Pi-Hole und FritzBox Setup Anleitung

Bist Du sicher, dass Du die richtige IP bei den zwei DNS Servern der Fritzbox eingetragen hast¿
? Denn Pi Hole sollte auch ohne rebind Schutz halbwegs funktionieren.

Die IP findest Du in der Konsole mit hostname-I
Ich habe DNS watch beim Pi-hole angegeben und mit der Rebind Ausnahme läuft das Surfen gleich schnell wie ohne Pi-hole.

Vielleicht hilft es, Pi-hole von Grund auf neu zu installieren, musste ich auch schon, einmal war bei mir Netzwerkkabel nicht ganz eingesteckt… ich bin überzeugt, dass das Problem bei einem übersehenen Detail liegt.

1 Like

Hii

Ja ich bin mir 100% sicher, habs nochmals überprüft:

Neu installiert hab ich auch schon, sorry habe ich vergessen zu erwähnen. Was mir noch einfällt, ich hab zuhause zwei Netgear Orbi RBK50 für mein WLAN, muss ich vielleicht dort die DNS Weiterleitung auch einrichten? Netzwerkkabel kann ich ausschliessen sonst hätte ich keine Verbindung zu im. Ein- und augeschalten hab ich in auch schon.

Danke für deine Hilfe :slight_smile:
Gruss

Das sieht soweit korrekt aus. Die selbe IP bei den Rebind DNS Ausnahmen eintragen.
Vereinfachen ist bei der Fehlersuche oft hilfreich, ich würde die Hotspots erst mal weglassen und mit dem RPi direkt am Router anschliessen beginnen.
Hast Du dem Raspberry in der Fritzbox eine fixe Adresse zugewiesen?
Was zeigt die Pi Hole Admin Seite im Browser an?

1 Like

Ich hab denn Fehler gefunden, mein Netgear WLAN Verstärker war als Router aktiviert anstatt als einfacher AP-Modus, kurz umgeschalten, woala es funktioniert :heart_eyes::sunglasses: da wird es ein durcheinander gegeben haben.

Danke für die Hilfe :slight_smile:

:clapping:

1 Like

Wieso arbeitet ihr so?
Bei mir ist alles super schnell und sauber mit folgender Config:

Netz besteht aus FritzBox mit mehreren Accesspoints (Powerline) WLAN repeatern etc.

Fritzbox arbeitet als DHCP Server und hat als lokalen DNS Server die Pi-Hole Adresse eingetragen. Somit propagiert die FritzBox bei Anfragen der Clients den PI-Hole als DNS Server.

Im Pi-Hole ist wiederum die FritzBox unter Custom1 (IPv6 und IPv4) die FritzBox IP eingetragen.

In der FritzBox unter Zugangsdaten-DNS-Server steht die 1.1.1.1 und 1.0.0.1 Cloudflare als IPv4 und die 2606:4700:4700::1111 und 2606:4700:4700::1001 als IPv6 drin.

Wer (wie ich) IPv6 aktiv hat jetzt noch auf dem Pi-Hole:

ip6tables -A INPUT -p tcp --destination-port 443 -j REJECT --reject-with tcp-reset
ip6tables -A INPUT -p udp --destination-port 80 -j REJECT --reject-with icmp6-port-unreachable
ip6tables -A INPUT -p udp --destination-port 443 -j REJECT --reject-with icmp6-port-unreachable

sudo apt install ip6tables-persistent

Und alles läuft (inkl. Auflösung der lokalen Namen) stabil und schnell. Mein Netz ist nicht wirklich klein und keines der Geräte hat Werbung oder verzögerte Antworten.
Aktuell:
7 Android Handys
1 iPhone
3 Android Tablets
2 Streaming Player
5 Alexa
3 Chromecast
3 FireTV
5 Windows PCs
14 IoT (Lichtschalter etc)
1 IoBroker (Raspi)
2 Drucker

und das beste: nur unter dieser Konfiguration funktioniert die Filterung (Jugendschutz, Zeitschaltung, etc.) sauber. Obendrein sind meine Freunde, die mal im Gastnetz sind begeistert, da auch diese durch das Pi-Hole laufen und keine Werbung mehr haben :wink:

2 Likes

Interessant, erlaubst Du noch ein paar Nachfragen?

Wie ist bei die die IPV6-Konfiguration auf der Fritzbox? Wie sieht Dein Pihole-Dashboard aus - werden die IP-Adressen reportet oder die DNS-Namen? Auch bei den IPv6-Adressen?

Warum hast Du auf dem Raspi Iptables aktiv? Macht doch eigentlich nur Sinn auf Gateway oder Router.
Warum forwardest Du DNS-Afragen wieder auf die Fritzbox ansatt direkt auf die externen Forwardeer?

Warum?
Warum nicht einfach IPv6 komplett deaktiveren, wenn man ehr nur mit IPv4 unterwegs ist.

Dashbord: Alles wenn es aufgelöst werden kann hat die DNS Namen. Domains sowieso, Clients fast alle mit Namen. (IPv4 Alle IPv6 90%)

iptables ist aktiv um https: Anfragen sofort die nicht erreicht werden könne sofort beendet werden und nicht ewige Suche stattfindet. Habe ich hier aus dem Forum und nachdem ich dies aktiv habe läuft alles wie geschmiert.

Mit dem forward der Anfragen ist sichergestellt, dass die FritzBox sowohl Gastnetz als auch alle Rules in den Filtern handeln kann.
Und wenn der Pi-Hole ne Anfrage nicht selbst beantworten kann geht er eben zur FritzBox und diese fragt dann bei Cloudflare,
Klar ein Metrik mehr in der Abfrage, aber das ist extremst gegenüber den gewonnenen bzw. nicht verlorenen Zusatzfunktionen auf der FritzBox für mich zu vernachlässigen.

IPv6 kannst du ausschalten. Ich nutze es massiv mittlerweile und bin froh natives IPv6 an meinem Anschluss zu haben. Kein sinnloses NAt etc.

jepp, aber ich komme von außen aus einem 4er Netz nicht mehr rein, da ich das gammlige DS-Lite mit IPv6 extern habe. Ansonsten würde ich auch IPv6 bevorzugen.

Noch was: Ich habe auch die aktuelle Beta von Pi-Hole mal getestet. Diese hat einige zusätzliche Einstellmöglichkeiten und ist ohne Logging in ner File nochmal deutlich performanter, hat aber bei mir noch einen Bug der aber bald gefixt wird.

Unter anderem NXDOMAIN :wink:

Welchen Provider mit DS-Lite nutzt du denn?

Unitymedia

wegen HTTPS-Prolematik schaut mal hier:

Den rebind-schutz habe ich nicht erwähnt aber selbstverständlich ist mein Pi-Hole hier eingetragen.
Aber nochmal: meine Konfig ist deshalb so gewählt, damit ich sowohl Namensauflösung als auch die kompletten Features der Fritzbox nutzen kann.
Ohne die Konfig surfen meine Kids tagelang :wink: Mit dieser Konfig greift z.B. die Zeitbeschränkung.

1 Like

Hallo habe nur kurze Frage bezüglich iptables, ich habe Raspi mit raspbian jessie und kann die roules nicht einpflegen.

Könntest du hierzu etwas mehr schreiben was man tun sollte ?

Grüße

Ich nutze Stretch, aber mit Jessie sollte es auch gehen.

Schau doch mal hier: https://blog.doenselmann.com/firewall-fuer-raspberry-pi-und-banana-pi/

Noch eine Frage, hast du die beiden settings aktiv ?

Never forward non-FQDNs
Never forward reverse lookups for private IP ranges

Wenn ich die aktiviere dann funktionioniert nslookup nicht.

und noch mal letzte Frage, wie kann ich es ändern wenn ich intern ping durchführe ipv4 zurückbekommen und nicht ipv6 ?

beides aus