Raspberry Pi + Pihole + IPv6

[Soulfly999]

Moin, versuche gerade meinen Pihole auch auf IPv6 umzustellen. Über IPv4 hatte ich das schon länger ohne Probleme am laufen.

Benutze dafür diese Anleitung: https://adminforge.de/dns/pi-hole-ipv6-und-die-fritzbox/

Verstehe nur nicht so ganz wie genau ich denn da jetzt eine static fd00 einsetzen kann? ip -6 address gibt immer eine fe80 als forever aus.

In der Bechreibung unter dem Link mit Update steht jetzt ja, aber wie setze ich das genau ein oder wo muss man das ausführen. Meine Kenntnisse sind da nicht so groß. Und heißt dann fd00::10 ist die Static IP im lokalen Netzwerk danach? Also fd00+aufgefüllte Nullen mit der Zehn am Ende? In der /etc/pihole/setupVars.conf ist die IPv6 natürlich noch nicht eingetragen
Static IPv4 ist 192.168.10/24

cat <<EOF > /etc/network/interfaces.d/ipv6
# IPv6
auto eth0
iface eth0 inet6 static
pre-up modprobe ipv6
address fd00::10
netmask 64
EOF

 

[Comadevil]

Warum willst du ihn überhaupt auf ipv6 umstellen?Willst du ihn auch für externe Anfragen nutzen?
IPv4 reicht doch ansonsten? Denn auch ein Pihole mit IPV4 only Adresse löst Domainnamen nach IPv6 auf wenn er entsprechend gefragt wird.


nslookup -query=AAAA www.heise.de
Server: pihole4.localdomain
Address: 192.168.x.x

Nicht autorisierende Antwort:
Name: www.heise.de
Address: 2a02:2e0:3fe:1001:7777:772e:2:85

 

[Whiterose]

https://www.creativeturtle.de/tutorials/pihole-teil-1/
Ich habe dieses Tutorial genutzt.
Kann ich nur empfehlen.

 

[riversource]

Du bist dir darüber klar, dass die Anleitungen "private" IPv6 Adressen nutzen (ULA Adressen), und dass du damit quasi all deine Geräte vom IPv6 Internet aussperrst, wenn du die befolgst? Diese Anleitungen machen absolut gar keinen Sinn, wenn man vom Anbieter ein öffentliches Prefix bekommt. Den Schreiberlingen gebühren echt Prügel. Nur, um dem Pihole eine statische Adresse zu verpassen, mit ULA Adressen zu arbeiten, ist umgefähr so, als den Motor aus einem Auto auszubauen, um Sprit zu sparen. Man kann das Auto anschließend noch schieben, aber wirklich sinnvoll nutzen kann man es nicht mehr.

Ich würde die Fritzbox ganz normal das Prefix des Anbieters setzen lassen und dann per

  pre-up /sbin/ip token set ::1000 dev eth0

in der /etc/network/interfaces für eine statische Host-ID sorgen. Die ist dann die Nameserver Adresse für die Clients, die man per DHCP oder Router Advertisement verteilen kann. Anschließend hat man alles: Öffentliche IPv6 Adressen, statische Host-IDs und Pi-Hole per IPv6. Alternativ kann man auch jederzeit eine fe80 Adresse als DNS Ziel verwenden, falls man mit wechselnden Prefixes vom Anbieter zu kämpfen hat.

 

[Soulfly999]

Weil die Fritzbox den Internetverkehr nicht mehr durch den IPv4 Pihole schleust, weil die jetzt auf IPv6 steht. Musste Router resetten und Glasfaser neu einrichten, die IPv4 Ansicht ist da nicht mehr zu sehen jetzt

 

[Korben2206]

@riversource also das kann ich so nicht bestätigen... ich nutze ULA von der FB aus. Mein pihole hat drei IPv6 Adressen: eine public/globale (2a02), eine ULA (fd00) und noch eine (fe80), die sich glaube aus der Interface-ID generiert... Er ist über alle drei Adressen erreichbar.
Auch mein Smartphone hat sowohl eine globale 2a02 als auch eine ULA bekommen (ich vermute die fe80 wird ausgeblendet). Funktioniert einwandfrei.
Ich kann keinerlei Einschränkungen feststellen.

Allerdings würde ich auch davon abraten die die ULA direkt am Client fest einzutragen (ist vielleicht das was du meinst?). Das sind IPv4-Methoden die man ablegen sollte, mMn.

 

[Soulfly999]

Mal ne doofe Frage, kann ich die Fritzbox sonst einfach wieder auf "nur IPv4" umstellen oder könnte das zu Problemen mit dem Zugang auf Glasfaser führen?

 

[riversource]

Das würde ich auf keinen Fall machen. Die meisten Glasfaseranbieter verteilen keine öffentliche IPv4 mehr, einige arbeiten sogar mit DS-Lite. Da sperrst du dich ohne IPv6 komplett vom Internet aus.

 

[Soulfly999]

Ok danke @riversource deswegen ist der Punkt mit der IPv4 nach dem Reset jetzt auch verschwunden. Sry, bin da auch nicht so bewandert.

Also btt, wie genau bekomme ich denn jetzt die Static IPv6 in den Pihole?

 

[riversource]

Die hat er längst. Sie fängt mit fe80:: an und hat eine EUI64 Host-ID. Diese Adresse würde ich als DNS Adresse in den IPv6 Heimnetz-Einstellungen eingeben und ansonsten den Rest auf den Fritzbox Standard-Einstellungen belassen:

Alles andere macht nur unnötig Ärger. Dann verteilt die Fritzbox den Pi-Hole auch als IPv6 DNS Server.

 

[Soulfly999]

@riversource d.h die ist schon statisch von der Fritte vergeben und verändert sich auch nicht durch den Provider oder Router-Neustart etc?

 

[Paddy0293]

Also ich habe es jetzt so verstanden, bitte korrigiere mich @riversource wenn ich falsch liege

Als erste mit ip -6 addr im Pi die Ipv6 Adresse herausfinden, danach siehe Pots #4
Dann die IPV6 Adresse in die Fritte eintragen, siehe Post #10

So richtig ?

 

[Soulfly999]

So habe ich das auch verstanden. In der setupVars.conf muss ich das aber nicht fest eintragen?

Ergänzung (16. September 2022)

Scheint wieder zu blocken so wie es aussieht. Wobei einige Googlesyndicate lässt er durch. Muss ich noch mal prüfen

 

[Soulfly999]

Edit: Ah jetzt gehts, vermutlich Cache Problem

 

[riversource]

@riversource d.h die ist schon statisch von der Fritte vergeben und verändert sich auch nicht durch den Provider oder Router-Neustart etc?

Nein, von der Fritzbox wird die nicht verteilt. Die erteilt sich der Raspi selber. Die Regeln dafür sind fest vorgegeben. Das Prefix ist fe80 und die Host-ID leitet sich aus der MAC Adresse der Netzwerkkarte ab gemäß dem Algorithmus EUI64. Das kann man ändern, ist aber auf Raspis üblicherweise nicht der Fall.

Als erste mit ip -6 addr im Pi die Ipv6 Adresse herausfinden, danach siehe Pots #4

Du solltest nicht irgendeine herausfinden, sondern eine statische. Bei IPv6 Adressen muss man folgendes beachten:

• Sie setzen sich zusammen aus Prefix (64 Bit) und Host-ID bzw. Interface-ID (64 Bit).
• das Prefix kann öffentlich oder privat sein. fe80 und fd00 sind typische private Prefixes für verschiedene Anwendungsfälle. Eine Adresse mit fe80 hat eigentlich jedes IPv6 taugliche Endgerät.
• öffentliche Prefixes bekommt man üblicherweise vom Internetprovider. Die können dynamisch sein. Das kann für einen Pihole kritisch sein, da sich die Adresse ständig ändert, wenn sich das Prefix ändert.
• Auch die Host-ID kann dynamisch sein, durch sogenannte Privacy Extensions. In den meisten Netzwerkmanagement-Tools kann man einstellen, wie die Host-ID ermittelt wird.

Man muss sich also eine Adresse raussuchen, bei der sowohl Prefix als auch Host-ID statisch sind. Da bietet sich die fe80::<EUI64> Adresse an.

 

[Soulfly999]

@riversource ah super danke für die Erklärung, hatte ich einen Knoten im Kopf. Dann war es ja letztendlich doch Easy, einfach in der Fritte bei IPv6 die Fe80 mit den letzten 4 Blöcken. 😅

Einzig die Hostnamen stehen nicht immer da sondern die IPv6, kann man das anders anzeigen?

 

[Soulfly999]

Stelle aber gerade fest, dass der Pihole nicht alles wegblockt? Jemand eine Idee wieso, obwohl in der Blacklist?

 

[Paddy0293]

@Soulfly999 Mal pihole -g hinter her geschoben ?
Hab's auch Grad Mal getestet und bei mir blockt er es direkt.

 

[Soulfly999]

Ja jetzt scheint es zu laufen, habe Router und alle Repeater neu gestartet. Das Query Log ist jetzt auch aktuell, vielleicht musste der Pihole auch einige Zeit sich initialisieren oder es waren noch Sachen im Cache, danke euch