PiHole und Familie, was geht und was nicht

Moin zusammen,

Schon mal vorab vielen Dank für die Unterstützung. Und ich finde das Projekt bzw. die Gemeinschaft dahinter echt super.

Kurze Einleitung:
Wie in der Überschrift schon erwähnt will ich den Pi-Hole zu Haus in meinem Familiennetzwerk nutzen. Hier tummeln sich einige Geräte rum (Konsolen, Saugroboter und Amazongeräte) und nicht alle sollen ihre Daten nach Haus bringen. Jedoch wollen wir unsere lieben Kinder etwas erziehen und nutzen GoogleFamily sowie NintendoSwitch App zur Steuerung und "Überwachung" :wink:.
Meine Netzwerkkonfiguration sieht wie folgt aus:
AVM Fritzbox (7490) + AVM Repeater 1750e
Raspberry Pi 2 mit Pi-Hole (feste IP)
Endgeräte
Router DHCP aktiv:

  • Internet >Zugangsdaten> DNS Server IP4/6 vom Anbieter)
  • Heimnetz>Netzwerk> IP4 IP Adresse DNS Server, IP Adresse Pi-Hole
  • Heimnetz>Netzwerk> IP6 ULA aktiv, immer zuweisen, IPv6-Router im Heimnetz: Fritzbox stellt Standard zur Verfügung, DNS Server Router-Advertisement bekanntgeben und aktiv
    DNS-Rebind-Schutz: IP Pi-Hole u. pi.hole
    Repater MESH aktiv, feste IP
    Endgeräte feste IP über Fritzbox bzw. manuell eingerichtet
    Pi-Hole
    Settings>DNS> Upstream DNS Servers IP Adresse der Fritzbox
    Listen on all interfaces aktiv
    Never forward non-FQDNs aktiv
    Use Conditional Forwarding aktiv IP Router u. fritz.box

Stimmt die oben aufgeführte Einstellung zu Pi-Hole soweit, da es ja verschiedene Möglichkeiten und Anleitungen dazu gibt (leider).
Kann ich genau definieren, das nur bestimmte Geräte die Filter im Pi-Hole nutzen und der Rest weiterhin ungefiltert "nach Hause" telefoniert?
In der Pi-Hole Version 4.3 ging das glaub nicht.....

Freue mich auf Eure Feedback

Hallo @Focky, willkommen in der Pihole Community.

Ja, das geht mit der neuen Version 5.0.

Danke @yubiuser , bin gerade am einrichten. Sehe gerade das ich jeden Client in die Default-Gruppe eintragen muss. Und Pi-Hole leider zwischen IPv4 und IPv6 unterscheidet. Gibt es da nicht eine einfachere Lösung?

Nein, musst du nicht. Alle clients sind automatisch Mitglieder von Default (ebenso alle Adlists und Black /Whitelists). Wenn du Geräte vom Blockieren ausnehmen möchtest, erstellst du eine neue Gruppe und weist ihr diese Geräte zu. Mehr musst du nicht eintragen.

Okay, vielen Dank für die schnellen Antworten. Bin gespannt welches Familienmitglied als erstes kommt und sich aufregt das irgendwas nicht geht....:stuck_out_tongue_winking_eye:

Kurzes Feedback
Nachdem meine Frau mit dem Nudelholz um die Ecke kam musste ich die erste Pi-Hole Konfiguration verwerfen. (Ihre Lieblinge Facebook und Co. wollten nicht mehr)

Neue Konfiguration sieht wie folgt aus:
FB Standardeinstellungen, wie gehabt..... :wink: Frau wieder glücklich
(leider mit IPv6 und Dual Stack Lite)

Pi-Hole neu aufgesetzt, feste IPv4 u IPv6 (fd00:....)
Standard Konfiguration so belassen und nur 2 Gruppen angelegt (Default, Papa)
Gruppe Default: 1Client (Laptop)
Gruppe Papa: 1Client (IPad)
Entsprechend die Clients im Groupmanagement eingerichtet bzw. eingetragen....

Pi-Hole IPv4 u IPv6 als DNS bei beiden Clients manuell eingetragen....

Adlists (4 Stück) wie folgt umgestellt:
Gruppe Default: 2 Listen (Facebook möglich)
Gruppe Papa:alle (Facebook sollte nicht aufgerufen werden können)
WLAN Einstellungen bzw. Verbindungen anschließend aktualisiert und kontrolliert...
Zwischenspeicher auch bereinigt, Web-Seiten waren noch im Speicher (Fehlerursache beim testen).

Soweit läuft jetzt alles, warte die nächsten Tage ab und hoffe ich bekomme das Okay von der geliebten Ehefrau.....Dann wird Pi-Hole wieder als DNS in die FB eingetragen...

Zukünftig soll es mehrere Gruppen geben, die verschiedene Adlisten verwenden sollen.
Und natürlich Pi-Hole als DNS über DHCP, wobei die Fritzbox weiterhin den externen DNS stellt.

Ich hoffe, du hast nicht zu viele blaue Flecken :wink:

Wenn du wieder Hilfe brauchst, melde dich einfach wieder.

"blaue" Flecken sind verheilt.....
Habe mich mit der Thematik GroupManagement befasst und evtl. einen Lösungansatz für meine IPv6 Problematik gefunden. (mit der oben angeführten Konfiguration)
Im Bereich IPv4 ist das alles soweit klar.....und einfach.
Bereich IPv6 wie folgt:
Fritzbox ist IPv6 DHCP Server, jedes Endgerät bekommt eine neue Adresse zugeteilt (Netzwechsel, Ablaufzeit) und fliegt deshalb aus der Group Management Vorgabe raus....und wird (so hab ich es verstanden) automatisch der Default-Gruppe zugeordnet.
Adlists nur der zweiten Gruppe zugewiesen, somit kommt erstmal jeder ins Netz.

Um die Filterfunktion zu nutzen muss ich zur Zeit noch jedes Gerät manuell der Filtergruppe hinzufügen.
Gibt es evtl. schon einen anderen Lösungsansatz dazu????
Habe bereits gelesen,dass es zukünftig evtl. auf MAC-Adressen basieren soll.

Bin für Vorschläge bzw. Prüfungen und Einstellungen auf Alltagstauglichkeit offen....

Dafür ist bereits ein branch vorhanden und wird wohl getestet. Bei mir lief das auf Anhieb leider nicht gut.

Wobei du dann am besten noch manuell einen sinnvollen Präfix zuweist. fd00...

Wenn du es ausprobieren willst, findest du mehr Infos hier:

Hab ich bereits gemacht (Uique Local Adress der Fritzbox in Verwendung) und Fritzbox stellt Standard Intenetzugang zur Verfügung inklusive Präferenz hoch ausgewählt.
Unter Lokaler DNS Server die fd00::xxx des Pi eingetragen.
Welche Eistellungen sollten unter DHCPv6 Server ausgewählt werden? Nur DNS-Server zuweisen?
Oder doch Auswahl 3: DNS Server,Präfix (IA_PD) und IPv6 Adresse (IA_NA) zuweisen. Danke für den Input

Kann man so relativ einfach auf die Testversion umschwenken??? Würde mir ne zweite SD-Karte anlegen und testen. Oder evtl. doch neu konfigurieren mit DietPi als Unterbau.

Ja, kann man. Wie es geht steht am Anfang meines Beitrags. Beachte auch die Warnung, dass die nicht mehr so einfach "zurück" kannst. Die Version wird aktuell gerade sehr dynamisch entwickelt, z.B. gibt es manchmal mehrer Updates pro Tag, da solltest du pihole regelmäßig auf Updates prüfen lassen.

""""I have no good reason. I don't need that feature but tried to imagine what others might want to use it for. Just wanted to bring it up so it is discussed now before the whole branch gets public one day and users might want to see this (they might then provide a * good reason)."""
Um Google.services zu unterbinden!!!! Finde ein sehr wichtiges Feature (super um die Kids zu ärgern)
Hab den Pi auf dev umgestellt und lass ihn jetzt das iPad tracken.

Was spricht dagegen, das einfach bei allen Clients zu blocken und nicht nur Android?

Weil du Sie teilweise wieder für Chrome unter Windows benötigst. Die Frage ist ehr warum immer alles für jeden blocken??? Daher finde ich das Group Managenemt ja so interessant... Ich kann für meine Endgeräte alles festlegen, die Endgeräte der Kinder haben eigene Filter und meine Frau will "alles" ohne.

Ich fahre gut mit der ersten Option. Nur DNS-Server zuweisen

Kleine Info, falls du noch Interesse hast:
Es gibt jetzt ein "Fling" von VMware die den ESXi zu ARM geportet haben.
Jetzt kann man mit einem Raspi4 anscheinend sehr simpel virtualisieren...