Pihole und das leidige Thema IPV6

Starfoxfs · December 25, 2023, 3:58pm

Hi zusammen,

ich bekomm es irgendwie nicht konfiguriert. Aktuell hab ich eine Fritzbox 7590 mit Pihole Betav6 auf dem Raspberry Pi4B und Unbound auch noch drauf.

Zuerst mal hab ich kein DHCPCD am laufen sondern nur den Network Manager mit einer statischen IPV4 Adresse.
Meine /etc/Network/interfaces sieht aktuell so aus:

# interfaces(5) file used by ifup(8) and ifdown(8)
# Include files from /etc/network/interfaces.d:
source /etc/network/interfaces.d/*

# The loopback network interface
auto lo
iface lo inet loopback

#ipv4
auto eth0
iface eth0 inet static
address 192.x.x.x
netmask 255.x.x.x
gateway 192.x.x.x

#ipv6
iface eth0 inet6 auto

IPV6 erhalte ich nun 3 Adressen:

1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 state UNKNOWN qlen 1000
    inet6 ::1/128 scope host noprefixroute
       valid_lft forever preferred_lft forever
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 state UP qlen 1000
    inet6 fd00::x:x:x:54a4/64 scope global dynamic mngtmpaddr
       valid_lft 6750sec preferred_lft 3150sec
    inet6 2001:x:x:x:x:x:x:54a4/64 scope global dynamic mngtmpaddr
       valid_lft 6750sec preferred_lft 3150sec
    inet6 fe80::x:x:x:54a4/64 scope link
       valid_lft forever preferred_lft forever

Und als Gateway zur Fritzbox folgende:

default via fe80::x:x:x:22f4 dev eth0 proto ra metric 1024 expires 1702sec mtu 1492 hoplimit 255 pref medium

Die ULA Adresse aus der Fritzbox ist erreichbar via PING6 aber nicht als Gateway eingetragen hat aber die gleiche Adresse wie der obige Gateway bis auf am Anfang eben fd00 anstatt fe80

Soweit sogut.

Also die obige scope link ist die feste IPV6 des Raspberry und die 2 anderen mit "mngtmpaddr" sind die 2 temporären Adressen von Privacy Extensions nehme ich an.

Jetzt zu meinem Problem.

Ich bekomme von

https://test-ipv6.com/

9/10 als OK gemeldet, aber der letzte 9te Test sagt das angeblich mein DNS Server keine Internet Connection über IPV6 hätte.

Der 2te Test hier sieht so aus:

Wo liegt das Problem ? Pihole löst AAAA und auch A auf laut Query Log

Starfoxfs · December 26, 2023, 10:13am

Guten Morgen,

ich hab jetzt mal bissl gelesen über die Adressen die IPV6 da vergibt und beim Raspberry Pi4 ist es zumindest so das wenn man eine statische IPV6 gesetzt hat und eben kein DHCP Client auf dem Raspberry nutzt dann werden hier nur FE80 Adressen vergeben sowohl für Gateway zur Fritzbox als auch als Scope-Link also statische IPV6 Adresse des Raspberry.

Jetzt kommt natürlich schon das große aber denn beim Reconfigure von Pi-Hole meckert er schon rum das keine ULA Adressen vergeben sind:

[i] Reconfigure option selected
  [i] IPv4 address: 192.168.x.3/24
  [i] Unable to find IPv6 ULA/GUA address
  [i] IPv6 address:
  [i] Using upstream DNS: Custom (127.0.0.1#5335, 127.0.0.1#5335)

So jetzt meine Frage: sollte ich die Gateway Adresse der Fritzbox durch die ULA Adresse ersetzen ? ebenso die statische IPV6 ?

Die statische IPV6 Adresse basiert allerdings auf der MAC Adresse des Raspberry und diese beginnt dann eben mit FE80

wd9895 · December 26, 2023, 2:04pm

Das "leidige Thema" IPv6 funktioniert mit der stabilen Pi-Hole Version und der 7590 perfekt.
Ich nutze dabei die fe80 Adresse des Pi.

Bucking_Horn · December 26, 2023, 2:59pm

Bitte lade ein Debug Log hoch und poste hier anschließend nur die Token-URL.
Das Token generierst Du über

pihole -d

wobei Du die Frage nach dem Upload bejahst, oder Du machst das über die Weboberfläche:
Tools > Generate Debug Log

Starfoxfs · December 26, 2023, 5:58pm

Hi,

ja gerne hier ist es:

Debug Log

Starfoxfs · December 27, 2023, 9:20am

@wd9895

wenn ich fragen darf, wie bekommst du aber dann eine Verbindung zur ULA Adresse der Fritzbox ?

In die eine Richtung kann man die FE80 des PI nutzen ja.

Pihole möchte immer die ULA Adresse zur Fritzbox die es bei einer statischen IPV6 Konfiguration des Raspberry ohne DHCPCD Dienst auf dem Raspberry ja nicht gibt.

Auf Debian Bookworm RaspiOS ist sowieso der DHCPCD Dienst als Standard nicht aktiv sondern nur der Networking Service

Ich möchte aus verschiedenen Gründen auch kein DHCPCD sondern überall nur eine statische IP Adresse.

Bucking_Horn · December 27, 2023, 3:18pm

Dein Debug Log zeigt, dass Pi-hole soweit ordnungsgemäß läuft.

Allerdings hat der Hostrechner nur link-lokale IPv6-Konnektivität, d.h. entgegen Deiner obigen Angaben hat eth0 laut Debug Log nur eine LLA-IPv6 (aus dem Bereich fe80::/10):

*** [ DIAGNOSING ]: Network interfaces and addresses
   2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc mq state UP group default qlen 1000
       inet 192.168.47.3/24 brd 192.168.47.255 scope global eth0
          valid_lft forever preferred_lft forever
       inet6 fe80::<redacted>a4/64 scope link 
          valid_lft forever preferred_lft forever

Das ist schlüssig zu Deinem Bildschirmfoto, das zeigt, dass Dein Heimnetz öffentliche DNS-Server nur über IPv4 erreichen kann.

Das wäre auch nicht weiter tragisch, da DNS-Server indifferent gegenüber dem Übertragungsptokoll sind, d.h. Dein Pi-hole bekommt DNS-Antworten ebensogut über IPv4 wie über IPv6.

Rein aus DNS-Sicht ist damit zunächst einmal nichts zu beanstanden.

Weshalb Dein Host-Betriebssystem die IPv6-Adressen anscheinend mal so und mal so meldet, wäre eine Frage für das jeweilige BS.

Unabhängig davon würde ich persönlich die FritzBox so konfigurieren, dass sie überhaupt keine IPv6-Adresse als lokalen DNS-Server anbietet (siehe z.B. Unresolved ipv6 adress in my top list - #4 by Bucking_Horn). Das hat den Vorteil, dass Clients dann Pi-hole einheitlich nur über ihre leichter zuzuordnende IPv4-Adresse anfragen (statt über ihre potentiell vielen unterschiedlichen, sich regelmässig ändernden IPv6-Adressen).

Starfoxfs · December 27, 2023, 4:08pm

Hi,

ja das stimmt so, den Debug Log hatte ich mit der IPV6 Static Adresse gemacht, das was ich oben gepostet hatte war mit

iface eth0 inet6 auto

in /etc/network/interfaces

Damit hat der Raspberry 3 IPV6 Adressen die wohl mit SLAAC vergeben werden.

@DL6ER
hat das halt etwas hinterfragt und für mich sah es dann so aus als würde was nicht korrekt funktionieren. Da ich bei https://test-ipv6.com/ gemeldet bekomme das mein DNS Server keine IPV6 Internet Connection hat und auch das der Score beim https://ipv6-test.com/ nur 15/20 ist.

Ansonsten würde ich dann bei IPV6 in der Fritzbox das verteilen der IPV6 für den DNS Server RFC 5006 wieder deaktivieren.
Wobei ich dazu sage das @DL6ER gemeint hat ich soll diese Einstellungen verwenden:

https://docs.pi-hole.net/routers/fritzbox-de/

Dort ist es ja aktiviert.

Bucking_Horn · December 27, 2023, 4:39pm

Von statischen IPv6-Adressen würde ich eher abraten, wenn Du nicht ganz genau weisst, was Du da machst.

Generell können sich meine Analyseaussagen natürlich nur auf das jeweilige Debug Log beziehen. Das Debug Log sollte also schon mit der Konfiguration erstellt werden, die Du auch verwendest.

Starfoxfs · December 30, 2023, 2:05pm

Kommt drauf an wie das Heimnetz aussieht, inwzischen hab ich mich weitergebildet was IPV6 angeht.

Ich hab jetzt das Pihole so beschränkt das der Raspberry selbst nur über IPV4 Internetconnection hat und IPV6 nur Netzwerkintern.

IPV6 Anfragen kommen z.b. vom Rechner PC1 an das Raspberry über die FD bzw. FE Adresse nur intern im Heimnetz und werden von Pihole an Unbound weitergereicht (127.0.0.1#5335)

Unbound ist nur auf IPV4 konfiguriert was für IPV6 ausreicht weil Unbound einfach die IPV6 Anfrage über IPV4 verschickt und wieder über IPV4 Antwort bekommt.
Das ist das Do-IP6 = no in der Unbound Config worüber es ja hier so häufig Diskussionen gibt ob man es für IPV6 aktivieren muss, klare Antwort: Nein.

Klar kann man Do-IP6 auf yes setzen dann werden halt die Anfragen über IPV4 und IPV6 verschickt aber dazu braucht man dann auf dem Raspberry eine IPV6 Adresse die ins Internet geht und hat im Prinzip dann 1 DNS Server mit 2 Zugangspunkten am laufen einer für IPV4 (beantwortet IPV4 und IPV6) und einen für IPV6 (beantwortet auch IPV4 und IPV6) was aber unnötig ist.

Für die Sicherhheit ist es besser nur IPV4 auf dem Raspberry aktiviert zu haben (ist nur ein Angriffspunkt keine 2 und trotzdem funktionieren IPV6 Anfragen)

Für das Netzwerk sieht das folgendermaßen aus:

# The loopback network interface
auto lo
iface lo inet loopback

#ipv4
auto eth0
allow-hotplug eth0
iface eth0 inet static
address 192.#.#.#/24
gateway 192.#.#.#

#ipv6 mit Privacy Extensions 2 IP´s (nur im Auto Mode verfügbar)
iface eth0 inet6 static
pre-up modprobe ipv6
#privext 2

Die interne statische IPV6 Adresse des Raspberry erfährt man über

ip -6 a

Die IPV6 Gateway Adresse zur Fritzbox oder anderem Router nur wenn IPV6 ULA aktiviert ist im Router.

ip -6 route

Die kann man dann noch theoretisch hier zwischen setzen, muss man aber nicht unbedingt:

#ipv6 mit Privacy Extensions 2 IP´s (nur im Auto Mode verfügbar)
iface eth0 inet6 static
pre-up modprobe ipv6
address fe80::#:#:#:#/64
gateway fe80::#:#:#:#
#privext 2

Zur Erinnerung FE Adressen sind nur intern erreichbar also nur fürs LAN oder WLAN gedacht.

Alternativ wer das Raspberry mit IPV6 Adresse einrichten möchte:

#ipv6 mit Privacy Extensions 2 IP´s (nur im Auto Mode verfügbar)
iface eth0 inet6 auto
pre-up modprobe ipv6
privext 2

Wichtig !! privext 2 für mehr Sicherheit, hiermit werden 2 Temporäre IPV6 Adressen automatisch angelegt über die ins Internet geroutet wird sodas man die NATIVE also echte IPV6 Adresse im Internet nicht sehen kann.

system · January 20, 2024, 2:06pm

This topic was automatically closed 21 days after the last reply. New replies are no longer allowed.