PiHole seit ca. 5.0 Probleme Clients zu finden

Astronaut · February 22, 2021, 9:03am

Hallo.

Ich nutze schon seit ein par Jahren PiHole. Einmal eingerichtet und danach aber kaum angefasst, ausser über SSH Updates zu fahren (und über die GUI selten mal ein par Listen zu pflegen).

Ich möchte die neue Funktion nutzen, jedem Gerät seine eigenen Regeln zu verpassen. Dass z.B. auf dem Tablet sämtliche Microsoft, Google und Facebook Dienste geblockt werden (dass auch der PlayStore nicht mehr geht), auf dem Smart TV alles ausser Amazon Prime und Disney+, auf dem PC weiterhin die Listen wie bisher und auch der PiHole selbst zusätzliche Listen bekommt (alle Microsoft Dienste z.B. , aufgrund kürzlicher "Ereignisse"...).

Nun habe ich aber das Problem das viele Geräte neuerdings garnicht mehr erkannt werden, obwohl das bisher funktioniert hat und ich eigentlich nichts verändert habe (etvl. wegen neuem WLAN Passwort/ WLAN Name geändert?).

Ich habe gestern im PiHole Gruppen eingerichtet.
Alle Clients erstmal auf Default und den Fernseher in eine eigene Gruppe zugeordnet. Der Fernseher wird zum Beispiel vom PiHole erkannt. Und wenn ich dort die Firmendadressen des Fernsehers sperre, gibts entsprechende Fehlermeldungen am Fernseher (funktioniert also wie es soll). Allerdings werden alle anderen Geräte nicht mehr erkannt (wobei ich nicht weiß seit wann das so ist). Nichtmal mein PC. Ich kann die Geräte zwar Gruppen zuordnen (weil sie mal bekannt waren), sie bleiben unter "Pi-Hole: Network" aber alle rot. Die IPs der Geräte sind aber alle richtig und werden auch in der Fritzbox mit der selben IP korrekt erkannt/ online angezeigt, sind dort fest eingetragen. Warum erkennt PiHole die dann aber nicht mehr? (im Bild sind die WLAN Geräte aber gerade offline)

Ich habe die Vermutung, irgendetwas falsch (doppelt) konfiguriert und evtl. irgendwo eine Schleife produziert zu haben, die sich seit der letzten Updates bemerkbar macht.

Ein par Bilder im Anhang. Das werden nicht alle benötigten Infos sein. Bitte schreibt mir, was ich noch zeigen soll.

Weiteres:

ich habe gerade die IPV6 Unterstützung in der FB deaktiviert (keine Ahnung warum die aktiviert war), da ich das nicht benötige, generell für total unnötig halte, ausser dass der Datenschutz durch diesen Quatsch aufgeweicht wird. Kurz: Ich möchte es um jeden Preis vermeiden IPV6 zu verwenden.
Mein Raspberry, (auf dem auch PiHole läuft), ersetzt auch den ISP meines Providers. Wird alle par Wochen/ Monate geupdated, mit:

updateunboundconf
autoupdatelocalroot

Ansonsten sind die einzigen Befehle die ich auf dem Rasp ca. jede Woche ausführe:

apt update
apt full-upgrade
pihole -up
pihole -g
autoremove / autoclean

[edit] mir ist noch eingefallen, dass ich den Router zwischendurch einmal gewechselt habe. (die IP-Adressen blieben aber die selben, evtl hat PiHole Probleme mit der neuen MAC Adresse des Routers?)

Ich möchte, dass generell ALLE Geräte gefiltert werden, die an meinem Router angeschlossen sind. Auch wenn diese unbekannt sind oder der PiHole auf dem Gerät nicht als DNS eingetragen ist/ werden kann. Auch der Router und der PiHole selbst.

Falls auch irgendwelche meiner Gedanken/Anforderungen fehlerhaft sind, bin ich für jede Kritik dankbar (deswegen bin ich ja hier).!

PS: was sind das (im ersten Bild) für Geräte mit der IP 10.8.0.x ?

DL6ER · February 22, 2021, 10:31am

Das ist meist schon Nummer Eins in Richtung Lösung des Problems da viele Betriebssysteme IPv6 bevorzugen und die Fritzbox da möglicherweise tatsächlich auch DNS-Server Deines Internetproviders im Netzwerk verteilt.

Nein, eher nicht. Ebenso wenig Auswirkungen hat die Änderung von WLAN-Parameters wie Name oder Passwort. Wenn die Geräte das Pi-hole nicht mehr nutzen, dann stimmt mit sehr hoher Wahrscheinlichkeit etwas in der Routerkonfiguration nicht.

Passiert das denn derzeit? Ich denke schon. So wie es nach Deinen Screenshots aussieht hast Du diesen Punkt hier vergessen: Fritz!Box: Pi-hole als DNS Server via DHCP an Clients verteilen (LAN Seite) (zumindest sehe ich keinen Screenshot dazu).

Achtung: Wieso hast Du eine Portfreigabe eingerichtet? Bitte entferne diese, Dein Pi-hole ist sonst ein offener DNS-Server und das ist eine gefährliche Sache! (siehe auch) Entfernte Zugriffe bitte immer nur über ein verschlüsseltes VPN. Davon profitieren alle. Wir haben dafür auch sehr gute Guides auf unserer Dokumentationsseite. Natürlich gibt es bei Problemen auch Unterstützung.

MothersCoffee · February 22, 2021, 4:02pm

Hallo,

darf ich mal dazwischenfragen wie Du das dunkle Design der Benutzeroberfläche in der Fritz!Box hinbekommen hast? Eine solche Einstellung habe ich bei meiner 7590 nicht gefunden.

Astronaut · February 24, 2021, 2:00pm

Das macht bei mir das Firefox-AddOn "Dark Reader".
Das ist allerdings das einzige AddOn welches ich installiert habe, welches "datenschutztechnisch" fragwürdig ist und kann ich nicht empfehlen, für Personen, denen der Datenschutz wichtig ist. Es funkt auch öfters mal ins Internet, was ich mit PiHole unterbunden habe. Ich überlege es zu entfernen, wobei ich auf den Darkmode nicht verzichten will. Allerdings ist mein Firefox auch insoweit modifiziert, dass auch leere Seiten sofort dunkel sind und nicht immer erstmal kurz "weis aufblitzen", was extrem nervig ist, wenn man ansonsten ausschließlich im Darkmode unterwegs ist. (den Firefox integrierten Darkmode darf man ja auch nicht verwenden, wenn man von Websites widerum nicht wiedererkannt werden will, Thema Fingerprinting)

MothersCoffee · February 24, 2021, 3:05pm

Danke für die Info.
Dann warte ich mal lieber bis AVM eine Möglichkeit einbaut, ein dunkles Design einzustellen.

Astronaut · February 24, 2021, 3:06pm

Ja, habe tatsächlich unter "lokaler DNS-Server" meinen Router stehen gehabt, statt das PiHole. Hab jetzt dort die PiHole IP eingetragen. (ansonsten ist alles eingetragen wie auf deiner verlinkten Seite, ausser dass bei mir die Gültigkeit 10 Tage beträgt, statt einem)

Jetzt werden auch meine Geräte alle korrekt in der PiHole Oberfläche aufgeführt, sobald ich diese verbinde. Damit ist mein Problem gelöst.
Ist mir nur unklar, wie es dazu kam, dass unter der Einstellung die Router IP eingetragen war, vor allem weil es zuvor mal korrekt funktionierte. Muss ich wol irgendwann mal geschlafen haben.

Mein Internet wurde aber dennoch global gefiltert? Weil alle Anfragen meiner Geräte in PiHole unter dem Router aufgeführt wurden (192.168.178.1).

Da kommt mir eine Frage auf: Ich kann dem Router auch die Filterlisten zuweisen. Wenn ich jetzt jedem Gerät eine Gruppe zuweise, und der Fernseher bekommt seine spezielle "Gruppe2", der Router läuft wie auch der Rechner unter der normalen "Gruppe1", wird dann der Fernseher dennoch "2 mal" gefiltert? Also erst mit den Filtern(Blacklists, Whitelists) der Gruppe2, weil er dieser zugewiesen wurde und dann nochmal der Gruppe1, weil ja sämtlicher Verkehr über den Router geht und dieser wiederum der Gruppe1 zugeordnet ist? Macht es überhaupt Sinn, den Router einer Gruppe zuzuweisen? Aber theoretisch ja, da auch evtl. zukünftige unbekannte Geräte auch gefiltert werdem sollen, die noch nicht dem PiHole bekannt sind.

Ich habe mithilfe von DynDNS ein verschlüsseltes VPN eingerichtet und verwendet. (bevor es die "Blockada"-App gab, hab ich über meinen Raspi mein Smartphone gefiltert und musste temporär mit einem anderen Raspi über fremde WLans darüber ins Netz). Hab ich jetzt alles deaktiviert und auch die UDP Freigabe rausgeschmissen (brauche ich nicht mehr und richte ich dann neu ein, falls ich es wieder benötige).
Sollte also eigentlich safe gewesen sein?

Kann ich noch Konfigurationen direkt auf dem PiHole-Raspi überprüfen?
Nicht das dort wiederum der Router als DNS Server eingestellt ist? Aber bei so einer Schleife kämen die Geräte dann garnicht mehr ins Netz?

Was hat das eigentlich zu bedeuten:
(wenn ich auf den Router zeige, öffnet sich ein Popup mit hunderten Einträgen)

DL6ER · February 24, 2021, 5:43pm

Ja, aber das ist jetzt vorbei (alle Geräte werden jetzt einzeln aufgelistet). Damit entfällt Dein nächster Absatz quasi komplett, außer:

Diese Geräte fallen immer automatisch in die Gruppe "Default" und können so konfiguriert werden.

Ja, da ein VPN im Spiel war ist alles gut

Anzunehmen. Das findest sich alles in den verschiedenen Tabs der Seite "Settings".

Das sind die IP-Adressen, die dieses Gerät (aufgrund Hersteller + IP wohl die Fritzbox) hatte. Das ist notwendiges Wissen für die Filterung. Die Telekom vergibt regelmäßig neuen IPv6-Prefixe, was dazu führt, dass immer wieder neue Adressen generiert werden. Nicht nett, aber nur per Wechsel auf einen Business Tarif zu ändern. Die Adressen werden nach einer gewissen Zeit bereinigt. Das passiert standardmäßig nach einem Jahr, kann aber beliebig angepasst werden:
https://docs.pi-hole.net/ftldns/configfile/#maxnetage

Astronaut · February 25, 2021, 1:13pm

Hmm... nicht ganz.
Ich stelle mir immernoch folgende Fragen:
Was passiert, wenn ich dem Router FilterlListen zuweise?

Der Fernseher bekommt Liste1, der Router Liste2. Wird der Fernseher dann mit beiden Listen gefiltert, weil er Liste 1 zugewiesen bekommt und aber ja alle Geräte über den Router laufen, Filter2 also immer (bei jedem am Router angeschlossenen Gerät) angewendet wird?
Oder gilt die Liste dann wirklich nur für den Router (z.B. wenn dieser ein Update ausführt oder eine VPN / DynDNS Verbindung herstellt, während andere am Router angeschlossene Geräte diesen Filter ignorieren)? Macht es überhaupt Sinn, dem Router eine Liste zu verpassen, wo doch alle Geräte ohnehin ihre eigenen Listen bereits haben?

Und wie kann ich den PiHole Rasp selbst filtern? (um ihn z.B. bei einem Update vor Microsoft-Repositories zu schützen).
Unter "Network" wird nur localhost (127.0.0.1) grün aufgeführt (mit einer Menge Queries), was wol der PiHole-Rasp sein wird. Der Raspi hat aber auch selber einen Eintrag mit seiner richtigen IP, Namen und MacAdresse, war aber angeblich nie online (rot unter Network). Unter "Groups" hab ich diesen auch zu gewiesen, während "localhost" mit der Mac 0:0:0:0:0:0 dort nicht existiert (siehe Bild ganz oben "alter PiHole", der wol auch doch der aktuelle zu sein scheint).
Das ist mir auch noch nicht so ganz klar.

DL6ER · February 25, 2021, 7:20pm

Das. Es gilt eben nicht für am Router angeschlossene Geräte sodern für Anfragen, die der Router stellt. In Deiner vorherigen Konfiguration stellte er die Anfragen stellvertretend für alle Geräte. Da die das aber nun selbst machen:

Ich denke nicht.

Da bist Du mit locahost schon richtig. Das Pi-hole kommuniziert mit sich selbst über das "loopback interface", das die Adresse 127.0.0.1 hat. Nicht über seine eigene netzwerkkarte.

Astronaut · March 4, 2021, 9:54am

Vielen Dank.

Was passiert eigentlich während das PiHole geupdated wird?

Z.B. mit pihole -up oder pihole -g.
Während der Pihole updated, bleiben aber die alten Konfigurationen solange aktiv? Oder kann es in dieser Zeit kurz zu "Schlupflöchern" kommen, wo nicht gefiltert wird?

Und noch ein Fall:
Manchmal mache ich einen Neustart mit sudo reboot. Ich kann dann aber während der Rasp über SSH nicht erreichbar ist (weil er bootet) dennoch in dieser Minute ins Internet. Läuft zu der Zeit dann alles ungefiltert am PiHole vorbei?

Ich meine mich aber zu erinnern, als ich den Router mit einem neuen Internetanschluss verbunden habe, dass ich nicht ins Internet konnte, solange mein Raspi nicht daran angeschlossen war. Was ja im Prinzip auch logisch ist, weil im Router die DNS Anfragen ja zum Rasp weitergeleitet werden. Als der Rasp dann auch angeschlossen war, konnte ich auch ins Netz.
(soweit ich mich richtig erinner).

Warum kann ich dann aber ins Internet, obwohl der Rasp gerade am Neustarten ist?
Eigentlich müsste das Internet solange doch blockiert sein, weil das PiHole in der Zeit die DNS Anfragen nicht bearbeiten kann? In meinem Router sind aber keine weiteren Alternativen eingerichtet, an die sich der Router wenden könnte. Nur die IP des Pi-Hole Raspies (oder im Router ist irgendwo noch etwas falsch konfiguriert).

DL6ER · March 4, 2021, 6:51pm

Das.

Das sollte nicht gehen. pihole-FTL ist aber ein hochpriorisierter Prozess. Es ist durchaus möglich, dass der Prozess ordnungsgemäß läuft obwohl SSH schon beendet bzw. noch nicht wieder gestartet ist. Für ein paar Sekunden dürfte aber wirklich nichts gehen.

yubiuser · March 4, 2021, 6:59pm

Wie genau hast du überprüft, dass du noch ins Internet kannst? Ggf. hat dein Browser noch DNS Antworten in seinem Cache welche in der kurzen Zeitspanne des Reboots gültig sind und du genau diese versucht aufzurufen?

Astronaut · March 19, 2021, 10:58am

Das mit dem Cache ist mir bewusst. Genau deswegen starte ich immer komplett fremde Webseiten zu Testzwecken, die ich sonst nie aufrufe, bzw. leere zuvor die Browserhistory (inkl. Websitechache).
Aber ich hab zu sehr auf den SSH Disconnect geschaut. Es ist schon genau wie DL6ER sagt, das Zeitfenster, wo ich tatsächlich disconnected bin, ist viel kürzer und setzt später ein als ich dachte. Und ein träger Webseitenaufruf via Firefox taugt da zur Analyse zu wenig.
Und wenn ich den Rasp vom Router abziehe, komme ich auch garnicht mehr ins Internet. Also funktioniert es tatsächlich schon alles so wie es soll.

system · April 9, 2021, 10:58am

This topic was automatically closed 21 days after the last reply. New replies are no longer allowed.