Pi-Hole auf vServer mit Heimnetz verbinden.

[Slopestyle-1]

Hi, ich brauche mal eure Hilfe.

ich habe einen externen vServer jetzt möchte ich das mein Heimnetzwerk sowie meine Handys alles über den Pi-Hole auf dem vServer läuft.

in der FritBox 6490 kann ich nur eine Netz interne IPv4 vergeben wie bekomme ich das hin das alles über den vServer läuft wenn das überhaupt technisch geht?

Grüße.

 

[till69]

In der Fritzbox kannst du eigene DNS vorgeben, siehe:

https://avm.de/service/fritzbox/fri...65_Andere-DNS-Server-in-FRITZ-Box-einrichten/

Evtl. auf dem VServer den IP-Bereich deines Providers einschränken, sonst kann jeder Deinen DNS nutzen.

 

[Slopestyle-1]

Denn Menüpunkt gibt es nicht in der Vodafone FritzBox!

 

[DeusoftheWired]

Dann kannst du entweder den DNS manuell in sämtlichen Geräten im Heimnetz auf die IP des vServers festlegen oder dir eine unverstümmelte FRITZ!Box kaufen.

https://forum.vodafone.de/t5/Archiv...-in-die-6490-unter-OS-6-50-nicht/td-p/1270234

 

[Slopestyle-1]

Wenn ich die DNS im Handy ändere bzw. am PC, läuft trotsdem nicht über den vServer!

 

[DeusoftheWired]

Wenn ich die DNS im Handy ändere bzw. am PC, läuft trotsdem nicht über den vServer!

Und woran machst du das fest?

Teste mit einem (Live-)Linux-System und dig.

https://wiki.ubuntuusers.de/dig/

Oder meinst du mit

jetzt möchte ich das mein Heimnetzwerk sowie meine Handys alles über den Pi-Hole auf dem vServer läuft

gar nicht nur den DNS-Verkehr – für den das Pi-Hole zuständig ist –, sondern sämtlichen Netzwerkverkehr und du möchtest eigentlich, daß Pakete erst von deinem LAN zum vServer gehen und danach ins WAN, sodaß verbindende Seiten nicht deine Heim-IP sehen, sondern die des vServers? Das kann Pi-Hole nicht. Da brauchst du eine VPN-Lösung.

https://knodderdachs.de/2019/05/19/einen-eigenen-openvpn-server-auf-einem-vserver-betreiben/

 

[Andredd1]

Kannst es mal mit dem FBEditor versuchen. Anleitung

 

[till69]

Kannst es mal mit dem FBEditor versuchen

Oder die Beschränkungen rauswerfen:
https://tobiassachs.de/2016/06/25/fritzbox-debranden.html

 

[Raijin]

Evtl. auf dem VServer den IP-Bereich deines Providers einschränken, sonst kann jeder Deinen DNS nutzen.

Nicht nur eventuell!!!! Ein offener DNS ist ein sehr mächtiges Werkzeug füe Hacker, wenn es um (D)DoS Attacken geht! Wer einen offenen DNS betreibt ohne ihn gegen Missbrauch zu schützen, riskiert die Sperrung des vServers!

Stichwort zum Nachlesen : DNS Amplification Attack

Ich rate daher DRINGEND davon ab, einen pihole auf einem öffentlichen erreichbaren Server betreiben! Bitte UNBEDINGT eine permanente VPN-Verbindung zum Server aufbauen und DNS AUSSCHLIEßLICH darüber erlauben oder besser noch den Server GAR NICHT im www sondern stattdessen lokal zu betreiben, zB auf dem namensgebenden PI!

Das ist wirklich kein Spaß und ich übertreibe nicht! DNS Attacken haben ein enormes Gefährdungspotential, weil sie extrem effektiv sind! Ein DNS im www gehört daher nicht in Laienhände und wer bei meinen Ausführungen nur Fragezeichen im Kopf hat, sollte bitte unbedingt die Finger davon lassen!

 

[Madman1209]

Hi,

man kann Raijin nur beipflichten, sowas sollte im LAN auf einem Pi betrieben werden, nicht öffentlich auf einem vServer!

VG,
Mad

 

[Raijin]

Ich spreche im übrigen aus Erfahrung:

Auf einem meiner vServer hatte ich anfangs pihole nativ installiert und mittels iptables abgesichert. Dann kam ich auf die tolle Idee, pihole in einen Docker-Container umzuziehen. Dabei habe ich aber nicht bedacht, dass Docker-Container nicht über die INPUT-Chain reinkommen, sondern über die FORWARD-Chain, weil Docker intern ein eigenes Subnetz für die Container verwendet und der Docker-Service eingehende Pakete somit FORWARDed und eben nicht selbst beantwortet (=INPUT) wie es zuvor die native pihole-Instanz getan hat. Die Folge war, dass meine Firewall den DNS-Traffic nicht mehr geblockt hat und ich somit einen offenen DNS-Resolver gebaut hatte.

Bereits zwei Tage später bekam ich eine Mail von meinem Server-Provider mit der angedrohten Kündigung. Die Bundesnetzagentur hatte meinen Provider darüber in Kenntnis gesetzt, dass eine seiner IP-Adressen - nämlich meine vServer-IP - bei einer DDoS-Attacke mittels besagter DNS Amplification Attack beteiligt war.

So eine DNS-Attacke ist nicht von schlechten Eltern, weil sie extrem effektiv und nur schwierig abzuwehren ist - für das Opfer, aber auch für die missbrauchten DNS-Server.

Ich wiederhole daher die Warnung: Einen offenen DNS sollte man als Laie auf keinen Fall im Internet betreiben, wenn man nicht weiß wie man diesen absichert.



Meine Empfehlung ist, pihole ausschließlich im heimischen Netzwerk zu betreiben und von außen dann eine VPN-Verbindung ins Heimnetzwerk zu nutzen, um dort dann pihole als DNS zu nutzen. So erübrigt sich die Absicherung des pihole an sich, weil er gar nicht öffentlich erreichbar ist - also auch keine Portweiterleitung für UDP 53 einrichten

vServer im www sind zwar billig wie nie (zT nur 1€ pro Monat), aber das heißt nicht, dass sie für jedermann geeignet sind. Hacker-Gruppen wie anonymous und Co lecken sich die Finger nach solchen Servern, die von unbedarften Admins eingerichetet wurden, weil dann entweder 08/15 Logins verwendet werden oder eben die Firewall nicht fachgerecht konfiguriert wurde. Öffentliche Server sind kein Spielzeug, sondern können und werden missbraucht werden, wenn man nicht weiß was man tut........

 

[Avenger84]

Das hört sich sehr spannend an, auch wenn ich von Docker Container noch nie was gehört habe.

Ich betreibe Pi-Hole auch, intern im Lan.
An der FritzBox ist nur UDP Port 51820 offen (für VPN) - da kann aber nichts passieren oder ?
Sowie 1701,500,4500 für IPSec.