PiHole IPv6 einzelne Geräte konfigurieren - FritzBox

[Sixe44]

Hallo zusammen,

vorweg: Ich habe die Suchfunktion benutzt, da ich aber in Sachen Netzwerk/IP etc. eher Noob bin, kann ich nicht erkennen, ob die Lösung vor meiner Nase liegt oder nicht.
Ich versuche einen PiHole nur für einzelne Geräte zum Laufen zu bringen. Ursprünglich war der nur für Geräte gedacht, auf denen kein Adblocker installiert werden kann (TV insbesondere).
Das funktioniert auch wunderbar, statische IPv4 an Pihole, IPv4 in TV eintragen - fertig.

Nun würde ich gerne einen Laptop probeweise auch über den Pi konfigurieren.
Dazu habe ich im Netzwerkadapter des Laptops die DNS-Serveradresse auf die PiHole-IPv4 gesetzt.
Nun wollte ich das Selbe für IPv6 einrichten. Und hier tritt dann das Problem auf: Einige (nicht alle!) Internetseiten (golem.de, tagesschau.de) sind dann nicht mehr erreichbar.
Ich habe bereits in der FB ULA probiert, nach Lesen von https://www.computerbase.de/forum/threads/raspberry-pi-pihole-ipv6.2103413/ habe ich es aber wieder abgestellt. Hatte ohnehin nicht funktioniert.
Zudem habe ich in der FB nach der IPv6 gesucht, die möglichst viel Ähnlichkeit mit der MAC des rPis hat - die gibt es aber nicht.
Dann habe ich einfach alle fe80: und die fd00: IP probiert, aber das Problem tritt weiter auf.
Dann habe ich die IPv6 im rPi anzeigen lassen und die genommen, die "valid_lft forever preferred_lft forever" dahinterstehen hat. Die kommt natürlich auch in der FB vor, funktioniert aber auch nicht.

Hat jemand einen Tip?

 

[duAffentier]

Wieso nicht PiHole für alles ausrollen und dann die Geräte im PiHole freigeben?

 

[spcqike]

was genau funktioniert denn dann nicht?
hast du mal probiert, einen nslookup auf der IPv6 Adresse zu machen? einfach, um sicher zu gehen, dass der Raspberry auch auf IPv6 Anfragen im lokalen Netz richtig antwortet.

nslookup computerbase.de <ipv6 des pihole>

nslookup computerbase.de fe80::42

um Pihole auf einzelnen Geräten als DNS Server zu hinterlegen, musst du diese halt im DHCP Server konfigurieren. die einfache Fritzbox kann das aber nicht für jeden Client gesondert. Alternativ halt, manuell, wie du es bereits machst.

Oder aber global per DHCP für alle. was spricht denn da dagegen? Dank der Gruppen in PiHole kannst du ja einzelne Geräte auch wieder ohne Blocker laufen lassen, wenn du das denn willst.

 

[Sixe44]

Den Pi für alles zu verwenden und dann Geräte am PiHole freigeben möchte ich nicht, da ich viel im HO arbeite. Zudem bin ich in einem sehr sicherheitskritischen Bereich tätig, daher weiß ich nicht und will nicht ausprobieren, was passiert, wenn ich meinen Internetverkehr über ein PiHole leite.

Ich würde daher gerne bei der Frage bleiben, wie ich es auf meinem Laptop entsprechend konfiguriert kriege bzw. was ich dafür an der FB einrichten muss.

was genau funktioniert denn dann nicht?

Die Seiten laden dann nicht mehr mit dem Fehler "Server nicht gefunden". Computerbase funktioniert beispielsweise aber weiterhin.

 

[spcqike]

Über den Pihole wird gar nichts geleitet. der dient nur zur Auflösung der DNS Anfragen.

du solltest dich vielleicht ein wenig mehr in die Netzwerkmaterie einarbeiten.
Wie gesagt, dein Arbeitsgerät (und die anderen) im Pihole auf die Whitelist setzen, dass die DNS Anfragen dieser Geräte nicht gefiltert werden und gut. Den Sinn verstehe ich zwar nicht, da ja nur ungewollte (von dir eingestellte!) DNS-Adresse geblockt werden, aber ok. Du wirst dir dabei schon was denken.

Wenn du in einem "sehr sicherheitskritischen Bereich" tätig bist, sollte dein Arbeitgeber überlegen, ob deine heimische FritzBox das richtige Gerät ist, um Cybersicherheit mit dem /für das Arbeitsgerät sicherzustellen.

die Fritzbox selbst kann entweder allen Geräten per DHCP einen DNS Server mitteilen, oder gar keinem (falsch, es wird immer einer mitgeteilt. entweder die FB selbst, oder ein anderer). Eine Differenzierung auf Clientebene (also das Verteilen unterschiedlicher DNS Server für unterschiedliche Clients) gibt es da nicht. (höhchstens für das interne und das Gast W/LAN jeweils einen anderen, das mag sein)

funktioniert denn der Rest per IPv6? was sagen denn externe IPv6-Tests? Sind deine Geräte vollumfänglich per IPv6 online? So wie du es beschreibst, kann es auch sein, dass die Seite einfach nicht per IPv6 aufgerufen werden kann. Daher auch die Frage nach dem nslookup: kannst du per IPv6 ein nslookup machen? scheitert der bereits? wenn er geht, kannst du per IPv6 die externen Server anpingen? Werden die Seiten auch per IPv6 angesprochen?

Nur, weil du den DNS Server per IPv6 erreichen willst, heißt das nicht, dass auch die Seite per IPv6 erreicht werden soll. genauso kannst du den DNS Server per IPv4 erreichen und die externe Seite dann per IPv6 ansprechen.

user@server:~$ nslookup computerbase.de 2a02:priv::10
Server:         2a02:priv::10
Address:        2a02:priv::10#53

Non-authoritative answer:
Name:   computerbase.de
Address: 212.83.33.137
Name:   computerbase.de
Address: 2a00:f48:2000:1::137

user@server:~$ nslookup computerbase.de 172.16.0.10
Server:         172.16.0.10
Address:        172.16.0.10#53

Non-authoritative answer:
Name:   computerbase.de
Address: 212.83.33.137
Name:   computerbase.de
Address: 2a00:f48:2000:1::137


user@server:~$ ping4 computerbase.de
PING computerbase.de (212.83.33.137) 56(84) bytes of data.
64 bytes from www.computerbase.de (212.83.33.137): icmp_seq=1 ttl=55 time=25.9 ms
^C
--- computerbase.de ping statistics ---
1 packets transmitted, 1 received, 0% packet loss, time 0ms
rtt min/avg/max/mdev = 25.924/25.924/25.924/0.000 ms

user@server:~$ ping6 computerbase.de
PING computerbase.de(www.computerbase.de (2a00:f48:2000:1::137)) 56 data bytes
64 bytes from www.computerbase.de (2a00:f48:2000:1::137): icmp_seq=1 ttl=55 time=27.0 ms
^C
--- computerbase.de ping statistics ---
1 packets transmitted, 1 received, 0% packet loss, time 0ms
rtt min/avg/max/mdev = 27.048/27.048/27.048/0.000 ms

Versuch erst einmal dein Netzwerk an der Wurzel zu testen (nslookup und ping auf ipv4 und ipv6, dass das alles läuft).

 

[duAffentier]

Den Pi für alles zu verwenden und dann Geräte am PiHole freigeben möchte ich nicht, da ich viel im HO arbeite. Zudem bin ich in einem sehr sicherheitskritischen Bereich tätig, daher weiß ich nicht und will nicht ausprobieren, was passiert, wenn ich meinen Internetverkehr über ein PiHole leite.

Wie oben erwähnt, PiHole macht die DNS Auflösung.
Traffic wird nicht darüber geleitet. Dann bitte vorher mit dem Thema befassen und nicht falsch interpretieren.
Wenn das Verständnis jetzt schon fehlt, dann auf die Tipps hier hören.

PiHole für alles und dann die Geräte in die Ausnahme geben. Fertig. Ist schneller gemacht, als hier zu schreiben

Funktionsweise. Das System mit der Pi-hole-Software wird als DNS-Server in ein bestehendes, zumeist kleineres, privates Rechnernetz eingebunden. Es übernimmt damit die Aufgabe, Domainanfragen der verbundenen Clients aufzulösen und in IP-Adressen umzuwandeln.

 

[Sixe44]

Danke für eure Hilfe und Hinweise. Viel zu lernen ich habe.
Der -nslookup funktioniert über den rPi (SSH) selbst problemlos. Dann ohne (?) IP-Adresse hinter der gesuchten Domain:

-nslookup computerbase.de

Per cmd meines Laptops mit der entsprechenden IPv4 allerdings nicht:

nslookup computerbase.de 192.168.178.106
Server:  pi.hole
Address:  192.168.178.106

DNS request timed out.
    timeout was 2 seconds.
DNS request timed out.
    timeout was 2 seconds.
DNS request timed out.
    timeout was 2 seconds.
DNS request timed out.
    timeout was 2 seconds.
*** Zeitüberschreitung bei Anforderung an pi.hole.

Für den IPv6-Lookup weiß ich nicht, welche IPv6 ich nehmen sollte - das war ja auch irgendwie meine ursprüngliche Frage. Testweise habe ich zwei probiert, fe80:xxxx:76f0 und 2003:xxxx:90bf - gleiches Ergebnis wie mit IPv4.

Ping4 und Ping6 auf computerbase.de funktioniert über den Pi allerdings.


Meine Sorge den Pi als DNS in der FB einzutragen bezieht sich außerdem auf Internetseite oder Services, die ähnlich wie beim Adblocker, ggf. gar nicht mehr funktionieren. Dann muss ich umständlich ins Pihole-Adminpanel und dort Whitelisten.

 

[spcqike]

Dann scheint entweder der Pi nicht korrekt zu antworten, Anfragen abzulehnen, oder der Laptop kommt nicht zum Pi durch. Kann der laptop den Pi anpingen? Wie sieht die Konfiguration des Pihole aus? Speziel: Settings - DNS - Interface Settings?

Läuft Pihole nativ auf dem Pi, oder hast du es in einem Dockercontainer / LXC am laufen?

Wobei du ja sagtest, dass es auf anderen Geräten klappt, also warum sollte es dann am Pi liegen ....

Ist das der besagte Arbeitslaptop? aus dem sicherheitskritischen Bereich? Gibt es dort ggf. seitens der IT Beschränkungen? Ein einfaches, dauerhaftes VPN reicht ja aus, das einfach alle Anfragen (Route 0.0.0.0/0) über das Firmennetz routet, wodurch andere lokale Geräte vor Ort nicht mehr erreicht werden könnten. (mit Ausnahme des Standardgateways)

 

[Sixe44]

Die Versuche mache ich mit meinem privaten Laptop ohne im Netzwerkadapter auf die IPs des rPis eingestellt zu haben (dafür gebe ich beim nslookup ja die IP an). Der Arbeitsrechner kommt sowieso ohne VPN nicht ins Internet.

Pihole läuft auf dem Pi nativ und Ping an den Pi funktioniert ohne Probleme. Ich hatte als DNS einen vom CCC empfohlenen genommen, sehe aber gerade, dass IPv6 standardmäßig nichts eingetragen hat.
Soweit ich verstanden hatte, kann IPv6 über IPv4 aufgelöst werden oder ist das ein Problem?

 

[spcqike]

Soweit ich verstanden hatte, kann IPv6 über IPv4 aufgelöst werden oder ist das ein Problem?

Kann aufgelöst werden. Siehe mein Ausszug weiter oben.

Wenn dein Setup so ist, wie du es beschreibst, sehe ich keinen Grund dafür, dass der nslookup fehlschlägt.

du kannst mal versuchen, von "allow only local requests" auf "permit all" oder weniger "Holzhammer" auf "respond only on interface eth0" zu stellen. auf letzterem "also respond only on interface eth0" steht es bei mir, aber das ist, aufgrund meines Netzwerks (verschiedene VLANs und externe VPN Netze, die auf den PiHole Zugriff haben) auch so gewollt.

 

[Sixe44]

Wenn ich über meinen Laptop (wie gesagt, ohne etwas am Netzwerkadapter eingestellt zu haben) den lookup über den PiHole starte, erhalte ich (wie oben):

nslookup computerbase.de 192.168.178.106
Server:  pi.hole
Address:  192.168.178.106

DNS request timed out.
    timeout was 2 seconds.
DNS request timed out.
    timeout was 2 seconds.
DNS request timed out.
    timeout was 2 seconds.
DNS request timed out.
    timeout was 2 seconds.
*** Zeitüberschreitung bei Anforderung an pi.hole.

Allerdings erscheint im Pihole die Anfrage als "OK" und außerdem über IPv4 und IPv6 praktisch zeitgleich.
Wie kann das sein?

 

[spcqike]

er fragt beide Records ab. Computerbase hat ja beide. in meinem Versuch gibt es ja auch beidemale beide Records.

deine Upstream DNS Server sind nicht gültig. das wird dein Problem sein

C:\Users\user>nslookup computerbase.de 5.9.164.112
DNS request timed out.
    timeout was 2 seconds.
Server:  UnKnown
Address:  5.9.164.112

DNS request timed out.
    timeout was 2 seconds.

Nachtrag:

der Server dns3.digitalcourage.de (5.9.164.112) antwortet nur auf DNS over TLS. nslookup verwendet aber nur das normale DNS ohne TLS.

entweder gehst du vorerst auf dns2.digitalcourage.de (der antwortet auch auf non TLS Anfragen), zum Testen deines Setups, und wenn du sicher bist, dass da alles läuft, wechselst du wieder auf DNS3..... oder du suchst dir einen anderen Server.

Nachtrag2:
wenn ich mein Pihole nur auf diesen DNS3.... Server umstelle, geht auch genau gar nichts. dann läuft alles ins timeout und kein Gerät kann extern etwas auflösen. liegt vielleicht am DNS over TLS. keine Ahnung, wie Pihole damit umgeht.

 

[Sixe44]

... der verwendete DNS funktioniert nicht.
Hab ihn umgestellt, nslookup funktioniert nun über das PiHole.

Am Laptop mit DNS auf PiHole funktioniert es nun auch.
Aber welche der verschiedenen IPv6 nehme ich?
Habe viel darüber gelesen, dass die IPv6 nicht statisch sind, abgesehen von der fd00:, die aus der MAC generiert wird und ihr daher ähnlich ist. Die gibts aber nicht in der FB Oberfläche.
Mit der fe80: funktioniert es aktuell, aber wie lange?

 

[spcqike]

die fe80 ist eine feste IP. die sollte das Gerät immer nehmen. egal in welchem Netz es sich befindet.

solange sich dein ipv6 präfix nicht ändert, sollte auch die 2a00:: Adresse fest bleiben. da darfst du nur keine IP aus der privacy extension nehmen, da diese vom Gerät selbst regelmäßig geändert wird. (bei IPv6 hat ein Gerät ja gerne mal 2-3 Adressen, oder mehr)

ich verwende, wie du oben siehst, meinen Präfix und hab per DHCP dem Pihole eben die ::10 zugewiesen. so lange sich mein Präfix nicht ändert (seit 2 Jahren fest), bleibt auch diese IP gleich. die 2a02::10 könnte ich, wenn ich denn wollte, auch extern routen. ist bei einem DNS Server nur nicht so sinnvoll.

 

[Sixe44]

Vielen Dank allen zusammen.
Ich werde das auf meinem Laptop testen und mich thematisch damit befassen und wenn alles vernünftig läuft, dann stelle ich den den DNS der FB auf das PiHole.

 

[oicfar]

Den Pi für alles zu verwenden und dann Geräte am PiHole freigeben möchte ich nicht, da ich viel im HO arbeite. Zudem bin ich in einem sehr sicherheitskritischen Bereich tätig, daher weiß ich nicht und will nicht ausprobieren, was passiert, wenn ich meinen Internetverkehr über ein PiHole leite.

Ich habe einen ähnlichen Arbeitgeber. Meiner aber stellt mir ein Laptop (mit unterschiedlichen Sicherheitsstufen) zur Verfügung für HO und wenn ich den zu Hause anschließe, dann sehe ich nichts vom lokalen Netzwerk und verbinde mich direkt zu dem Hauptserver von meinem Arbeitgeber. Das ist sicher. D.h. mein lokales Netzwerk sieht nichts von der Kommunikation zwischen meinem Arbeitslaptop und dem Sever von meinem Arbeitgeber.

Und ich habe Pi-hole für alle Geräte zu Hause aktiviert. Und mein Arbeitslaptop kriegt davon nix mit. Da er nur rauskommuniziert. Alles hochverschlüsselt. Ich kann nicht mal den Netzwerkdrucker zu Hause mit dem Arbeitslaptop sehen.

Komisch, dass das bei dir nicht der Fall ist, wenn es so sicherheitskritisch ist. Oder auch so?

 

[Sixe44]

Das ist für mich genau so, ohne VPN kommt mein Arbeitsrechner gar nicht ins Internet und davor steht eine 3-Faktor-Authentifizierung.
Wie gesagt, ich bin in Sachen Netzwerk wirklich ein Noob und habe keine Ahnung, ob oder was die Auswirkungen sein könnten, wenn der Pihole fürs DNS zuständig ist, denn vor Herstellen des VPN-Tunnels muss der Arbeitsrechner schon "normal" über die FB kommunizieren.
Kann sein, dass das keinerlei Auswirkungen hat und ich hier mit Integralhelm Dreirad fahre, aber ausprobieren will ich das vorerst nicht.

 

[oicfar]

In dem Fall kannst du dein Pi-Hole für alle Geräte aktivieren und dein Arbeitslaptop wird nicht betroffen sein. Dein Laptop bekommt eine IP und wenn dann eine VPN Verbindung aufgebaut wird, dann wird zu 100% die Kommunikation und DNS Auflösung dann über deinen Arbeitgeber laufen und nicht über deine FritzBox. Was in dem Fall gut ist.

 

[duAffentier]

Kann sein, dass das keinerlei Auswirkungen hat und ich hier mit Integralhelm Dreirad fahre, aber ausprobieren will ich das vorerst nicht.

Es wurde ja o en oft genug gesagt, das die DNS Auflösung nichts mit dem Traffic zu tun hat! Es ist sicher! Nutze selbst VPN etc., auch mit Arbeit. Alles geht super.

 

[spcqike]

Das einzige was passieren könnte: du kannst keine VPN Verbindung aufbauen. Das setzt voraus dass der Zugangspunkt per Domain aufgelöst werden muss (recht wahrscheinlich) und dass du diese Domain im pihole gesperrt hast (recht unwahrscheiblich)

Wie gesagt DU bestimmst, welche Domains pihole blockiert. Wenn du da nicht das halbe Internet auf die blacklist setzt sondern nur die typischen verdächtigen, merkst du davon in der Regel gar nichts.