Namensauflösung interne Domain mit einer Fritzbox und Pihole

[dafu99]

Hallo zusammen!

Ich bin gerade dabei mein Heimnetzwerk etwas aufzubohren und habe dazu einen OpenMediaVault Server aufgesetzt, der unter anderem Pihole in einem Docker Container am laufen hat. Pihole übernimmt bisher nur die Rolle des DNS-Server, der DHCP-Server ist noch die Fritzbox.

Die Konfiguration sieht dann so aus: in der Fritzbox ist als "lokaler DNS-Server" die IP-Adresse von Pihole gesetzt. In Pihole sind alle "Upstream DNS Server" deaktiviert, mit Ausnahme des "Custom 1" welcher auf die Fritzbox zeigt. Alle anderen Checkboxen auf dieser Seite sind aus.

Nun ist es so, dass grundsätzlich alles mal läuft. Ich sehe in Pihole, wie Queries von verschiedenen Geräten verarbeitet werden. Mir stellen sich aber einige Fragen jetzt:

1) Der OMV Server kann über zwei Hostnamen erreicht werden: openmediavault.local und openmediavault.fritz.box. Dieses "local" ist als Domain in der Konfigurationsmaske von OMV gesetzt. Wie kommt es, dass dieses local aufgelöst werden kann, obwohl die Fritzbox eigentlich mit fritz.box auflöst?

2) Am liebsten wäre es mir eigentlich, wenn ich interne Geräte im Netzwerk generell mit einer anderen Domain aufrufen könnte als "fritz.box" (z.b. "internal"). Kann man das in der Fritzbox irgendwie ändern (vermutlich nicht?) oder müsste dafür das Pihole auch noch die Rolle des DHCP Servers übernehmen? Oder gibt es noch eine andere Möglichkeit?

3) Bei diesen ganzen Checkboxen im Pihole unter "Advanced DNS Settings" bin ich mir nicht sicher, was die eigentlich machen. Deswegen hab ich sie mal in der Standardeinstellung gelassen.


Danke schonmal!

 

[SirKhan]

Also .local ist irgendwie eine IPv6-Sache. Das hat nichts mit einem DNS-Server zu tun, sondern das machen die Clients von selbst. Ist standardisiert und kann auch ignoriert werden, wenn das nicht genutzt wird.
Kann aber nützlich sein, wenn mal DNS nicht funktioniert, oder so.

Für die Endungen braucht man tatsächlich keinen DHCP, sondern einen DNS-Server, also ist PiHole da schon richtig. Ich selbst nutze Adguard dafür, aber ich vermute das wird ähnlich sein.
Es müssen im PiHole Einträge (bei Adguard "DNS-Umschreibungen") angelegt werden, welche z.B. openmediavault.internal auf die IP (oder den Host openmediavault.fritz.box) umleiten. Bei letzterem kann sogar noch dynamisch die FritzBox für die IPs verwendet werden, bei direkter IP muss diese dann zumindest festgetackert sein.

 

[dafu99]

Ich habe testweise die Domain in der OMV Konfigurationsmaske umbenannt nach "internal" und den Server neu gestartet. Ein Aufruf über openmediavault.internal funktioniert aber nicht. Es wird aber weiterhin openmediavault.local aufgelöst.

Diese "DNS-Umschreibungen" finde ich in Pihole leider nicht.

 

[SirKhan]

Hm. Am ehesten ist wohl das "Local DNS Records", aber damit lassen sich (anders als in Adguard Home) nur IP-Adressen festlegen, nicht Umleitungen auf andere Namen.

In dem Fall hilft nur allem eine feste IP geben (geht ja auch über die Fritzbox). Also schon noch via FritzBox DHCP, aber mit jedem (relevanten) Client als reservierte IP und dann diese bei "Local DNS Records" eingeben, mit .internal.

Ergänzung (15. Dezember 2024)

Oh, möglicherweise geht es über "Local DNS" -> "CNAME Records".
Dort bei den Einträgen links "openmediavault.internal" und rechts "openmediavault.fritz.box".
Dann werden anfragen an openmediavault.internal automatisch an openmediavault.fritz.box weitergereicht und es sollte als zusätzliche Domain funktionieren.

 

[Piktogramm]

1) Der OMV Server kann über zwei Hostnamen erreicht werden: openmediavault.local und openmediavault.fritz.box. Dieses "local" ist als Domain in der Konfigurationsmaske von OMV gesetzt. Wie kommt es, dass dieses local aufgelöst werden kann, obwohl die Fritzbox eigentlich mit fritz.box auflöst?

Also .local ist irgendwie eine IPv6-Sache.

.local ist reserviert für Namensauflösung via mDNS/zeroconf. Es geht also NIE über einen DNS Server, sondern wird immer nur über Broadcast auf private IP-Ranges ausgehandelt. Es sendet also ein Gerät Alice die Anfrage, ob es ein Gerät mit Namen Bob gibt ins lokale Netzwerk und alles was auf "Bob" hört antwortet.
https://en.wikipedia.org/wiki/.local

Das ist ersteinmal nix IPv6 spezifisches.


.internal ist ein DNS-Namespace, der nur über DNS Server und da nur im lokalem Netz aufgelöst wird. Da muss als der DNS Server wissen, dass .internal aufzulösen ist und welchen IPs alice.internal zugeordnet sind.
Ich müsste da aber bei Pihole auch ins Handbuch schauen, wie das gescheit einzurichten ist.

Ansonsten, das .box bzw. fritz.box geht gegen die Norm: https://www.rfc-editor.org/rfc/rfc6762
.box ist ein öffentlicher DNS Namespace und AVM ist damit ja auch dieses Jahr auf die Schnauze gefallen, weil irgendwer total legal die Domain fritz.box registriert hat...

 

[dafu99]

.local ist reserviert für Namensauflösung via mDNS/zeroconf. Es geht also NIE über einen DNS Server, sondern wird immer nur über Broadcast auf private IP-Ranges ausgehandelt.

Ok, das ist interessant! Das benutzen also verschiedene Implementierungen, um ohne DNS-Server eine Namensauflösung zu machen, mit Hilfe von Broadcasts.

Ansonsten, das .box bzw. fritz.box geht gegen die Norm: https://www.rfc-editor.org/rfc/rfc6762
.box ist ein öffentlicher DNS Namespace und AVM ist damit ja auch dieses Jahr auf die Schnauze gefallen, weil irgendwer total legal die Domain fritz.box registriert hat...

Genau das ist auch der Grund, warum ich eigentlich die Geräte im Netzwerk nicht mit fritz.box adressieren will.
Best practice sollte sein, es mit "internal" zu machen, da diese Domain extra für private Netzwerke reserviert wird.

Hm. Am ehesten ist wohl das "Local DNS Records", aber damit lassen sich (anders als in Adguard Home) nur IP-Adressen festlegen, nicht Umleitungen auf andere Namen.

Also auch die Dokumentation liest sich so, als wenn das der richtige Ort wäre. Ich habe bei den Local DNS Records jetzt mal "openmediavault.internal" mit der IP des Servers eingetragen, und den DNS Resolver von Pihole mehrfach neu gestartet.

Das Ergebnis ist, dass ich mit dem normalen PC nicht auf das Webinterface komme, auch ein Ping funktioniert nicht.
Allerdings klappt es mit einem Smartphone das im WLAN hängt.

 

[SirKhan]

Was macht denn nslookup openmediavault.internal bzw. nslookup openmediavault.internal ip-von-pihole?
Das müsste als ersten Absatz den verwendeten DNS-Server und als zweiten Absatz das Ziel anzeigen.

 

[dafu99]

Also aus irgend einem Grund gibt es bei allen nslookup commands von Windows aus einen timeout.

DNS request timed out.

    timeout was 2 seconds.

Server:  UnKnown

Address:  <...>

Die Adresse ist eine IP6 Adresse.

Von einer Linux VM aus funktioniert es dagegen. Sowohl nslookup, als auch die Namensauflösung im Browser. Dieser Eintrag mit "openmediavault.internal" klappt also. Nur hat Windows irgend ein Problem noch.

 

[Avenger84]

Hab´s auch mal getestet:

nslookup epsonet5880.local

*** epsonet5880.local wurde von pi.hole nicht gefunden: Non-existent domain.

funktioniert aber trotzdem im Browser

nslookup epsonet5880.fritz.box

werden alle IP Adressen ausgegeben (2x IPv6, 1x IPv4)

 

[SirKhan]

Seltsam @dafu99

Dieses Server: UnKnown mit time-out bekomme ich nur, wenn der Server nicht erreichbar ist (weil ich als zweites Argument z.B. irgendeine falsche IP eingebe).

Kannst du den PiHole denn pingen?
Und passt die IP welche unter dem "Server: UnKnown" steht zum PiHole?

Was ist als DNS-Server eingetragen, wenn du ipconfig /all eingibst? Passt da die IP zum PiHole?

@Avenger84
Bei .local kann ich das verstehen, es sollte hier aber um die im PiHole eingestellte .internal gehen, welche aufgelöst werden sollte (was sie ja scheinbar in der Linux-VM auch tut).

 

[WulfmanGER]

Wie kommt es, dass dieses local aufgelöst werden kann, obwohl die Fritzbox eigentlich mit fritz.box auflöst?

zeroconf, bonjour, mdns ... das ist Multicast DNS. Ein Client (machen mittlerweile recht viele Geräte, Anwendungen) schickt per Multicast in das LAN heraus seinen Namen raus. Das local wirst du daher nicht los.

Am liebsten wäre es mir eigentlich, wenn ich interne Geräte im Netzwerk generell mit einer anderen Domain aufrufen könnte als "fritz.box" (z.b. "internal"). Kann man das in der Fritzbox irgendwie ändern (vermutlich nicht?) oder müsste dafür das Pihole auch noch die Rolle des DHCP Servers übernehmen? Oder gibt es noch eine andere Möglichkeit?

Ich hab zwar pi.hole installiert, nutzte für DNS/DHCP allerdings dnsmasq direkt und nicht die Oberfläche von Pi.Hole (die eine eigene Variante von dnsmasq nutzt). Ich hab allerdings auch einige Eigenheiten die pi.hole nicht abbilden kann - ich mag es gerne Strukturiert und übersichtlich (ip-ranges, domainnamen, tlds). Ich hoffe die ändern mit pi.hole 6 nicht soviel. Adguard kann ich z.b. nicht nutzen, da adguard mir seinen eigenen dns/dhcp aufzwingt und ich keine gestaltungsmöglichkeit da habe.

Auf die weise kann ich per DHCP dann auch den NTP-Server, Statische Route, Proxy-Konfig übermitteln (wenn das Endgerät das alles annimmt ... Proxy-Konfig (wpad) klappt z.b. recht gut - bei Android allerdings zu gut (der Playstore mag nicht mal eine leere wpad und verweigert den Dienst G) - kann man aber dafür rausnehmen. ntp verweigern leider gerade Smarthome-Geräte gerne)

Mein Tip also: schwenk komplett auf dns/dhcp per Pi.Hole (ob Oberfläche oder dnsmasq direkt ist ja egal).

Domain in der OMV Konfigurationsmaske umbenannt nach "internal"

da alleine reicht das auch nicht - damit sagst du OMV nur wie es heißt - je nach Sicherheit von dem ding kann es auch sein das du dann im Browser nur mit dem Namen zugreifen darfst (aber dafür muss erstmal die Namensauflösung klappen). Und das halt per pi.hole - in welcher Form auch immer. Natürlich müssen dann alle Clients im LAN auch den pi.hole als DNS-Server eingetragen haben und nicht mehr die Fritz!Box (die Fritz!Box auch nicht als "Secondary"; das heißt explizit Secondary und nicht Backup / Fallback - den das ist die zweite DNS-Eingabe nicht; der client entscheidet selber welche der bekannten DNS er nutzt)

 

[h00bi]

Ich hab mir bei netcup im Angebot gerade eine zusätzliche Domain geholt, nennen wir sie h00biintern.eu

Im lokalen DNS gibt's einen Wildcard Eintrag *.h00biintern.eu, der auf meinen nginx Proxy Manager verweist.
Dort hole ich bei netcup ein Wildcard Zertifikat und erstelle damit beliebig viele Proxy Hosts mit HTTPS und gültigem Zertifikat.

Die Fritzbox antwortet auch auch fb7520.h00biintern.eu wenn man diese Domain im DNS rebind Schutz der Fritzbox erlaubt.

 

[dafu99]

@SirKhan

Ja, der ping mit der IP-Adresse des Pihole funktioniert. Die IP6 Adresse die unter nslookup steht, passt auch zu der vom Pihole.

Ethernet-Adapter Ethernet 2:

   Verbindungsspezifisches DNS-Suffix: fritz.box
   Beschreibung. . . . . . . . . . . : Intel(R) I211 Gigabit Network Connection #2
   Physische Adresse . . . . . . . . :
   DHCP aktiviert. . . . . . . . . . : Ja
   Autokonfiguration aktiviert . . . : Ja
   IPv6-Adresse. . . . . . . . . . . : 2003:d2:...(Bevorzugt)
   Temporäre IPv6-Adresse. . . . . . : 2003:d2:...(Bevorzugt)
   Verbindungslokale IPv6-Adresse  . : fe80::2ceb:...(Bevorzugt)
   IPv4-Adresse  . . . . . . . . . . : 192.168.178.25(Bevorzugt)
   Subnetzmaske  . . . . . . . . . . : 255.255.255.0
   Lease erhalten. . . . . . . . . . : Freitag, 20. Dezember 2024 07:01:39
   Lease läuft ab. . . . . . . . . . : Montag, 30. Dezember 2024 07:01:45
   Standardgateway . . . . . . . . . : fe80::4a5d:...
                                       192.168.178.1
   DHCP-Server . . . . . . . . . . . : 192.168.178.1
   DHCPv6-IAID . . . . . . . . . . . : 738497062
   DHCPv6-Client-DUID. . . . . . . . : 00-01...
   DNS-Server  . . . . . . . . . . . : fd00::4a5d:...
                                       2003:d2:...
                                       192.168.178.241
                                       fd00::4a5d:...
                                       2003:d2:...
   NetBIOS über TCP/IP . . . . . . . : Aktiviert

192.168.178.241 und fd00::4a5d... ist Pihole.

Sieht das nicht so aus, als wenn die DNS-Server Reihenfolge seltsam wäre?


@WulfmanGER
Wäre eine Möglichkeit den DHCP Server auch vom Pihole machen zu lassen.
Falls ich das mache und der Pihole DHCP Server wäre mal down, würde ich dann dennoch mit einem Rechner der selbst keine statische IP besitzt, auf die Fritzbox kommen, um diesen DHCP-Server wieder zu starten?

Ergänzung (Freitag um 10:27)

@h00bi
Ich möchte mein Netzwerk im Moment gar nicht vom Internet her erreichbar machen in der Form. Um mich dem Risiko auszusetzen kenne ich mich nicht gut genug aus. Mir reicht ein VPN Tunnel rein.

 

[h00bi]

Ich möchte mein Netzwerk im Moment gar nicht vom Internet her erreichbar machen in der Form

Nichts von dem was ich beschrieben habe ist aus dem Internet erreichbar. Das ist ja das schöne daran. Alles läuft lokal. Nur weil die Domäne auf .de oder .eu endet, ist das nicht alles automatisch im Internet.

 

[WulfmanGER]

Falls ich das mache und der Pihole DHCP Server wäre mal down, würde ich dann dennoch mit einem Rechner der selbst keine statische IP besitzt, auf die Fritzbox kommen, um diesen DHCP-Server wieder zu starten?

du kannst keine zwei, nicht mit einander agierende, DHCP-Server betreiben. Der eine weiß ja nicht was der andere für IPs vergeben hat. Du kannst natürlich "Tricksen" ... wenn du Statisches DHCP betreibst (jede MAC bekommt von dir eine spezifische IP-Adresse), kannst du dieses natürlich auch auf der Fritz!Box zuteilen - die werden sich nicht in die wege kommen. Für Dynamische DHCP könntest du auf Pi die Range 200-220 vergeben und auf der Fritz 221-240. Aber das ist mehr fusch als sonst was. Die Vorteil des Pi-DHCPs gehen dann komplett verloren. Es verteilt derjenige die IP-Adresse der zuerst Antwortet. Das heißt du hast ein heilloses Durcheinander ...
=> Absolut nicht empfehlenswert.
Mit einem zweiten Pi könnte man vielleicht ein Backup-Konzept aufbauen Aber das führt zu weit

Was ich bei DHCP grundsätzlich empfehlen würde:
Feste IP vergibst du für x Geräte (die es möglich machen etc.) - das machst du natürlich direkt auf dem Gerät. Bei mir sind das Netzgeräte (Router, AP, Switch), Server, Drucker, Primäre Client, HomeAssistant VM-Installation und natürlich der Pi.Hole.
Dynamische Zuordnung (im deutschen dynamisches DHCP) in einer kleinen Range für Gäste bzw. Neugeräte - damit die eine IP bekommen und man die dann weiter administrieren kann.
Manuelle Zuordnung (statisches DHCP) würde ich für alle Clients machen die dir bekannt sind und wo du keine feste IP setzen kannst oder nicht willst (z.b. Smarthome). Ich mache das zusätzlich für alle Clients die eine feste IP haben - falls ich mal den Netzwerkstack resete etc. fällt die IP-Konfig auf dem Gerät ja weg - per DHCP hab ich quasi ein "IP-Fallback" und komme direkt wieder über die bekannte Adresse an das Gerät dran. Oder USB-Testinstallation neues OS -> hat direkt IP ohne das ich die konfigurieren muss.
Es gibt auch noch Automatische Zuordnung. Die erste Abfrage ist quasi "dynamisch" - der Client bekommt eine IP aus der Range - aber danach - ob morgen oder in einem Jahr danch bekommt der Client immer die gleiche IP. Ist also quasi eine dynamische Zuordnung die automatisch zu einer manuellen wird . Ist sicher interessant für Leute die sich um IP-Adressen nicht scheren wollen, aber trotzdem wollen das alle Clients immer die gleiche IP bekommen. Fällt bei mir weg - bekomme bei dem gedanken daran schon zustände daher auch keine Ahnung wie man das konfiguriert.

Mein Pi läuft übrigens schon seit Jahren (mal mit Update von 3 auf 4) und war wesentlich zuverlässiger als meine Fritz!Box (ich hab eine Industrie mSD-Karte drin die explizit für 24/7 Dauerbetrieb ausgelegt ist). Wenn dein PI mal ausfällt verlieren die DHCP-Clients ja nicht direkt ihre IP. Dafür kannst du ja eine Leasetime einsetzen -> durchaus auch infiniti. Klar - wenn der Client dann neu startet steht er leer da. Aber sonst. Würde ich mir nicht soviele Gedanken machen. Im absoluten WORSTCASE (dein Pi geht in Flammen auf ... und fällt somit länger aus) kannst du ja den DHCP der Fritz!Box immer noch anschalten - da kannst du dann ja die gleiche IP-Verteilung (dynamisches DHCP) eintragen wie auf dem PI (nur sollte die Box DHCP nur eingeschaltet haben, wenn der Pi tot ist! Wie gesagt: Chaos!)

Wenn du pi.hole aktiv nutzt und dieser Ausfällt, obwohl die Fritz/Internet noch aktiv ist -> hast du erstmal auch kein Internet mehr ohne DNS schwer.

Wie h00bi schon schrieb: eine .de-Domain im LAN heißt nicht das die auch von aussen erreichbar ist. Ich hab historisch bedingt noch eine dyndns.org-Domain im LAN am laufen. Nach aussen hin hab ich die nicht mehr. Hab aber paar Scripte die damit arbeiten, Browser History, Notizen etc. es war einfacher den (local-only) DNS-Eintrag für die Domain zu machen, als alles zu ändern (rein Faulheit - gebe ich zu!). Kannst dir Lokal auch facebook . com geben für das Familien-Social-Media