Welcher alternative DNS-Server ist sinnvoll?

Ich habe mich auch immer gefragt ob der 2. DNS nur aktiv wird wenn der erste nicht erreichbar ist. Ich hatte den Pi-hole auch schon mit der Fritz Box als VPN genutzt. Das ging bei Android leider nur mit gerooten Smartphones. Da ich bei meinen neuem Smartphone was nicht gerootetet ist auf die netguard Firewall von github zurück greife. Die Filtert ja über VPN. Leider habe ich noch keine Lösung gefunden einen 2. VPN einzurichten.

Zurück zum eigentlichen Thema. Ich habe mir gedacht das ich beim 2. DNS einfach einen DNS Server von AdGuard eintrage. Da würde ja wenigstens ein Teil geblockt werden wenn der pihole ausfällt. Bislang habe ich da einen verschlüsselten DNS Server drin stehen. Im Smartphone kann ich die beiden ja in den WLAN Einstellungen extra eintragen. Wobei das bei mir zusätzlich netguard übernehmen kann und denke ich auch wird. Da ist es eh egal. Mir ist das mit den wechselnden DNS Servern schon bei der x Box aufgefallen. Da kommt bei Youtube unterschiedlich Werbung. Das geht mir auf den Geist. Ich weiß zwar das die beste Lösung generell der Browser mit uBlock orgin ist. Aber für Smart TVs geht das ja nicht. Wenn an und zu Werbung erscheint mag das ok sein, aber einige Anbieter übertreiben es.

Die AdGuard DNS wären da:

176.103.130.130
176.103.130.131

Diese kostenlose DNS Lösung an die ich die ganze Zeit schon immer gedacht habe wäre auch wenn Sie nicht editierbar ist, um z. B. eine Whitelist zu erstellen, vllt auch eine Lösung. Oder verstehe ich das Falsch? Wie man AdGuard-DNS einstellt

Edit: hier habe ich noch etwas gefunden. Verschlüsselt und nicht zensiert. Ich werde wohl vorerst dnsforge.de als zweiten DNS einstellen.

Die DNS-Server filtern Werbung, Tracking und Malware Domains auf DNS Ebene.

dismail (mit DNS-over-TLS)

  • IPv4: 80.241.218.68 /
    IPv6: 2a02:c205:3001:4558::1
  • IPv4: 159.69.114.157 /
    IPv6: 2a01:4f8:c17:739a::2

dnsforge (DNS-over-TLS, DNS-over-HTTPS)

  • IPv4: 176.9.93.198 /
    IPv6: 2a01:4f8:151:34aa::198
  • IPv4: 176.9.1.117 /
    IPv6: 2a01:4f8:141:316d::117

(Ich habe Deinen Beitrag in einen eigenes Topic ausgelagert, statt eine seit zwei Jahren abgeschlossene Frage aufzuwärmen.)

Vorweg (klick für mehr)

Die FritzBox kann über DHCP leider nur genau einen DNS-Server verteilen.

Konfiguriert man stattdessen Pi-hole als Upstream-DNS-Server, lässt sich zwar ein zweiter DNS-Server einstellen, aber dann ist die FritzBox der einzige Client für Pi-hole.

Dadurch lassen sich DNS-Anfragen im Query Log nicht mehr einzelnen Client IPs zuordnen, und auch client-basiertes Filtern ist so nicht mehr möglich.


Grundsätzlich gilt:
Pi-hole sollte der einzige DNS-Server in Deinem Netzwerk sein.

Sobald Du für ein Gerät einen zweiten DNS-Server verwendest, wird dieses Gerät selbständig bei jeder DNS-Anfrage entscheiden, welchen DNS-Server es für eine Anfrage verwendet.

Der Mechanismus, nach dem das geschieht, ist im Gegensatz zu Pi-hole in den seltensten Fällen transparent, und noch viel seltener lässt er sich beeinflussen.

Mit einem zweiten DNS-Server werden früher oder später (oder besser: immer mal wieder) garantiert DNS-Anfragen an Pi-hole vorbei laufen und so Deine Filterung umgehen.

Um die Ausfallsicherheit zu erhöhen, könntest Du einen zweiten Pi-hole in Dein Netz stellen. Ein RPi Zero WH oder Zero W oder Zero mit USB-Ethernet-Adpater reicht dafür völlig aus (übrigens nicht nur als Backup).

Daneben stellt sich natürlich die Frage, wie stark ausgeprägt der Bedarf für einen zweiten DNS-Server tatsächlich ist. (klick für mehr)

Natürlich ist Pi-hole als DNS-Server ein klassischer SPOF.

Das war aber bislang auch Deine FritzBox als DNS-Server, und als DHCP-Server und Gateway (und potentiell auch noch für einen Sack anderer Funktionen wie z.B. Telefonie) ist sie das nach wie vor.
Überlegst Du deswegen, ob Du parallel einen zweiten Router laufen lässt?

Redundanz bringt übrigens wenig ohne Überwachung:
Sonst bekommt man vom Ausfall des ersten Pi-holes u.U. solange nichts mit, bis auch der zweite DNS-Server ausfällt.


Letztlich ist das eine Frage der persönlichen Präferenzen.

Nach meiner Erfahrung läuft ein RPi mit einem guten Netzteil über Jahre einwandfrei. Und für den Fall der Fälle habe ich natürlich einen lauffähigen Ersatz-Zero samt SD-Karte in der Schublade liegen. :wink:

Einen Ausfall würde mich also sofort treffen, aber es würden auch niemals Daten an Pi-hole vorbei an einen alternativen DNS fliessen.

Ja das mit dem zweiten Pi-hole wäre tatsächlich die beste Variante. Meine Fritzbox wollte ich ja nicht dafür modifizieren. Da könnte man sicherlich Pi-hole über ein Linux installieren. Ich muss mich darüber mal belesen.

Bei mir gab es mal einen Linux Betriebssystemfehler, weshalb der Pi-hole natürlich auch ausgefallen ist. Mit einem zweiten Pi-hol auf Rapspi wäre das wesentlich besser. Aber wie langsam die mit WLAN als DNS Server laufen weiß ich noch nicht. Vom Gefühl her würde ich lieber mit LAN nehmen. Danke

1 Like

Ich hatte übrigens den alternativen DNS in der Fritzbox doch nicht auf einem extra Server laufen. Hatte nach dem neu aufsetzen wieder beide auf dem Rapspi. Was die gelegentlichen kurzen Ausfälle erklärt. Aber da ich das immer gleich für ein update vom pi-hole genutzt habe lief er dann gleich wieder.

Wie kann ich eigentlich überprüfen ob automatische Updates im pi eingestellt habe, und wenn nicht wie der Befehl wäre? Danke.

Edit: habe es schnell mit den Updates gefunden
sudo nano /etc/cron.d/pihole

Dann dort die Raute # vor "
30 2 * * 7 root PATH="$PATH:/usr/local/bin/" pihole updatePihole" und
13 4 * * 7 root PATH="$PATH:/usr/local/bin/" pihole updateGravity" entfernen.

Pi-hole richtet bei der Installation einen cron-Job unter /etc/cron.d/pihole ein, der einmal wöchentlich Deine Blocklisten aktualisiert.

/etc/cron.d/pihole wird von Pi-hole erstellt.
Änderungen daran werden ggf. von Pi-hole überschrieben, siehe

Vor den von Dir aufgeführten Änderungen kann ich nur warnen.

Die Zeile mit updatePihole wurde vermutlich von einer Drittpartei hinzugefügt; sie stammt nicht aus Pi-holes Installation
Dem Wortlaut nach ist sie zudem wahrscheinlich dazu gedacht, Pi-hole selbst (und nicht etwa nur die Blocklisten) automatisch zu aktualisieren.

Unbeaufsichtigte Änderungen an einer kritischen zentralen Netzwerk-Komponente wie DNS sind grundsätzlich keine gute Idee.

Ein Update von Pi-hole sollte kontrolliert erfolgen, und außerdem empfiehlt es sich, zuvor ein Backup für die relevanten Teile des Systems anzulegen und die Release-Notes sorgfältig zu studieren, bevor man sich für oder gegen ein Update von Pi-hole entscheidet.

Mit dem Entfernen des Eintrags für updateGravity hast Du die wöchentlichen Blocklists-Updates abgeschaltet.

1 Like

Ich hatte jetzt nicht die original Datei vor mir. Ich hätte schon die originale genutzt und die Raute entfernt wenn nicht schon geschehen. Oder doch besser von Hand?

Wenn das aber von Hause aus wöchentlich geupdatet wird mache ich es nur von Hand wenn was nicht hin haut. Zuletzt kam ich nicht mehr auf die Admin Oberfläche. Da habe ich auf die neue Version geupdatet, dann ging es wieder. Das lief da leider nicht automatisch.

Ich habe jetzt die beiden Listen von github eingetragen. Mit dem Ergebnis das auf der XBox der Bildschirm schwarz bleibt. Schade.

Hat jemand eine Idee ob man das trotzdem hinbekommen kann. Bei einigen scheint es ja wohl zu funktionieren?

Edit: Komisch. Jetzt habe ich die zweite Liste raus genommen, da ging es erst ohne Werbung dann wieder mit. Naja vllt dafür nicht zu viel.

This topic was automatically closed 21 days after the last reply. New replies are no longer allowed.