PiHole blockiert WireGuard auf Fritzbox

[DodgerTheRunner]

Hi Leute,
Seit gestern habe ich auf eine Raspi Pihole am laufen.
In der Fritzbox habe ich die IPv4 und die IPv6 des Raspi jeweils als DNS für das Heimnetzwerk eingetragen.
Das funktioniert alles, solange ich in meinem eigenen Netzwerk bin.
Wenn ich unterwegs bin, wähle ich mit dem Smartphone per Wireshark in mein Heimnetz ein.
Die Verbindung funktioniert nun nicht mehr, seit ich den Pihole eingebunden habe.

Irgendwelche Ideen?

Gruß
Dodger

 

[JumpingCat]

Du meinst wireguard, oder?

Was funktioniert nicht? Die Einwahl oder später dann DNS?

 

[SpartanerTom]

Was auch noch relevant sein kann: Wurde der Pihole als upstream DNS für die Fritzbox eingetragen oder verteilt/bewirbt der DHCP den pi-hole service direkt als DNS an die Clients?

 

[DodgerTheRunner]

Klaro meine ich wireguard, sorry...

Im Log der FB steht, dass die wireguard Verbindung erfolgreich hergestellt wurde.
Ich kann aber weder auf Internet Seiten zugreifen, noch auf IP Adressen basierte Seiten in meinem Heimnetz.

Der Pihole Service wird von der FB per DHCP verteilt.

Hab jetzt mal eine neue wireguard config erstellt, da steht nun auch die IP vom pihole als Nameserver mit drin.
Funktioniert aber trotzdem nicht.

Gruß
Dodger

 

[Sykehouse]

noch auf IP Adressen basierte Seiten in meinem Heimnetz.

Dann ists ja auch kein DNS Problem. 😉

 

[Gretzki]

Ich vermute mal falsches Subnet.
Wenn Du mit Wireguard eine Verbindung aufbaust, bekommst Du eine IP aus einem anderen Subnet als Dein Pihole.
Beispiel: PiHole und FB im Subnet 192.168.0.0
Wireguard im Subnet: 10.10.0.0

Dann kannst Du verständlicherweise den Pihole und alles andere aus dem 192er Netz nicht mehr erreichen.

Nur so ne Vermutung.

 

[DodgerTheRunner]

Ich erreiche leider gar nichts mehr, wenn wireguard aktiv ist.
Nicht nur den pihole.
Ob DNS das Problem ist, weiß ich auch nicht.
Nur, dass es erst aufgetreten ist, seit der pihole im Netz integriert ist.
Ich kann auch nicht anpingen, wenn wireguard läuft. Nicht mal die FB.

Gruß
Dodger

 

[azereus]

ja guck dir mal "listen on all interfaces" an

 

[Gretzki]

Dann probier doch mal (je nach dem auf welchem OS Du unterwegs bist) vom Client ein:

ip a für Linux oder ein ipconfig /all für Windows

Da wird Dir dann eine IP-Adresse des Client angezeigt. Wenn Wireguard aktiv ist schaust Du natürlich auf den Wireguard-Adapter. Diese IP-Adresse wird vermutlich nicht zum Subnet Deines Heimnetzes passen. Du benötigst also ein Routing von Wirguard-Subnet <--> Heimnetz-Subnet.

Wenn Wireguard aktiv ist, wirst Du auf dem Client mit hoher Wahrscheinlichkeit nur ein /31er Subnet (also die von Wireguard zugewiesene IP-Adresse) sehen.

Vielleicht.

Ergänzung (21. August 2024)

ja guck dir mal "listen on all interfaces" an

Das wird nichts nützen, wenn Pihole sich im Heimnetz befindet und nichts von einem Wireguard-Netz weiß.
Das Problem lässt sich IMHO nur auf der FB beheben, in dem dort das Wireguard-Netz im Heimnetz und ins Internet zugelassen wird.
Ich kenne das nur von OpnSense und weiß daher nicht wie das auf der FB funktioniert.

 

[DodgerTheRunner]

Ich glaube, ich habe ein ganz anderes Problem:
Mein Glasfaser Anschluss bietet DS lite.
Laut wieistmeineip.de und dem Status der FB habe ich aber keine IPv6 Adresse mehr....

 

[eigsi124]

Ich vermute mal falsches Subnet.
Wenn Du mit Wireguard eine Verbindung aufbaust, bekommst Du eine IP aus einem anderen Subnet als Dein Pihole.
Beispiel: PiHole und FB im Subnet 192.168.0.0
Wireguard im Subnet: 10.10.0.0

Dann kannst Du verständlicherweise den Pihole und alles andere aus dem 192er Netz nicht mehr erreichen.

Nur so ne Vermutung.

Bei der Fritzbox ist das nicht so. Da bekommt man normalerweise eine IP direkt aus dem LAN.

 

[xNeo92x]

Ich hatte das auch mal probiert und es hat bei mir damals funktioniert, allerdings hatte Pi-hole zu dem Zeitpunkt auch DCHP gemacht. Bei mir war aber das Problem, dass die Wireguard App in Android irgendwann die Verbindung verloren hat und dies nicht erkannt hat. Es war alles grün, aber die FritzBox hat zu dem Zeitpunkt gemeldet, dass keiner per Wireguard verbunden ist.

Gelöst hab ich es komplett anders. Ich hab mich einfach bei Tailscale registriert und es auf dem RaspberryPi, wo Pi-Hole installiert war, installiert.
Wenn du es wie in der Anleitung konfigurierst, wird dein Pi-hole als DNS Server per Tailscale (Wireguard) an dein Smartphone weitergeleitet.
Die App läuft bei mir bis heute ohne Probleme.
https://tailscale.com/kb/1114/pi-hole

 

[DodgerTheRunner]

Wie gesagt: ich gehe davon aus, das Problem ist die fehlende IPv6...
Da bin ich dran, aber DeutscheGlasfaser ist da leider nicht sehr hilfreich...

 

[SpartanerTom]

Also bei mir klappt es mit Wireguard an einer 7490 auch mit dem Pi-Hole als per DHCP announced DNS Server. Eingetragen ist der Pi als DNS via lokaler IPv4 und IPv6 Adresse (ich hab IPv6 irgendwann mal dazu konfiguriert, weil ich Probleme mit manchen Android Geräten hatte, keine Ahnung ob das wirklich notwendig ist).

Der WireGuard Zugang hat laut Fritzbox UI eine feste IP im lokalen Subnet des Heimnetzwerks.

Allerdings habe ich einen "normalen" DSL Anschluss der sowohl eine externe IPv4 als auch IPv6 hat.

 

[riversource]

Mein Glasfaser Anschluss bietet DS lite.
Laut wieistmeineip.de und dem Status der FB habe ich aber keine IPv6 Adresse mehr....

Das kann nicht sein. Bei DS-Lite hat man ohne IPv6 gar keine Verbindung mehr.

Ich halte es darüber hinaus für unwahrscheinlich, dass der Pi-Hole für die VPN Probleme verantwortlich ist. Was ich allerdings für sehr wahrscheinlich halte, dass du bei der Pi-Hole Einrichtung deine Box-Konfiguration komplett verdaddelt hast. Aber was genau schief geht, werden wir erst beurteilen können, wenn du weitere Informationen lieferst:

• Infos aus dem Online Monitor
• Log Informationen von Fritzbox und VPN Client inkl. Beschreibung des Verbindungsaufbaus vom Client (Mobilfunk, WLAN, Adressbereiche, etc.).
• Die Einstellungen sowohl für WAN als auch für LAN in der Fritzbox

Wir müssen alles im Detail wissen, da wir nicht vor deinem Rechner sitzen und nicht hellsehen können.

 

[DodgerTheRunner]

Ok, dann hier die geforderten Informationen (hab den pihole jetzt wieder "zurückgebaut", IPv6 gibt es aber trotzdem keine).
Online Monitor:

Ereignis-Protokoll:

Im Protokoll taucht nichts bzgl "wireguard" auf.
Die Fritz-eigene VPN Verbindung ist bei mir gescheitert, weil sie nur über IPv4 geht. Da ich DS-lite habe, konnte die IPv4 vom Client aus nicht erreicht werden. Daher der Umstieg auf wireguard, weil der auch IPv6 kann.
Auch wenn ich im nachhinein nicht verstehe, wie er das macht. In der Config stehen nur IPv4 Adressen.

Die WAN Einstellungen der FB stehen auf "weitere Internetanbieter / Deutsche Glasfaser". Dort wurde auch nichts geändert.
Die LAN Einstellungen sind auch Standard.

Gruß
Dodger

 

[riversource]

Ok, dann hier die geforderten Informationen

Da ist aber erst ein SEHR KLEINER Teil der gewünschten Informationen. Und sie sind unvollständig, da man z.B. nicht sieht, ob du eine öffentliche oder eine CGNAT Adresse hast.

Die Fritz-eigene VPN Verbindung ist bei mir gescheitert, weil sie nur über IPv4 geht.

Das ist falsch, die geht auch über IPv6. Wenn du DS-Lite hättest, dann muss sie auch über IPv6 gehen, da du dann gar keine öffentliche IPv4 Adresse hast.

Da ich DS-lite habe,

Das ist kein DS-Lite. Ob es CGNAT ist, kann man nicht erkennen, da du die Adresse komplett unsichtbar gemacht hast. Damit kann man nichts anfangen.

Daher der Umstieg auf wireguard, weil der auch IPv6 kann.

Auch IPSec kann IPv6.

Die WAN Einstellungen der FB stehen auf "weitere Internetanbieter / Deutsche Glasfaser". Dort wurde auch nichts geändert.

Wie gesagt: Wir können nicht hellsehen. Zeige die Einstellungen als Screenshot.

Die LAN Einstellungen sind auch Standard.

Standard ist je nach Firmware, mit der du angefangen hast, stark unterschiedlich. Deshalb: Wir können nicht hellsehen. Zeige die Einstellungen als Screenshot.

Wenn du DG als Anbieter hast, hast du vermutlich CGNAT. Und dann musst du das IPv6 Problem lösen, um wieder VPN nutzen zu können. Aber was du da tun musst, können wir dir so nicht sagen.

 

[JumpingCat]

Du siehst doch ob durch das VPN Daten fließen. Was steht denn im Wireguard am Smartphone was du an Daten durchkommen?

 

[DodgerTheRunner]

Woran sieht man, ob es eine öffentliche oder CGNAT Adresse ist?

Nein, die Fritz-eigene VPN Verbindung ging nicht mit IPv6, stand auch auf der AVM Homepage. Vielleicht haben sie es mittlerweile geändert.

Hier die Daten des Anschlusses:
Internetverbindung wurde erfolgreich hergestellt. IP-Adresse: 100.93.155.207, DNS-Server: 185.22.44.50 und 185.22.45.50, Gateway: 100.93.0.1
Hoffentlich kann damit niemand Schabernack treiben...

Weiß zwar nicht, was man aus den WAN Einstellungen noch rauslesen kann, aber bitte :-)

Wenn du DG als Anbieter hast, hast du vermutlich CGNAT. Und dann musst du das IPv6 Problem lösen, um wieder VPN nutzen zu können. Aber was du da tun musst, können wir dir so nicht sagen.

Davon gehe ich aus, weiß nur noch nicht, wie ich das lösen soll.
Der erste Versuch über DG war sehr ernüchternd.

Gruß
Dodger

Ergänzung (21. August 2024)

Du siehst doch ob durch das VPN Daten fließen. Was steht denn im Wireguard am Smartphone was du an Daten durchkommen?

Da steht, dass nur Daten gesendet werden, aber keine empfangen.

 

[riversource]

Nein, die Fritz-eigene VPN Verbindung ging nicht mit IPv6, stand auch auf der AVM Homepage.

Das ist kompletter Unsinn. Seit es Wireguard gibt, kann auch IPSec IPv6. Und das ist keine Fritz-eigene VPN Lösung, sondern ein Standard.

Hier die Daten des Anschlusses:

Das ist eine CGNAT Adresse. Damit bist du auf IPv6 angewiesen. Sowohl für Wireguard als auch für IPSec.

Hoffentlich kann damit niemand Schabernack treiben...

Das kommt nur auf deine Einstellungen an.

Weiß zwar nicht, was man aus den WAN Einstellungen noch rauslesen kann, aber bitte :-)

Das ist nur eine Seite, und die noch nicht mal komplett. Du suchst nach IPv6 Lösungen und zeigst nicht die IPv6 Seite? Wir brauchen alle Einstellungen, und auch noch die vom LAN.