PiHole wird trotz restriktiver Einstellungen umgangen

Ich wollte mein PiHole eigentlich so konfigurieren, dass ohne diesen nichts ins Internet darf (am besten nichtmal die Fritzbox).

Nun habe ich aber gesehen, dass einerseits nicht alle Anfragen die mein Browser stellt, im Query-Log in der PiHole-GUI ersichtlich sind und anderseits, das Internet weiterhin funktioniert, selbst wenn ich das PiHole von der Fritzbox abziehe.

Nun frage ich mich, wo die falsche Einstellung gesetzt ist.
Es muss ja theoretisch an der Fritzbox liegen, wenn sie Anfragen durchlässt, obwohl der RaspberryPi auf dem das PiHole läuft abgezogen ist.

Ich kann den Fehler nicht finden. Vermute aber das hängt wieder irgendwie mit der DS-Lite Leitung und IPv6 zusammen. Ich hatte Jahrelang mit nativer IPv4 Leitung nie solche Probleme.

Das ist eingestellt (Glasfaser DS-Lite):
Fritzbox:
Internet, Zugangsdaten:
IPv6:
- IPv6-Unterstützung aktiv
- Native IPv6-Anbindung verwenden (nativ IPv4 geht nicht), IPv4-Anbindung über DS-Lite herstellen, AFTR-Adresse automatisch über DHCPv6 ermitteln
- Globale Adresse automatisch aushandeln
- DHCPv6 Rapid Commit verwenden
- IPv6-Adresse der FRITZ!Box zufällig festlegen

DNS-Server:
- Andere DNSv4-Server verwenden: [2x die lokale IPv4 vom Pihole]
- Andere DNSv6-Server verwenden: [2x die lokale IPv6 vom Pihole]
- Verschlüsselte Namensauflösung im Internet (DNS over TLS), Zertifikatsprüfung für verschlüsselte Namensauflösung im Internet erzwingen, [inklusive 4 eingetragene DNS-Server wie dnsforge z.B.]
alles andere deaktiviert

Heimnetz, Netzwerk:
Netzwerkeinstellungen:
IPv4 Einstellungen:
(IPv4 Adresse: 192.168.178.1 Subnetzmaske 255.255.255.0)
- Lokaler DNS-Server: [IPv4 des PiHole]
IPv6 Einstellungen:
- Router Advertisement im LAN aktiv
- Unique Local Addresses (ULA) immer zuweisen
- ULA-Präfix manuell festlegen
Weitere IPv6-Router im Heimnetz:
- Diese FRITZ!Box stellt den Standard-Internetzugang zur Verfügung
- Präferenz des Router Advertisement setzen (höhere Präferenzen werden von Klienten bevorzugt): Mittel
DHCPv6-Server im Heimnetz:
- HCPv6-Server in der FRITZ!Box deaktivieren:
- Es sind keine anderen DHCPv6-Server im Heimnetz vorhanden.
(alles andere deaktiviert)

Weiter ist nichts in der Fritzbox verstellt.

Internet, Filter:
Kindersicherung:
- Alle Geräte "Eingeschränkt", "Standard" ausser das Pihole: "Unbeschränkt", "Unbeschränkt"
Zugangsprofile:
- Standard: gesperrte Anwndungen "DNS"-Profil
Listen:
- Netzwerkanwendung "DNS" hinzugefügt (TCP 53 / 853, UDP 53 / 853)

Einstellungen im PiHole:
DNS:
alles deaktiviert, ausser: Custom DNS1: 127.0.0.1#5335, "Allow only local requests"
Domains:
der Gruppe "default" den Blacklist Regex "." zugewiesen und sonst nichts, damit dem PiHole unbekannte Geräte keinen Internetzugang haben. Allen bekannten Geräten entsprechende Gruppen zugewiesen.

Das ist eine falsche Erwartung:
Eine solche Konfiguration kann nur von Deinem Router erzwungen werden (oder einer dedizierten Firewall).

Sofern Dein Router dies unterstützt, kann dessen Firewall normale DNS-Anfragen (Port 53) zwangsweise auf Pi-hole umleiten, ausgehende DNS-over-TLS(DoT)-Anfragen (Port 853) verwerfen, und ggf. den Kontakt zu bekannten DNS-over-HTTPS(DoH)-Servern (Port 443) untersagen.

Browser können Pi-hole über DoH umgehen.
Für bestimmte Browser signalisiert Pi-hole standardmässig, dass DoH nicht verwendet werden soll. Das funktioniert solange, wie im Browser nicht explizit DoH forciert wurde.
DoH darf im Browser also nicht aktiviert sein.

(kurzer Disclaimer: ich spreche in diesem Post von DoT und DoH, bitte drauf achten)

Das ist mir selbstverständlich bewusst. Tut mir Leid, wenn ich mich evtl. missverständlich ausgedrückt habe.

Das DoH in meinem Browser aktiv ist, davon habe ich keine Kentniss. das werde ich prüfen.

Abseits davon gibt es dafür aber doch Konfigurationen in den Fritzbox Einstellungen, dass alle Anfragen an das PiHole versendet werden? (Ich meine diese so gesetzt zu haben)

Siehe letzter Abschnitt "Optional: DNS Anfragen nur vom Pi-hole erlauben":
https://docs.pi-hole.net/routers/fritzbox-de/

Denn wenn der Browser seine Anfragen am PiHole umgeht, landen diese doch zwangsläufig bei der Fritzbox, die wieder auf das PiHole verweist? Sprich: die Verbindung läuft entweder über PiHole oder garnicht ? Oder kann DoH auch das einfach umgehen und es benötigt mehr als die obigen Einstellungen?

Ich habe aktuell auch die Vermutung, dass es mit meiner Konfiguration nicht sinnig ist, DoT einzusetzen? Allerdings fehlt mir dazu auch das Wissen zu dem Thema. Ich möchte einerseits, dass ALLE Verbindungen entweder über PiHole laufen, oder geblockt werden. Nichts darf das PiHole umgehen. Gleichzeitig setze ich Unbound ein. Macht es überhaupt Sinn (bzw. ist es überhaupt möglich) die Verbindungen, die Unbound zu den Domain-Servern aufbaut, verschlüsseln zu lassen?

Ich habe in der Fritzbox DoT aktiviert (+ Zertifikatsprüfung erzwingen, + keinen Fallback zulassen) und überlege ob diese Einstellungen nicht auch dazu führen, dass dadurch Funktionen von Unbound oder PiHole umgangen werden. Denn das sind ja quasi auch "alternative" DNS Server? Leider fehlt mir hier die Netzwerk Kentniss dass vernünftig zu bewerten.

Leider nein.
Die Firewall der FritzBoxen lässt sich nicht so konfigurieren, dass DNS-Anfragen (Port 53) auf Pi-hole umgeleitet werden.
Sie kann aber durchaus Port-53-DNS-Anfragen blockieren und nur für Pi-hole erlauben.

Nein.
Zum einen kann die FB -wie gerade erläutert- normale DNS-Anfragen nicht umleiten, sondern höchstens blockieren.
Wenn Chrome also z.B. statt Pi-hole die Google-DNS-Server über normales DNS (Port 53) verwenden würde (es gibt eine Option in Chrome, die das unter bestimmten Umständen aktiviert), würden diese Anfragen niemals bei Pi-hole landen. Sie würden entweder an Google gehen oder von der FB blockiert werden, sofern diese entsprechend konfiguriert wäre.

Und zum anderen laufen DoH-Anfragen immer an normalen DNS-Servern vorbei.
Da DoH über Port 443 kommuniziert, würde auch eine Umleitung oder Blockade von Port 53 nichts bringen.

Die DoT-Einstellungen in der FB (unter Internet > Zugangsdaten > DNS-Server) beziehen sich auf den von der FB verwendeten DNS-Server.
Er kommt für DNS-Anfragen der FB zur Anwendung, also für deren eigene und solche, die von Clients an die FB geschickt wurden.

In Deinem Fall senden Clients aus dem Heimnetz ihre DNS-Anfragen an Pi-hole, und Pi-hole sendet über unbound DNS-Anfragen direkt an öffentliche autoritative DNS-Server.
Der DoT-Server der FB wird aus Deinem Heimnetz heraus also nicht genutzt.

Im Gastnetz verteilt die FB sich nach wie vor als DNS-Server.
DNS-Anfragen von Clients im Gastnetz gehen also an die FB und werden von dieser an ihre Upstream-DNS-Server weitergeleitet. Im Gastnetz käme also Dein eingestellter DoT-Server zum Einsatz.