eine Frage zum Pi-Hole Betrieb mit VPN Zugriff auf den Pi-Hole.
Das möchte ich erreichen:
VPN Zugriff auf den Pi-Hole Rechner von Mobil/Handy, damit mein Pi-Hole zuhause auch die Werbung auf meinem Handy blockt.
*VPN Zugriff auch auf Server/NAS in meinem LAN, zusätzlich zum Werbeblocking
Frage:
Auf welchem Gerät muss der VPN Server laufen, damit das so realisierbar ist?
Ich habe folgende Geräte zur Auswahl, wo der Server laufen kann: Pi-Hole RasPi, NAS, FritzBox.
Meine Schlussfolgerung aus der Dokumentation:
Pi-Hole, der auch Verbindungen in dem VPN Tunnel blockt, muss irgendwie auch tun0 analysieren (zusammen mit eth0). Demnach müsste der VPN Server zwangsläufig auf dem gleichen Gerät laufen, wie der Pi-Hole.
Es sei denn, es gibt eine Möglichkeit, VPN Verbindungen, die ein Server auf der FritzBox oder NAS aufbaut, so durch den Pi-Hole DNS zu leiten, das auch dann die Werbung in den VPN Verbindungen geblockt wird.
Vielleicht weiß hier ja jemand etwas dazu. Ein Hinweis, wie ich Google zu entsprechenden Tutorials zu der Thematik befragen kann, wäre schonmal ein guter Anfang.
Die meisten VPN Turotials in Zusammenhang mit PiHole, die ich finde, beziehen sich noch auf IPv4. Da ich aber einen DualStack Lite Anschluß habe, besitze ich nur eine externe IPv6.
Kurzum ich brauche wohl eine Anleitung, wo die externe IP des VPN Servers nur IPv6 ist, allerdings das interne Routing Zugriff auf alle im LAN befindlichen IPv4 und IPv6 Geräte ermöglicht.
Allgemeine Frage zum Zugriff von extern auf IPv6
Nehme ich meine FritzBox externe IPv6 mit einer Portnummer (so wie bei IPv4).
Oder nehme ich die IPv6 (ISP Prafix+LAN Suffix) plus Portnummer der Gerätes/Services, auf das ich zugreifen will?
Auf einem beliebigen Gerät, solange dies für Deine Clients erreichbar ist und seinerseits eine Route zu dem Rechner bereitstellen kann, auf dem Dein Pi-hole läuft.
Deine Fragen haben nur wenig Bezug zu Pi-hole und beziehen sich generell auf VPN-Verbindungen und speziell auf solche an DSLite-Anschlüssen (klick für etwas mehr)
Der Betrieb hinter einem DSLite-Anschluss ist möglicherweise nicht ganz einfach, insbesondere von mobilen Geräten aus. Mobilfunk-Provider haben in der Vergangenheit häufig nur CGNAT-IPv4-Adressen vergeben, und das ist vielfach bis heute so.
Zwar sollten zumindest in Deutschland inzwischen die meisten Provider auch IPv6-Adressen anbieten.
Dafür muss ein Endgerät (wie ein Smartphone) aber auch für IPv6 im Mobilfunknetz konfiguriert sein, was nicht immer automatisch der Fall sein muss.
Ohne öffentliche IPv6-Adresse wird Dein Mobilgerät sich allerdings niemals mit Deinem nur über IPv6 erreichbaren DSLite-VPN-Server verbinden können.
Es empfiehlt sich, hier auf dem jeweiligen Gerät einen Blick auf die Konfiguration der entsprechenden APN-Protokolle der APN-Zugangspunkte für die SIM-Karte zu werfen.
Du solltest in Erwägung ziehen, hierzu zusätzlich Anfragen in einschlägigen Foren für Deine bevorzugte VPN-Lösung zu stellen.
In Pi-holes Dokumentation findest Du immerhin Konfigurationsvorschläge für OpenVPN und Wireguard. Insbesondere letztere geht in einigen Punkten auf Deine Fragen ein und berücksichtigt zudem IPv6.
Ich kann dir da nur die VPN guides im FAQ empfehlen falls du außerdem ne dynamische ip hast (ändert sich ca 1 mal pro tag) würd ich außerdem openvpn empfehlen (wireguard hat probleme mit dynamischen dns entries) des lässt sich auch mit ein kleinem bisschen herumbasteln leicht so aufstellen das du sowohl nur dns(aka nur blocking) als auch den gesamten internetverkehr(bzw zugang zu deinen LAN geräten wie dein nas router etc) auf der selben vpn mit ein paar kleinen änderungen in der config am server sowie in den ovpn files die du auf deinen clients installierst. Der offizielle guide zeigt dir leider nur wie man dasselbe mit 2 seperaten instanzen von openvpn auf deiner hostmachine machen kannst aber es geht auch kompakter(für alle die wie ich ned wirklich 2 offene ports + 2 verschiedene vpn networks für endgeräte haben möchten)
hab grad gelesen das du probleme hast weil du nur ne ipv6 adresse hast ich bin mir ned ganz sicher aber des sollte zumindest kein wirkliches problem sein mit dem openvpn guide im FAQ der installer der im guide benutzt wird fragt glaub ich sogar ob man ip4 sowie ipv6 benutzen möchte (für den LAN zugang)
obwohl ich ned sicher bin wieso man im eigenen lan ipv6 nutzen würde ipv4 sollte da normalerweise ausreichend sein.
TLDR: Falls du in deinem eigenen netzwerk net spezifisch ipv6 benutzt sollte es kein problem sein wenn du nur ipv4 benutzt da dein router wenn du aufs internet zugreifst eh alles übernimmt was da zu handeln ist.
Das ist quasi die Antwort, die ich gesucht habe. Der Rest ist wie gesagt allgemeines Netzwerk-Zeugs, das muss ich mir mit anderen Communities erarbeiten. Suche ich eher nach "Normalem/Standard Routing" oder braucht das eine Static Route?
Auch besten Dank für die DSlite Erklärungen. Also die Voraussetzungen Mobil+FTTH ISP haben beide externe IPv6 Adressen ist gegeben. Ich hatte es auch schon geschafft, diverse Synology NAS Dienste über IPv6 und DynDNS testweise extern/von Mobil erreichbar zu bekommen (mit deren eigenen Diensten, ohne VPN).
Ich glaube das Hauptproblem mit VPN auf dem gleichen Gerät wie Pi-Hole ist bei mir, das irgendwann mal ein kaputter PiVPN Script übelste Shenanigans mit den .conf Dateien getrieben hat. Muss das am besten komplett nach Dokumentation von Hand neu aufsetzen. Bzw. der OpenVPN Server auf dem Pi-Hole Gerät lief ja über Jahre ganz ordentlich, bis der neue ISP einfach so keine externe IPv4 mehr bereit gestellt hat. Da is der Kram direkt implodiert
Das war meine ursprüngliche Idee, mit dem VPN Assistent der FritzBox easymode betreiben, aber AVM sagt, der braucht (noch) zwingend eine externe IPv4, die ich leider nicht habe (geben tuts die natürlich gegen Aufpreis beim ISP). Naja, mal abwarten, wenn mit dem nächsten FritzOS ein Wireguard-Assistent kommt.
Bzw. gut zu wissen, das FritzBox dann anscheinend auch im VPN den von Hand eingetragenen DNS Server / Pi-Hole verwendet.
Also IPv6 brauche ich jetzt nicht zwingend, allerdings:
Einerseits sagen ISP und AVM, die Konfiguration mit IPv6-Prefix vom ISP zuweisen macht Sinn bei DSlite und wäre so in Ordnung. Andererseits, sei es Synology, mein ADS-B Receiver usw., bei Problemen sagt der Support meistens erstmal IPv6 abschalten. So gesehen nevt mich IPv6 schon und entzieht sich hier und da meinem Logikverständnis, aber so lerne ich wenigstens noch was (hoffentlich).
Die allereinfachste Lösung wäre dem ISP einfach 15€ mtl. extra zu zahlen, für DSfull/not-lite, aber das sehe ich nicht ein, denn die sind so schon gierig genug.
