Pi Hole vs Adguard

[crashbandicot]

Nutzt hier jemand die DNS Server der 'Digitalen Gesellschaft' und 'Digitalcourage'? Wenn ich die Server in meinen PiHole eintrage, laufen Anfragen immer mal wieder ins Leere (Chrome: ERR_NAME_NOT_RESOLVED). Im PiHole Query Log wird mir der DNS Query jedoch als Erfolgreich angezeigt ('OK (forwarded to dns2.digitale-gesellschaft.ch#53)').
Wechsele ich dann die DNS Server im PiHole (z.B. OpenDNS oder Cloudflare), läuft alles sofort und ohne Wartezeit.

 

[.DeluXer]

Ums kurz zu machen: Nimm den dns3.digitalcourage.de

 

[Autokiller677]

Spricht eigentlich aus technischer und Performancesicht irgendwas dagegen in Adguard Home einfach die IP-Adresse des lokalen Routers einzutragen und damit die DNS-Server des Providers zu nutzen?

Grundsätzlich nicht.

Ich mache es aber genau andersrum: Ich trage im Router die IP des AdGuard für DNS ein. Die Clients bekommen per DHCP weiter die IP des Routers(!) für DNS. Eine DNS Query läuft dann also Client -> Router -> AdGuard -> DNS Server, der in AdGuard steht (um nicht im Kreis zu laufen, darf das nicht der Router sein).

Vorteil: Wenn der AdGuard aus irgendeinem Grund mal streikt, wechselt der Router einfach auf den sekundären DNS Server (Cloudflare, Digitalcourage, was auch immer ich da gerade drin hab). Wenn ich bei der Arbeit bin und das Internet fällt aus (worauf ein Ausfall des DNS quasi hinausläuft) ist sonst das Geschrei groß. Dann lieber Internet mit Werbung als gar kein Internet.

Nachteil: Im AdGuard wird nicht mehr an Clients aufgelöst, weil für den alles vom Router kommt. Aber da ich Logging da eh komplett deaktiviert habe, ist mir das egal.

 

[andy_m4]

Nutzt hier jemand die DNS Server der 'Digitalen Gesellschaft' und 'Digitalcourage'?

Ja.

Wenn ich die Server in meinen PiHole eintrage

Suboptimale Beschreibung. Sag bitte, WAS Du WO konkret einträgst. Sonst wird das hier nur ein Rumgerate.

Vorteil: Wenn der AdGuard aus irgendeinem Grund mal streikt, wechselt der Router einfach auf den sekundären DNS Server

Sekundärer DNS heißt nicht, das der nur benutzt wird wenn der Primäre ausfällt. Es gehen üblicherweise auch so durchaus Anfragen dahin (was bedeutet, das Werbung nicht in jedem Fall gefiltert wird). Das kann dann auch zu einem Privacy-Problem werden (je nachdem, ob Privacy für Dich eine Anforderung ist oder nicht). Nämlich durch DNS-Leaks.

worauf ein Ausfall des DNS quasi hinausläuft

Keine Ahnung wie oft der AdGuard ausfällt. Dürfte aber überschaubar oft sein. Man könnte irgendwie noch ein Fail-Safe implementieren das dazu führt, das der DNS-Server (also AdGuard) neu gestartet wird, wenn er ausfällt. Gegen Hardware-Ausfälle schützt das aber natürlich nicht.

 

[Autokiller677]

Zumindest bei FritzBoxen klingt es so, dass der sekundäre wirklich nur ein Backup ist:

Damit Internetseiten auch bei Ausfall des bevorzugten DNSv4-Servers aufgerufen werden können, tragen Sie die IP-Adresse eines zweiten DNSv4-Servers in das Eingabefeld "Alternativer DNSv4-Server" ein.

AdGuard scheint recht stabil zu laufen, PiHole war bei mir (mit DoH) nicht so stabil. Brauchte schon so einen Neustart pro Woche.

 

[.DeluXer]

Die Antwort von AVM verrät dir aber nicht in welcher Reihenfolge und mit welchen Metriken die DNS Server abgefragt werden.
dnsmasq fragt in der Standardeinstellung alle bekannten dns server ab und nimmt den schnellsten, bei anderen ist es wieder zufällig oder abwechselnd.

Den pihole und ein externer dns server ist einfach kein gutes Setup.

 

[crashbandicot]

Suboptimale Beschreibung. Sag bitte, WAS Du WO konkret einträgst. Sonst wird das hier nur ein Rumgerate.

Was: die DNS Server der genannten Gesellschaften (185.95.218.42, 185.95.218.43)
Wo: PiHole > Settings > DNS > Upstream DNS Servers > Custom 1/2 (IPv4)

 

[.DeluXer]

Die Server lassen nur verschlüsselte Querys zu. Da muss man sicher noch DoT und Stubby für pihole konfigurieren.

 

[elknipso]

Ich mache es aber genau andersrum: Ich trage im Router die IP des AdGuard für DNS ein. Die Clients bekommen per DHCP weiter die IP des Routers(!) für DNS. Eine DNS Query läuft dann also Client -> Router -> AdGuard -> DNS Server, der in AdGuard steht (um nicht im Kreis zu laufen, darf das nicht der Router sein).

Es funktioniert auch mit der IP-Adresse des Routers fürs DNS in Adguard oder Pi-Hole.
Also Router verteilt per DHCP die Adressen, DNS-Server ist Adguard. In dieser Adguard Installation steht nun als DNS Server die lokale IP-Adresse des Routers.

Funktioniert wunderbar und war so bei mir auch schon im Pi-Hole vorher konfiguriert.
Vorteil: Die DNS Server des Providers werden genommen, an der Stelle traue ich der Deutschen Telekom dann doch eher zu ihre DNS Server im Griff zu haben als einem, wenn auch löblicherweise auf Datenschutz bedachtem Hobbyprojekt wie digitalcourage und Co.

 

[crashbandicot]

@.DeluXer
Hmpf, danke. Gibt es noch gute und zensurfreie DNS Server, die kein DoT / DNSSEC voraussetzen?

 

[Raijin]

Mal noch eine Frage zum verwendeten Upstream-DNS Server:

Spricht eigentlich aus technischer und Performancesicht irgendwas dagegen in Adguard Home einfach die IP-Adresse des lokalen Routers einzutragen und damit die DNS-Server des Providers zu nutzen?

Das MUSS man sogar machen, wenn

• kein Conditional Forwarding eingerichtet ist
• der Router DHCP-Server ist
• man nicht den umgekehrten DNS Weg geht (Router->adguard)

Tut man das nicht, bekommt man sonst Probleme mit der Namensauflösung von lokalen Namen.

Vorteil: Wenn der AdGuard aus irgendeinem Grund mal streikt, wechselt der Router einfach auf den sekundären DNS Server

Jein. Primäre und sekundäre DNS werden teilweise quasi-parallel genutzt. Abwechselnd mit steigenden Timeouts, aber eben durchaus auch gleichzeitig. Deswegen sollten primäre und sekundäre DNS redundant sein, also über dieselben Informationen verfügen. Trägt man verschiedene DNS ein, zB 8.8.8.8 und adguard/pihole, wird es sporadisch oder gar regelmäßig zu DNS leaks kommen.

Wenn man sich Sorgen macht, dass ein lokaler DNS ausfällt, dann ergreift man entsprechende Maßnahmen wie zuverlässigere Hardware oder eben Redundanz im Sinne von 2x pihole/adguard.

 

[Autokiller677]

Es funktioniert auch mit der IP-Adresse des Routers fürs DNS in Adguard oder Pi-Hole.
Also Router verteilt per DHCP die Adressen, DNS-Server ist Adguard. In dieser Adguard Installation steht nun als DNS Server die lokale IP-Adresse des Routers.

Natürlich funktioniert das erstmal. Aber die Absicherung, dass es einen Fallback gibt, wenn der AdGuard streikt, ist damit eben gerade nicht gegeben.

Jein. Primäre und sekundäre DNS werden teilweise quasi-parallel genutzt. Abwechselnd mit steigenden Timeouts, aber eben durchaus auch gleichzeitig. Deswegen sollten primäre und sekundäre DNS redundant sein, also über dieselben Informationen verfügen. Trägt man verschiedene DNS ein, zB 8.8.8.8 und adguard/pihole, wird es sporadisch oder gar regelmäßig zu DNS leaks kommen.

Wenn man sich Sorgen macht, dass ein lokaler DNS ausfällt, dann ergreift man entsprechende Maßnahmen wie zuverlässigere Hardware oder eben Redundanz im Sinne von 2x pihole/adguard.

Ich kann bei mir nicht feststellen, dass die FB je was anderes benutzt als den AdGuard. Werbung ist immer geblockt. Als ich noch einen PiHole laufen hatte, ist mir regelmäßig aufgefallen, wenn plötzlich Werbung durchkam - das lag aber auch immer dran, dass der Pihole / Raspi sich aufgehängt hatte.

DNS Leaks sind mir kurz gesagt völlig latte. Ich hab den AdGuard nur zum Werbung blocken, nicht weil ich mir sorgen mache, dass hin und wieder eine DNS Request bei Cloudflare landet. Daher ist eben für mich die sekundäre DNS Lösung genau die Redundanz auf getrennter Hardware.

Wenn ich wirklich DNS Leaks vermeiden wollte, würde ich noch eine Firewall vor die Fritte schalten und die DNS Ports für alle Geräte außer dem AdGuard dicht machen. Aber darum geht's mir halt nicht.

 

[.DeluXer]

DNS Leak heißt so viel wie, dass dein Anfragen, wenn auch nur vereinzelt an dein Adguard vorbei gehen.

Wenn man sich den Aufwand macht ein sich ein pihole aufzusetzen, dann kann man es auch einfach richten machen statt sich die Fehlkonfiguration schön zu reden. Vielleicht wäre ja nextdns was für dich.

 

[Autokiller677]

Ich weiß was ein DNS Leak ist. Aber wie gesagt, darum geht's mir nicht. Solang keine Werbung ankommt, ist für mich das Ziel erreicht.

AdGuard ist jetzt scheinbar auch deutlich stabiler als der PiHole vorher. Der war aber auch nicht großartig verkonfiguriert, irgendwann hatte ich den Pi komplett neu aufgesetzt, um die Fehler weg zu bekommen. Aber dennoch ging der gerne mal alle 1-2 Wochen einfach offline.

 

[elknipso]

Natürlich funktioniert das erstmal. Aber die Absicherung, dass es einen Fallback gibt, wenn der AdGuard streikt, ist damit eben gerade nicht gegeben..

Das ist korrekt, aber nach meiner persönlichen Erfahrung für die praxis irrelevant.
In mehreren Jahren Nutzung hat sich mein Raspi mit PiHole drauf ein einziges Mal aufgehangen. Und in dem Fall war ich mir nicht mal sicher, ob das nicht meine Schuld war. Von daher lief die Lösung ausgesprochen stabil, da hatte ich in der Zeit wesentlich mehr reguläre DSL aus alle aufgrund von Störungen bei der Telekom.

 

[andy_m4]

Was: die DNS Server der genannten Gesellschaften (185.95.218.42, 185.95.218.43)

Das sind die DNS-Server der Digitalen Gesellschaft Schweiz. Soweit ich weiß bieten die nur einen verschlüsselten Zugang (DNS-over-TLS oder DNS-over-HTTPS). Das musste dann natürlich auch entsprechend konfigurieren. Einfach nur eine IP-Adresse reicht da vermutlich nicht.

Ergänzung (13. Juni 2021)

Vorteil: Die DNS Server des Providers werden genommen, an der Stelle traue ich der Deutschen Telekom dann doch eher zu ihre DNS Server im Griff zu haben als einem, wenn auch löblicherweise auf Datenschutz bedachtem Hobbyprojekt wie digitalcourage und Co.

Bei DNS-Server geht es ja nicht nur um Datenschutz. Es geht z.B: auch um "Zensur".
Wenn Webseiten hier in Deutschland "gesperrt" werden, dann geschieht das häufig darüber das man die entsprechenden DNS-Einträge sperrt. Ist bei DNS aber ein wenig schwierig, wenn man das nicht direkt in der Root-Zone macht. Also ist der pragmatische Ansatz zumindest bei den großen deutschen Providern die Seite in deren DNS-Server sperren zu lassen. Das erwischt zwar nicht alle aber die meisten. Denn die meisten sind halt bei einem großen Anbieter und verwenden auch den voreingestellten DNS-Server.

Die "Hobby-Projekte" wie Du sie nennst sind davon eher nicht betroffen.

 

[crashbandicot]

Das sind die DNS-Server der Digitalen Gesellschaft Schweiz.

Korrekt. Leider unterstützt PiHole kein DoH oder DoT, muss mich wohl mal mit cloudflared auseinandersetzen.

 

[andy_m4]

Ich kann bei mir nicht feststellen, dass die FB je was anderes benutzt als den AdGuard.

Meine Erfahrung mit der Fritz!Box sind da andere. Sporadisch wurde da auch der sekundäre DNS-Server benutzt. Das hat halt dazu geführt, das dann Werbung die sonst geblockt wurde doch mal durchkam.
Das fällt auch unter Umständen gar nicht auf weil auch DNS-basierte Filter nicht alles an Werbung wegblocken (und wegblocken können).

Letztendlich ist es natürlich wurscht, wenn Dir trotzdem die Filterleistung gut genug ist. Aber sie ist üblicherweise halt nicht so gut, wie es sein könnte. Muss man gucken, wo man die Prioritäten setzt.

Leider unterstützt PiHole kein DoH oder DoT

Im Zusammenhang mit einem chained DNS-Server schon. Oft wird dafür unbound genommen. Dieser Umstand hat mich dann dazu bewegt erst gar kein Pi-Hole zu nehmen, sondern einzig und allein unbound zu nehmen und dann auch das Blocking darüber zu machen, was hervorragend funktioniert.

Alternativ dazu kann man natürlich auch einfach unverschlüsseltes DNS nehmen, wenn einem das nicht so wichtig ist. Und dann halt einen DNS-Server nehmen, der das auch anbietet. Digitalcourage bietet auch ein unverschlüsselten Zugang und dann trägt man da halt 46.182.19.48 bzw. bei IPv6 2a02:2970:1002::18 ein und fertig. Dann hat man zwar kein Privatsphärenschutz. Aber wenns einem nur ums Werbeblocken und "Zensurfreiheit" geht reicht das ja trotzdem.

muss mich wohl mal mit cloudflared auseinandersetzen.

Naja. Wenn man Anfragen verschlüsseln will, ist einem Privatsphäre wichtig. Und dann würde ich auch einen Bogen um irgendwelchen Cloudflare-Krams machen.

 

[elknipso]

Git es die Möglichkeit Adguard so zu konfigurieren, dass er mir direkt beim blocken einer Webseite oder Weiterleitung die Möglichkeit gibt, diese auf die Whitelist zu setzen?

Sprich, dass nicht nur die Standard Fehlermeldung des Browsers kommt weil eben die Adresse geblockt ist sondern eine direkte Freigabemöglichkeit im Browser?

 

[Raijin]

Wenn Webseiten hier in Deutschland "gesperrt" werden,

dann hat das einen ernsthaften Grund. Zensur im eigentlichen Sinne gibt es im Internet in Deutschland nicht. Wenn etwas gesperrt wird, dann sind das illegale Seiten. Seiten rund um Waffen, Gewalt, Hetze, Missbrauch und dergleichen. Die gewollte Umgehung etwaiger Sperrungen hat daher einen faden Beigeschmack. In autoritären Staaten, in denen echte Zensur betrieben wird, werden hingegen Seiten wie Facebook, google oder auch CNN, etc. gesperrt, um die eigene Propaganda weiterverbeiten und gegenteilige Berichterstattungen unterdrücken zu können.

Ich will dir diesbezüglich nichts vorwerfen, sondern nur die angesprochene vermeintliche Zensur deutscher Provider aufgreifen. Selbst bin ich beispielsweise noch NIE auf eine gesperrte Seite gestoßen und ich nutze 08/15 Telekom-DNS im Upstream.