Pihole, fritzbox, DoT, Einstellung korrekt?

[Engaged]

Habe jetzt mal auf DoT umgestellt, man hat ja schon länger nichts schlechtes mir gehört.
Funktioniert auch bestens, aber eine kleine Frage bleibt.

In den netzwerkeinstellungen der Fritzbox gebe ich als DNS IPv4 und IPv6 ja mein Raspberry Pi an, daran habe ich nichts geändert, und in den DNS Einstellungen richte ich z.b alles für Google anstatt vorher mein PI hole ein, das ist soweit klar.

In pihole gebe ich dann ja die Fritzbox IP als upstream-server an, und bei IPv6 nehme ich die ULA Adresse der Fritzbox, ist das so korrekt?

Habe Dual Stack und sollte die ganze Sache doch dementsprechend auf beiden Wegen erreichbar machen, die ULA ist für diesen Fall?

Oder ist da jetzt ein denkfehler drin?

 

[Lee Monade]

https://www.kuketz-blog.de/pi-hole-einrichtung-und-konfiguration-mit-fritzbox-adblocker-teil1/
Hier wird alles sehr gut erklärt.

 

[Engaged]

Ich weiß, aber ob ich für eine IPv6 Anfrage die Fritzbox ULA benötige damit die komplette abfragekette in IPv6 vorhanden ist, oder werden beide Anfragen einzig über 192.168.178.1 abgewickelt?

Dachte deswegen:

Client stellt IPv4 Abfrage - pihole IPv4 Adresse - 192.168.178.1 - IPv4 DoT

Client stellt IPv6 Abfrage - pihole IPv6 ULA - Fritzbox ULA - IPv6 DoT

Läuft das nach dem Schema?

Funktioniert ja soweit alles, geht nur darum ob ich das richtig verstehe, denn beim schnellen Anleitungen überfliegen habe ich dazu nichts gefunden.

Ergänzung (15. April 2024)

Möglicherweise denke ich zu kompliziert, in der FRITZ!Box steht sogar einfach nur das erst beste als aktiv.

 

[Lee Monade]

Dann überfliege die Anleitung nicht sondern lese sie, dafür hab ich sie dir gepostet. Das hätte alle deine Fragen ausführlich beantwortet.

Du trägst im Pi unter Upstream DNS Server 3 die IPv6 [ULA] Adresse deiner Fritzbox ein.

 

[bart1983]

Läuft das nach dem Schema?

Vereinfacht, aber ja so wie du sagtest ist es.

Bedenke: Die DNS Anfragen sind innerhalb deines Netzwerkes unverschlüsselt, werden also erst AB DEM ROUTER verschlüsselt. Snifft also Einer oder Etwas in deinem Netz mit, sieht man das.

Bei den Meisten wohl eher weniger ein Problem, aber sollte man auch bedenken.

I
Möglicherweise denke ich zu kompliziert, in der FRITZ!Box steht sogar einfach nur das erst beste als aktiv.

Welchen DNS Server deine Fritte gerade als aktiv verwendet ist unterschiedlich.
Ist bei meiner auch so, ich nutze DOT-DNS von 2 Anbietern (Quad9 und Cloudflare) und meine Fritte wechselt munter zwischen den beiden hin und her.
Habe da noch kein Schema erkennen können, da die Pingzeiten eigentlich gleich sind. Aber spielt ja auch keine große Rolle

 

[norKoeri]

ULA

Das mit der ULA wird hier diskutiert …

ob ich für eine IPv6 Anfrage die Fritzbox […] benötige

Nein, Du kannst IPv6 auch über DNSv4 machen, also kannst Du DNSv6 auch einfach weglassen. Das diskutieren wir gerade hier …

In pihole gebe ich dann ja die Fritzbox IP als upstream-server an […] korrekt?

Erzeugt einen Loop, der wird hier diskutiert …

Der korrekte Weg ist, sowohl im Pi-Hole als auch der FRITZ!Box den DoT-fähigen Upstream-Server einzutragen, also für den Pi-Hole bzw. FRITZ!Box selbst, nicht in der verteilten DNS-Server-Adresse(n).

 

[Lee Monade]

Das mit der ULA wird hier diskutiert …

Da steht zum Teil seltsames Zeug.

Nein, Du kannst IPv6 auch über DNSv4 machen, also kannst Du DNSv6 auch einfach weglassen. Das diskutieren wir gerade hier …

Ist aber falsch, warum sollte man einen IPv6 Server weg lassen können. Natürlich sollte man im Heimnetz auch einen IPv6 Server mitteilen.

Der korrekte Weg ist, sowohl im Pi-Hole als auch der FRITZ!Box den DoT-fähigen Upstream-Server einzutragen, also für den Pi-Hole bzw. FRITZ!Box selbst, nicht in der verteilten DNS-Server-Adresse(n).

Nein, das macht keinen Sinn, warum sollte man sowohl im Pi-hole als auch auf der FB den öffentlichen DNS Server eintragen?

Das Ziel ist doch, das die FB weiterhin die DNS Abfragen ins Netz stellt aber der PI-Hole das ganze vorher Filtern kann.

 

[norKoeri]

Da steht zum Teil seltsames Zeug.

Wenn Du etwas nicht verstehst, einfach nachfragen, am besten im dem Thread dort. @riversource hat das in Post #4 ordentlich zusammengefasst.

 

[Lee Monade]

Wenn Du etwas nicht verstehst, einfach nachfragen,

Ich versteh das sehr gut, das macht es ja um so schlimmer

 

[ookee]

@riversource hat das in Post #4 ordentlich zusammengefasst.

Die erste Hälfte des Beitrags stimmt so aber nicht. Mit der aktivierten Option "ULA immer zuweisen" in der Fritzbox wird nur zusätzlich ein ULA-Präfix benutzt. Der Zugriff auf IPv6-Gegenstellen im Internet wird dadurch nicht beeinträchtigt. (Das in den dort verlinkten Anleitungen genutzte Präfix fd00::/64 ist aber tatsächlich keine gute Idee. Man sollte lieber wie in RFC 4193 beschrieben ein zufällig erzeugtes Präfix benutzen.)

Der Hinweis am Schluss, dass man gar nicht unbedingt ein ULA-Präfix braucht und stattdessen auch mit Link-Local-Adressen arbeiten kann, ist aber richtig.

 

[riversource]

Die erste Hälfte des Beitrags stimmt so aber nicht. Mit der aktivierten Option "ULA immer zuweisen" in der Fritzbox wird nur zusätzlich ein ULA-Präfix benutzt.

Laut der Anleitung nicht, die ersetzte die öffentliche IP durch eine ULA Adresse, in dem Fall sogar als statische Adresse unabhängig davon, was überhaupt in der Fritzbox als Prefix eingerichtet war.

 

[Engaged]

Also es läuft hier seit einem Tag alles perfekt.
Gerade auch noch mal die IPv4 Fritzbox Adresse im pihole rausgenommen, Anfragen werden wie es aussieht auch an die ULA der Fritzbox weitergereicht.
Scheint also jeweils separat mit IPv4 und IPv6 zu funktionieren.

Meine Anleitung sieht wie folgt aus:

Unter netzwerkeinstellungen je für IPv4 und IPv6 DNS bekanntgeben aktivieren und je die IPv4 und IPv6 (ULA) Adresse des Pihole eintragen.
Im pihole als upstream-server die IPv4 und ULA Adresse der Fritzbox eintragen.
In den Fritzbox DNS Einstellungen bei IPv4 und IPv6 die Google Server eingetragen, DNS über TLS aktiviert und dort auch die benötigte Google Adresse eingetragen.


Perfekt, zusammen mit Wi-Fi 6, wpa3, und den beseitigten bufferbloat (wechsel von 7590 auf 4060) das Netzwerk auf den Stand der Dinge gebracht, jetzt sollte ich die nächsten Jahre wieder meine Ruhe haben! 😁

 

[ookee]

Laut der Anleitung nicht, die ersetzte die öffentliche IP durch eine ULA Adresse

Ich nehme an, du meinst die im oben genannten Thema verlinkte bei "adminforge.de"? Die ist tatsächlich nicht das Gelbe vom Ei, und vor allem der Abschnitt "Static-IPv6 Methode" ist so nicht zielführend.

Es ging eigentlich eher darum, dass durch den Hinweis von @norKoeri auf deinen Beitrag vom September 2022 der Eindruck entstehen kann, dass die Nutzung eines ULA-Präfixes generell problematisch wäre. Wenn man das aber so einrichtet, wie es in der offiziellen Pi-Hole-Dokumentation beschrieben ist, dann sind da auch keine Probleme zu erwarten. Genau so hat es @Engaged laut dem letzten Beitrag jetzt ja auch erfolgreich konfiguriert.