Hi,
ich habe das Pi Hole nach Anleitung (by Dennis Sareika) auf meiner Synlogy im Docker installiert.
Läuft auch soweit.
Folgende Einstellungen habe ich gemacht:
PiHole:
- Settings - DNS - Upstream Servers - Custom1 IPv4: 10.0.0.1#53 (IP der FritzBox)
- Alle anderen DNS Upstream Server deaktiviert
- Never forward reverse lookups for private IP ranges = aktiviert
FritzBox:
- Heimnetz - Netzwerk - Netzwerkeinstellungen - IPv4 Adressen - Lokaler DNS Server: 10.0.0.123 (IP des NAS)
Leider kommen keine Anfragen am PiHole an.
Alle Queries und Clients = 0.
Unter "Network" im PiHole sehe ich aber meine Netzwerkgeräte.
FritzBox habe ich neu gestartet sodass die Netzwerkverbindungen neu aufgebaut werden.
In der "ipconfig -all" steht an meinem PC auch die DNS IP 10.0.0.123 (NAS).
Wo hab ich nen Haken vergessen?
Schauen wir uns einmal an, was Pi-hole in den letzten 24 Stunden so gemacht hat.
Was ergibt folgendes Kommando auf Deiner Pi-hole-Maschine ?
echo ">stats >quit" | nc localhost 4711
Versuchen wir herauszufinden, an welcher Stelle die Namensauflösung scheitert.
Was ergeben die folgenden Kommandos auf Deinem PC?
nslookup pi.hole
nslookup flurry.com 10.0.0.123
1 Like
echo ">stats >quit" | nc localhost 4711
echo ">stats >quit" | nc localhost 4711
domains_being_blocked 417211
dns_queries_today 0
ads_blocked_today 0
ads_percentage_today 0.000000
unique_domains 0
queries_forwarded 0
queries_cached 0
clients_ever_seen 0
unique_clients 0
dns_queries_all_types 0
reply_NODATA 0
reply_NXDOMAIN 0
reply_CNAME 0
reply_IP 0
privacy_level 0
status enabled
root@PiHole:/#
Mit pi.hole ist der Hostname gemeint?
Habe den Befehl mal mit pi.hole und dem Hostnamen PiHole ausgeführt:
nslookup pi.hole:
C:\Users\NUC>nslookup pi.hole
Server: fritz.box
Address: fd00::3681:XXXX:feb7:2fed
*** pi.hole wurde von fritz.box nicht gefunden: Non-existent domain.
C:\Users\NUC>nslookup PiHole
Server: fritz.box
Address: fd00::3681:XXXX:feb7:2fed
*** PiHole wurde von fritz.box nicht gefunden: Non-existent domain.
C:\Users\NUC>
nslookup flurry.com 10.0.0.123:
C:\Users\NUC>nslookup flurry.com 10.0.0.123
DNS request timed out.
timeout was 2 seconds.
Server: UnKnown
Address: 10.0.0.123
DNS request timed out.
timeout was 2 seconds.
DNS request timed out.
timeout was 2 seconds.
DNS request timed out.
timeout was 2 seconds.
DNS request timed out.
timeout was 2 seconds.
*** Zeitüberschreitung bei Anforderung an UnKnown.
C:\Users\NUC>
Die Statistiken zeigen uns, dass Pi-hole in der Tat keine Anfragen erhalten hat und von keinem Deiner Geräte genutzt wurde.
Der erste nslookup zeigt, dass Dein PC für diese Anfrage immer noch Deine FB als DNS-Server verwendet.
Und der zweite nslookup zeigt, dass es Probleme gibt, eine Namensauflösung gezielt über die IP-Adresse Deines Pi-hole anzufordern.
Schauen wir uns erst einmal die lokal verwendeten DNS-Server an.
Was ergeben die folgenden Kommandos auf Deinem PC?
netsh interface ipv4 show dnsservers
netsh interface ipv6 show dnsservers
C:\Users\NUC>netsh interface ipv4 show dnsservers
Konfiguration der Schnittstelle "LAN"
Über DHCP konfigurierte DNS-Server: 10.0.0.123
Mit welchem Suffix registrieren: Nur primäres
Konfiguration der Schnittstelle "Loopback Pseudo-Interface 1"
Statisch konfigurierte DNS-Server: Keine
Mit welchem Suffix registrieren: Nur primäres
C:\Users\NUC>netsh interface ipv6 show dnsservers
Konfiguration der Schnittstelle "LAN"
Über DHCP konfigurierte DNS-Server: fd00::3681:XXXX:feb7:2fed
fe80::211:32ff:XXXX:c40c%17
Mit welchem Suffix registrieren: Nur primäres
Konfiguration der Schnittstelle "Loopback Pseudo-Interface 1"
Statisch konfigurierte DNS-Server: fec0:0:0:ffff::1%1
fec0:0:0:ffff::2%1
fec0:0:0:ffff::3%1
Mit welchem Suffix registrieren: Nur primäres
Über IPv6 verteilt die FB wohl noch ihre eigene ULA-Adresse als DNS-Server.
Hast Du in der FB bereits "ULA immer zuweisen" aktiviert?
Und ich nehme mal an, die link-lokale IPv6-Adresse (fe80:) gehört zu Pi-hole?
Unique Local Addresses (ULA) zuweisen, solange keine IPv6-Internetverbindung besteht (empfohlen)
ist aktiviert.
Unter IPv6 steht unter "Lokaler DNS Server" aber die IPv6 des PiHole in der FB.
Korrekt
Ist Dein Pi-hole über IPv6 von Deinem PC erreichbar?
ping -6 fe80::211:32ff:XXXX:....
Falls ja, versuch bitte erst einmal, die ULA-Adressen immer zu vergeben.
Dann Geräte kurz trennen und neu verbinden, und anschliessend prüfen, ob die FB immer noch als DNS-Server auftritt.
C:\Users\NUC>ping -6 fe80::211:32ff:XXXX:c40c
Ping wird ausgeführt für fe80::211:32ff:XXXX:c40c mit 32 Bytes Daten:
Antwort von fe80::211:32ff:XXXX:c40c: Zeit<1ms
Nun kommen meine WLAN Geräte auch alle nicht mehr ins Internet.
LAN Geräte komischerweise schon. PC ist per LAN angeschlossen.
Ich nutze das FritzBox eigene WLAN nicht, sondern Ubiquiti Hardware.
(Welche aber ja auch per LAN am gleichen Switch hängt wie die FB und alle anderen LAN Geräte.)
Link-lokale Adressen sind nur im selben Netzwerksegment gültig.
Sobald Geräte über einen L3-Switch mit Pi-hole verbunden sind, ist Pi-hole für diese über eine fe80::/10-Adresse nicht erreichbar.
Wenn Dein Switch also nicht nur L2 ist, würde hier die Verwendung der ULA-Adresse Abhilfe schaffen.
Das heißt, was muss ich tun?
Aber die LAN Geräte (wie z.B. der PC) schicken ja offenbar auch keine Anfragen an den PiHole.
Haben aber INternetzugriff.
Was meinst du mit L2? (Level2?)
Vermutlich, weil die LAN-Geräte entweder IPv6 bevorzugen, oder weil derzeit DNS-Auflösung bei Dir nur IPv6 geht (und zwar über die unbotmäßig auftauchende FB).
Dann dürften wir daran auch erst einmal nichts ändern, bis klar ist, warum DNS-Anfragen nicht zu Deinem Pi-hole durchdringen.
Trag also erst einmal Deine FB als lokalen IPv4-DNS ein, stell IPv6 auf ULA-Adressen immer zuweisen um, und dann versuchen wir, die Verbindungsprobleme von Deinem PC aus zu lösen.
Data Link Layer (L2) aus dem OSI-Modell.
Ich bin bei dem Punkt "Fritzbox -> Internet -> Zugangsdaten -> DNS Server" immer noch verwirrt.
Muss ich hier eine IP eintragen? z.B. die häufig erwähnte 1.1.1.1, oder muss hier die IP vom PiHole rein?
Eigentlich hatte ich mich ja für die Variante entschieden dass die FB die DNS IP an die TEilnehmer broadcastet, ich also bei den Zugangsdaten nichts eintragen muss, richtig?
Ich nehme mal an, dass Du die IPv4-Adresse Deines Pi-holes auch von Deinem PC erreichst.
Demnach würde Port 53 irgendwo auf der Strecke zwischen PC und Pi-hole geblockt werden. Hast Du die Ports von Deinem NAS an den Container durchgeschleift?
Das sind die Upstream-DNS-Server Deiner FB, an die die FB selbst DNS-Anfragen stellt oder weiterleitet.
Die können zunächst auf ISP-Vorgabe bleiben.
Pi-hole solltest Du von Deiner FB als lokalen DNS über DHCP verteilen lassen.
EDIT: Sobald die Probleme beseitigt sind, natürlich.
Porteinstellugnen habe ich keine gemacht.
Laut Synology sind keine Porteinstellugnen nötig.
OK, das habe ich so konfiguriert.
Läuft auf dem NAS-Host eine Firewall, die die benötigten Ports blockiert?
Nein, Firewall ist ausgeschaltet.
C:\Users\NUC>psping 10.0.0.123:53
PsPing v2.10 - PsPing - ping, latency, bandwidth measurement utility
Copyright (C) 2012-2016 Mark Russinovich
Sysinternals - www.sysinternals.com
TCP connect to 10.0.0.123:53:
5 iterations (warmup 1) ping test:
Connecting to 10.0.0.123:53 (warmup): from 10.0.0.11:55996: 2.88ms
Connecting to 10.0.0.123:53: from 10.0.0.11:55999: 3.34ms
Connecting to 10.0.0.123:53: from 10.0.0.11:56018: 0.67ms
Connecting to 10.0.0.123:53: from 10.0.0.11:56021: 0.57ms
Connecting to 10.0.0.123:53: from 10.0.0.11:56023: 0.49ms
TCP connect statistics for 10.0.0.123:53:
Sent = 4, Received = 4, Lost = 0 (0% loss),
Minimum = 0.49ms, Maximum = 3.34ms, Average = 1.27ms
Das haben wir über den zweiten nslookup an die Pi-hole-IPv4 schon getan: Dein PC hat die DNS-Anfrage abgeschickt, aber Pi-hole hat diese nicht erhalten.
Ein funktionierender Ping hat die grundsätzliich bestehende Netzwerkverbindung bestätigt. Also blockiert irgendetwas auf der Strecke die Kommunikation für den DNS-Port.
Lade bitte mal ein Debug Token von Deinem Pi-hole hoch:
pihole -d