzfunktionen auf der FritzBox für mich zu vernachlässigen.

IPv6 kannst du ausschalten. Ich nutze es massiv mittlerweile und bin froh natives IPv6 an meinem Anschluss zu haben. Kein sinnloses NAt etc.

jepp, aber ich komme von außen aus einem 4er Netz nicht mehr rein, da ich das gammlige DS-Lite mit IPv6 extern habe. Ansonsten würde ich auch IPv6 bevorzugen.

Noch was: Ich habe auch die aktuelle Beta von Pi-Hole mal getestet. Diese hat einige zusätzliche Einstellmöglichkeiten und ist ohne Logging in ner File nochmal deutlich performanter, hat aber bei mir noch einen Bug der aber bald gefixt wird.

Unter anderem NXDOMAIN :wink:

Welchen Provider mit DS-Lite nutzt du denn?