Pihole und das leidige Thema IPV6

Hi zusammen,

ich bekomm es irgendwie nicht konfiguriert. Aktuell hab ich eine Fritzbox 7590 mit Pihole Betav6 auf dem Raspberry Pi4B und Unbound auch noch drauf.

Zuerst mal hab ich kein DHCPCD am laufen sondern nur den Network Manager mit einer statischen IPV4 Adresse.
Meine /etc/Network/interfaces sieht aktuell so aus:

# interfaces(5) file used by ifup(8) and ifdown(8)
# Include files from /etc/network/interfaces.d:
source /etc/network/interfaces.d/*

# The loopback network interface
auto lo
iface lo inet loopback

#ipv4
auto eth0
iface eth0 inet static
address 192.x.x.x
netmask 255.x.x.x
gateway 192.x.x.x

#ipv6
iface eth0 inet6 auto

IPV6 erhalte ich nun 3 Adressen:

1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 state UNKNOWN qlen 1000
    inet6 ::1/128 scope host noprefixroute
       valid_lft forever preferred_lft forever
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 state UP qlen 1000
    inet6 fd00::x:x:x:54a4/64 scope global dynamic mngtmpaddr
       valid_lft 6750sec preferred_lft 3150sec
    inet6 2001:x:x:x:x:x:x:54a4/64 scope global dynamic mngtmpaddr
       valid_lft 6750sec preferred_lft 3150sec
    inet6 fe80::x:x:x:54a4/64 scope link
       valid_lft forever preferred_lft forever

Und als Gateway zur Fritzbox folgende:

default via fe80::x:x:x:22f4 dev eth0 proto ra metric 1024 expires 1702sec mtu 1492 hoplimit 255 pref medium

Die ULA Adresse aus der Fritzbox ist erreichbar via PING6 aber nicht als Gateway eingetragen hat aber die gleiche Adresse wie der obige Gateway bis auf am Anfang eben fd00 anstatt fe80

Soweit sogut.

Also die obige scope link ist die feste IPV6 des Raspberry und die 2 anderen mit "mngtmpaddr" sind die 2 tempor├Ąren Adressen von Privacy Extensions nehme ich an.

Jetzt zu meinem Problem.

Ich bekomme von

https://test-ipv6.com/

9/10 als OK gemeldet, aber der letzte 9te Test sagt das angeblich mein DNS Server keine Internet Connection ├╝ber IPV6 h├Ątte.

Der 2te Test hier sieht so aus:

Wo liegt das Problem ? Pihole l├Âst AAAA und auch A auf laut Query Log

Guten Morgen,

ich hab jetzt mal bissl gelesen ├╝ber die Adressen die IPV6 da vergibt und beim Raspberry Pi4 ist es zumindest so das wenn man eine statische IPV6 gesetzt hat und eben kein DHCP Client auf dem Raspberry nutzt dann werden hier nur FE80 Adressen vergeben sowohl f├╝r Gateway zur Fritzbox als auch als Scope-Link also statische IPV6 Adresse des Raspberry.

Jetzt kommt nat├╝rlich schon das gro├če aber denn beim Reconfigure von Pi-Hole meckert er schon rum das keine ULA Adressen vergeben sind:

[i] Reconfigure option selected
  [i] IPv4 address: 192.168.x.3/24
  [i] Unable to find IPv6 ULA/GUA address
  [i] IPv6 address:
  [i] Using upstream DNS: Custom (127.0.0.1#5335, 127.0.0.1#5335)

So jetzt meine Frage: sollte ich die Gateway Adresse der Fritzbox durch die ULA Adresse ersetzen ? ebenso die statische IPV6 ?

Die statische IPV6 Adresse basiert allerdings auf der MAC Adresse des Raspberry und diese beginnt dann eben mit FE80

Das "leidige Thema" IPv6 funktioniert mit der stabilen Pi-Hole Version und der 7590 perfekt.
Ich nutze dabei die fe80 Adresse des Pi.

Bitte lade ein Debug Log hoch und poste hier anschlie├čend nur die Token-URL.
Das Token generierst Du ├╝ber

pihole -d

wobei Du die Frage nach dem Upload bejahst, oder Du machst das ├╝ber die Weboberfl├Ąche:
Tools > Generate Debug Log

Hi,

ja gerne hier ist es:

Debug Log

@wd9895

wenn ich fragen darf, wie bekommst du aber dann eine Verbindung zur ULA Adresse der Fritzbox ?

In die eine Richtung kann man die FE80 des PI nutzen ja.

Pihole m├Âchte immer die ULA Adresse zur Fritzbox die es bei einer statischen IPV6 Konfiguration des Raspberry ohne DHCPCD Dienst auf dem Raspberry ja nicht gibt.

Auf Debian Bookworm RaspiOS ist sowieso der DHCPCD Dienst als Standard nicht aktiv sondern nur der Networking Service

Ich m├Âchte aus verschiedenen Gr├╝nden auch kein DHCPCD sondern ├╝berall nur eine statische IP Adresse.

Dein Debug Log zeigt, dass Pi-hole soweit ordnungsgem├Ą├č l├Ąuft.

Allerdings hat der Hostrechner nur link-lokale IPv6-Konnektivit├Ąt, d.h. entgegen Deiner obigen Angaben hat eth0 laut Debug Log nur eine LLA-IPv6 (aus dem Bereich fe80::/10):

*** [ DIAGNOSING ]: Network interfaces and addresses
   2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc mq state UP group default qlen 1000
       inet 192.168.47.3/24 brd 192.168.47.255 scope global eth0
          valid_lft forever preferred_lft forever
       inet6 fe80::<redacted>a4/64 scope link 
          valid_lft forever preferred_lft forever

Das ist schl├╝ssig zu Deinem Bildschirmfoto, das zeigt, dass Dein Heimnetz ├Âffentliche DNS-Server nur ├╝ber IPv4 erreichen kann.

Das w├Ąre auch nicht weiter tragisch, da DNS-Server indifferent gegen├╝ber dem ├ťbertragungsptokoll sind, d.h. Dein Pi-hole bekommt DNS-Antworten ebensogut ├╝ber IPv4 wie ├╝ber IPv6.

Rein aus DNS-Sicht ist damit zun├Ąchst einmal nichts zu beanstanden.

Weshalb Dein Host-Betriebssystem die IPv6-Adressen anscheinend mal so und mal so meldet, w├Ąre eine Frage f├╝r das jeweilige BS.

Unabh├Ąngig davon w├╝rde ich pers├Ânlich die FritzBox so konfigurieren, dass sie ├╝berhaupt keine IPv6-Adresse als lokalen DNS-Server anbietet (siehe z.B. Unresolved ipv6 adress in my top list - #4 by Bucking_Horn). Das hat den Vorteil, dass Clients dann Pi-hole einheitlich nur ├╝ber ihre leichter zuzuordnende IPv4-Adresse anfragen (statt ├╝ber ihre potentiell vielen unterschiedlichen, sich regelm├Ąssig ├Ąndernden IPv6-Adressen).

Hi,

ja das stimmt so, den Debug Log hatte ich mit der IPV6 Static Adresse gemacht, das was ich oben gepostet hatte war mit

iface eth0 inet6 auto

in /etc/network/interfaces

Damit hat der Raspberry 3 IPV6 Adressen die wohl mit SLAAC vergeben werden.

@DL6ER
hat das halt etwas hinterfragt und f├╝r mich sah es dann so aus als w├╝rde was nicht korrekt funktionieren. Da ich bei https://test-ipv6.com/ gemeldet bekomme das mein DNS Server keine IPV6 Internet Connection hat und auch das der Score beim https://ipv6-test.com/ nur 15/20 ist.

Ansonsten w├╝rde ich dann bei IPV6 in der Fritzbox das verteilen der IPV6 f├╝r den DNS Server RFC 5006 wieder deaktivieren.
Wobei ich dazu sage das @DL6ER gemeint hat ich soll diese Einstellungen verwenden:

https://docs.pi-hole.net/routers/fritzbox-de/

Dort ist es ja aktiviert.

Von statischen IPv6-Adressen w├╝rde ich eher abraten, wenn Du nicht ganz genau weisst, was Du da machst.

Generell k├Ânnen sich meine Analyseaussagen nat├╝rlich nur auf das jeweilige Debug Log beziehen. Das Debug Log sollte also schon mit der Konfiguration erstellt werden, die Du auch verwendest.

1 Like

Kommt drauf an wie das Heimnetz aussieht, inwzischen hab ich mich weitergebildet was IPV6 angeht.

Ich hab jetzt das Pihole so beschr├Ąnkt das der Raspberry selbst nur ├╝ber IPV4 Internetconnection hat und IPV6 nur Netzwerkintern.

IPV6 Anfragen kommen z.b. vom Rechner PC1 an das Raspberry ├╝ber die FD bzw. FE Adresse nur intern im Heimnetz und werden von Pihole an Unbound weitergereicht (127.0.0.1#5335)

Unbound ist nur auf IPV4 konfiguriert was f├╝r IPV6 ausreicht weil Unbound einfach die IPV6 Anfrage ├╝ber IPV4 verschickt und wieder ├╝ber IPV4 Antwort bekommt.
Das ist das Do-IP6 = no in der Unbound Config wor├╝ber es ja hier so h├Ąufig Diskussionen gibt ob man es f├╝r IPV6 aktivieren muss, klare Antwort: Nein.

Klar kann man Do-IP6 auf yes setzen dann werden halt die Anfragen ├╝ber IPV4 und IPV6 verschickt aber dazu braucht man dann auf dem Raspberry eine IPV6 Adresse die ins Internet geht und hat im Prinzip dann 1 DNS Server mit 2 Zugangspunkten am laufen einer f├╝r IPV4 (beantwortet IPV4 und IPV6) und einen f├╝r IPV6 (beantwortet auch IPV4 und IPV6) was aber unn├Âtig ist.

F├╝r die Sicherhheit ist es besser nur IPV4 auf dem Raspberry aktiviert zu haben (ist nur ein Angriffspunkt keine 2 und trotzdem funktionieren IPV6 Anfragen)

F├╝r das Netzwerk sieht das folgenderma├čen aus:

# The loopback network interface
auto lo
iface lo inet loopback

#ipv4
auto eth0
allow-hotplug eth0
iface eth0 inet static
address 192.#.#.#/24
gateway 192.#.#.#

#ipv6 mit Privacy Extensions 2 IP┬┤s (nur im Auto Mode verf├╝gbar)
iface eth0 inet6 static
pre-up modprobe ipv6
#privext 2

Die interne statische IPV6 Adresse des Raspberry erf├Ąhrt man ├╝ber

ip -6 a

Die IPV6 Gateway Adresse zur Fritzbox oder anderem Router nur wenn IPV6 ULA aktiviert ist im Router.

ip -6 route

Die kann man dann noch theoretisch hier zwischen setzen, muss man aber nicht unbedingt:

#ipv6 mit Privacy Extensions 2 IP┬┤s (nur im Auto Mode verf├╝gbar)
iface eth0 inet6 static
pre-up modprobe ipv6
address fe80::#:#:#:#/64
gateway fe80::#:#:#:#
#privext 2

Zur Erinnerung FE Adressen sind nur intern erreichbar also nur f├╝rs LAN oder WLAN gedacht.

Alternativ wer das Raspberry mit IPV6 Adresse einrichten m├Âchte:

#ipv6 mit Privacy Extensions 2 IP┬┤s (nur im Auto Mode verf├╝gbar)
iface eth0 inet6 auto
pre-up modprobe ipv6
privext 2

Wichtig !! privext 2 f├╝r mehr Sicherheit, hiermit werden 2 Tempor├Ąre IPV6 Adressen automatisch angelegt ├╝ber die ins Internet geroutet wird sodas man die NATIVE also echte IPV6 Adresse im Internet nicht sehen kann.

This topic was automatically closed 21 days after the last reply. New replies are no longer allowed.