Unser Pi läuft hinter einer Fritzbox 7490 mit PIVPN (Wireguard). Im lokalen Netzwerk werden aber keine Ads (oder Inhalte der Blocklist) geblockt. Ich habe google.com als wildcard auf die Blocklist gesetzt, diese Seite wird nicht geblockt dig +short google.com gibt die IP von google aus. Auch pihole -g -f schafft keine Abhilfe. Sobald ich per Wireguard und einen full tunnel in unser Netzwerk gehe, wird auf dem Client-PC alles geblockt. Nur lokal aus dem Netzwerk werden keine Regeln angewendet. Restarten des Pi's brachte keine Abhilfe
In der Fritzbox (192.168.1.1)
sind folgende Einstellungen gemacht:
IP6 wird nicht genutzt
Feste IP für den Raspberry (192.168.1.220) außerhalb des DHCP Adressraums
Internet>Zugangsdaten>DNS: 2x die IP des PI (192.168.1.220)
Custom 1 (IPv4): ==> 192.168.1.1
**Google (ECS) IP ** ==> 2x Haken Never forward non-FQDNs Haken Never forward reverse lookups for private IP ranges Haken Use Conditional Forwarding Haken
==> Local network in [CIDR notation] 192.168.1.0/24 // IP address of your DHCP server (router) 192.168.1.1 // Local domain name (optional) fritz.box
Per VPN werden korrekt alle Anfragen geblockt, nur lokal nicht. Mir gehen langsam die Ideen aus. Alle lokalen Clients wurden neu gestartet, sogar im Windows händich die DNS geändert, trotzdem blockt das Pihole die Anfragen nicht.
Moinsen,
ich muss mein (hüstel) gefährliches Halbwissen mal mit einer Nachfrage offenbaren:
wenn du im Pihole als Custom DNS die IP der Fritzbox setzt und dort wiederum als Upstream DNS die IP des Pihole, dann baust du dir doch einen Loop, oder? Also Anfrage vom Client kommt an die Fritz, dann weiter an Pihole, dann unter Custom zurück an Fritz, dann wieder an Pihole....
Hat vermutlich nix mit deinem Problem direkt zu tun, ist aber auch nicht gerade korrekt konfiguriert, meine ich (und lasse mich gerne berichtigen).
Acuh fällt mir auf, dass der Windows Client nicht den Port 53 bei Address:192.168.1.220 anzeigt (hier mit Ubuntu wird das analog zur Anfrage auf dem Pihole mit angegeben), macht aber auch nix, denn das fehlt ja lokal und mit VPN...
Wie gesagt, beides nach meiner geringen Erfahrung nicht Ursache deines Problems, aber am Rande bemerkt...
Grüßle
Th30ther
Moinsen,
sorry, aber da kenn ich nur Anleitungen in denen es genau anders beschrieben ist. Denn ein DNS Resolver (Fritzbox oder Pihole) muss ja nach außen auf den Upstream zeigen. Bei dir geht das alles via google, da das ja dein 2. Eintrag im Pihole ist. Ich vermute, dass nix mehr geht, wenn du den löscht, da ja weder Fritz noch Pihole dann wissen, wen sie für Anfragen kontaktieren sollen.
Aber du hast Recht: das alles hat nix mit deinem Problem zu tun, daher bringen auch Änderungen dahingehend keine Lösung. Ist also eher OT, sorry...
Hi.
Wo hast du denn die IP des Pi-Holes eingetragen? Bei Internet -> Zugangsdaten -> DNS oder
Heimnetz -> Netzwerk -> Netzwerkeinstellungen -> IPv4-Adressen??
Die bei Internet -> Zugansdaten ... ist die Falsche. PiHole muss unter [..] IPv4-Adressen -> lokaler DNS eingetragen sein!
Zu dem Eintragen des DNS: Wenn der PI auch das Gastnetz/Fritz-VPN (LAN-LAN Kopplung etc.) schützen soll, trägt man ihn 2x bei "Internet -> Zugansdaten" ein.
Falls er nur das interne Netz schützen soll bei "Internet -> Zugangsdaten -> DNS oder Heimnetz -> Netzwerk -> Netzwerkeinstellungen -> IPv4-Adressen" Die Fritzbox kann für das Gästenetz kein gesonderten DNS-Server verwenden.
Wenn er nur das interne Netz schützen soll, kann man bei "Internet -> Zugansdaten" auch andere DNS-Server eintragen, diese werden dann von der Fritzbox bzw. vom Gästenetz verwendet. Mein Problem ist aber, dass Clients die per Wireguard-VPN verbunden sind. die Blockliste verwenden - lokale Geräte aber nicht. Technisch gesehen sind aber beide Netze verbunden und werden als lokales Netz in der Fritzbox angewendet.
Ich habe die Fritzbox als Upstream Server auch bereits deaktiviert, Pihole deinstalliert (inkl. aller Abhängigkeiten) und wieder installiert. Keinen Effekt. Auch habe ich den PI nur auf eth0 hören lassen, auch das hat keine Änderung gebracht. Unsere Firma setzt eine LAN-LAN-Brücke über zwei Fritzboxen ein. Diese hab ich auch testweise unterbrochen, auch das hat nichts geändert.
Edit: Im PI steht sogar, dass der Query geblockt wurde, die geblockte Seite wird aber trotzdem angezeigt und ist per nslookup erreichbar.
Aus den nslookups erkennt man, dass nur Dein Windows-PC die eigentlich zu blockende Anfrage auflöst.
Das könnte passieren, wenn Du Pi-hole für client-basierte Filterung konfiguriert hättest.
Dein Debug Log zeigt aber, dass Du keine Clients definiert hast:
Der Abschnitt [ DIAGNOSING ]: Clients ist leer.
Einige Router fangen mitunter den DNS-Verkehr ab und leiten ihn auf eigene DNS-Server um; FritzBoxen tun das aber definitiv nicht.
Damit ist verstärkt auf der Client-Seite nach der Ursache zu suchen, also auf dem Windows-PC.
Verwendest Du vielleicht eine Antiviren-Software wie AVG oder AVAST?
Deren Secure DNS- oder Real Site-Optionen können DNS-Anfragen auf eigene DNS-Server umleiten, was gerne passiert, wenn eine DNS-Auflösung nicht funktioniert.
Diese Optionen sollten also im Zusammenhang mit Pi-hole deaktiviert werden.
(Die Echtheit von DNS-Antworten lässt sich übrigens per DNSSEC überprüfen, es braucht dazu keine Weiterleitung an die DNS-Server von Antivirensoftware (die nebenbei auf diese Weise an Deine DNS-Historie gelangen können, die sich wunderbar vermarkten lässt)).
Danke für die Hilfe. In der Tat lief auf unseren Windows Server eine Anti-Viren Software. Diese hat mit ihrer Real Site -Option anscheinend den kompletten Traffic umgeleitet. Ich habe keine Ahnung warum unsere 10 Clients den Datenverkehr über diese DNS umgeleitet haben, eigentlich nicht möglich. Trotzdem hat nach dem deaktivieren alles funktioniert. Vielen Dank noch mal für die ausführliche Hilfe. Eine sehr gute Community!