piHole Öffentlich erreichbar machen

[JohnnyBlaze1989]

Guten tag ich möchte einen Pihole erreichbar machen zwecks sicherheit wurde mir empfohlen das über OpenVPN oder Wireguad zu machen.Leider leidet unter diesen 2 extrem der Pin und Die Bandbreite da wir zuhause über nur DSL ohne Hybrid nur 6000 haben ist das extrem schlecht und lohnt sich einfach 0.
Aktuell ist der Pi hole über meine Öffentliche ip erreichbar und Funktioniert Perfekt leider ist sie nicht für immer :/ über no-ip Erreiche ich Leider nur die Website aber nicht DNS .

pihole- FTL

4711​

TCP​

lighttpd

80 ( HTTP )​

TCP​

pihole- FTL

547 ( DHCPv6 )​

IPv6- UDP​

pihole- FTL

67 ( DHCP )​

IPv4 UDP​

pihole- FTL

53 ( DNS )​

TCP / UDP​

Die sind alle Frei was kann ich tun ? das ich den Servic über no-ip nutzen kann ???

 

[Ironbutt]

Und WARUM?!? O.o
Es gibt eigentlich keinen ersichtlichen Grund sich dieses Einfallstor im Netzwerk zu öffnen.

 

[madmax2010]

Privatpersonen sollten niemals einen Oeffentlich erreichbaren DNS Server betreiben, wenn sie nicht exakt wissen was sie tun & Sich Taeglich um updates kuemmern, kein Monitoring dran haben und keine automatisierte logauswertung haben. Mit etwas glueck blockiert dein Provider das. Im zweifelsfall gefaehrdest du damit nicht dich / dein Netz sondern andere.
Also ja, 1. was @Ironbutt sagt, aber random DNS Server die nicht gescheit abgesichert sind, werden massenhaft fuer angriffe msisbraucht. Dafuer braucht ein Angreifer nicht einal zugriff auf deinen Raspi - Einfache reflections attacks sind auch heute keine Seltenheit.

DHCP gehoert nicht ans Internet. Wenn du das versuchst, kommt vermutlich auch relativ bald ein Brief von deinem Provider mit der Bitte das zu unterlassen


Um eine Loesung zu finden: Wie betreibst du denn wireguard? welcher raspi?
und sonst nimm halt einen freien ( nicht unbedingt kostenlosen) dns anbieter. Das man keine Lust auf seinen Provider aht verstehe ich ja

 

[Helge01]

Um Himmelswillen! Mach bitte das DNS nicht öffentlich, sonst bekommst du demnächst nicht nur mit deinem Provider Probleme. Einen Pi-Hole betreibt man lokal im eigenen Netz und nicht öffentlich.

Eine VPN Verbindung zum eigenen Netz um Pi-Hole zu nutzen ist die einzige gangbare Lösung.

 

[conf_t]

Du hast deinen DHCP ins Internet geleitet? Ernsthaft? Das gibt Haue vom Provider. Hoffentlich hat der Provider DHCP Snooping aktiv. Dann gibt es wenigstens keinen Schaden für den du am Ende gerade stehen müsstest.

 

[Raijin]

DNS Amplification Attacks über einen Open DNS Resolver zählen zu den effizientesten Denial of Service (DoS) Angriffen überhaupt. Man kann damit bis zum 50-fachen des eigenen Uploads bei anderen Anschlüssen als Download provozieren. D.h. ich könnte mit meinen 40 Mbit/s Upload mit einem ungesicherten, von einem Laien aufgesetzten pihole im www einen Internetanschluss mit 2 Gbit/s Download bombardieren und lahmlegen! Jemand Lust auf DoS? Wohl kaum...


Bitte mach den pihole SOFORT aus, weil du sonst schlimmstenfalls schon sehr bald Post von der BundesNetzAgentur bekommst, weil jemand genau das mit deinem pihole gemacht hat und eine Beschwerde mit der öffentlichen IP deines pihole im Anhang an die BNetzA geschickt hat.
Das ist kein Scherz und auch nicht übertrieben, das passiert jeden Tag.

Zu deinem Problem mit dem VPN: Du hast mutmaßlich den gesamten Internetverkehr des VPN-Clients durch das VPN geleitet. Das kann natürlich dazu führen, dass Ping und Übertragungsrate leiden. Das Geheimnis ist daher, nur die Verbindung zum pihole durch das VPN zu schicken, zB dadurch, dass man die VPN-IP des pihole als DNS verwendet und das übrige VPN-Routing ansonsten abschaltet.

 

[Der Lord]

Wir haben dir doch hier schon einmal von einem Public DNS Server abgeraten.

 

[JohnnyBlaze1989]

Diese Lösung ist die einfachste mit den andern Lösungswegen komme ich nicht weit .
Hauptproblem:
1) immer einen Ping über 80ms da ändert auch Wireguard nichts (getestet)
2)jeder der ihn nutzt über mein Internet unterwegs ,ist was eh schon langsam ist
3)openVPN geht auf den Handyakku eben so Wireguard
4)könnte ich so im Garten die Gigacube ohne zusatzhardware so betreiben
hab Raspberry1 zu testzwicken hatte ich ein 3er das ergebnis war ebenfalls ein hohen ping
Ein Kompromiss wäre den Openvpn nur als DNS zu nutzen das ist aber nicht möglich ,zumindest mit meinem Wissensstand .

gibt es nicht doch ein weg wie ich das so machen kann als Anfänger?

 

[Michael-Menten]

Gibt Android apps die sich als VPN ausgeben und genauso wie PiHole funktionieren. Vor Jahren hat google die alle kollektiv aus dem Playstore verbannt (somit side loaden).

 

[Raijin]

gibt es nicht doch ein weg wie ich das so machen kann als Anfänger?

Nein. Ein Server im Internet ist kein Spielzeug, sondern kann im übertragenen Sinne zu einer digitalen Waffe werden. Deswegen ist es sowieso schon bedenklich, wenn Laien mit maximal einem Youtube-Video an Background einen öffentlichen Server aufsetzen.

IT-Administatoren haben nicht ohne Grund eine vollständige Ausbildung oder gar ein Studium hinter sich, weil da eben eine Menge an Fachwissen benötigt wird.

Ein Kompromiss wäre den Openvpn nur als DNS zu nutzen das ist aber nicht möglich ,zumindest mit meinem Wissensstand .

Ja, das geht auch. Bei OpenVPN wird mittels "redirect-gateway" sämtlicher Datenverkehr durch das VPN geleitet. Ohne diese Option, surft man trotz VPN-Verbindung weiter über die herkömmliche Internetverbindung, sei es Mobilfunk, WLAN oder was auch immer.
Nun kann man aber trotzdem zB die VPN-IP der Gegenstelle, also des pihole, als DNS verwenden und dann geht nur DNS über das VPN.

Versteh mich aber bitte nicht falsch, aber selbst wenn du das hinkriegen würdest, klingt es so als wenn andere das auch nutzen sollen, die dann ggfs noch weniger Plan davon haben. Das Vorhaben ist in meinen Augen zum Scheitern verurteilt - oder du bzw dein Server spielt bei der nächsten DDoS Attacke von anonymous und Co ganz vorne mit, weil das Tutorial, mit dem du den Server eingerichtet hast, Fehler enthält oder es falsch umgesetzt wurde.

Ich rate daher dazu, entweder nach einem public pihole Ausschau zu halten - die werden in der Regel von Leuten mit ausreichendem KnowHow betrieben - oder du nutzt einen anderweitig gefilterten DNS-Dienst. Ich meine, dass zB OpenDND sowas bietet, meistens mit Jugendschutz-Filterlisten, wenn ich mich nicht irre. Eventuell gibt's aber auch Werbefilter.

Bei privat gehosteten public piholes muss man aber bedenken, dass derjenige natürlich die DNS-Queries sehen kann (aber sonst nix).


Auf jeden Fall darf man es nicht unterschätzen was es bedeutet, einen Server im Internet zu betreiben, sei es auf einem gemieteten VPS oder im heimischen Netzwerk über Portweiterleitungen. Schlimmstenfalls werden dadurch entweder andere geschädigt (DoS-Attacken) oder auch du selbst, wenn der gekaperte Server dazu genutzt wird, den Rest des Netzwerks zu infiltrieren und zB Daten vom NAS abzugreifen, o.ä.

 

[Chico85]

Was du machst ist Full-Tunnel, was du brauchst ist Split-Tunnel.

 

[JohnnyBlaze1989]

hi möchte nur Internet Leitungen betreiben die mir sind Garten (handysim gigacube) handy unterwegs usw. wäre schon gewesen wenn es ohne zusatzsoftware gehn würde .wie geht das mit dem split-tunnel ? das würde bestimmt das Problem mit dem ping beheben.das wäre ein evtl ein Kompromiss
versteht mich nicht falsch, ich habe nur was gegen open vpn wegen des pings

 

[Raijin]

versteht mich nicht falsch, ich habe nur was gegen open vpn wegen des pings

Sorry, aber ich glaube das Missverständnis liegt auf deiner Seite.

Du bewertest OpenVPN anhand des Pings, weil du OpenVPN deiner Beschreibung nach mit der oben erwähnten Option "redirect-gateway" einsetzt. Diese Option bewirkt, dass das Standardgateway des Clients geändert wird und somit der gesamte Internettraffic über das VPN geleitet wird. Natürlich ist dies ein Umweg ins www und kann dementsprechend auch negativen Einfluss auf den Ping haben.
Das ist das was @Chico85 mit Full-Tunnel meint, weil es eben nur noch eine Richtung gibt: Alles durch das VPN.

Allerdings liegt es in deinem Ermessen wie du OpenVPN oder jede beliebige andere VPN-Technologie konfigurierst. Das schließt eben auch die besagte Option "redirect-gateway" mit ein. Lässt man diese weg, bleibt am Client auch das Standardgateway erhalten, er geht also nach wie vor über die Verbindung ins Internet, über die er auch ohne die VPN-Verbindung online gehen würde. Über das VPN selbst läuft dann nur jener Traffic, der explizit in das VPN geht, beispielsweise wenn du die VPN-IP der Gegenstelle im Browser eingibst.
Das ist das was @Chico85 mit Split-Tunnel meint, weil eben nur der gezielte VPN-Traffic ins VPN geht (zB RIchtung pihole am anderen Ende des VPN), aber der vollständige Rest, also Internet und sonstwas, geht nach wie vor über die lokale Internetverbindung des Clients. Es gibt also zwei Richtungen, in die lokale Internetverbindung und in das VPN, gesplittet eben.

wäre schon gewesen wenn es ohne zusatzsoftware gehn würde

Du musst einfach nur die Antworten im Thread aufmerksam lesen. Es wurde bereits erwähnt, dass es auch öffentliche DNS gibt, die man nutzen kann. Dabei kann es dir weitestgehend egal sein wie gut diese gegen Missbrauch für DoS-Attacken geschützt sind, weil nicht du derjenige bist, der dann Post von der BNetzA bekommt.

AdGuard DNS wäre ein Beispiel für einen gefilterten DNS im www. Wie gut/schlecht der ist, kann ich nicht beurteilen, ist ein reines google-Ergebnis.

 

[snaxilian]

@JohnnyBlaze1989 Lies doch einfach diesen Artikel und überlege dann ernsthaft ob du wirklich weiterhin einen öffentlich erreichbaren DNS-Resolver betreiben möchtest: https://www.heise.de/meinung/Edit-P...tsunsicherheit-fuer-DNS-Resolver-6176785.html

 

[JohnnyBlaze1989]

hab ich und meine Entscheidung ist ja alles andere bringt mich nicht weiter da ich keine Anleitung finde (auch nicht ihr).
also hab ich nur 2 Lösungen lassen oder so machen und das beste hoffen.
Es ist ja egal was ich ihr schreibe eine passende Anleitung gibt es nicht für Anfänger für Split-Tunnel und bei dem über die ip Öffen machen schreibt ja auch keiner was man zu 100% Braucht .
also habe ich ja keine Auswahl

 

[Raijin]

also hab ich nur 2 Lösungen lassen oder so machen und das beste hoffen.

Sorry, aber wenn du nur die Hälfte des Threads liest, kann man dir auch nicht helfen. Es wurden dir sowohl Alternativen geboten als auch konkrete Stichworte zur VPN-Konfiguration genannt. Keine Ahnung was du erwartest, aber wir machen das hier in unserer Freizeit und umsetzen musst du die Vorschläge schon selbst......

 

[JohnnyBlaze1989]

Ich lese es mir schon durch aber ich komme mit dem was ich kann mit diesen Lösungswegen nicht weiter
Ich Möchte den Server öffentlich machen >mir wird abgeraten
Bin den Weg mit Open VPN gegangen >hoher Ping
Nächster Vorschlag Splitt-Tunnel >Darüber finde ich nichts genaues an Anleitung (Ich bin immer noch kein IT Profi)
Der einfache weg ist für mich eben es über die IP zumachen
-ssh Deaktivieren
-Login Bann
-anfragen auf 50Stück begenzen
-Firewall Router,Raspberry
-Ports alle zu bis auf 53 natürlich 22 zu
-Cache-Speicher deaktivieren wegen Viren/Trojaner
-Passwort Router ,Raspberry Benutzter und Root Benutzer.
:/

 

[omavoss]

Nächster Vorschlag Splitt-Tunnel >

Dafür wirst Du auch nichts finden, Splitt ist ein Baumaterial; Du müsstest nach Split-Tunnel suchen.

z.B.
https://de.wikipedia.org/wiki/Split_Tunneling

Ich möchte aber ebenfalls dringend davon abraten, das Projekt umzusetzen, bevor Du nicht ganz genau weißt, was Du tust.

Außerdem noch: einen Tod wirst Du sterben müssen: entweder PiHole nur im LAN lassen oder hoher Ping wegen VPN, trotz Split-Tunneling.

 

[Raijin]

Ich lese es mir schon durch aber ich komme mit dem was ich kann mit diesen Lösungswegen nicht weiter

Wenn man etwas nicht kann, dann kann man es eben nicht und sollte es sein lassen. Ich habe keine Ahnung von Autos und auch wenn ich es gerne möchte, fange ich nicht einfach an, an meinem Auto rumzubasteln. Dasselbe gilt für die Steckdosen in meiner Wohnung. Ich hätte gerne mehr, bin aber kein Elektriker.
Klar, es gibt Leute, die das tun, aber das führt dann nicht selten auch dazu, dass das Fahrzeug die Zulassung verliert oder die Bude abfackelt und die Versicherung sich ins Fäustchen lacht, weil die Elektrik von Laien zusammengeschraubt wurde.

Im übrigen wurden auch Lösungen vorgeschlagen, die keinerlei technischen Sachverstand voraussetzen. Ich werde das jetzt aber nicht wiederholen, weil ich keine Lust habe, alles doppelt und dreifach vorzukauen. Lies den Thread nochmal von vorne und mit ganz viel Glück findest du den Part ja vielleicht.


An dieser Stelle klinke ich mich aus dem Thread aus und wünsche dir alles gute - und uns wünsche ich, dass du dir die Warnungen zu Herzen nimmst.

 

[Chico85]

Ich lese es mir schon durch aber ich komme mit dem was ich kann mit diesen Lösungswegen nicht weiter
Ich Möchte den Server öffentlich machen >mir wird abgeraten
Bin den Weg mit Open VPN gegangen >hoher Ping
Nächster Vorschlag Splitt-Tunnel >Darüber finde ich nichts genaues an Anleitung (Ich bin immer noch kein IT Profi)

In den Config Profilen:

Full Tunnel:
AllowedIPs = 0.0.0.0/0, ::0/0

Split Tunnel:
AllowedIPs = 192.168.178.1/24