Fritzbox 6590 Cable + PiHole: Hardcoded DNS umleiten

[NEbly]

Hallo zusammen,

ich habe mich mal an PiHole + Unbound auf Raspi versucht und das grundsätzlich mit meiner Fritzbox 6590 Cable auch ganz gut hinbekommen. Jetzt würde ich es allerdings gern noch eine Stufe weitertreiben und auch eventuelle hardcoded DNS-Anfragen erwischen, die bisher am PiHole vorbeihuschen.
Wenn ich das richtig verstanden habe, geht man grundsätzlich so vor, dass man alle Port 53-Anfragen an die Adresse des PiHole weiterleitet, den PiHole selber von der Regel natürlich ausnimmt, damit er noch nach draußen kommt.
Mein Problem ist, dass die Seiten mit "Anleitungen", die ich dazu gefunden habe, mein technisches Verständnis der Thematik übersteigen bzw. ich nicht weiß, wie ich das in der Fritzbox umsetzen soll. Oder ob die (als "Consumer-Sch***", wie ich auch schon gelesen habe..) das überhaupt kann.
Was ich gefunden habe ist, dass man Port 53-Anfragen per Listeneintrag komplett blockieren kann. Aber weiterleiten wäre schon eleganter und vielleicht für die Funktionalität ein bisschen besser, denke ich.
Weiß einer was?

Vielen Dank für die Hilfe!

 

[madmax2010]

was meinst du mit hardcoded DNS Anfragen? Anfragen direkt an die IP oder anfragen die gezielt einen bestimmten DNS Server fragen?

im 1. fall wirds fummelig, den 2. Fall kannst du in der Firewall abbilden

 

[Jokercam]

das habe ich dazu gefunden, nur ich bezweifle das es ein echtes Problem ist da mir noch kein Gerät in meinem Haushalt bekannt ist das sowas hat
https://aware7.de/blog/hardcoded-dns-server-pi-hole/

 

[Merle]

Ich kenne die Funktion von einer Fritzbox nicht.
In meiner Guest/Kids Zone mache ich genau das, aber mit einem Unifi Security Gateway.
Wenn aus VLAN Kids/Guest eine beliebige Anfrage an udp/53 eingeht ändere das Ziel zu OpenDNS Family DNS.
Das ist normal eher in Firewalls abbildbar.

*edit: Es muss aber erwähnt werden, dass DNS over HTTPs die aktuellen Gedanken überflüssig machen. Zukünftig müssten Pakete auf höherer Ebene inspiziert werden um DNS in 443 zu erkennen. Potentiell muss dazu die Verbindung aufgebrochen werden um reinzusehen (Proxy, FW, muss Zertifikate der Clients kennen und Zugreifen können) oder man muss zukünftig komplette Listen von Servern auf 443 sperren. Ein Redirekt wird nicht mehr so einfach klappen auf Grund von Zertifikatsthemen.

 

[Zero_Official]

was meinst du mit "hardcoded Dns"? alle dns werden per IP abgefragt, du kannst die IP's von unerwünschten Servern blocken bzw sperren.
Entgegen der Meinung Anderer (nicht der poster hier...) nutze ich keine Verschlüsselte DNS Server und habe alles was dns/ssl/tls oder so gesperrt, ich nutze den "offenen"Provider DNS und eigenen DNS Server um zu filtern.

 

[Merle]

Er meint, DNS Server die in Programmen fest zur Auflösung im Code hinterlegt sind. Diese werden dann angesprochen anstatt der konfigurierten/per DHCP bezogenen System-DNS.
Ein Beispiel ist das per Default inzwischen aktive DNS-over-HTTPs von Firefox (auch wenn es bei der Frage des TE um klassische DNS geht, ist nur ein Beispiel.)

 

[NEbly]

Er meint, DNS Server die in Programmen fest zur Auflösung im Code hinterlegt sind. Diese werden dann angesprochen anstatt der konfigurierten/per DHCP bezogenen System-DNS.

Ganz genau! Das soll beispielsweise bei Smart-TVs oder Geräten/Apps von Google vorkommen, dass die die Vorgaben des Routers ignorieren und stattdessen fix zb Googles DNS zum auflösen kontaktieren. Wie du schon sagst, DoH ist leider noch mal kniffliger, aber das zumindest, also ganz klassisch "offen" über Port 53, möchte ich gerne umleiten.
Aber das scheint mit der Fritzbox nicht umsetzbar zu sein?

 

[Zero_Official]

klar, deshalb monitore ich mit Wireshark und sperre zb. 8.8.8.8 8.8.4.4 und 1.1.1.1 usw
damit mein "Smart" TV und "Smart" phone im Fallback modus meinen DNS Server verwenden und nicht umgehen.

 

[Merle]

Ok, du fragtest was ein hardcoded DNS ist. Das. Es gibt immer einige Wege zum Ziel, deiner ist auch einer. Allerdings muss ich bei jedem neuen Device sniffen.

 

[Zero_Official]

richtig, setzt voraus das man etwas fortgeschrittenere hardware einsetzt um zb port spiegelung zu betreiben.

 

[NEbly]

Vielen Dank für die Antworten!
Ok, also zusammenfassend: als interessierter Laie (ich) mit Endverbrauchergeräten (meine Fritzbox) wird das mit dem elegant weiterleiten eher nix?

 

[Raijin]

Ich lehne mich zwar damit weit aus dem Fenster, weil ich kein AVM-Kunde bin, aber soweit ich weiß kann man einen Port-53-redirect an einer Fritzbox so nicht umsetzen. Portweiterleitungen, und nicht anderes ist das, funktionieren wohl nur WAN->(W)LAN, aber nicht andersherum. Dazu benötigt man mutmaßlich einen fortgeschrittenen Router, der vollen Zugriff auf die NAT-Regeln gewährt, um eben auch ausgehende Weiterleitungen zu ermöglichen.

Ein Workaround wäre die von @Ichtiander erwähnte Sperre von bekannten DNS-Servern. Das schützt natürlich nicht davor, wenn ein TV beispielsweise einen unbekannten DNS benutzt, zB einen herstellereigenen. Da kommen dann WireShark bzw. die Capture-Funktion der Fritzbox ins Spiel. Bei jedem neuen Gerät müsste man das allerdings erneut prüfen und sollte es mal ein Software-Update für den TV geben, müsste man abermals WireShark anwerfen, weil sich womöglich der DNS geändert hat.

Führt das nicht zum erwünschten Ergebnis, muss man einen fähigeren Router einsetzen oder aber man baut das Netzwerk so um, dass der Router nicht mehr direkt das Internetgateway ist, sondern via DHCP zB ein Raspberry PI als Standardgateway fungiert. Hier könnte man besagte Umleitung einbauen und alles andere wird vom PI zum Internetrouter durchgereicht.

 

[Merle]

Man kann auch für alle den Port 53 nach außen sperren in einer Usergroup glaube ich. Musst mal googlen, TE. Der Router selber müsste natürlich außen vor bleiben und seinerseits auf deinen präferierten DNS gebogen werden. Das würde dann für alle in der Usergroup gelten.
Dann wird nix umgeleitet aber nur der eine ginge.