Top clients: Nur fritz.box wird benannt

Hallo,

ich meine, seit dem Update auf Pi-hole [v5.2.1], Web Interface [v5.2.1], FTL [v5.3.2] zeigt die Liste der "Top Clients nur noch einen Eintrag = Fritz.box.

In Settings / Privacy ist Show everything and record everything aktiv
In Setting / DNS sind Never forward non-FQDNs und Use Conditional Forwarding aktiv.
Die Notation lautet 192.168.178.0/24 / 192.168.178.1 / fritz.box

Pihole läuft zusammen mit Unbound 1.9.0 auf einem rPI mit aktuellem Buster.

Wie bekomme ich die Liste der Clients im Dashboard wieder zu sehen ?

Danke für eure Hilfe.

Wie hast du denn deine FB konfiguriert?

Verteilst du Piholes IP per DHCP als DNS server im Lan oder nur als upstream der FB unter Internet -> Zugangsdaten?

Die Fritzbox (7590) verteilt die PiHole IPs (IPV4 und 6) über Internet/Zugangsdaten/DNS-Server an alle Clients.

Ich bin auch sicher, dass das mal funktionierte, aber ich habe letztens die 7490 mit einer 7590 ersetzt und dann auch noch PiHole upgedatet und nun kann ich es nicht mehr zuordnen.

Nein, das tut sie damit nicht.

Aktuell sieht es bei dir so aus:

Client -> FB -> Pihole

Damit sieht es für Pihole so aus, als ob alle Anfragen vom Pihole kommen.

Du musst unter Netzwerk -> IPv4 Piholes IP als DNS server verteilen lassen.

Dann aber darauf achten, dass im Pihole die FB nicht mehr als upstream DNS server drin steht, sonst hast du einen DNS loop.

Okay, vielen Dank.
Wo steht im Pihole der upstream DNS server ? Welche Datei ist das ?

Das kannst du im Webinterface unter Settings/DNS einstellen. Oder nutzt du das gar nicht?

Doch schon, aber ich benutze Unbound, da bleibt eigentlich alles bis auf den localhost leer.

Die Einstellung in der FB Netzwerk/IP4 und IP6 Einstellungen war falsch, hier hattest du richtig getippt. Es war mal richtig eingestellt (schon lange her), aber ich befürchte, dass die Setup-Übernahme von der 7490 auf die 7590 nicht 100% klappt und alle Einstellungen übernimmt. Die ULA Einstellung war auch nicht übernommen worden, da hätte ich stutzig werden müssen.

Im Webinterface ist die FB nur bei Use Conditional Forwarding vorhanden.
Die Notation lautet 192.168.178.0/24 / 192.168.178.1 / fritz.box

Das mit unbound wusste ich nicht, dann ist 127.0.0.1 richtig. Das mit CF sollte passen.

Sodele .... das war der Fehler in der Config der FB in den Netzwerkeinstellungen.
Es funzt, die Clients werden mit ihren Adressen in der TOP Clients Liste angezeigt.

Hast du noch einen Tip, wie man hier die Namen der Clients gelistet bekommt ?
Ist nur eine kosmetische Frage. Bei den IPv6 Adressen komme ich immer ins Schleudern

Danke für den tollen Tipp !

Nachtrag: Die IPv4 Adresse der Clients wird mit Namen eingetragen

Nicht alle Arten von IPv6-Adressen können erfolgreich zurück aufgelöst werden, und bei öffentlichen IPv6-Adressen ist ggf. außerdem der ISP-DNS-Server involviert.

Für die lokale IPv6-Rückwärtsauflösung braucht es zumindest einen zweiten rev-server-Eintrag, vorzugsweise in einer separaten Konfigurationsdatei für dnsmasq, z.B. /etc/dnsmasq.d/42-ipv6-reverse.conf):

rev-server=fd00::/8,192.168.178.1

Die IP-Adresse der FB ist bei Bedarf anzupassen.

Über DNS hinaus versucht Pi-hole außerdem eine Namenszuordnung zumindest für alle direkt verbundenen Client-IPs. Damit sollte die Anzeige von Namen für die meisten IP-Adressen glücken.

Alternativ kannst Du versuchen, besonders geschwätzige IPv6-Clients zur bevorzugtenj Verwendung von IPv4-Adressen zu überreden (über IPv6 prefix policies).

Sofern Du ein flaches (d.h. unsegmentiertes) Netzwerk verwendest, kannst Du außerdem eine etwas unsaubere Variante versuchen und Pi-holes link-lokale IPv6-Adresse ( fe80::/10 ) als lokalen DNS-Server anbieten.
Das würde Clients innerhalb desselben Netzwerk-Segments dazu veranlassen, nur link-lokal anzufragen, und die link-lokalen Adressen sind in aller Regel stabil. Für Clients aus anderen Netzwerksegmenten ist Pi-hole über die link-lokale Adresse allerdings nicht mehr garantiert erreichbar.

Derzeit biete ich den ipv6 DNS Server über die fd00 Adresse des Pi in der FRITZ Box an.

Wo ist der Unterschied zwischen fd00 und fe80?

Die Top client Liste zeigt bei ipv6 nur fd00 Adressen an.

Den Rev-Server Eintrag versuche ich morgen einmal. Das Schreiben hier mit dem popjp von unten ist auf dem Smartphone eine Qual, da die Tastatur die Nachricht verdeckt.

fd00: IPv6 – Wikipedia
fe80: IPv6 – Wikipedia

@Bucking_Horn

Hab die Datei mit dem rev-server eingestellt, die fe80 Adresse des PIs in die IPv6 DNS Server Einstellungen der Fritzbox eingetragen.
Die Top Client Liste zeigt nun die Klarnamen der Clients an, zwar doppelt in IPv4 und IPv6 Variante (bei mouseover), aber das ist ok.

@Coro
Wiki nützt mir hier nichts in meinem Verständnis. Beides sind lokale Adressen, aber warum die eine funzt, die andere nicht, ist mir aus der Wiki nicht ersichtlich. Kannst du das erklären ?

Vielen Dank für die Hilfe.

Mehrere clients kann man mit alias-clients zu einem zusammenfassen. Es gibt dafür noch kein Interface, wenn man sich aber zutraut mit der Datenbank direkt umzugehen (ist recht einfach), dann kann man das auch schon jetzt haben.

Die Frage ist wieviel Details sein sollen. Das wichtigste ist:

• fe80::/64 - link-local (LL)
  Wie der Name sagt, sind dies Adressen, die nur auf dem lokalen Link erreichbar sind. Das heißt salopp "auf dem eingesteckten Kabel" ("innerhalb abgeschlossener Netzwerksegmente").
• fc00::/7 - unique local unicast (ULA) (fd00 ist auch da drin)
  Das sind Adressen, die man lokal verwenden kann (d.h. nicht aus dem Internet erreichbar). Im Unterschied zu LL sind sie aber nicht nur auf dem lokalen Link erreichbar.

Zuhause gibt es jetzt erst einmal keinen Unterschied (normalerweise), interessant wird es erst, wenn ein Router dazwischen sitzt. Geräte mit einer ULA-Adresse sind auch über Router hinaus intern erreichbar. Bei LL Adressen geht das grundsätzlich nicht. Wenn man jetzt zwei Haushalte mit einem Tunnel (Wireguard, VPN, etc.) verwendet, wird der Unterschied relevanter, denn dann hat man ja Router dazwischen.

Nein, nur die link-lokale Addresse aus dem Bereich fe80::/10 ist tatsächlich nur im selben Segment / auf demselben Link sichtbar.
Die ULA-Adresse aus dem Bereich fd00::/8 ist im Prinzip global, wird aber nicht ins Internet geroutet.

Den Gültigkeitsbereich (oder scope) einer Adresse kannst Du z.B. über ip address show ermitteln; er ermöglicht Deinem Rechner zu entscheiden, ob er den Datenverkehr an eine Adresse direkt selbst verarbeiten (scope host), an benachbarte Rechner im gleichen Segment (scope link) oder zwecks Weiterleitung an ein entferntes Netzwerksegment an das link-lokale Gateway (scope global) weiterleiten soll.

Grundsätzlich 'funzt' jede IPv6-Adresse, aber link-lokale sind eben nur auf demselben Link verwendbar und "funzen" so gesehen nur eingeschränkt, wiewohl sie hier genau das sind, was mit Deinen Worten überhaupt "funzt".

Beim Aufbau einer Verbindung zu einer IPv6-Adresse kann ein Client prinzipiell eine beliebige IPv6-Adresse aus demselben Scope wählen. Daher kann ein Client zur Kommunikation mit Pi-holes IPv6-ULA-Adresse eben auch eine GUA (aus dem Bereich 2000::/3) verwenden. Da dies oft nur temporär gültige IPv6-Privacy-Extension-Adressen sind, können sich so im Laufe der Zeit einige IPv6-Adressen ansammeln.

Wie bereits erwähnt, liesse sich dieses Verhalten durch das Anpassen der jeweiligen IPv6 prefix policies ändern. Das müsste aber auf jedem Client erfolgen, und nicht alle Clients lassen das zu.

Durch Verbreitung der nur eingeschränkt gültigen link-lokalen IPv6-Adresse von Pi-hole fragen Clients hingegen nur mit ihrer einzelnen link-lokalen IPv6 an. Das funktioniert aber, wie gesagt, nur in einem flachen Netzwerk mit allen Clients im selben Segment.

In Standard-Heimnetzen mit nur einem Router für alles ist das oft der Fall, aber jedes weitere Netzwerkequipment (Router, Switch, Access Point) kann potentiell weitere Segmente/Links hinzufügen, aber auch VLANs oder Docker definieren ggf. solche zusätzlichen Segmente.

Für Pi-holes Erreichbarkeit ist die ULA daher gegenüber der link-lokalen Adresse grundsätzlich vorteilhafter (und auch gegenüber der möglicherweise instabilen GUA).

Wenn jemand definitiv nur mit einem flachen Netzwerk arbeitet, kann die Verwendung von Pi-holes link-lokaler IPv6 aber helfen, die Menge der in Pi-holes Query Log auftauchenden Adressen zu reduzieren.

@Bucking_Horn

Danke für die verständlichen Erklärungen. Das hilft mir weiter.

This topic was automatically closed 21 days after the last reply. New replies are no longer allowed.