AdGuard Home und FritzBox Setup - manchmal keine Filterung

[CaptainPighead]

Hallo zusammen,

ich habe eine Frage in Zusammenhang mit meinem AdGuard Home Setup und meiner FritzBox - ein Verhalten, was ich mir nicht erklären kann.

Zu meinem Setup:

Router:

• FritzBox 6690 Glasfaser
• IPv4 & IPv6 an
• Genutzte DNS-Server der Fritzbox selber: Cloudfare
• DNS-Server für lokale Clients im Netzwerk: Raspberry Pi mit DietPi wo AdGuard Home läuft und lauscht (172.30.11.20)

AdGuard Home:

• RaspBerry Pi 3B+
• DietPi
• AdGuard Home Installation mit div. Filterlisten
• 6 Upstream DNS Server (5 als DNS over HTTPS, 1 als DNS over TLS) welche die gefilterten Requests der Clients annehmen
• Als Bootstrap-Server um die Hostnamen der Upstream DNS-Hosts aufzulösen: Cloudflare

Das Setup funktioniert insgesamt super und ich bin zufrieden - alle meine lokalen Clients im Netzwerk (Notebooks, iPhone, iPad, usw.) sollten als DNS-Server die 172.30.11.20 bekommen, damit deren Requests über AdGuard gefiltert werden.

Heisst: wenn ich bspw. auf meinem iPhone oder Notebook meine öffentlichen DNS-Server in Nutzung checke, sollten eigentlich immer die Upstream DNS-Server erscheinen, die ich in AdGuard Home festgelegt habe - weil ja ich meinen Clients über DHCP immer den AdGuard Home (172.30.11.20) zuweise.

Das scheint eigentlich auch immer zu klappen - allerdings hatte ich manchmal auch einen Tag, wo ich bspw. auf meinem iPhone Werbung hatte, die eigentlich gefiltert werden sollte. Ich habe dann auf dem Gerät die verwendeten DNS-Server gecheckt und zu meinem Erstaunen gesehen, dass in diesem Fall nicht meine Upstream-DNS-Server aus AdGuard in Benutzung waren, sondern die von Cloudflare.

Wenn ich für dieses Beispiel dann einmal kurz die WLAN-Verbindung gekappt und mich neu verbunden hatte, habe ich beim DNS Check auch die "richtigen" Upstream-DNS Server bekommen und das Filtern war OK.

Das heisst: es scheint irgendeine seltene Situation zu sein, wo das Gerät an dem AdGuard Home Filtering "vorbei" geht und die FritzBox internen DNS-Server (Cloudflare) nutzt, anstelle AdGuard Home.

Frage: wie kann das sein?

Hängt das irgendwie mit IPv6 zusammen? Kann es mit der Option "Private WiFi Address" aus iOS (siehe Screenshot von meinem iPhone) zu tun haben?

Ich kanns mir nicht zusammenreimen... wie gesagt, gefühlt funktioniert alles in 95% der Fälle - nur sehr selten läuft mal ein Client wie iPhone oder iPad nicht über das Filtering von AGH.

Hat jemand eine Idee?? Ich persönlich vermute, dass es irgendwie mit IPv6 zusammenhängt und den wechselnden dynamischen Addressen. Ich habe aber von IPv6 leider nur Halbwissen und kann es nicht wirklich beurteilen.

(Screenshots aus meinem Setup anbei)

Freue mich über Feedback!

 

[Bob.Dig]

Warum ist das Bild bei IPv6 der Fritzbox genau an der wichtigsten Stelle abgeschnitten?
Einfacher wäre es gewesen, deinen AdGuard als Upstream-DNS-Server der Fritte einzutragen.

 

[BFF]

Kann es mit der Option "Private WiFi Address"

Diese Funktion stellt nur sicher das für jedes WIFI Netz wo sich das Gerät anmeldet eine andere MAC verwendet wird. Ist es einmal angemeldet an Einem bleibt die MAC gleich.

Ergo sollte diese Funktion nichts damit zu tun haben.

 

[Bob.Dig]

Ist es einmal angemeldet an Einem bleibt die MAC gleich.

Nope. Das ist Netz-spezifisch und was es macht, wird dort beschrieben. D.h. in deinem eigenen Wifi solltest Du das deaktivieren. Andernfalls bekommst Du regelmäßig eine andere Adresse. Ist für den Fall hier aber egal.

 

[BFF]

D.h. in deinem eigenen Wifi solltest Du das deaktivieren. Andernfalls bekommst Du regelmäßig eine andere Adresse.

Hmmm.
Dem ist hier nicht so. 🤷‍♂️
Selbst wenn ich mein 13 neu starte bleibt die für mein Heimnetz gewählte MAC gleich.
Erst deaktivieren/aktivieren der Funktion erzeugt eine neue MAC.

Aber egal. Hat wirklich nix mit dem Problem des TE zu tun.

 

[JumpingCat]

Diese Funktion stellt nur sicher das für jedes WIFI Netz wo sich das Gerät anmeldet eine andere MAC verwendet wird. Ist es einmal angemeldet an Einem bleibt die MAC gleich

Nein. Der Hersteller hat das anders implementiert: https://wifinowglobal.com/news-and-...verely-impact-the-wi-fi-industry-expert-says/

@CaptainPighead : Welche DNS Server weißt du den Endgeräten zu? Nur den pihole und sonst nichts anderes? DNS over HTTPS ist auch extra deaktiviert?

 

[CaptainPighead]

Warum ist das Bild bei IPv6 der Fritzbox genau an der wichtigsten Stelle abgeschnitten?

Sorry, hatte ich nicht drauf geachtet. Anbei die vollständigen IPv6 Settings der FritzBox. Ich habe wie gesagt kaum IPv6 Wissen (ist auf meiner ToDo Liste mich hier mal gründlich einzuarbeiten, wegen Zeitmangel aber bisher noch nicht dazu gekommen ...).

Nach meinem Wissensstand ist die fd00 die private IPv6 Addresse des AdGuard Home - ich habe extra die Option "ULA immer zuweisen" angegeben), in der Annahme, dass das in dem Setup Sinn macht mit IPv6.

Einfacher wäre es gewesen, deinen AdGuard als Upstream-DNS-Server der Fritte einzutragen.

Nach meinem WIssensstand ist es so:

Für die lokalen Clients ist nur die DNS Config aus den IPv4 Einstellungen wichtig. Dort sage ich, dass alle Clients immer den AdGuard Home als DNS-Server kriegen sollen (also die 172.30.11.20).

Die DNS-Server unter "Internet - Zugangstdaten - DNS-Server" sind für die interne Nutzung der FritzBox, also Updates, usw. D.h. selbst wenn ich hier Cloudflare eintrage, sollte meine Clients trotzdem den DNS-Server kriegen, den ich per DHCP verteile (also AdGuard Home).

@CaptainPighead : Welche DNS Server weißt du den Endgeräten zu? Nur den pihole und sonst nichts anderes? DNS over HTTPS ist auch extra deaktiviert?

Ich weise den Endgeräten meinen AdGuard Home zu (hier noch mal der Screenshot aus dem Eingangspost). Nur den AdGuard Home (um den geht es, nicht pi-hole 😉). DNS over HTTPS für die Upstream Server funktioniert bei AdGuard Home "out of the box" ohne dass irgendwas konfiguriert werden muss. Deutlich weniger Konfigurationsaufwand im Gegensatz zu pi-hole insgesamt.

 

[Bob.Dig]

Nach meinem Wissensstand ist die fd00 die private IPv6 Addresse des AdGuard Home

Das könntest du ja überprüfen, weil Du schreibst "nach deinem Wissensstand". Wenn dem tatsächlich so ist, dann sehe ich aktuell auch keinen offensichtlichen Grund für etwaige Probleme.

 

[CaptainPighead]

Danke @Bob.Dig !

Ich habe so eine Vermutung. Je mehr ich drüber nachdenke, desto mehr glaube ich, dass es irgendwie an der "IPv6 Config FritzBox / AdGuard RasPi / lokaler IPv6 DNS Server" liegt.

Es scheint Situationen zu geben, wo ich mit IPv6 auf einem Endgerät unterwegs bin, was durch eine fehlerhafte (IPv6 DNS-Server-) Config nicht über meinen AdGuard Home geht - und deshalb über die FritzBox. In der FritzBox geht es dann "ungefiltert" raus über Cloudflare und es kommt zu der Situation, die ich im 1. Post beschrieben habe.

Heisst: ich muss (in der FritzBox) sicherstellen: dass ich auch über IPv6 meinen AdGuard Home Raspi immer mit der gleichen (IPv6-) Adresse an die Clients verteile, so wie es mit IPv4 auch bisher funktioniert. Wie stelle ich das an?

Ich habe gerade im AdGuard Home auf die Setup Seite geschaut, dort sieht man alle IPv4 und IPv6 Adressen auf denen er lauscht (siehe Screenshot). Ich habe jetzt aber gesehen, dass die IPv6 Adresse für den IPv6 DNS-Server im Netzwerk in der FritzBox eine andere Adresse anscheinend ist (siehe 2ter Screenshot).

Kann es daran liegen? Wie kriege ich eine statische IPv6 Adresse in meinem Raspi und lege diese dann dauerhaft in der FritzBox als IPv6 lokaler DNS-Server fest? Dann sollte auch per IPv6 alles immer über den AdGuard Home Raspi gehen. Ich kriege durch eine nächtliche Zwangstrennung auch immer neue IPv6 Adressen.

Ich vermute jetzt immer mehr, dass es daran liegen könnte... komme aber ohne Wissen dazu nicht weiter. Ich würde ungern nur deswegen IPv6 komplett abschalten, da es ja im Grunde die Zukunft ist.

 

[Bob.Dig]

Wie kriege ich eine statische IPv6 Adresse in meinem Raspi und lege diese dann dauerhaft in der FritzBox als IPv6 lokaler DNS-Server fest?

Einfach in der Fritte da genau die Adresse vom AdGuard eintragen, so wie Du es ja schon für IPv4 getan hast. Ich denke, das sollte die Lösung sein.

 

[CaptainPighead]

Danke für Deinen Support @Bob.Dig ! 😇

OK - ich denke wir sind auf der Zielgeraden (hoffe ich..) Ich habe es mir noch mal angeschaut im Detail: der aktuelle IPv6 DNS ist bei mir die ULA / lokale Adresse der Fritzbox, nicht des Raspis mit AdGuard Home!

Deswegen geht es auch manchmal (in manchen IPv6 "Situationen" - wann genau, dafür stecke ich nicht im Detail tief genug für IPv6 drin) über die Fritte für diese Clients und nicht über den AdGuard Home. Das erklärt es und macht auch Sinn, wieso in diesen Fällen nicht gefiltert wurde.

Heisst also - wie Du schon geschrieben hast - ich muss den AdGuard Home Raspi als IPv6 DNS Server eintragen.

Nur damit ich es 100% richtig mache: es reicht, dort einfach die IPv6 ULA des AdGuard Home einzusetzen, korrekt? Also die fd00. (siehe Screenshot)

Blöde Frage: wo finde ich denn die fd00 des Raspis in der Fritte? Dort sehe ich nur die 2003 und fd80, aber nicht die fd00 (siehe 2ter Screenshot).

Und letzte Frage: in diesem Zusammenhang ist es korrekt "ULA immer zuweisen" auszuwählen, ja? So habe ich es in einem Tutorial mal gelesen.

@riversource , ich habe gesehen, dass Du zu einem ähnlichen Thread vor 2 Jahren ein gleiches Thema (damals pi-hole, statt wie hier AdGuard Home) geholfen hattest. Kannst Du vielleicht noch einmal drüberschauen ob das so Sinn macht was ich geschrieben habe? Tausend Dank an alle!

 

[riversource]

Nur damit ich es 100% richtig mache: es reicht, dort einfach die IPv6 ULA des AdGuard Home einzusetzen, korrekt? Also die fd00. (siehe Screenshot)

Da kannst du auch die link-lokale nehmen. Die ist mit noch größerer Wahrscheinlichkeit statisch, als die ULA Adresse.

Blöde Frage: wo finde ich denn die fd00 des Raspis in der Fritte? Dort sehe ich nur die 2003 und fd80, aber nicht die fd00 (siehe 2ter Screenshot).

Da der Raspi darüber nicht freiwillig kommuniziert, vermutlich gar nicht. Die Box weiß nicht, dass der Raspi die Adresse hat.

Und letzte Frage: in diesem Zusammenhang ist es korrekt "ULA immer zuweisen" auszuwählen, ja? So habe ich es in einem Tutorial mal gelesen.

Das sollte zwar keine Probleme machen, solange keine Routen dafür verteilt werden, aber ich habs bei mir noch nie gebraucht. Wer weiß, was das ein oder andere IoT Gerät aus so einem Router-Advertisement macht.
Wenn man im LAN arbeitet, hat man die link-lokalen Adressen, und von außen kann man auf die öffentlichen Adressen zugreifen. Die ULAs bieten nur in bestimmten VPN Szenarien einen wirklichen Mehrwert, und den sehe ich hier nicht. Wenn man es nicht braucht, muss man es auch nicht aktivieren.

 

[Bob.Dig]

Blöde Frage: wo finde ich denn die fd00 des Raspis in der Fritte? Dort sehe ich nur die 2003 und fd80, aber nicht die fd00 (siehe 2ter Screenshot).

Die hast Du ja im Adguard angezeigt bekommen, aber ich schließe mich riversource an, starte einfach mit der fe80-Adresse und schaue, was sich so ergibt.

Aber ich bleibe dabei, andersherum wäre es einfach gewesen. Du änderst die Upstream-DNS-Server in der Fritzbox auf den Adguard. Nachteil, ausnahmslos alles würde darüber laufen, blöd, wenn es dann ein Problem gibt.

 

[CaptainPighead]

Da kannst du auch die link-lokale nehmen. Die ist mit noch größerer Wahrscheinlichkeit statisch, als die ULA Adresse.

Das sollte zwar keine Probleme machen, solange keine Routen dafür verteilt werden, aber ich habs bei mir noch nie gebraucht. Wer weiß, was das ein oder andere IoT Gerät aus so einem Router-Advertisement macht.
Wenn man im LAN arbeitet, hat man die link-lokalen Adressen, und von außen kann man auf die öffentlichen Adressen zugreifen. Die ULAs bieten nur in bestimmten VPN Szenarien einen wirklichen Mehrwert, und den sehe ich hier nicht. Wenn man es nicht braucht, muss man es auch nicht aktivieren.

Danke Dir, @riversource ! Ich habe jetzt die fe80/link locale Adresse genommen. Das scheint geklappt zu haben...

Bez. der Option "ULA immer zuweisen": das habe ich von diesem Tutorial wo es explizit erwähnt wird: https://techbox.rocks/optimierte-ei...d-in-kombination-mit-einer-fritzbox-und-ipv6/

Sieht jetzt bei mir in der Fritte so aus wie im Screenshot. Ich werde es mal demnächst ohne die Option "ULA immer zuweisen" testen.

Die hast Du ja im Adguard angezeigt bekommen, aber ich schließe mich riversource an, starte einfach mit der fe80-Adresse und schaue, was sich so ergibt.

Aber ich bleibe dabei, andersherum wäre es einfach gewesen. Du änderst die Upstream-DNS-Server in der Fritzbox auf den Adguard. Nachteil, ausnahmslos alles würde darüber laufen, blöd, wenn es dann ein Problem gibt.

Danke! Ja ich kenne die beiden Szenarien: entweder A - AdGuard Raspi als "alleiniger" Upstream DNS für die ganze Fritzbox oder B - AdGuard Raspi per DHCP als DNS verteilen für die Clients. Ich persönlich mag B lieber, da wie Du schon schriebst, im Fall der Fälle bei einem Problem auf dem AdGuard Raspi quasi alles tot ist. Gibt pro & kontra für beide Szenarien.

Was mir nach der Umstellung jedoch gleich im Query-Log vom AdGuard aufgefallen ist:

Meine Clients im Netzwerk, die ich bisher immer eindeutig anhand der IPv4 Adresse identifiziert hatte, tauchen nun auch mit IPv6 Adressen auf. Macht ja auch Sinn und zeigt, dass der AdGuard nun auch korrekt als IPv6 DNS Server "funktioniert".

Nur: jeder Client hat ja eine ganze handvoll IPv6 Adressen (fd00 und fd80). Ich frage mich, wie ich diese nun im Adguard eintragen soll, damit ich im Query-Log anhand der IPv6 auch ein Matching auf den Clientnamen (MacBook, iPhone, usw.) machen kann.

Macht es Sinn/ist es vorgesehen, dass ich jede einzelne fd00/fd80 Adresse jedes Clients aus meinem Netzwerk aus der Fritzbox ablese und im AdGuard als Identifier hinterlege? Das wäre ja eine kleine Mammutaufgabe. Mit IPv4 funktioniert das einfach und ohne Probleme, aber hier komme ich jetzt schon in Straucheln mit meinem (kaum vorhandenen) IPv6 Wissen.

Screenshot anbei von einem IPv6 Identifier mit dem ich mal getestet habe.

Es gibt in AdGuard noch die Möglichkeit anhand der MAC-Adresse die Clients zu identifizeren, das geht aber nur wenn der AdGuard selber DHCP Server ist. Ich würde das gerne bei der FritzBox belassen und das nicht komplett umstellen.

Habt ihr eine Idee wie man das am besten löst?

 

[Bob.Dig]

Macht es Sinn/ist es vorgesehen, dass ich jede einzelne fd00/fd80 Adresse jedes Clients aus meinem Netzwerk aus der Fritzbox ablese und im AdGuard als Identifier hinterlege?

Ich fürchte ja, wenn Du denn diese Info brauchst. Vorteil bei der fe80-Adresse ist immerhin, dass jeder Client nur eine (pro NIC) haben sollte und sich diese auch nicht mehr ändert.

 

[CaptainPighead]

Die Sache ist, dass man sonst im Query Log vom AdGuard "nur" anhand der IPv6 IPs nicht mehr sieht, von welchem Client die Anfrage ist. Siehe Screenshot - oben siehst Du die IPv6 Anfragen und unten die Clients, die anhand von IPv4 bei mir gematched werden - schön mit Klarnamen. Das hätte ich gerne konsistent für alle Clients.

Noch mal IPv6 Dummy Frage: mein iPhone hat als Client laut Fritte 3 mal eine fe80 (siehe zweiter Screenshot):

Vorteil bei der fe80-Adresse ist immerhin, dass jeder Client nur eine (pro NIC) haben sollte und sich diese auch nicht mehr ändert.

was heisst das genau? das es pro Client nur eine fe80 gibt, die im AdGuard auftauchen sollte? Woher weiss ich, welche der 3 das an meinem iPhone Beispiel ist und die ich dann im AdGuard zum Matching hinterlegen sollte/muss als "Identifikator"?

Danke für Deine Hilfe!!

 

[Bob.Dig]

Woher weiss ich, welche der 3 das an meinem iPhone Beispiel ist und die ich dann im AdGuard zum Matching hinterlegen sollte/muss als "Identifikator"?

Dass sich deine MAC-Adresse am Phone bei WiFi ständig ändert, hast Du für dein WiFi zuhause schon abgestellt? Vermutlich ja, sonst hättest Du auch dauernd eine andere IPv4-Adresse gehabt.
Ich schrieb ja per NIC, also wenn auch noch WireGuard läuft, ist das wieder ne andere NIC. Möglicherweise auch, wenn Du zwischen 2,4 und 5 GHz wechselst., da bin ich überfragt.

IPv6 hat nicht nur Vorteile, das ist mal sicher. 😉

 

[Donkey Kong]

Danke! Ja ich kenne die beiden Szenarien: entweder A - AdGuard Raspi als "alleiniger" Upstream DNS für die ganze Fritzbox oder B - AdGuard Raspi per DHCP als DNS verteilen für die Clients. Ich persönlich mag B lieber, da wie Du schon schriebst, im Fall der Fälle bei einem Problem auf dem AdGuard Raspi quasi alles tot ist. Gibt pro & kontra für beide Szenarien.

Du kannst bei Szenario A auch den Haken setzen bei „Bei DNS-Störungen auf öffentliche DNS-Server zurückgreifen“. Dann hast du quasi "best of both worlds". Hast nur keine Wahl mehr auf welchen Server die Fritzbox im Notfall zurückfällt. Ich hab Szenario A und B aktiviert und da das Häkchen gesetzt und bisher keine Probleme. Da in deinem Setting der über die Fritzbox verteilte DNS ja dein AGH ist, musst du eh bei einem Ausfall deine PC-/Smartphone-Verbindung manuell auf einen öffentlichen umstellen, denn die verbinden sich ja nicht automatisch mit dem Fritzbox-DNS, wenn der AGH nicht mehr funktioniert.
Kontra nur A ist ganz klar, dass man kein bisschen nach Clients unterscheiden kann im AGH.

Hintergrund für meine A und B-Einstellungen:
1. Es laufen so auch smarte Geräte von Herstellern, denen ich nicht 100% traue, die sich aus irgendwelchen Gründen aber immer direkt mit dem DNS der Fritzbox verbinden, über AGH.
2. Man kann leider nur Geräte vom Logging ausschließen, aber nicht selektiv einschließen. Ich will aber eigentlich, dass nur meine eigenen DNS-Anfragen im AGH für Trouble-Shooting geloggt werden, die meiner Gäste aber nicht (sonst hab ich das Gefühl, ich muss jeden, der sich mal in meinem WLAN einloggt, extra darauf hinweisen und das kann schon etwas komisch sein: „Ich logge übrigens jede Internetseite mit, die du aufrufst.“). Und jeden einzeln direkt identifizieren und ausschließen ist doof. Ich hab daher das Gast-WLAN eingerichtet, und die Fritzbox vom Logging ausgeschlossen. Funktioniert für mich super.

Nur: jeder Client hat ja eine ganze handvoll IPv6 Adressen (fd00 und fd80). Ich frage mich, wie ich diese nun im Adguard eintragen soll, damit ich im Query-Log anhand der IPv6 auch ein Matching auf den Clientnamen (MacBook, iPhone, usw.) machen kann.

Macht es Sinn/ist es vorgesehen, dass ich jede einzelne fd00/fd80 Adresse jedes Clients aus meinem Netzwerk aus der Fritzbox ablese und im AdGuard als Identifier hinterlege? Das wäre ja eine kleine Mammutaufgabe. Mit IPv4 funktioniert das einfach und ohne Probleme, aber hier komme ich jetzt schon in Straucheln mit meinem (kaum vorhandenen) IPv6 Wissen.

Hab ich tatsächlich so gemacht. War am Ende aber weniger Aufwand als gedacht.

Es gibt in AdGuard noch die Möglichkeit anhand der MAC-Adresse die Clients zu identifizeren, das geht aber nur wenn der AdGuard selber DHCP Server ist. Ich würde das gerne bei der FritzBox belassen und das nicht komplett umstellen.

Ich habe unter IPv6 alles genauso eingestellt wie du. Das mit den MAC-Adressen ist unterm Strich nicht deutlich weniger aufwändig, denke ich.

 

[CaptainPighead]

Das iPhone war auch nur ein Beispiel... Ich habe so ca. 12 Clients im Netzwerk (Handy, iPad, Laptop Privat, Laptop Firma, PlayStation, Sonos, usw. usw.). Über IPv4 hat jeder Client per Fritte eine permanente IPv4 Adresse im Netzwerk - damit klappt die Identifikation problemlos.

Wenn ich jetzt einen Blumenstrauss an IPv6 Adressen pro Gerät habe bei so vielen Clients ... ist der einzige Weg dann wirklich jede einzelne fd80/fd00 Adresse von jedem Client abzukopieren und für den jeweiligen Client im AdGuard zur Identifikation zu hinterlegen? Das wären ja bestimmt an die 100 IPv6 Adressen bei mir die ich dann händisch eintragen müsste ... Genau das sind so Gründe, weshalb ich mich bisher um IPv6 gedrückt habe. 😕 Ich blicke bei der ganzen Idenifikation der Clients nicht mehr durch ... mit IPv4 war das idiotensicher.

Ich frage mich, wie das andere AdGuard Home User machen, die zu Hause IPv6 nutzen und ihre Clients identifizieren möchten (und nicht die MAC Adresse nutzen können).

Müsste denn pro Client jede fe80 Adresse hinterlegt werden zur Identifikation? Oder nur eine (welche?)? Oder alle fe80/fd00? Ich blicke da nicht durch... Wie gesagt, ich würde ungern wegen dieser Thematik den ganzen IPv6 Kram vollständig deaktivieren.

 

[Donkey Kong]

Ich frage mich, wie das andere AdGuard Home User machen, die zu Hause IPv6 nutzen und ihre Clients identifizieren möchten (und nicht die MAC Adresse nutzen können).

Müsste denn pro Client jede fe80 Adresse hinterlegt werden zur Identifikation? Oder nur eine (welche?)? Oder alle fe80/fd00? Ich blicke da nicht durch... Wie gesagt, ich würde ungern wegen dieser Thematik den ganzen IPv6 Kram vollständig deaktivieren.

Ich hab einfach geguckt, welche IPv6-Adresse im AGH-Logging auftaucht und dann in der Fritzbox geguckt zu welchem Gerät die gehört (meist hat man ja schon einen Verdacht) und die da dann in AGH eingetragen. War meist nur maximal eine pro Gerät. Und wenn irgendwann wieder eine unbekannte auftaucht, kannst du das genauso machen. Die Log-Daten gehen dadurch, dass das eventuell nicht direkt für alle eingetragen ist, ja nicht verloren.

Ergänzung (13. August 2024)

Ach ja: Tatsächlich tauchen bei mir in AdGuard Home auch ausschließlich fd00- und keine fe80-Adressen auf. Würde vielleicht wenn eher mit denen beginnen.