Ich habe mal wieder ein neues Tool in das lokale Netzwerk eingebunden. Im letzten Jahr hatte ich ja das gesamte lokale Netz auf UniFi umgestellt und dadurch unter anderem einen viel besseren Überblick bekommen was im Netzwerk so los. Die Anzahl der Geräte, die mit dem Internet verbunden sind, steigt ja ständig und so sind hier inzwischen ca. 35 bis 40 Geräte ständig mit dem Internet verbunden. Diese habe ich je nach Anwendung gruppiert und eigene VLANs definiert. Neben dem ohnehin getrennten Gastnetz gibt es also VLANs für VoIP-Telefonie, für die Büro-Rechner, Smarthome-Geräte, etc. Über Firewall-Regeln ist dann definiert ob und in welcher Richtung sich die Geräte sehen dürfen – oder eben nicht. Ein feine Sache.
Weitere Filter, z.B. für Werbung oder als Kindersicherung gab es bisher nicht, oder wenn dann nur direkt auf den jeweiligen Geräten. Entsprechende Werbeblocker-Plugins wie Adblock Plus oder uBlock Origin nutzen ja sicher viele von Euch. Diese verrichten sehr zuverlässig ihren Job und machen insbesondere Websites mit vielen Werbebannern und Trackern nutzbarer und sicherer. Der Nachteil: Sie funktionieren nur in dem Browser oder auf dem Gerät, in dem das Plugin installiert ist.
Werbung und Tracker finden sich aber nicht nur auf Websites, sondern beispielsweise auch in vielen Smartphone-Apps. Auch Software auf dem PC oder auf Smart-TVs sowie Streaming-Boxen wie Apple TV oder Fire TV spielen Werbung aus oder setzen Tracker ein. Hier ist aber der Einsatz von Werbeblockern in der Regel gar nicht möglich. Und an dieser Stelle setzt nun der Pi-hole an. Auf den bin ich erst kürzlich in einem UniFi-Forum aufmerksam geworden und habe mir das Ding mal näher angesehen – Und kurzerhand eingerichtet.
Was ist der Pi-hole?
Der Pi-hole ist ein Filter, der Werbung oder Tracker direkt im lokalen Netzwerk blockt. Umgesetzt wird das über die DNS-Auflösung. Hinter jeder Domain-Adresse verbirgt sich ja eine IP-Adresse und im Domain Name System (DNS) sind diese Verknüpfungen hinterlegt. Beim Aufruf einer Website fragt der Router also zunächst diese Informationen bei einem öffentlichen DNS-Server ab und gibt diese an den Browser zurück, damit dieser dann den Webserver kontaktieren kann. Meist ist das der DNS-Server des Zugangsproviders, sehr gerne wird aber auch der Google-DNS 8.8.8.8 verwendet. Genauso funktioniert die DNS-Auflösung natürlich bei allen anderen Domain-/IP-Basierten Internet-Anwendungen.
Der Pi-hole übernimmt nun die Aufgabe der DNS-Auflösung und gleicht vor der Weitergabe an die öffentlichen DNS-Server die anforderte Domain-Adresse mit den internen Filterlisten ab. Aktuell sind in den Filterlisten über 120.000 Domainnamen eingetragen, die Werbung ausliefern oder den User/das Gerät tracken. Steht eine Domain auf einer der Filterlisten, dann gibt der Pi-hole einfach seine eigene lokale IP-Adresse zurück. Und der im Pi-hole integrierte kleine Webserver liefert dann auf Anfrage eine leere Antwort. Anstelle eines Werbebanners erscheint somit auf der Website einfach gar nichts.
Der Pi-hole ist also ein kleiner DNS-Server, der einfach auf einem Raspberry Pi installiert wird und mittels Filterlisten Werbung und Tracker blockiert. Im Router muss man dazu einfach nur die lokalen IP-Adresse vom Pi-hole als DNS-Server eintragen. Fertig. Klingt einfach und ist es eigentlich auch.
Der größte Vorteil des Pi-hole ist, dass dieser Werbung und Tracker für alle Devices im gesamten lokalen Netz blockieren kann. Und zwar ohne, dass man dafür auf den einzelnen Geräten irgendetwas installieren oder konfigurieren muss.
Der Name Pi-hole setzt sich übrigens aus „Raspberry Pi“ und „Black hole“ zusammen. Sozusagen das Schwarze Loch für Online-Werbung. Den Namen mag ich übrigens.
Was benötigt man?
Zunächst benötigt man natürlich den kleinen Bastel-Computer Raspberry Pi, am besten mit einem passenden Gehäuse. Dazu eine 16GB Micro-SD-Karte und ein USB-Netzteil, dass mindestens 2,4A liefert. Es gibt auch komplette Starter-Kits, die alles Notwendige enthalten. Vorteil an den Starter-Kits ist, dass auf der Micro-SD bereits das RasPi Installations-Programm NOOBS vorinstalliert ist. Also einfach zusammenbauen und loslegen.
Naja fast. Zumindest für die Erstinstallation benötigt man noch einen Monitor oder Fernseher mit HDMI-Anschluss und eine USB-Tastatur. Wenn der der RasPi einmal eingerichtet ist, benötigt man Monitor und Tastatur nicht mehr. Man verbindet sich einfach von einem beliebigen PC per SSH auf die Konsole. Am einfachsten geht das mit PuTTY (Bitte nicht erschrecken – Ja, das ist die offizielle Website..!).
Auf der Raspberry-Pi-Website gibt es viele Anleitungen was genau zu tun ist, ich will jetzt hier nicht näher darauf eingehen. Es ist aber wirklich einfacher als es sich anhört. Und es macht Spaß. Installieren sollte man übrigens die aktuellste Version von Raspbian ohne Desktop auch Raspbian Stretch Lite genannt. Diese steht auch bei der Installation über NOOBS zur Auswahl.
Ich habe übrigens das ganz neue Modell 3B+ gewählt, das Vorgänger-Modell reicht aber auch völlig. Ein Gehäuse und alles andere hatte ich noch hier noch in der Schublade liegen.
Natürlich kann man auf auch auf einem bereits vorhandenen RasPi zusätzlich Pi-hole installieren. Ratsam ist aber, einen RasPi ausschließlich für diese neue Aufgabe zu verwenden. Der Pi-hole soll ja nicht durch andere Anwendungen oder Dienste versehentlich zur Bremse für das gesamte lokale Netz werden, weil dieser die DNS-Auflösung nicht schnell genug ausführen kann.
Pi-hole installieren
Wenn der RasPi eingerichtet ist und optimalerweise bereits eine feste IP-Adresse hat (entweder über den Router zugewiesen oder direkt auf dem RasPi konfiguriert) dann muss man nur einen Befehl auf der Konsole eingeben, um die Installation auszuführen:
curl -sSL https://install.pi-hole.net | bash
Während der Installation muss man noch ein paar Dinge festlegen, aber in der Regel kann man die vorausgewählten Optionen einfach bestätigten. Nach Abschluss der Installation bekommt man die Adresse des Web-Interfaces sowie das zugehörige Passwort angezeigt. Wenn alles geklappt hat dann, dann sollte man den Pi-hole über die Adresse
http://pi.hole/admin
aufrufen können. Das was man dort einsehen kann bzw. einstellen kann, sollte zum größten Teil selbsterklärend sein. Damit wäre der erste Teil erledigt und der Pi-hole sollte einsetzbar sein.
Pi-hole verwenden
Nachdem die Installation abgeschlossen ist, müssen die Geräte im Netzwerk – bzw. im einfachsten Fall nur der Router – natürlich wissen, dass ab jetzt nur noch der Pi-hole als DNS-Server verwendet werden soll. Falls Ihr also bei Euren Geräten bisher keine gesonderte DNS-Konfiguration vorgenommen habt (wovon ich ausgehe), dann genügt es in der Tat, nur im Router diese Einstellung vorzunehmen. Als primären/bevorzugten DNS-Server gebt Ihr dann also die IP-Adresse Eures Pi-holes an. Der sekundäre/alternative DNS-Server kann leer bleiben oder man trägt dort als Backup einen öffentlichen DNS-Server wie den Google DNS 8.8.8.8 oder den ganz neuen Cloudflare DNS 1.1.1.1 ein.
In meiner UniFi-Umgebung hatte ich diese Einstellung für den ersten Test zunächst nur für einzelne VLANs vorgenommen, dann aber doch recht schnell komplett umgestellt. Also nicht nur für die einzelnen Netzwerke/VLANs, sondern auch bei den WAN-Einstellungen des USG, sodass wirklich die gesamten DNS-Abfragen über den Pi-hole laufen. Bisher konnte ich noch keine Probleme feststellen. Der Pi-hole läuft zuverlässig und stabil.
Einblicke und Statistiken
Auf dem Dashboard des Web-Interfaces sieht man eine Zusammenfassung der letzten 24 Stunden. Interessant sind vor allem die Gesamtzahl der DNS-Abfragen (hier aktuell ca. 45.000 - 50.000) und die Anzahl der geblockten Abfragen (ca. 10.000) aus der sich eine Blockquote von aktuell ca. 20% ergibt.
Diese hohe Quote hätte ich ehrlich gesagt so nicht erwartet. Vor allem wenn man bedenkt, dass immer noch alles funktioniert. Kein Gerät hat bisher seinen Dienst verweigert, keine App meckert und natürlich funktionieren auch alle Websites noch immer wie bisher. In Firefox und Chrome habe ich übrigens weiterhin uBlock Origin im Einsatz. Hier wird immer noch Einiges zusätzlich gefiltert. Die Algorithmen eines AdBlocker-Plugins erkennen ja noch ganz andere Muster, als nur einen reinen Domainnamen auf einer Blacklist.
Im Query Log erhält man dann noch weitere Einblicke die DNS-Abfragen. Wirklich interessant, welche Geräte da im Hintergrund so nach draußen kommunizieren wollen. Und natürlich kann man aus dem Query Log einzelne Einträge direkt in eine eigene Blacklist oder Whitelist übernehmen.
Filterlisten
Derzeit verwende ich nur die mitgelieferten Filterlisten, die übrigens einmal pro Woche automatisch aktualisiert werden. Darin sind aktuell gut 120.000 Domains eingetragen. Weitere Filterlisten kann man einfach im Web-Interface eintragen. Quellen dafür gibt es viele. Auf GitHub wurde eine umfangreiche Sammlung von Filterlisten zusammengetragen.
Upstream DNS-Server
Der Pi-hole hat natürlich selber keine vollständige Datenbank aller weltweit existieren Domains, sondern benötigt die Angabe von sogenannten Upstream DNS-Servern, also DNS-Server an die er die DNS-Abfragen weiterleitet, wenn die abzufragende Domain nicht auf einer der Filterlisten steht.
Im Web-Interface kann man dazu eine Reihe von vordefinierten öffentlichen DNS-Servern (Google, OpenDNS, Quad9, und noch ein paar andere) auswählen oder auch zwei eigene DNS-Server (z.B. die vom Zugangsprovider) eintragen. Ich habe aktuell alle ausgewählt und zusätzlich die beiden neuen Cloudflare DNS-Server eingetragen, da diese aktuell noch nicht in der Liste der vordefinierten Server stehen.
Die neuen Cloudflare-DNS-Server legen laut eigener Aussage sehr viel Wert auf Privacy und sollen die beste Performance haben. Beim Blick in die 24h-Statistik kann ich das bis jetzt sogar bestätigen. Die Cloudflare-Server verarbeiten die meisten Anfragen meines Pi-holes. Eine interessante Alternative also zum beliebten Google Public DNS. Ich werde das jetzt mal eine Weile beobachten und dann vermutlich nur noch die Cloudflare-Server nutzen.
Welche Möglichkeiten gibt es noch?
Der Pi-hole fungiert nun also als DNS-Server im gesamten lokalen Netz für alle angeschlossenen Geräte gleichwertig. Ein getrennte Zuweisung von Filterlisten für einzelne IP-Bereiche oder MAC-Adressen ist aktuell leider (noch?) nicht möglich.
Prinzipiell ließe sich der Pi-hole durch weitere Filterlisten ja auch als Kindersicherung oder Ähnliches einsetzen. Hierzu wäre dann aber nach aktuellem Stand ein weiterer Pi-hole notwendig, den man dann mit den entsprechenden Filterlisten ausstattet. In meinem UniFi-System wäre es damit z.B. möglich, für eines der Netzwerke/VLANs einen weiteren Pi-hole einzusetzen, der dann andere bzw. zusätzliche Filterlisten verwendet. Mal sehen, was die Zukunft bringt...
Update August 2018
Pi-hole v4.0 kombiniert mit Unbound als Allround-DNS-Lösung
Kürzlich wurde die Pi-hole Version 4.0 veröffentlicht. Dabei wurde insbesondere der integrierte DNS-Resolver – der FTLDNS (Faster Then Light DNS) – optimiert. Aber auch die Möglichkeiten für die Anbindung der Upstream-Server wurde erweitert. So ist es nun möglich zusätzlich den lokalen DNS-Server Unbound zu betreiben, der dann als eigener Upstream-Server fungiert.
Ich habe meinen Pi-hole also nun auf das nächste Level gehoben und somit die Sicherheit erhöht und den Privacy noch etwas erhöht. Wie funktioniert das Ganze nun?
Pi-hole mit externem Upstream-Server
In der Standard-Konfiguration leitet der Pi-hole alle Anfragen, die nicht auf einer Blocklisten stehen, an den oder die hinterlegten externen Upstream-Server (Google, Cloudflare, Provider, etc.) weiter. Der Ablauf ist dann wie folgt:
- Der Client fragt den Pi-hole: „Welche IP-Adresse hat example.com?“
- Der Pi-hole schaut im Cache nach und antwortet, falls die Adresse bereits bekannt ist.
- Der Pi-hole schaut in die Blocklisten und antwortet, falls die Domain geblockt ist.
- Wenn weder 2. oder 3. zu einer Antwort geführt haben, leitet der Pi-hole die Anfrage an den oder die konfigurierten Upstream-Server weiter.
- Der Upstream-Server antwortet mit der IP-Adresse für example.com.
- Die Antwort des Upstream-Servers leitet der Pi-hole dann an den Client weiter.
- Der Pi-hole speichert die Antwort im Cache, um bei Bedarf schneller antworten zu können, wenn ein anderer Client dieselbe Domain anfragt.
Das ist der normale Ablauf. Alle DNS-Abfragen werden also an einen Upstream-Server weitergegeben und man muss darauf vertrauen, dass dieser eine korrekte Antwort zurück liefert. Dabei könnte der Betreiber dieses Upstream-Servers speichern, welche Adressen alle von Deinem lokalen Netz angefragt werden und somit eine Art Profiling betreiben.
Pi-hole mit Unbound als lokalem Upstream-Server
Hier kommt nun der lokale DNS-Server Unbound ins Spiel. Wenn dieser eingerichtet ist, dann übernimmt dieser die Aufgabe des Upstream-Servers. Das alleine hätte nun noch keinen Vorteil, denn dieser muss ja auch irgendwo die Domains abfragen. Unbound ist aber ein rekursiver DNS-Server, daher ist der Ablauf ist nun etwas anders:
- Der Client fragt den Pi-hole: „Welche IP-Adresse hat example.com?“
- Der Pi-hole schaut im Cache nach und antwortet, falls die Adresse bereits bekannt ist.
- Der Pi-hole schaut in die Blocklisten und antwortet, falls die Domain geblockt ist.
- Wenn weder 2. oder 3. zu einer Antwort geführt haben, leitet der Pi-hole die Anfrage an den lokalen rekursiven DNS-Server Unbound weiter.
- Der rekursive DNS-Server fragt den DNS-Root-Server: „Wer ist für die TLD .com zuständig?“
- Der DNS-Root-Server antwortet mit der Liste der zuständigen DNS-Server für die TLD .com.
- Der rekursive DNS-Server fragt einen dieser TLD-DNS-Server für .com: „Wer ist für example.com zuständig?“
- Der TLD-DNS-Server ?antwortet mit der Liste der autoritativen DNS-Server für example.com.
- Der rekursive DNS-Server fragt einen dieser autoritativen DNS-Server: „Welche IP-Adresse hat example.com?“
- Der autoritative DNS-Server antwortet mit der IP-Adresse für example.com.
- Der rekursive DNS-Server leitet die Antwort an den Pi-hole weiter.
- Die Antwort des rekursiven DNS-Servers leitet der Pi-hole dann an den Client weiter.
- Der Pi-hole speichert die Antwort im Cache, um bei Bedarf schneller antworten zu können, wenn ein anderer Client dieselbe Domain anfragt.
Der große Unterschied ist nun, dass die Anfragen immer vom autoritativen Nameserver der jeweiligen Domain beantwortet werden. Das erhöht zum Einen die Sicherheit, eine korrekte Antwort zu erhalten und sorgt gleichzeitig dafür, dass die Anfragen verteilt werden, sodass kein Nameserver alle Anfragen erhält und somit der Datenschutz ein wenig erhöht wird.
Die vielen Schritte über Root-Server, TLD-Server und autoritativen Server führen externe Upstream-Server wie Google oder Cloudflare genauso aus, allerdings haben diese natürlich einen viel größeren Cache, der dann als Geschwindigkeits-Vorteil beworben wird. Wir bewegen uns hier aber im Millisekundenbereich, der kaum ins Gewicht fallen sollte. Dieser ist also eher mess- als spürbar.
Was aber sehr wohl spürbar ist, was die Blocklisten wegfiltern. Insbesondere bei großen Nachrichtenseiten bei denen teilweise hunderte von externen Domains kontaktiert werden, ist das natürlich deutlich spürbar.
Die Kombination aus Pi-hole und Unbound ist also eine Allround-DNS-Lösung für das lokale Netzwerk.
Weitere Infos/Quellen:
- Offizielle Ankündigung der neuen Version 4.0 des Pi-hole
- Ausführliche Beschreibung der Funktion des Pi-hole mit Unbound
- Anleitung zur Installation des DNS-Servers Unbound
Fazit nach vier acht Monaten mit dem Pi-hole
Den Pi-hole habe ich nun seit gut vier acht Monaten im Einsatz. Er verrichtet immer noch absolut zuverlässig seinen Dienst. Inzwischen habe ich die Blocklisten sogar noch weiter ergänzt, sodass ich nun gut 2,5 Millionen gut 3,5 Millionen Domains in den Blocklisten habe.
Dabei komme ich aktuell trotz zusätzlich aktivierter AdBlocker in den Browsern auf eine Blockquote von 30-40%. Probleme konnte ich bisher trotzdem keine feststellen. In der manuellen Whitelist befinden sich nur ein paar Handvoll Domains, die sich angesammelt haben. Das sind z.B. einige URL-Shortener oder ein paar Domains die ich persönlich trotzdem für vertrauenswürdig halte.
Inzwischen konnte die Blockquote noch einmal deutlich auf 10-20% reduzieren. In meinem anderen Blog-Artikel zum Pi-hole berichte ich, was man mit dem Pi-hole noch so machen kann. Dort bin ich unter anderem einigen sehr häufig im Query-Log auftauchenden Einträgen auf die Spur gegangen.
Den Einsatz eines Pi-holes kann ich also nach wie vor uneingeschränkt empfehlen.
Meine aktuellen Blocklisten
Häufiger wurde ich schon gefragt, welche Blocklisten ich einsetze, mit denen ich auf aktuell gut 3,5 Millionen 2,5 Millionen Domains komme. Im Prinzip sind das in erster Linie die ganzen Listen von The Firebog. Ein paar sind noch aus anderen Quellen dazugekommen, aber leider kann ich nicht mehr nachvollziehen, wo ich die ursprünglich aufgetrieben hatte oder ob die mittlerweile auch bei Firebog gelistet sind.
Zuletzt habe ich noch die Majestic Million CSV hinzugefügt, die meine gesamte Blocklist in der Tat noch einmal durch eine zusätzliche Million Domains ergänzt hat. Inzwischen habe ich Aufgrund eines Hinweises (siehe Kommentare unten) bemerkt, dass die Majestic Million CSV scheinbar doch nicht funktioniert. Der Pi-hole übernimmt zwar alle Daten in die gravity.list, sodass sich die Anzahl der Einträge erhöht, allerdings stimmt das Format der Einträge nicht, sodass diese unbrauchbar sind. Ich bin bisher immer davon ausgegangen, dass der Pi-hole alle Blocklisten mittels eines Parsers überprüft und eventuell eine Fehlermeldung ausgibt, bevor die Einträge in die gravity.list übernommen werden. Das scheint aber wohl nicht der Fall zu sein. Die Liste habe ich also vorerst deaktiviert und werde mal schauen, wie man diese für den Pi-hole nutzbar machen kann.
Update Mai 2020
Pi-hole v5.0 – Gruppen und lokale DNS-Einträge
Das kürzliche Major-Update auf die Version 5.0 brachte einige interessante neue Funktionen. Abgesehen davon, dass alle Daten nun über eine Datenbank verwaltet werden, wodurch die Performance insbesondere im Admin-Panel optimiert wurde, konnten dadurch auch neue Funktionen integriert werden.
Ein sicher lange gewünschtes Feature ist die Möglichkeit, bestimmte Blocklisten aber auch einzelne Einträge aus der Blacklist oder der Whitelist nur für einzelne Geräte oder Gruppen zu aktivieren/deaktivieren. So kann man jetzt z.B. andere bzw. restriktivere Listen für die Geräte der Kinder aktiveren. Da lässt sich also jetzt eine Menge sehr viel individueller einstellen, als das bisher der Fall war.
Ebenfalls sehr nützlich ist, dass man jetzt lokale DNS-Einträge direkt im Admin-Panel vornehmen kann. Bisher musste man die lokalen Geräte ja mehr oder weniger umständlich in die „/etc/pihole/lan.list“ bzw. „/etc/hosts“ eintragen. Das geht jetzt natürlich viel einfacher und übersichtlicher. Die Daten, die über das Webinterface eingetragen werden, werden in der Datei „/etc/pihole/custom.list“ gespeichert. Ich konnte problemlos meine lan.list in custom.list umbenennen und den DNS-Server neu starten. Damit wurden alle meine alten Einträge importiert und ich kann diese ab jetzt direkt über das Webinterface verwalten. Man muss nur darauf achten, dass die custom.list die entsprechenden User-/Gruppen Berechtigungen (root) hat.
Weiterhin interessant dürfte auch die Erweiterung der CNAME-Abfragen sein. Hier prüft der Pi-hole jetzt etwas genauer, ob z.B. eine bekannte Tracking-Domain hinter einem CNAME-Eintrag „versteckt“ist.
Update Dezember 2020
Pi-hole v5.2 – Lokale A-Records und CNAME-Records
Seit der Version 5.0 gibt es ja wie oben beschrieben endlich die Möglichkeit lokale DNS-Einträge vorzunehmen. Das wurde nun mit der Version 5.2 noch einmal verbessert. So kann man jetzt zwischen A-Records und CNAME-Records unterscheiden. Soll oder muss ein Geräte unter mehren Namen erreichbar sein, trägt man nun den primären Hostnamen als A-Record ein und alle weiteren Hostnamen/Domains als CNAME. Vorteil dabei ist vor allem, dass man die IP-Adresse nur noch einmal eintragen muss und diese im Falle eine Änderung auch nur einmal ändern muss. Auswirkung hat das natürlich z.B. auch auf das Query-Log, in dem jetzt bei den Clients immer die primäre Adresse steht.
Das funktioniert natürlich auch für externe CNAME-Einträge, die man damit ebenfalls auf ein lokales Gerät umleiten kann. Ich hatte dazu in einem anderem Blog-Artikel verschiedene Anwendungsfälle geschildert.
Offenlegung: Als Amazon-Partner verdiene ich an qualifizierten Verkäufen. Durch den Kauf eines Produktes über einen Amazon Affiliate-Link erhalte ich eine Umsatzbeteiligung oder einen fixen Betrag gut geschrieben. Für Dich fallen keine zusätzlichen Kosten an.
bruno jennrich
13. April 2018, 10:17 Uhr
nice!
Laura
4. Mai 2018, 23:22 Uhr
Wenn der Pi-Hole denn mal richtig Programiert wird dann könnte er Toll sein, ist er aber nicht!
in einem reinen IPv4 Netzwerk macht die Software nichts, da wird nichts gefiltert die anfragen werden Stumpf an den Router weitergeleitet. Der Pi-Hole leitet dann IPv6 Anfragen Stump ohne Überprüfung an den Router weiter.
Eine kleine Option auf der Konfigurationsseite im Webmanagement vom Pi-Hole mit der Option IPv6 Anfragen weiterleiten
An | Aus (diese möglichkeit gibt es nicht) Mein Pi-Hole hat schon keine IPv6 Adresse mehr, Anfragen werden trotzdem weitergereicht wie Toll.
Momentan muss ich Client seitig alles was eine IPv6 Verbindung aufbaut davon abhalten, z.B. der Firefox der Standart mäßig erst eine IPv6 Verbindung aufbaut und wenn das gelingt dieses auch weiterhin benutzt.
oder das Problem mit der Verbindung nach wpad.*
Der Pi-Hole ist eher ein Bug-Hole nur das die Bugs nicht Verschwinden sondern enstehen.
Thomas Mielke
www.mielke.de
4. Mai 2018, 23:24 Uhr
@Laura: Das klingt mir aber eher so, als wäre bei Dir etwas falsch konfiguriert. Grundsätzlich sollte der Router ja gar nicht als DNS-Server/Relay agieren, sondern dieser sollte ebenfalls alle Anfragen an den Pi-Hole stellen.
Was hast Du denn überhaupt für einen Internet-Zugang? Läuft der auf IPv4 oder IPv6, oder kann der beides? Du schreibst, dass Du ein reines IPv4 Netzwerk hast, dann sollte IPv6 im Pi-hole eigentlich gar nicht aktiviert werden. Wenn Du ein reines IPv4-Netzwerk hast, dann solltest Du auf den Clients wenn möglich natürlich auch IPv6 deaktivieren.
Führe am besten Mal ein ein Re-Configure mit diesem Befehl aus
und aktiviere dann nur IPv4. Falls das anschließend immer noch nicht funktioniert, kannst Du in die Datei /etc/pihole/pihole-FTL.conf folgendes eintragen (falls die Datei nicht existiert dann bitte neu anlegen):
Anschließend den Service neu starten:
Danach sollten im Query-Log keine IPv6-Einträge mehr auftauchen. Wichtig ist natürlich auch, dass im Router als DNS-Server auch der Pi-hole eingetragen ist.
Friedbert
2. Juli 2018, 12:22 Uhr
Hallo mich würde interessieren ob du eine Lösung für Speedport-Nutzer siehst. Bei den Speedports kann man den DNS Eintrag nämlich nicht editieren.
Viele Grüße
Friedbert
p.s. Fritzbox kaufen ist keine Lösung
Thomas Mielke
www.mielke.de
2. Juli 2018, 13:48 Uhr
@Friedbert: Wenn Du keine Möglichkeit hast, den DNS im Router zentral einzustellen, dann kannst Du das leider nur auf allen Geräten manuell machen.
Thomas
11. Juli 2018, 00:51 Uhr
Den DHCP-Server des Pi-holes verwenden und den DHCP-Server im Speedport abschalten. Voilà, jetzt verteilt das Pi-hole die DNS-Informationen an die Clients. :-)
Oli
16. August 2018, 10:17 Uhr
Hey Thomas,
ich hab bei mir das selbe System am laufen. Ich hab da mal ein paar fragen bzgl. deiner config.
1. Hast du bei Pi-hole den DHCP laufen? oder geht das auch ohne?
2. wie hast du den WAN umgeleitet? bei mir zeigt er auf die Fritzbox.
Thomas Mielke
www.mielke.de
16. August 2018, 10:19 Uhr
@Oli: Nein, den DHCP-Server auf den Pi-hole habe ich deaktiviert. Erstens sehe ich nicht welchen Vorteil mir das bringen würde und zweitens habe ich über mein UniFi-System mehrere VLANs eingerichtet, die verschiedene IP-Bereiche/Netze haben und somit auch verschiedene DHCP-Bereiche. Das wäre mit dem Pi-hole gar nicht abzubilden.
Der Pi-hole fungiert als reiner DNS-Server für das gesamte lokale Netz, das bedeutet ich habe – wie oben im Artikel beschrieben – im Router (bzw. in meinem UniFi-System) die IP-Adresse des Pi-hole als DNS-Server eingetragen.
Tom
18. August 2018, 22:56 Uhr
Pi-Hole ist wirklich ein tolles Projekt. Aber wenn man doch schon den Pi-Hole verwendet um Tracker- und Werbenetzwerke abzuwehren, dann macht es aus meiner Sicht absolut keinen Sinn einen DNS Server von Google einzutragen. Viele sind sich leider gar nicht im klaren, was DNS Requests von ihnen alles preisgeben. Es empfiehlt sich hier viel mehr öffentlich DNS Server zu verwenden, die keine Anfragen mitprotokollieren wie z.B. die DNS Server vom Chaos Computer Club oder Digitalcourage e.V. - siehe auch: https://www.kuketz-blog.de/dns-unzensierte-und-freie-dns-server-ohne-protokollierung/
Thomas Mielke
www.mielke.de
18. August 2018, 23:13 Uhr
@Tom: Da gebe ich Dir völlig recht. Mit der aktuellen Version 4.0 des Pi-hole kann man den Datenschutz und die Sicherheit sogar noch etwas erhöhen. Zusammen mit Unbound, einem rekursiven DNS-Server benötigt man gar keinen öffentlichen DNS-Server. Unbound wird zusätzlich auf dem Pi-hole installiert und fungiert dann als Upstream DNS Server. Unbound macht im Grunde nichts anderes wie öffentliche DNS-Server auch: Er leitet die DNS-Requests jeweils an die autoritativen Nameserver der jeweiligen Domain weiter und speichert das Ergebnis in einem Cache zwischen. Damit wird zum Einen der Datenschutz erhöht, aber auch die Sicherheit einer korrekten DNS-Auflösung. Ich bin leider noch nicht dazu gekommen, meinen Blog-Artikel entsprechend zu ergänzen.
Christoph
23. August 2018, 15:51 Uhr
Habe seit heute auch pi-hole in nutzung aber als docker container
und ein vpn client im Router aktiv.
So kann man in pi-hole den dns server des vpn anbieters einstellen und schon läuft alles über den vpn anbieter aber mit zusätzlichem Filter...
John
23. August 2018, 20:42 Uhr
Hallo, geht das auch mit ads über https oder wie kann man das einrichten? da müsste pihole ja auch das Zertifikat haben und ka ob das sicher wäre...
https nimmt ja zu bei websites....sonst wäre pihole irgendwann nutzlos...
Thomas Mielke
www.mielke.de
23. August 2018, 22:52 Uhr
@John: Wenn Du meinen Blog-Artikel gelesen hättest, dann wüsstest Du, dass das nichts mit https oder sonstwas zu tun hat. Der Pi-hole fungiert als DNS-Server und prüft lediglich die reine Domain. Das ist völlig unabhängig vom verwendeten Protokoll, vom Port, vom Dienst, noch von der URL... Wenn Dir das Verständnis dafür fehlt, dann ist der Pi-hole wohl eher nichts für Dich.
Johannes
2. September 2018, 14:59 Uhr
Vielen Dank für diesen sehr informativen Artikel. Ich habe nach der Anleitung ohne Vorkenntnisse erfolgreich ein Pi-hole System eingerichtet. Seit einigen Wochen läuft das Ganze mit durchschnittlicher Block-Rate > 40%. Ich verwende die Blocklisten aus der Standard-Installation. Die Anzahl geblockter Domains liegt bei ca. 134K Domains. Darf ich fragen, welche Blocklisten Du ergänzt hast, um auf 2.5 Mio geblockte Domains zu kommen?
Thomas Mielke
www.mielke.de
2. September 2018, 23:46 Uhr
@Johannes: Ich habe im Prinzip nur alle Listen von hier eingetragen (sowie noch ein paar kleine deutschsprachige Listen). Allerdings sollte man zusätzlich die dort angegeben Hinweise zum Whitelisting beachten.
Christian
7. September 2018, 07:17 Uhr
Ein sehr interessanter und ausführlicher Bericht über den pi-hole. Vielen Dank!
Ich habe gestern meinen eigenen pi-hole installiert. Natürlich direkt die neuste Version 4.0. Was ich nun noch nicht verstehe, muss ich zusätzlich was für Unbound recursive DNS installieren? Oder kommt das mit der aktuellen Version alles mit?
Zudem habe ich den pi-hole als DNS Server an der FritzBox nicht im Menü Internet/Zugangsdaten sondern unter Heimnetzwerk/Netzwereinstellungen hinterlegt.
Können Sie einmal die weitere wichtige Einstellungen posten? Und ggf. die nötigen Setupbefehle für Unbound, sofern notwendig.
Meine Konfig ist:
FritzBox: InternetZugangsdatenDNS: "vom Provider übermittelt"
FritzBox: HeimnetzwerkNetzwereinstellungDNS: pi-hole IP
pi-hole: primär DNS Server: FritzBox IP
es läuft alles, aber ist das so richtig?
Gruß
Christian
Thomas Mielke
www.mielke.de
7. September 2018, 07:56 Uhr
@Christian: Unbound muss gesondert installiert werden. Oben im Artikel ist die Anleitung zur Installation verlinkt. Im Prinzip muss man einfach nur das Paket installieren:
Eventuell muss die
noch geringfügig angepasst werden. Wenn Inbound läuft und funktioniert, dann muss dieser nur noch in den Einstellungen der Upstream-Server des Pi-hole als Custom 1 (IPv4) eingetragen werden:
Und natürlich müssen auch alle anderen vorkonfigurierten Upstream-Server deaktiviert werden.
Bezüglich Deiner FritzBox-Konfiguration: Du musst unter InternetZugangsdatenDNS die Pi-hole IP eintragen (siehe auch Screenshot oben im Artikel). In der Pi-hole Konfiguration hat die FritzBox-IP allerdings nichts zu suchen. Falls Du Unbound installierst, dann siehe oben, ansonsten muss dort entweder einer oder mehrere der vorkonfigurierten Upstream-Server ausgewählt werden oder unter Custom die DNS-IP Deines Providers eingetragen werden.
Christian
28. September 2018, 12:59 Uhr
Friedbert:
Kann man beim Speedport in den DHCP Settings nicht den zu vergebenden Bereich, die Lease-Time etc einstellen? Dann kann man dort doch sicher auch einstellen, welcher DNS an die Clients kommuniziert werden soll.
Dann kann der Upstream DNS am Router selbst unverändert bleiben, da die Clients sowieso den Pi nehmen. Vom PiHole aus kann dann auch ruhig wieder der eigene Router als Upstream DNS angegeben werden, oder eben einer der anderen öffentlichen Alternativen (Cloudflare, google, etc pp) da von den Clients alle Anfragen eh erst an den PiHole gestellt werden.
Die Konfiguration an allen Clients manuell vorzunehmen ist zwar eine Möglichkeit, jedoch recht umständlich und ineffektiv, nicht zuletzt bei einer großen Anzahl von Clients. Mobile Clients (Handys etc.) bspw. würden dann größtenteils aussen vor bleiben.
Falls alles nichts hilft: Es muss ja auch keine FritzBox sein. Im Zweifelsfall, wenn man den Speedport unbedingt behalten will, schaltet man noch einen weiteren Router mit den entsprechenden Konfigurationsmöglichkeiten dazwischen (da gibt es recht günstige, TP-Link Archer C2 bspw.).
Thomas: Tolle Site, tolle und auch für Laien gut verständliche Artikel. Freue mich, über die Seite gestolpert zu sein.
Frage an dich: Hast du Erfahrungen mit dem PiHole im Unternehmensnetzwerk? Virtualisierter Server mit Ubuntu wäre kein Thema, alles andere läuft mit Windows 2012 R2.... ich bin der Meinung dass es reibungslos klappen sollte, aber würde da gerne eine zweite Meinung haben von jmd der evtl bereits Erfahrungen damit gemacht hat.
Gerne auch per Email!
Viele Grüße,
Christian
Thomas Mielke
www.mielke.de
28. September 2018, 13:27 Uhr
@Christian: Ich habe hier leider (oder zum Glück) keinen Speedport bei dem ich das testen könnte. Grundsätzlich sollte das aber möglich sein, eine eigenen DNS-Server zu hinterlegen. Die Clients nutzen ja in der Regel den Router als DNS-Server und somit dann indirekt den Pihole. Diese zentrale Lösung ist ja gerade das geniale bei der Nutzung des Pihole,
Eine Trennung zwischen Unternehmensnetzwerk und und Privatanwendung würde nicht gar nicht so streng ziehen. Der Übergang ist ja fließend. Ich betreibe ja quasi auch ein „Unternehmensnetzwerk“ mit diversen Geräten (PCs, Server, Mobilgeräte, Multimedia, Smarthome, VoIP, etc.) in verschiedenen IP-Bereichen und VLANs. Der Pihole verrichtet da einwandfrei seinen Dienst. Für die Geräte im Netz macht es ja keinen Unterschied, wer die DNS-Auflösung übernimmt.
Josef
1. Oktober 2018, 17:29 Uhr
Hallo Thomas!
Hast Du Unbound mit DNSCrypt 2.0 oder DNS-Over-HTTPS installiert?
Du schreibst u.a.
"Eventuell muss die /etc/unbound/unbound.conf.d/pi-hole.conf
noch geringfügig angepasst werden."
# Ensure privacy of local IP ranges
private-address: 192.168.0.0/16 - ändern auf mein Netzwerk, z.b. 192.168.1.0 oder 192.168.2.0 usw.
private-address: 169.254.0.0/16 - kann ich wegglassen?
private-address: 172.16.0.0/12 - kann ich wegglassen?
private-address: 10.0.0.0/8 - drinnen lassen für mein PiVPN vpn interface
private-address: fd00::/8 - kann ich wegglassen, kein ipv6
private-address: fe80::/10 - kann ich wegglassen, kein ipv6
Viele Grüße
Josef
Thomas Mielke
www.mielke.de
1. Oktober 2018, 18:04 Uhr
@Josef: Ich habe Unbound mit DNSCrypt installiert. Bei der Konfiguration von Unbound habe ich mich im Prinzip an diese Anleitung gehalten. Soweit ich mich erinnere habe ich lediglich IPv6 deaktiviert:
Die kompletten IP-Bereiche der möglichen privaten/lokalen IP-Adressen habe so drin gelassen:
Josef
1. Oktober 2018, 18:55 Uhr
DNSCrypt oder DNSCrypt 2?
Thomas Mielke
www.mielke.de
1. Oktober 2018, 19:03 Uhr
@Josef: DNSCrypt 2.0
Stefan
11. Oktober 2018, 00:15 Uhr
Hallo Thomas,
habe auf meinen Raspberry auf dem der Unifi Controller läuft auch noch PiHole installiert.
Nach meiner 6490 Fritzbox ist ein USG geschaltet.
Habe jetzt die IP Adresse des Pis auf der Unifi Seite als DHCP Nameserver eingetragen. Muss ich noch was am Gateway einstellen oder in der Fritzbox?
Gruß
Christoph Päckert
18. Oktober 2018, 12:27 Uhr
Hallo Thomas , erstmal vielen Dank für die super Anleitung zum pi-hole.
Ich habe selbstverständlich dann auch Unbound installiert ,welches mir jedoch Keine Konfig. Datei erstellt hatte und ich diese selber erstellen musste.
Wenn ich aber die ip-Bereiche so wie du dringelassen hätte , hat es nicht funktioniert.
Ich habe jetzt als private-adress : nur meine ip von pi-hole angegeben mit dem Zusatz / 16 , und es scheint zu funktionieren.
Ich kenne mich mit der Materie leider nicht so gut aus , habe ich jetzt was
Falsch gemacht ?
Josef
19. Oktober 2018, 10:51 Uhr
Hallo Thomas!
Pi-hole inkl. Unbound läuft bei mir jetzt schon eine Weile.
Etwas habe ich aber noch nicht ganz verstanden.
Bei einer DNS Anfrage die nicht Unbound beantworten kann, kommen Root, TLD usw. ins Spiel. Soweit so klar, aber was macht dann noch mein ISP? Dieser stellt mir nur mehr meine IP bzw. den Internetzugang zur Verfügung oder läuft eine DNS Anfrage weiterhin über ihn?
Alex
20. Oktober 2018, 00:17 Uhr
Hallo Thomas,
danke für die Anleitung!
Dennoch bin ich der Meinung, dass die config am Fritzbox bei dir so nicht korrekt ist.
Bsp.
Deine lokale Clients im Netz haben die DNS–Adresse von der Fritzbox. Die Clients fragen somit die Fritzbox, ist im Fritz Cache was da bekommst du Antwort, ist nix im Cache vorhanden, leitet die Fritzbox weiter zum Internet Service Provider – da ist aber jetzt die Adresse von Pi–hole drin und so erhält die Fritzbox die Antwort von Pi–hole. In der Regel wird die Fritzbox das alles im Cache haben was auch Pi–hole im Cache hat und hat Pi–hole nicht, dann geht er auf die suche und leitet d. Ergebnis weiter an Fritzbox, diese dann zu Clients. Ein unnötiger Zwischenschritt und genau das macht wenig Sinn.
Richtig wäre doch die Fritzbox komplett aus den Abfragen herauszuhalten und das kann in der Fritzbox unter Netzwerkeinstellungen eingestellt werden.
Die Clients erhalten sofort den pi–hole als DNS Server und der kümmert sich um die Abfragen weiter. So bin ich viel performanter unterwegs...
Wo ist hier bei mir der Denkfehler :–)?
Thomas Mielke
www.mielke.de
22. Oktober 2018, 18:10 Uhr
@Stefan: Eigentlich ist das mit den DHCP-Nameservern so schon richtig. Wenn Du mehrere Netzwerke eingerichtet hast, dann musst Du diese Einstellung aber für jedes Netzwerk vornehmen
Thomas Mielke
www.mielke.de
22. Oktober 2018, 18:11 Uhr
@Christoph Päckert: Ich kenne Deine komplette Netzwerk-Einrichtung insbesondere Deine IP-Bereiche natürlich nicht. Daher kann ich die Frage nicht sicher beantworten. Im Query-Log des Pi-hole siehst Du aber, dass alle Geräte den Pi-hole nutzen?
Thomas Mielke
www.mielke.de
22. Oktober 2018, 18:14 Uhr
@Josef: Dein ISP hat dem der DNS-Auflösung nichts mehr zu tun. Das erledigt der Pi-hole alles für Dich.
Thomas Mielke
www.mielke.de
22. Oktober 2018, 18:15 Uhr
@Alex: Hm... Ich habe „leider“ keine FritzBox mehr hier, wo ich das nachschauen könnte. Eigentlich sollte die Einstellung aus meinem Screenshot oben aber doch genau das machen. Zumindest sollte damit jede externe Adresse an den Pi-hole umgeleitet werden.
HerbertWilms
24. Oktober 2018, 13:56 Uhr
Hallo Thomas,
besten Dank für die super Anleitung. Installiert und funktioniert,
mit einem kleinen Schönheitsfehler; die Clients-Aktivitäten werden zwar gezeigt und gefiltert, aber nicht mit ihren IP-Adressen.
Ich betreibe eine FB4040 kaskadiert (mit eigenem Subnet) an einer FB6940. Als DNS-Server ist bei beiden Heimnetzen und Internet-Zugängen Pi-Hole eingestellt. Pi-Hole meldet alle Clients an der 4040-Adresse, die diese von der 6490 erhalten hat. Clients an der 6490 werden korrekt angezeigt, außer den Gäste-W/LAN usern, die erscheinen mit der 6490-Router-Adresse.
Ist das so oder gibt es ggfls. eine entsprechende Einstellmöglichkeit?
Viele Grüße
Thomas Mielke
www.mielke.de
24. Oktober 2018, 14:20 Uhr
@HerbertWilms: Du schreibst, dass Du die beiden FritzBoxen kaskadiert hast. Also die 4040 hinter der 6940. Wo hängt denn der Pi-hole dran? An der 6940? Dann wäre es logisch, dass der Pi-hole nur die IP der 6940 und nicht deren Clients sieht. Da ist ja eine Firewall und das NAT dazwischen.
HerberWilms
24. Oktober 2018, 15:10 Uhr
Ja, ist an der 6940 und sieht die IP der 6940 und auch alle Clients davon, aber eben nur die an die 4040 vergebene IP und nicht deren Clients.
Damit ist der Topuser die 4040 und nicht aufgeschlüsselt deren Clients.
Thomas Mielke
www.mielke.de
24. Oktober 2018, 15:14 Uhr
@HerberWilms: Das ist wie gesagt völlig richtig so. Die 4040 hängt ja mit dem WAN-Port an einem LAN-Port der 6940. Somit ist die 6940 aus Sicht der 4040 das „Internet“, also die unsichere Zone vor der Firewall. Durch den WAN-Port hindurch, also durch die Firewall, sind natürlich die Geräte an der 4040 nicht sichtbar. Sonst wären die Geräte ja auch aus dem Internet sichtbar.
Warum hast Du überhaupt zwei FritzBoxen kaskadiert?
HerbertWilms
25. Oktober 2018, 17:32 Uhr
Hallo Thomas,
an der 4040 'hängen' die Geräte meiner PrivacyZone, an der 6490 der Rest wie IOTs, SmartTV, Recorder, Automower, Pi-Hole u.ä.
Denn nur so kann ich aus der 4040 Zone darauf zugreifen. Über Gäste W/LAN klappt das ja leider nicht. Und mein Pi-Hole scheint alle Internetzugriffe, auch die an der 4040 zuverlässig zu checken. Schade, dass Du keine Möglichkeit zum anhängen von Bildern/Dateien vorgesehen hast.
Viele Grüße
Herbert
HerbertWilms
25. Oktober 2018, 17:43 Uhr
Hallo Thomas,
hier der Link mit der Info zur Router-Kaskade:
https://www.heise.de/ct/artikel/Router-Kaskaden-1825801.html
Thomas Mielke
www.mielke.de
25. Oktober 2018, 21:04 Uhr
@HerbertWilms: Ok, jetzt habe ich Dein Setup verstanden.
Du schreibst ja, dass nur Deine Gäste-Adressen nicht am Pi-hole erscheinen. Das scheint dann aber vermutlich an den internen Firewall-Regeln der FritzBox zu liegen. Die Gäste befinden sich ja in der FritzBox auch nochmal in einem getrennten Netz, dass gegenüber dem „normalen“ Netz der FritzBox abgeschottet ist. Die Gäste können sich ja untereinander auch nicht sehen. Das ist ja auch sinnvoll so. Und daher sind die vermutlich auch für den Pi-hole nicht transparent sichtbar. Diese internen Firewall-Regeln wirst Du vermutlich nicht ändern können.
HerbertWilms
30. Oktober 2018, 08:52 Uhr
Hallo Thomas,
jein, die Gäste-Adressen-Problematik sind klar; ärgerlich ist, dass auch die gesamten Adressen am kaskadierten Router nicht erscheinen, bzw. nur mit deren Routeradresse angezeigt werden.
Thomas Mielke
www.mielke.de
30. Oktober 2018, 08:57 Uhr
@HerbertWilms: Wie ich schon geschrieben habe. Deine erste FritzBox ist für die zweite FritzBox ja quasi das Internet, und alles was in der zweiten FritzBox passiert, bleibt da drin. Nach außen ist logischerweise keine der internen Adressen sichtbar.
Stefan Müller
15. November 2018, 10:23 Uhr
Hallo, ich habe auf meiner Fritz DHCP aktiv und nutze im Heimnetz auch die Domain fritz.box (z.B. nas.fritz.box usw.). Bei Zugangsdaten -> DNS Server habe ich 192.168.98.75 (fixe IP der PI-Hole) und noch 1.1.1.1 (Cloudflare). Bei mir in Netz ist IPv4 aktiv und kein IPv6 (somit bei der PI-Hole Installation nicht aktiviert). Ist das so korrekt? Ich frage deshalb weil man auf anderen Seiten Kommentare findet das man die PI-Hole IP auf der Fritz wo anders eintragen muss (Heimnetz -> Netzwerkeinstellungen -> IPv4 Adressen), darum bin ich mir nicht sicher was korrekt ist.
Wlan ist bei mir auf der Fritz deaktiviert da ich auch UniFi als Access-Point habe und da ist bei mir unter DHCP-Namesserver noch «Auto» aktiv, muss da «Manuell» aktiviert werden und die IP des PI-Hole eingetragen werden, damit das die Wireless verbundenen Geräte ebenfalls über den PI-Hole laufen? Vielen Dank für die Hilfe. Gruss
Thomas Mielke
www.mielke.de
15. November 2018, 10:26 Uhr
@Stefan: In der Tat gibt es bei der FritzBox zwei Möglichkeiten, den DNS-Server zu hinterlegen. Im Prinzip kannst Du die IP an beiden Stellen eintragen. Die wichtigere Einstellung sollte aber die unter
sein. Denn die sorgt dafür, dass den Geräten, die mit der FritzBox verbunden sind, automatisch per DHCP die IP des zu verwendenden DNS-Servers (also des Pi-hole) mitgeteilt, bzw. zugewiesen wird. In der FritzBox solltest Du aber nur die IP des Pi-hole und keine weitere (z.B. von Cloudflare) eintragen. Ansonsten geht eventuell ein Teil der DNS-Abfragen am Pi-hole vorbei. Und das macht ja keinen Sinn.
In der Konfiguration der UniFi-APs würde ich ebenfalls manuell die IP des Pi-hole eintragen, auch wenn hier bei der Einstellung „Auto“ vermutlich die Einstellungen der FritzBox geerbt werden.
Im Query-Log des Pi-hole kannst Du ja einsehen, ob die DNS-Abfragen aller Geräte über den Pi-hole laufen.
Stefan Müller
15. November 2018, 11:31 Uhr
@Thomas, wenn ich das nun richtig verstanden habe bei «Zugangsdaten -> DNS Server» nur die IP des PI-Hole eintragen (192.168.98.75) und bei Alternativer DNSv4 leer lassen oder nochmals die IP des PI-Hole. Zudem bei «Heimnetz -> Netzwerkeinstellungen -> IPv4 Adressen» ebenfalls die PI-Hole IP. Dachte mir eben weil bei Deiner Anleitung nur die Rede war von den «Zugangsdaten …» würde dies ausreichen.
Dann hätte ich habe noch zwei Folgefragen:
1. Da ich bei der «Alternativer DNSv4» kein Cloudflare mehr habe, was wenn der PI-Hole mal down ist, geht dann im ganzen Netz DNS nicht mehr? Deshalb war meine Idee als Alternative noch Cloudflare einzutragen. Aber gemäss Dir wäre das ja falsch, denn wenn der PI-Hole läuft, soll ja alles darüber gehen.
2. Wenn ich nun an beiden Orten auf der Fritz bei DNS die IP des PI-Hole eintrage, funktioniert dann in meinem Heimnetz die Aufrufe nach mit *.fritz.box (nas.fritz.box)?
Vielen Dank
Gruss
Thomas Mielke
www.mielke.de
15. November 2018, 14:02 Uhr
@Stefan: In der Tat wäre der DNS nicht mehr erreichbar, wenn der Pi-hole down wäre. Ehrlich gesagt halte ich den Pi-hole aber für mindestens genau so zuverlässig, wie die FritzBox oder jeden anderen Router. Da sind Ausfälle des Providers deutlich wahrscheinlicher...
Die Erreichbarkeit von „fritz.box“ müsstest Du mal testen. Falls das nicht mehr geht, kannst Du aber einfach die IP-Adresse und den Namen in die „/etc/hosts“ Deines Pi-hole eintragen. Das Gleiche gilt auch für andere Devices im lokalen Netz, die per Namen erreichbar sein sollen.
Stefan Müller
15. November 2018, 14:26 Uhr
Vielen Dank schon mal, ich werde heute Abend nochmals eine Versuch mit PI-Hole starten.
Wieso stand in Deiner Anleitung von den DNS-Einstellungen unter "Heimnetz -> Netzwerkeinstellungen -> IPv4 Adressen" nichts, ist das bewusst weil dies nicht wirklich notwendig ist oder ist das einfach neu?
Was ist dann der Unterschied zwischen den DNS-Einstellungen bei den Zugangsdaten und Heimnetz?
Gruss
Thomas Mielke
www.mielke.de
15. November 2018, 14:34 Uhr
@Stefan: In der Tat sollte ich den Artikel oben nochmal ein wenig überarbeiten. Denn es gibt da einen kleinen Unterschied:
Hier wird der zentrale DNS-Server festgelegt. Dieser wird für das gesamte lokale Netz, und auch von der FritzBox selber verwendet.
Hier wird nur der DNS-Server festgelegt, den die Clients verwenden sollen, nicht aber die FritzBox selber. Unter manchen Umständen kann es ja Sinn machen, das von einander zu trennen. Im Normalfall sollten aber einfach beide Einstellungen auf den Pi-hole zeigen.
Stefan Müller
16. November 2018, 09:01 Uhr
Hallo, ich habe es bei mir nun wie folgt gemacht damit ich auch weiterhin intern *.fritz.box nutzen kann. Auf dem Pi-Hole als DNS die IP der Fritz (192.168.98.1) eingetragen, nur diese IP. Dann habe ich auf der Fritz unter Netzwerkeinstellungen die IP des Pi-Hole (192.168.99.75). So funktioniert es zumindest bei mir.
Die Idee ist das die Anfragen so über den Pi-Hole -> Fritz raus gehen, ist die Anfrage *.fritz.box kann der Pi-Hole nichts damit anfangen und gibt es der Fritz weiter und die kann damit dann was anfangen. Normale Anfragen gehen dann an den Pi-Hole, der prüft ob er was filtern muss, gibt es der Fritz weiter und die Fritz verwendet dann die beiden DNS-Server (Cloudflare).
Gruss
Thomas Mielke
www.mielke.de
16. November 2018, 09:03 Uhr
@Stefan: Ehrlich gesagt macht das so aber nicht viel Sinn. So wie Du das jetzt eingerichtet hast, spielen die FritzBox und der Pi-hole ein wenig Ping-Pong... Wenn Du eine vernünftige Filterung haben möchtest, dann sollte die FritzBox gar keine DNS-Abfragen bearbeiten, denn dafür ist ja der Pi-hole zuständig.
Im Pi-hole hat die IP-Adresse der FritzBox nichts zu suchen. Hier müssen ein oder mehrere externe DNS-Server hinterlegt werden. Also entweder die DNS-Server Deines Providers, oder besser öffentliche DNS-Server, z.B. von Google, Cloudflare, etc. Noch besser ist sogar die Umsetzung mittels Unbound als rekursiven DNS-Server, so wie ich das oben auch beschrieben habe.
In der FritzBox sollte dann (an beiden Stellen) nur die IP-Adresse des Pi-hole eingetragen werden. Wenn Du zusätzlich eine lokale Namensauflösung „*.fritz.box“ oder Ähnliches benötigst, dann solltest Du das nur über die „/etc/hosts“ (oder alternativ in der „/etc/pihole/lan.list“) auf dem Pi-hole machen. Alles was dort hinterlegt ist, wird vom Pi-hole in die DNS-Auflösung einbezogen. Denn genau das ist ja die Aufgabe des Pi-hole.
Stefan Müller
19. November 2018, 08:17 Uhr
Ich habe nun mein Setting gefunden wie es bei mir korrekt läuft (inkl. der internen *.fritz.box Namensauflösung). Der einzige Schönheitsfehler ist noch dass es anscheinend nicht möglich ist Pi-Hole auch über VPN zu nutzen. Ich habe bei mir VPN on Demand im Einsatz doch da wird immer der DNS-Server der Fritz verwendet, meine Vermutung ist weil VPN einen eigenen IP-Range hat.
Viele Grüsse
Andreas K.
21. November 2018, 10:47 Uhr
Eine Frage noch zum Download der Liste "root.hints": hier steht ja, man solle in etwa (höchstens) aller 6 Monate updaten. Kann oder sollte man das automatisieren z.B. in der crontab? Wenn ja einfach den wget Befehl rein?
Thomas Mielke
www.mielke.de
21. November 2018, 10:48 Uhr
@Andreas: Ich habe das bisher nur einmal nach ein paar Monaten manuell gemacht und dann die neue Datei mit der alten Datei verglichen. Da gab es nur eine minimale Änderung. Ein Cronjob wäre sicher möglich, das habe ich aber bisher auch noch nicht eingerichtet.
wahli
28. November 2018, 15:39 Uhr
Zur Info an Speedport-Besitzer: der DNS-Server kann beim Speedport schon manuell eingestellt werden. Dazu muss der Internet-Zugang manuell eingestellt werden (nicht "Telekom", sondern "andere Anbieter") und kann dann den DNS-Server selbst vergeben. Für den Benutzernamen muss dann "AnschlusskennungT-Online-Nummer#Mitbenutzernummer@t-online.de" eingeben werden. Das Passwort bleibt gleich.
Bei mir funktioniert das mit dem Speedport W724V wunderbar. Dort läuft auch der DHCP-Server. pi-hole verrichtet seine Arbeit auf dem Raspi. Der Ubiquiti Accesspoint bekommt per DHCP seine Konfig und nutzt somit ebenfalls pi-hole.
Nino
1. Dezember 2018, 14:26 Uhr
Hallo,
ich habe die Anleitung 1:1 umgesetzt, jedoch habe ich extreme Probleme, daher musste ich alles wieder Rückgängig machen und erstmal alles pausieren. Ich habe sowohl die hier beschriebene Variante (1) als auch die Variante mit lokalen DNS Pi-Hole (2) probiert.
Bei 1 wird alles blockiert, soweit wunderbar - Problem: Suchanfragen vorgeschlagene Seite durch google shopping / google adds service etc werden komplett blockiert. wie viele andere seiten ebenfalls (meine Frau möchte diese Seiten unbedingt haben :-))
Bei 2 wird teilweise etwas blockiert, wobei ich nicht recht feststellen kann ob es den Zweck erfüllt. Für einen Tipp oder Idee wäre ich dir sehr dankbar.
Eingesetzte Hardware:
Fritzbox 7490
Raspberry pi 3b headless (über lan / statische ip)
Danek & Gruß
Thomas Mielke
www.mielke.de
1. Dezember 2018, 15:15 Uhr
@Nino: Genau dafür ist doch die Whitelist da... Schau einfach in das Query Log was geblockt wird und klicke bei den Domains die nicht geblockt werden sollen auf den Button „Whitelist“. Problem gelöst.
Marcus Igelmund
3. Dezember 2018, 21:19 Uhr
HalloThomas.
Vielen Dank für dein deine super Anleitung zum Pi hole !
pi hole läuft bei mir seit 3 Wochen. Leider habe ich das Problem, dass ich seit dem einrichten des Raspberry’s und der Installation des Pi holes, einmal täglich den Raspberry neu starten muss. Da Chromium einfach einfriehrt.
Da nach ca einem Tag Betrieb einige Seiten nicht mehr aufrufbar sind, oder die Verbindung so langsam wird, das ich noch nicht mal mehr ein App Update auf dem iPhone installieren kann.
Ich habe in etwas das gleiche Setup sie du:
Vigor 130, USG, Unifi-US-24 Non poe Switch, Unifi-US-16-150w poe Switch, 2 AP-AC PRO, 1 AP-AC Mesh außen Antenne.
Raspberry Pi 3 B+ Mit POE Hat und Raspbian Betriebssystem und der Pi hole Installation. Und eine FritzBox 7390, die als reine Telefonanlage konfiguriert ist. Hast du irgendeinen Tipp für mich, woran es liegen könnte ? Die Hardware kann ich fast ausschließen. Konfiguriert ist es genau nach deiner Anleitung.
Vielen Dank schonmal.
Gruß, Marcus
Thomas Mielke
www.mielke.de
3. Dezember 2018, 21:25 Uhr
@Marcus: Warum hast Du Chromium auf dem Raspberry Pi? Auf dem Pi-hole sollte eigentlich nur Raspbian Stretch Lite drauf. Dann wird die Pi-hole Software installiert und optional noch der Rekursive DNS-Server Unbound.
Lassen wir den Unbound mal außen vor, dann wählst im Pi-hole einfach nur ein oder mehrere Upstream DNS-Server aus. Fertig. Falls der Unbound auch installiert ist, dann musst Du natürlich die Localhost-IP 127.0.0.1 mit dem Port 5353 als „Custom 1“ eintragen:
Im UniFi-Controller (Einstellungen > Netzwerke) trägst Du für jedes Netzwerk (LAN) bzw. VLAN als DHCP-Namensserver (Auswahl „Manuell“) die IP-Adresse des Pi-hole ein. Ich habe das bei mir auch für das WAN gemacht.
Damit sollte das eigentlich reibungslos funktionieren. Vielleicht schaust Du auch mal etwas genauer ins Query-Log ob da irgendetwas Verdächtiges erkennbar ist.
Marcus Igelmund
9. Dezember 2018, 17:41 Uhr
Danke für die schnelle Antwort !
Jetzt ist meine Speicherkarte kaputt gegangen. Sobald ich eine neue habe, versuche ich es direkt nochmal.
Christian Preiß
9. Dezember 2018, 19:11 Uhr
Ich habe an meinem Raspi eine 2. Netzwerkschnittstelle dran, Usb -> ETH. Daran hängt das lokale Netz. Am Eth0 der Router. Warum? Weil ich mit TC den Traffic beschränken möchte. Installiere ich pihole zuerst, kann ich kein NAT mehr einrichten. Erstelle ich zuerst NAT und konfiguriere DNSMASQ, kann ich anschließend pihole nicht mehr installieren.
Ich möchte wenn möglich nur einen RPI laufen haben, nicht 2.
Thomas Mielke
www.mielke.de
9. Dezember 2018, 19:50 Uhr
@Marcus: Nimm eine vernünftige SD-Karte und keine billige No-Name Karte. Oder besser direkt eine kleine 16GB-SSD. Die gibts auch schon für 15 Euro und damit kaum teuer als eine SD-Karte. Eine SSD ist deutlich ausfallsicherer und natürlich auch etwas schneller als eine SD-Karte.
Thomas Mielke
www.mielke.de
9. Dezember 2018, 19:55 Uhr
@Christian: Mir ist nicht ganz klar, warum Du dafür zwei Netzwerkschnittstellen benötigst? Ich habe hier auch mehrere Netze/VLANs mit unterschiedlichen Beschränkungen. Und die nutzen alle den Pi-hole, denn dieser ist Teil des Management-LANs. Traffic-Beschränkungen könnte ich über den Router, bzw. mein UniFi-System umsetzen. Da hat der Pi-hole nichts mit zu tun, denn der ist ja ein DNS-Server und kein Router oder Sonstiges. DHCP mache ich natürlich auch über UniFi und nicht über den Pi-hole, denn mehrere Netze/VLANs kann der ja auch gar nicht verwalten.
Christian Preiß
9. Dezember 2018, 20:52 Uhr
@Thomas
es gab mal in der Zeitschrift für Computertechnik einen Artikel wie man den Traffic Richtung WAN mit einem RPI und dem Programm TC drosseln kann. Wir teilen uns mit mehreren einen UMTS Datentarif, und manche Seiten laden ja mal eben nen Film mit.
Mit DNSMASQ sind bereits etliche Seiten, gerade Update und Cloud Adressen gesperrt, es sollte aber auch Werbung raus.
Also auf nem 2. RPI pihole drauf und läuft.
Nun fängt aber der Brems-PI an zu mucken mit der Stromversorgung, einer von den ersten. Da kam die Idee auf, beides au einem Pi ans laufen zu bekommen. Nur find ich keine Einstellung am Pihole, daß eht1 gefiltert nach eth0 weitergereicht wird.
Thomas Mielke
www.mielke.de
9. Dezember 2018, 21:07 Uhr
@Christian: Ah ok, jetzt verstehe ich worum es geht. Das heißt der RasPi mit dem TC hängt am WAN-Port, also vor dem dem Router? Der Pi-hole gehört ja eigentlich ins LAN, also hinter den Router. Ich glaube genau da liegt das Problem. Und ich vermute, dass Du das nicht mit nur einem RasPi hinbekommen wirst...
Marcus Igelmund
10. Dezember 2018, 09:38 Uhr
Guten Morgen.
Meinst du eine SSD Festplatte an USB ? Oder gibt es auch ssd Speicherkarten ?
Bin was Radpberry und SSD‘s angeht.
Thomas Mielke
www.mielke.de
10. Dezember 2018, 09:39 Uhr
@Marcus: Ja genau, am USB-Port. Du brauchst dann noch einen USB-SATA-Adapter. Einen Raspberry Pi 3B(+) kannst Du dann direkt davon booten. Du kannst das NOOBS-Image direkt auf die SSD kopieren und auf die SD-Karte verzichten.
Marcus Igelmund
10. Dezember 2018, 09:42 Uhr
Wollte mir eigentlich eine schnelle 32 gb sd Karte kaufen, da ich auf dem Pi zusätzlich noch eine homebrdige App installieren wollte. Bekomme demnächst Lampen, die ich darüber steuern möchte.
Thomas Mielke
www.mielke.de
10. Dezember 2018, 09:43 Uhr
@Marcus: Dann nimm in der Tat besser eine SSD. Die ist auf jeden Fall schneller als eine SD-Karte. Und wie gesagt betriebssicherer.
Marcus Igelmund
10. Dezember 2018, 12:12 Uhr
Habe mir jetzt mal 2 SSD‘s besorgt. Schafft der Pi das mit der Stromversorgung über usb für die Platte ?
Die 2. Platte ist für einen anderen Pi, den ich u.a. Als Internetradio in einer Kiste mit Boxen, Verstärker und 5“Touch Display einbauen möchte.
Vielen Dank nochmal
Thomas Mielke
www.mielke.de
10. Dezember 2018, 12:26 Uhr
@Marcus: Eine SSD braucht ja im Gegensatz zu einer HDD nicht so viel Strom. Ich habe hier aktuell vier RasPis laufen. Drei davon mit SSD. Die hängen alle zusammen an einem 60W-6-Port-Anker Netzteil. Das läuft problemlos.
Marcus Igelmund
12. Dezember 2018, 11:42 Uhr
Guten Morgen,
Habe jetzt meinen Pi neu aufgesetzt und Pi hole installiert habe die IP des Pi‘s in den UNIFI Einstellungen für LAN und WAN geändert. Alles funktioniert reibungslos. Bis auf eine Sache:
Wenn ich zum Beispiel Katzenfutter bei Google Suche kommt folgende Fehlermeldung:
Seite kann nicht geöffnet werden, da Safari keine Verbindung zum Server aufbauen konnte.
Folgende Seite sollte aufgerufen werden:
[...]
Alles was mit www.googleadservices.com anfängt wird blockiert.
Hast du einen Tip für mich, wie ich die Seiten trotzdem aufrufen kann? Mir ist das egal. Aber meine Frau verzweifelt gerade daran.
Vielen Dank !
Thomas Mielke
www.mielke.de
12. Dezember 2018, 12:34 Uhr
@Marcus: Dafür ist doch die Whitelist da. Einfach die Domain dort eintragen und fertig. In den Blocklisten stehen halt auch viele Domains drin, die man manchmal trotzdem nutzen möchte oder muss. Und das lässt sich dann eben über die Whitelist lösen.
Marcus Igelmund
12. Dezember 2018, 12:50 Uhr
Vielen Dank. Läuft jetzt reibungslos.
Markus
17. Dezember 2018, 10:52 Uhr
Hallo Thomas
Vielen Dank für die super Anleitung! Auch mit den Angaben daraus habe ich Pi-hole aufgesetzt und in Betrieb genommen.
Ich nutze Pi-hole auf einem Raspberry in meinem Home-Netzwerk. Ich nutze sonst auch die Hardware von Ubiquiti (USG, Switch, AccessPoints).
Macht es aus deiner Sicht Sinn, auf dem Raspberry noch die Firewall zu aktivieren resp. alles via iptables zu «konfigurieren»?
Thomas Mielke
www.mielke.de
17. Dezember 2018, 10:55 Uhr
@Markus: Wenn sich der Pi-hole im lokalen Netz, also hinter der Firewall befindet und auch nur im lokalen Netz erreichbar ist, benötigt dieser nicht noch eine eigene Firewall.
Mathias
19. Dezember 2018, 14:51 Uhr
Hallo,
danke der Anleitung habe ich viele der Domains mittlerweile in die USG direkt eingetragen. (Falls der Raspi mal ausfällt) man kann ja gut beobachten was so immer aufgerufen wird bzw. was man selbst Blockiert.
Interessant ist es auf jedenfall zu sehen wie Entwickler / Hersteller versuchen Persönliche Daten teils, Unverschlüsselt ins Netz zu senden.
Ich hatte 2 Amcrest Cameras, und nachdem ich festgestellt hab das diese aller 10s versuchen ins Netz zu gehen habe ich mal geschaut was diese so senden..
Kurz gesagt ich habe alle eingerichteten User + die Passwörter im Klartext im Log gehabt..
Danach habe ich mal ein wenig übertrieben, aber es gibt doch so Dinge die auch ohne DNS ins Netz senden, bzw. es Versuchten.
Konfiguration derzeit Fritzbox danach für einige zeit über 2 der 4 Ports der NAS eine VM mit PFsense, und dann die USG.
Die USG arbeitet Sauber, aber dadurch hab ich noch gesehen was so unser Blueray Player von Samsung ins Netz senden... nun darf er nur noch Netzflix, Amazon und Youtube.
Danke für die Anleitung..
Paua
22. Dezember 2018, 21:54 Uhr
Hi Marcus,
wunderbare Sache mit dem pi-hole. Mal eine Frage. Habe Unbound installiert und die lokale DNS Adresse in pi-hole Menü eingetragen. Soweit so gut. Auf meinem Rechner funktionierten auch alle aufgerufene Websites. Aber auf meinem Telefon konnte ich weder Websites öffnen noch haben sich die Apps wie gewohnt aufgebaut.
Hast du eine Ahnung woran das liegen kann?
Gruß
Paua
Thomas Mielke
www.mielke.de
23. Dezember 2018, 01:04 Uhr
@Paua: Bekommt Dein Telefon denn vom Router per DHCP die IP-Adresse des Pi-hole als DNS-Server übermittelt?
Ludger Rottmann
23. Dezember 2018, 12:57 Uhr
Hallo, ich habe ein Problem bei der Konfiguration meines Netzwerkes.
Aufbau Netzwerk: Router Genexis als DHCP-Server und daran angekoppelt eine Fritz 3490 als Client.
Konfiguration Fritzbox:
Vorhandene Internetverbindung mitbenutzen; IP Manuell festgelegt¸ Standard –Gateway ist der Genexis Router; bei Primärem DNS IP-Adresse Pi-Hole eingetragen, sekundäre frei gelassen; W-Lan ist aktiv.
Der Pi-Hole funktioniert einwandfrei, aber leider nur dann, wenn ich auf meinem PC an der Netzwerkkarte die DNS- Einstellungen IPV4 auf die Pi-Hole-Adresse einstelle. Bei den über WLAN angeschlossenen Geräten (Smartphone) findet kein Blocken statt.
Habe schon vieles ausprobiert, aber ich komme nicht weiter. Der Pi-Hole sollte so funktionieren, dass er für alle Geräte blockt.
Thomas Mielke
www.mielke.de
23. Dezember 2018, 15:46 Uhr
@Ludger: Normalerweise sollten per DHCP verbundene Geräte automatisch vom Router den DNS-Server mitgeteilt bekommen. Damit die FritzBox das macht, muss die IP-Adresse des Pi-hole hier eingetragen werden:
Dann sollten eigentlich alle Clients den Pi-hole verwenden.
Ludger Rottmann
23. Dezember 2018, 19:37 Uhr
@Thomas,
ich verstehe deinen Hinweis nicht.
Die IP des Pi-Hole ist sowohl in der FritzBox als auch am Genexis Router eingetragen.
Thomas Mielke
www.mielke.de
24. Dezember 2018, 11:15 Uhr
@Ludger: In der Regel gibt es zwei Möglichkeiten, im Router den DNS-Server einzutragen. Einmal für den Router selbst und einmal für die Clients (PC, Smartphone, etc.), so dass diese den DNS-Server per DHCP übermittelt bekommen. Ich vermute hier liegt Dein Problem. Schau doch mal am Client, welcher DNS-Server vom Router übermittelt wurde. Beim Client muss dort die IP-Adresse des Pi-hole stehen. Nicht die vom Router oder Sonstiges.
Max
buyzero.de
1. Januar 2019, 13:26 Uhr
Sehr interessanter Artikel, und ich bewundere wie Sie geduldig Support im Namen einer guten Sache (Erhöhung der Privatsphäre und Werbeblockade) leisten. Ich werde jetzt Ihren Artikel über Ubiquity lesen.
Ein gutes Neues Jahr 2019!
Florian
3. Januar 2019, 09:18 Uhr
Hey, eigentlich ist dies doch so etwas wie der eBlocker, mit dem ich mich beschäftigt hatte. Ich hatte mir dazu einen BananaPi aufgesetzt. Ich habe ihn letztendlich nicht mehr, da sich der Aufbau der Internetseiten dadurch verlangsamte. Auch musste ich ständig neue Regeln erstellen, da ansonsten Internet-Banking und weitere Seiten nicht funktionierten. Ich weiß noch, dass von verschiedenen Inet Seiten wie z.B. Kleinanzeigen die Meldung "Keine Werbung ist auch keine Lösung" ausgespuckt wurde. Kanntest Du den eBlocker, bevor Du Dich mit PiHole beschäftigst hast? Beeinträchtigt PiHole das "Surfvergnügen"? Gruß Florian
Thomas Mielke
www.mielke.de
3. Januar 2019, 11:53 Uhr
@Florian: Habe mir den eBlocker gerade mal angesehen. Das scheint so eine Art kommerzielle Variante des Pi-hole zu sein. Allerdings fungiert dieser wohl eher wie ein Proxy-Server, das heißt der gesamte Traffic läuft über den eBlocker. Und das kann natürlich auch mal zum Flaschenhals werden, wenn viele Devices im lokalen Netz hängen.
Der Pi-hole ist ein reiner DNS-Server. Das heißt, der Traffic läuft nicht über den Pi-hole, sondern ganz normal über den Router. Der Pi-hole übernimmt also lediglich die Namensauflösung, die im Normalfall über den DNS-Server des Providers oder einen der öffentlichen DNS-Server wie Google-DNS oder Cloudflare-DNS passiert.
Performance-Einbußen konnte ich bisher nicht feststellen – ganz im Gegenteil. Ich habe hier 40-50 Geräte im lokalen Netz hängen, von denen die meisten ständig versuchen, irgendeine Adresse aufzurufen, also eine DNS-Auflösungen benötigen. Das schafft der Pi-hole aber locker. Auf meiner Blocklist sind aktuell ca. 3,5 Millionen (!) Adressen, in der Whitelist befinden sich keine 100 Adressen. Und es kommt wirklich sehr selten vor, dass ich da etwas eintragen muss.
Florian
4. Januar 2019, 09:29 Uhr
Ja, Du hast recht. Der eBlocker fungiert quasi als "Man-In-The-Middle". 3,5 Mio. geblockte Adressen sind erschreckend. Wie viele Geräte sich letztendlich in meinem Netzwerk befinden, kann ich gar nicht genau sagen, aber es dürften so ca. 40-50 sein, davon sind einige auch LED-Controller. Da kommen bestimmt auch viele ungewollte Anfragen zustande. Wenn ich mal Zeit und Lust habe, werde ich mich dem Thema wieder annehmen und einen neuen Versuch mit Pi-Hole starten. Im Moment möchte ich erstmal mein W-Lan hier á la Ubiquiti verbessern. Du hast ja dazu bereits einen sehr guten Artikel verfasst.
Sven
6. Januar 2019, 20:32 Uhr
Hallo Thomas,
ich habe nach deiner Anleitung pihole auf meinem odroid C2 aufgesetzt und bin begeistert. Vielen Dank dafür!
Ich habe heute versucht auch unbound einzurichten allerdings habe ich hier noch einen Knoten im Kopf.
Meine Konfig (aktuell ohne unbound):
Internet >> Zugangsdaten >> Vom Internetanbieter zugewiesene DNS Server verwenden
Heimnetz >> Netzwerk >> IP des odroid
Heimnetz >> Netzwerk >> IPv4 Adressen >> Lokaler DNS Server >> IP des odroid
pihole Web-IF >> Settings >> DNS >> Upstream DNS Servers >> 192.168.178.1#53
Status:
- Ich sehe im pihole Web-IF Query Log das geblockt oder weitergeleitet werden
- percentage blocked liegt bei 0,5%
- Domains on Blocklist 136.453
- nslookup auf lokale Addressen funktioniert
Fragen:
1) unbound wurde nach Anleitung (https://docs.pi-hole.net/guides/unbound/) installiert. Wenn ich nun 192.168.178.1#53 durch 127.0.0.1#5353 als Upstream Server ersetze funktioniert die lokale Namensauflösung nicht mehr.
Wie auch denn, unbound kennt keine public DNS, in pihole ist nur 127.0.0.1#5353 konfiguriert und auch in der lokalen /etc/resolv.conf steht 127.0.0.1 (also kein Verweis auf die Fritzbox, die die public Server kennt). Für mein Verständnis fehlt hier der Kommunikationswegs nach außen und weil unbound die Fritzbox nicht kennt kann auch die lokale Namensauflösung nicht funktionieren. Wie hast Du das gelöst, oder wo ist mein Denkfehler?
2) Du schreibst Du hast mehrere Millionen Addressen auf der Blocklist. Bei mir ist die Zahl deutlich geringer obwohl ich nach Anleitung die Listen von https://firebog.net hinzugenommen habe. Wird die Blockliste vielleicht dynamisch erweitert mit der Laufzeit, oder wie kommt diese starke Abweichung zu stande?
Bin für jeden Tipp dankbar.
Vielen Grüße, Sven
Thomas Mielke
www.mielke.de
6. Januar 2019, 20:36 Uhr
@Sven: Wenn Du unbound installierst, dann musst Du an Deiner Router-Konfiguration nichts ändern. Der DNS-Server (also der Pi-hole) bleibt ja für das lokale Netz unverändert. Durch den Einsatz von unbound muss lediglich der Upstream-Server in der Pi-hole Konfiguration auf 127.0.0.1#5353 geändert werden.
Die lokale Namensauflösung (Ich nehme an, Du meist damit die Namen Deiner Devices im lokalen Netzwerk) funktioniert mit dem Pi-hole so nicht. Du musst entweder den DHCP-Server des Pi-hole verwenden und DHCP-Server der FritzBox deaktivieren, oder Deine lokalen Geräte auf dem Pi-hole in der /etc/hosts eintragen. Letzteres dürfte der sinnvollere Weg sein. So habe ich das auch gemacht.
Bezüglich der Blocklisten: Ich sollte die Tage mal meinen Blog-Artikel erweitern. Da sind bei mir in der Tat in der letzten Zeit noch ein paar Listen dazu gekommen.
Stefan
7. Januar 2019, 09:11 Uhr
Kurze Frage. Gibt es eine Möglichkeit das Du Deine Filterliste zur Verfügung stellst und erklärst wie man die dann übernehmen kann ? Der Vorteil für mich wäre das ich eine verbesserte Filterliste hätte.
Tolle Seite.
Lg Stefan
Thomas Mielke
www.mielke.de
7. Januar 2019, 09:13 Uhr
@Stefan: Ich habe keine „eigenen“ Listen. Das wäre ja auch viel zu aufwendig, diese zu pflegen. Aber ich werde die Tage mal oben im Artikel ergänzen, welche externen Listen ich verwende. Diese Listen werden ja regelmäßig aktualisiert und der Pi-hole holt sich regelmäßig die Updates.
Sven
7. Januar 2019, 09:50 Uhr
Hallo Thomas,
ich werde unbound nächstes WE noch ne Chance geben und mich bis dahin nochmal einlesen. Zu den Listen:
Wenn ich Listen hinzufüge werden die URLs zum Teil bereits durch die standard pihole Blocklist geblockt. Z.B. https://raw.githubusercontent.com/...../hosts
Ich habe als workaround die URL temporär auf die whitelist genommen, ein Update der Blocklist durchgeführt und dann anschliessend https://raw.githubusercontent.com wieder aus der whitelist entfernt.
Ist das so gewollt oder hab ich was überlesen?
Gruss Sven
Thomas Mielke
www.mielke.de
7. Januar 2019, 10:02 Uhr
@Sven: Grundsätzlich kannst Du so viele Blocklists eintragen wie Du möchtest. Dabei kommt es natürlich vor, dass es in den Blocklisten Duplikate gibt. Das ist aber egal, da der Pi-hole diese alle in seiner Datenbank zusammengefasst. Schau mal auf der Konsole, was da ausgegeben wird, wenn Du die Listen aktualisierst:
Da werden zunächst alle eingetragenen Blocklists heruntergeladen und anschließend werden diese zu einer Liste zusammengefasst, bei der Duplikate gefiltert werden:
Wie Du sehen kannst, befinden sich in meinen Listen aktuell theoretisch 5,7 Millionen Domains, nach dem Zusammenfassen sind es aber nur noch 3,5 Millionen.
FranG
18. Januar 2019, 15:03 Uhr
Hallo Thomas,
vielen Dank für deine tolle Anleitung. Klappt soweit alles bis auf lokale Namensauflösung die funktioniert nicht. Habe in etc/hosts und/oder in der local.list meine lokalen Namen eingetragen wie z.b fritz.box. Wird aber leider nicht mehr erkannt. Weiß an dieser Stelle nicht weiter. Desweiteren würde mich interessieren, wie du die Majestic Million CSV in pihole eingetragen hast?
Viele Grüße Franjo
Thomas Mielke
www.mielke.de
18. Januar 2019, 15:32 Uhr
@FranG: Die Namen/Hostnames der lokalen Geräte gehören in die „/etc/hosts“. Soweit hast Du das richtig gemacht. Wenn keine Fehler in der Datei sind, sollte das eigentlich genauso funktionieren. Den DHCP-Server des Pi-hole hast Du aber deaktiviert, das heißt Deine FritzBox ist weiterhin der DHCP-Server?
Den Link zu Majestic Million CSV findest Du auf der verlinkten Seite. Die URL trägst Du im Webinterface des Pi-hole einfach bei den Blocklists ein (Settings > Blocklists). Nach Save and Update kann es aber etwas dauern, bis der Pi-hole die Liste in die Datenbank übernommen hat. Die Liste ist halt sehr groß.
FranG
18. Januar 2019, 19:18 Uhr
Okay. Probiere ich aus. FritzBox ist nach wie vor DHCP-Server.
Liegt es vielleicht daran, daß ich ip6 aktiviert habe?
Die hosts Datei sieht bei mir so aus:
127.0.0.1 localhost
::1 localhost ip6-localhost ip6-loopback
ff02::1 ip6-allnodes
ff02::2 ip6-allrouters
127.0.1.1 raspberrypi
Ist hier etwas falsch?
Thomas Mielke
www.mielke.de
18. Januar 2019, 19:52 Uhr
@FranG: Die Frage ist zunächst, ob Du IPv6 benötigst, oder nicht. Wenn nicht, dann würde das deaktivieren.
Deine hosts-Datei ist vermutlich nicht richtig. Die 127er-Adressen sind immer lokale Adressen, also die interne Adresse des Gerätes selber (localhost). Dein Pi-hole hat also intern die 127.0.0.1 und extern eine andere Adresse. Vermutlich eine 192.168.1.x, die vom DHCP-Server der FritzBox zugewiesen wurde. Allerdings sollte der Pi-hole besser eine statische Adresse haben. Diese muss dann aber auch im Adressbereich 192.168.1.x sein. Die ersten vier Zeilen lässt Du aber am besten unverändert, weil das eben die Localhost-Standard-Adressen sind.
Deine FritzBox hat vermutlich die 192.168.1.1, also muss diese in der hosts-Datei auf dem Pi-hole entsprechend eingetragen werden:
Deine anderen Geräte im Netz haben ebenso Adressen aus diesem IP-Bereich. Also kannst Du diese ebenfalls in der hosts-Datei eintragen. z.B:
Du trägst also alle Geräte aus Deinem lokalen Netz dort ein, die Du im Query-Log Deines Pi-hole mit Namen sehen willst. Am einfachsten schaust Du einfach in die Übersicht der verbundenen Clients Deiner FritzBox. Dort sind ja alle Geräte mit ihren IP-Adressen aufgeführt.
FanG
18. Januar 2019, 20:02 Uhr
Import der Liste hat geklappt. ;-) Das Format csv hatte mich ein wenig zögern lassen. Da die anderen Listen im txt Format sind.
Thomas Mielke
www.mielke.de
18. Januar 2019, 20:13 Uhr
@FanG: Es gibt verschiedene Formate für die Blocklists. Wenn der Pi-hole die nicht mag, dann wird der Dir das schon sagen ;-)
FanG
19. Januar 2019, 20:02 Uhr
Hallo Thomas, jetzt sehe im Quer-Log die Namen die ich sehen will. Gibt es eine Möglichkeit das ich im Browser für eine spezielle IP auch einen Name vergebe und dann wird die Seite geöffnet? Bzw. kann ich das auf einem Mac dort auch mit der lokalen hosts Datei machen?
Grüße Franjo
FanG
19. Januar 2019, 20:07 Uhr
Die Majestic Million CSV habe ich deaktiviert. Mein PI3 hatte einen belegten Speicher von 90 % und irgendwann ging Phiole nicht mehr. Ich musste mehrere male einen Reboot durchführen. Nach deaktivieren der Liste läuft er wieder 73% Speicherbelegung. Habe eine 32GB SD Karte. Würde eine SSD helfen?
Thomas Mielke
www.mielke.de
19. Januar 2019, 20:13 Uhr
@FanG: Ja, das geht, denn das ist ja eigentlich der Sinn der hosts-Datei. Der Pi-hole bezieht die Daten aus der hosts-Datei ja in seine Abfrage mit ein. Diese haben auch eine höhere Priorität als die Abfrage bei einem Upstream-Server. Du kannst dort auch externe Domains eintragen und diese so an eine andere IP-Adresse lokale oder externe Adresse umleiten. Schau Dir mal meinen anderen Artikel zum Pi-hole an. Dort habe ich ein paar Szenarios beschrieben.
Wenn Du Deinen lokalen Geräten einen Namen gibst, solltest Du aber am besten immer eine Dummy-TLD mit angeben. Also z.B. nicht nur „mein-computer“ sondern besser „mein-computer.local“. Andernfalls wird Dich Dein Browser vermutlich direkt an Google weiterleiten, da dieser die Eingabe als Suchbegriff identifiziert.
Ich setze zwar eine SSD anstatt einer SD-Karte ein, aber ich glaube nicht, dass das in dem Fall einen Unterschied macht. Die SSD verwende ich erste Linie, weil diese betriebssicherer als eine SD-Karte ist. Ich setze den aktuellen 3B+ ein. Der kommt mit der Datenmenge gut zurecht. Lediglich das Update der Blocklisten zwingt ihn etwas in die Knie. Aber das macht der ja in der Regel nur irgendwann Nachts. Im normalen Betrieb läuft der sehr performant, auch wenn der Speicher (RAM) bei mir auch immer bei 70-75% liegt. Die Load liegt im Bereich zwischen 0,3 und 0,5. Das ist aber alles im grünen Bereich. Zuletzt habe ich Pi-hole vor knapp zwei Monaten neu gestartet, weil ich im Serverschrank etwas umgebaut habe. Seitdem läuft der durch.
Ich weiß nicht welchen Pi Du einsetzt. Der aktuelle Pi3B+ hat schon eine ordentliche Performance. Der Unterschied zu den älteren Pi-Modellen ist auf jeden Fall spürbar. Ich habe hier auch noch ein Vorgängermodell, das ist deutlich langsamer.
FanG
25. Januar 2019, 22:46 Uhr
Hallo Thomas,
vielen Dank für deine Hilfe. Hat jetzt alles geklappt mit den host-Dateien.
Die Majestic Million CSV habe ich nach wie vor deaktiviert. Mein Pi ist ein 3B.
Viele Grüße
FanG
25. Januar 2019, 22:48 Uhr
Habe jetzt noch piVPN installiert, dann hat man auf dem Handy auch keine Werbung mehr.
Thomas Mielke
www.mielke.de
25. Januar 2019, 23:39 Uhr
@FanG: Prima, dass das jetzt bei Dir geklappt hat. Ich denke, Du wirst auch die Majestic Million CSV gut klar kommen. Die „wichtigsten“ Adressen sind ja in den anderen Liste ohnehin schon vorhanden.
FanG
26. Januar 2019, 16:03 Uhr
Hallo Thomas, mich würde interessieren welche Software du für Voice over IP in deinem Netzwerk benutzt.
Thomas Mielke
www.mielke.de
26. Januar 2019, 18:53 Uhr
@FanG: Keine Software. Ich habe SIP-Telefone, die an einer Cloud-Telefonanlage hängen.
Thorsten
31. Januar 2019, 11:27 Uhr
Hallo Zusammen, habt Ihr auch ab und an Probleme mit eurem Dect-Telefon? Seit der Pi-Hole läuft kommt es ein mal im Monat vor, dass keine Anrufe ankommen oder rausgehen.
Thomas Mielke
www.mielke.de
31. Januar 2019, 11:28 Uhr
@Thorsten: Was sollte das mit dem Pi-hole zu tun haben? Das DECT-Telefon hängt ja an der DECT-Basis. Die wiederum hängt an einem Telefonanschluss. Heutzutage ist die Basis allerdings häufig eine FritzBox und die ist mit einem SIP-Anschluss verbunden. Wenn es damit also Probleme gibt, dann liegt das vermutlich eher am SIP-Anbieter oder an Portfreigaben, etc.
Das hat aber alles nichts mit dem Pi-hole zu tun. Der Pi-hole ist ja reiner DNS-Server. Das bedeutet, er löst die IP-Adresse zu der Domain-Adresse der SIP-Servers auf. Diese ist aber fest definiert, ändert sich also eigentlich nicht ohne Vorankündigung des SIP-Anbieters.
Du kannst natürlich mal ins Query-Log Deines Pi-hole schauen, ob da eine Adresse Deines SIP-Anbieters geblockt wird. Ich gehe aber davon aus, dass das nicht der Fall ist. Denn das wäre ja sonst immer der Fall. Im Zweifel kannst Du die Adresse(n) des SIP-Servers bzw. des STUN-Servers ja auch in die Whitelist eintragen.
Torsten
1. Februar 2019, 17:37 Uhr
Moin Thomas,
im Grunde ist mir das alles klar, aber ich bin heute verzweifelt, weil ich es nicht hinbekommen.
Am Gastzugang der Fritzbox hängt das USG mit WAN-IP 192.168.178.20. Die LAN-IP des USG ist 192.168.1.1. Der Unifi-Controller hat die 192.168.1.2. Alles funktioniert und die Clients kommen über die Unifi-APs mit einer 192.168.1er IP ins Web.
In dem Moment, wo ich Pi-Hole installiere, kommt der Controller nicht mehr ins Internet, die Clients schon. In der DHCPCD.CONF steht die 192.168.1.2 als eigene Adresse und als Gateway und Nameserver die 192.168.1.1. Ich kann keine externe Domain pingen, wohl aber IPs, z.B. 8.8.8.8.
Wenn ich in den DHCP-Einstellungen vom Unifi-Controller den Nameserver 192.168.1.2 (der Controller selbst mit Pi-Hole) konfiguriere, komme ich weiterhin nicht raus (logisch, weil fix), der Traffic der Clients wird aber auch nicht umgeleitet. Am Windows 10 Client im WLAN steht immer noch GW 192.168.1.1, trotz Neustart, De/Aktivierung WLAN.
Wo ist der Knackpunkt? Damit a) der Controller ins Web kommt (Updates, etc) und der Client ein anderes Gateway bekommt?
Danke.
Thomas Mielke
www.mielke.de
1. Februar 2019, 17:50 Uhr
@Torsten: Mir ist Dein Setup noch nicht ganz klar. Der USG hängt also am Gast-Port der FritzBox. Am USG ist vermutlich noch ein Switch, an dem wiederum die APs, der Controller (CloudKey?) und der Pi-hole hängen. Richtig?
Welche IP hat denn der Pi-hole? Dieser muss ja auch eine 192.168.1.x Adresse haben. Und genau diese IP-Adresse muss als Nameserver für jedes Netzwerk (Einstellungen -> Netzwerke) als DHCP-Nameserver eingetragen werden. Die Gateway-Adresse bleibt natürlich unverändert (192.168.1.1). Das ist eigentlich alles.
Torsten
2. Februar 2019, 07:40 Uhr
Moin,
genau so ist es.
An der Fritzbox hängt das USG (192.168.179.20/192.168.1.1). Am Unifi 8-PoE-Switch (192.168.1.10) hängen die APs, das USG und ein Raspberry Pi (192.168.1.2) mit dem Unifi-Controller. Auf dem Raspi hab ich jetzt noch Pi-Hole installiert.
Ergebnis: Raspi kommt nicht mehr ins Web und kann keine Blocklisten runterladen oder sich updaten. Die Clients an den APs kommen weiter ins Web.
In den Einstellungen des Unifi-Controllers hab ich 192.168.1.2 als DHCP-Name Server eingetragen. Während ich schreibe, hab ich gerade kapiert, dass sich das Gateway nicht ändert, klar. In der DHCPCD.CONF des Raspi muss also Gateway 192.168.1.1 stehen, wie es auch tut. Trotzdem keine Verbindung ins Web.
Irgendetwas muss sich bei der Installation von Pi-Hole verändert haben, dass der Raspi nicht mehr ins Web kommt bzw die Namensauflösung fehlschlägt, denn Pingen auf externe IPs geht. Vor der Installation von Pi-Hole bekam er eine statische IP über den Unifi-Controller, der auf ihm selbst installiert ist. Wer ist der Name Server für den Raspi und wo ist das konfiguriert, DHCPCD.CONF?
Danke.
Thomas Mielke
www.mielke.de
2. Februar 2019, 12:31 Uhr
@Torsten: Ah ok, verstehe. Das Problem ist in der Tat, dass der Controller und der Pi-hole auf dem gleichen RaspberryPi laufen und somit nach außen die gleiche IP-Adresse haben. Der Controller propagiert jetzt die 192.168.1.2 an alle Devices, müsste aber selber über localhost, also 127.0.0.1 auf dem Pi-hole zugreifen. Das müsste sich zwar über die hosts-Datei lösen lassen, aber ich würde den Pi-hole besser autark auf einem eigenen RasberryPi laufen lassen. Auch aus Performance-Gründen. Vermutlich wird Dir auch irgendwann die SD-Karte abrauchen, da würde ich dann aber zumindest auf eine kleine SSD wechseln.
Torsten
2. Februar 2019, 14:34 Uhr
So hat doch Pi-Hole selbst immer ein Problem, sich selbst zu aktualisieren, wenn wenn es nicht rauskommt, egal ob auf dem Raspi Unifi mit läuft oder nicht.
Wäre ein Eintrag in der DHCPCD.CONF für die feste IP mit "static domain_name_servers=127.0.0.1" nicht richtig? Muss ich mal probieren.
Ja, die Endurace der SD ist ein Problem. Bisher lief der Controller zweieinhalb Jahre problemlos und ich habe sicherheitshalber die Karte gerade getauscht.
Danke
Thomas Mielke
www.mielke.de
2. Februar 2019, 18:56 Uhr
@Torsten: Nein, der Pi-hole selber natürlich mit der Localhost-Adresse kein Problem. Der UniFi-Controller aber scheinbar. Den DHCP-Server auf dem Pi-hole hast Du aber deaktiviert, oder?
Mein Pi-hole hat in der dhcpcd.conf übrigens folgende Einträge:
10.0.0.254 ist mein Pi-hole und 10.0.0.1 ist mein USG. Eigentlich müsste das bei Dir auch so funktionieren.
Torsten
2. Februar 2019, 21:01 Uhr
Hmmm, ich habs jetzt.
Beim Testen viel mir auf, dass die Aussage "Clients funktionieren" so nicht stimmt. Wenn ich im Unifi-Controller (mit Pi-Hole) als Name Server
192.168.1.2 eintrage, kommen die Clients auch nicht raus.
Folgendes habe ich angepasst:
DHCPCD.CONF
static domain_name_servers=127.0.0.1,
damit der Raspi selbst über Pi-Hole DNS-Anfragen macht.
Unifi
DHCP Name Server auf 192.168.1.2
Da frage ich mich, ob ich für den Ausfall einen zweiten öffentlichen eintragen sollte.
Pi-Hole
Custom Upstream DNS 192.168.1.1
erst damit funktioniert es, dass Clients und Raspi rauskommen.
Bei den Tests sieht es jetzt so aus, dass beim Raspi im Browser die Blockmeldung kommt. Bei meinem Laptop, was über WLAN drin ist, meldet der Browser einen DNS-Fehler. Da stimmt also noch etwas nicht ganz, aber eigentlich ist mir die Meldung lieber, als die Blockmeldung :)
Danke
Maxim
3. Februar 2019, 16:56 Uhr
Hallo Thomas,
Danke für deine Beschreibung und die ganzen Tipps.
Leider fehlten mir ein wenig die Beschreibung zum installieren von Unbound und DNSCrypt 2.0. Das hatte ich erst in den ganzen Kommentaren gelesen, dass du das auch einsetzt.
Ich konnte mich nun aber durch die ganzen Beschreibungen, die es dazu bereits gibt, durchkämpfen und nun läuft der Raspi mit PiHole, Unbound und DNSCrypt. Jetzt stellt sich mir die frage, ob dass auch alles so funktioniert. Gefühlt würde ich sagen, dass die DNS Abfragen nun über DNSCrypt laufen und Unbound komplett übersprungen wird.
Ist das richtig das in die /etc/unbound/unbound.conf.d/*.conf folgendes eingetragen wird:
# You need this as no for dnscrypt-proxy to work
do-not-query-localhost: no
# Forward all queries to specified servers
forward-zone:
name: "."
forward-addr: 127.0.0.1@*PortNummer von DNSCrypt*
Kann man das nun irgendwie testen, ob Onbound auch mit einbezogen wird?
Thomas Mielke
www.mielke.de
3. Februar 2019, 17:06 Uhr
@Torsten: Bei den Upstream-Servern solltest Du aber nicht den Router sondern eine echten Upstream-Server (Google, Cloudflare, etc.) verwenden.
Thomas Mielke
www.mielke.de
3. Februar 2019, 17:08 Uhr
@Maxim: Zunächst musst Du sicherstellen, dass Dein lokales Netz den Pi-hole als DNS-Server verwendet. Davon gehe aus. Beim Pi-hole musst Du alle vorkonfigurierten Upstream-Server deaktivieren und lediglich 127.0.0.1#5353 eintragen. Der Unbound muss dazu natürlich in der /etc/unbound/unbound.conf.d/pi-hole.conf korrekt auf Port 5353 laufen.
Den Unbound und die korrekte Funktion von DNScrypt kannst Du einfach über folgende Befehle testen:
In der Ausgabe des ersten Befehls sollte SERVFAIL auftauchen, in der zweiten NOERROR. Wenn das so passt, dann solltest Du alles korrekt eingerichtet haben.
Maxim
3. Februar 2019, 18:19 Uhr
@Thomas: Ich glaube ich habe mir die Frage gerade selber beantwortet. mich wunderte es, dass die Ausgabe von "dig sigok.verteiltesysteme.net @127.0.0.1 -p 5353" ohne DNScrypt so war:
;; QUESTION SECTION:
;sigok.verteiltesysteme.net. IN A
;; ANSWER SECTION:
sigok.verteiltesysteme.net. 2747 IN A 134.91.78.139
;; AUTHORITY SECTION:
verteiltesysteme.net. 2747 IN NS ns2.verteiltesysteme.net.
verteiltesysteme.net. 2747 IN NS ns1.verteiltesysteme.net.
;; ADDITIONAL SECTION:
ns1.verteiltesysteme.net. 2747 IN A 134.91.78.139
ns1.verteiltesysteme.net. 2747 IN AAAA 2001:638:501:8efc::139
ns2.verteiltesysteme.net. 2747 IN A 134.91.78.141
ns2.verteiltesysteme.net. 2747 IN AAAA 2001:638:501:8efc::141
mit DNScrypt aber nun so aussieht:
;; QUESTION SECTION:
;sigok.verteiltesysteme.net. IN A
;; ANSWER SECTION:
sigok.verteiltesysteme.net. 1417 IN A 134.91.78.139
Beides endet mit NOERROR. Ich vermute das liegt aber daran, dass ich bei DNScrypt nur den einen DNS Server "dnscrypt.nl-ns0" eingetragen habe und vorher Unbound mehrer benutzt hat oder liegt das an etwas anderem?
Hast du eine liste mit DNS Servern die du empfiehlst und eventuell selber in Benutzung hast, die DNSSEC, DNSCrypt 2.0 und Unbound unterstützen?
Thomas Mielke
www.mielke.de
3. Februar 2019, 18:38 Uhr
@Maxim: Unbound benötigt keine weiteren DNS-Server. Unbound ist ein rekursiver DNS-Server, das bedeutet er fragt immer bei den Root-Servern und dann beim jeweiligen autoritativen DNS-Server der jeweiligen Domain nach. Du musst lediglich alle paar Wochen oder Monate mal die Liste der Root-Server aktualisieren. Die ändert sich ja nicht so häufig.
Das geht mit den folgenden Befehlen:
In der /etc/unbound/unbound.conf.d/pi-hole.conf muss diese Liste dann konfiguriert sein:
Pascal
4. Februar 2019, 07:55 Uhr
Moin zusammen,
ich habe am Wochenende meinen ersten Pihole in Betrieb genommen. Der funktioniert schon echt super. Derzeit nutze ich einen Pi2 B.
Ich bin aber auf eine kleine Hürde gestoßen. Die Maxdome-App im SmartTV funktioniert seit der Inbetriebnahme des Pihole nicht mehr. Kurioserweise die Maxdome-App auf dem Smartphone wunderbar.
Deaktiviere ich den Pihole funktioniert alles tadellos.
Thomas Mielke
www.mielke.de
4. Februar 2019, 08:13 Uhr
@Pascal: Schau doch einfach mal ins Query-Log Deines Pi-hole. Eventuell musst Du da eine Domain auf die Whitelist packen.
Pascal
6. Februar 2019, 06:48 Uhr
@Thomas: Super, dass hat geklappt (bin noch Pihole Neuling)
Eine weiter Frage hatte sich mir gestern aufgetan: Derzeit liege ich bei "NUR" knapp 2,6 % geblockter Anfragen. Woran kann das liegen (es kommt mir ziemlich wenig vor)
Auf meiner Blockliste stehen über 1 millionen Domains.
Ich nutze die Fritzbox 7590 und derzeit 2 Repeater, alles zusammen als Mesh Netzwerk.
IPv6 ist an meinem Pihole aus...
Getestet habe ich die Funktion vom Pihole z.B über Websites wie "Bild.de" und co....Das Funktioniert alles super.
Thomas Mielke
www.mielke.de
6. Februar 2019, 08:05 Uhr
@Pascal: Wie Dein lokales Netz aufgebaut ist (Router, Repeater, Mesh, etc.) ist eigentlich völlig egal. Du musst nur sicherstellen, dass alle Geräte im lokalen Netz den Pi-hole als DNS-Server verwenden. Wenn Du Deinen Router richtig konfiguriert hast, sollte das bei DHCP-Geräten normalerweise automatisch der Fall sein. Falls Du Geräte mit einer festen IP-Adresse manuell konfiguriert hast und dort auch den DNS-Server eingestellt hast, dann musst Du diese Einstellung aber natürlich auf den Pi-hole anpassen.
Ob die Blockquote bei Dir zu niedrig ist, lässt sich schwer beurteilen. Das hängt ja auch davon ab, welche Geräte im Netz sind und was die so machen.
Pascal
6. Februar 2019, 08:58 Uhr
@Thomas,
lediglich der Pihole hat in meinem Netz eine feste IP. An der Fritzbox habe ich den Pihole als DNS Server zugewiesen (mehrfach, da die Fritzbox auch dieses DNS rebind Schutz hat)
Ich versuche heute abend einfach mal viel traffic zu erzeugen....vielleicht surfen wir ja nicht so viel auf Seiten die viel Werbung enthalten ;)
Thomas Mielke
www.mielke.de
6. Februar 2019, 08:59 Uhr
@Pascal: Schau einfach mal ins Query-Log, ob dort alle Geräte auftauchen, die sich bei Dir im lokalen Netz befinden.
maximal1981
9. Februar 2019, 13:01 Uhr
@Thomas: die Majestic Million CSV wird zwar in die gravity.list importiert, jedoch als reine TXT. Somit ergibt sich dort z.B. ein Eintrag wie:
743810,34349,vagifirm.net,net,474,541,vagifirm.net,net,-1,-1,-1,-1
dieser wird dann auch nicht geblockt, da pi-hole diese Zeile nicht umwandelt.
mfg maximal1981
Thomas Mielke
www.mielke.de
9. Februar 2019, 14:17 Uhr
@maximal1981: Hmm... Du hast Recht. Ich habe mir die /etc/pihole/gravity.list mal genauer angesehen. Die Majestic_Million.CSV wird da in der Tat einfach nur 1:1 rein kopiert. Ich bin immer davon ausgegangen, dass der Pi-hole die Dateien auch parst, also nur die Domains übernimmt. Oder eben eine Fehlermeldung ausgibt. Das ist aber wohl beides nicht der Fall...
Ich habe die Liste jetzt erstmal wieder deaktiviert und schaue mir mal an, wie man die Daten aus der Majestic_Million.CSV korrekt in die gravity.list übernehmen kann. Danke für den Hinweis!
Wolfgang
27. Februar 2019, 09:11 Uhr
Kurzer Hinweis, den PiHole gibt's auch für X86, samt Raspberry-Ubuntu. Das auf einem Lenovo Thincentre M73 (den Mini, gerade mal 15cm x 15cm groß) und schon sind alle Probleme mit Speicher und Strom oder Netzwerk obsolet. Das gute stück kostet vielleicht 100 Euro, also unwesentlich mehr wie ein Raspberry Pi... :)
Thomas Mielke
www.mielke.de
27. Februar 2019, 09:14 Uhr
@Wolfgang: Natürlich kann man den Pi-hole auch woanders installieren. Es gibt auch Anleitungen, wie man diesen in einem Synology-Docker installieren kann.
Swimbho
1. März 2019, 15:06 Uhr
Hallo habe pi-hole im Docker auf Synology laufen, da ich den NLnet Labs - Unbound für die Synology aber nicht finde wollte ich einen anderen Unbound DNS Server im Docker installieren, nur leider kriege ich das bei keinem angebotenen hin...
Hat jemand eventuell einen Unbound am laufen im DS Docker?
Wilhelm
8. März 2019, 09:18 Uhr
Eine Frage zum PIHOLE
ich hab in meiner Fritz Box 7590 als lokaler DNS-Server die feste IP des Pihole eingetragen, desweiteren unter REBIND-Schutz die IP-Adresse des Pihole ebenfalls. In den DNS-Einstellungen des PIHOLE als UPStream DSN-Servers Google und Cloud-Flare aktiviert. Die Felder rechts CUSTOM 1-4 habe ich freigelassen. Im Feld "use conditional forwarding" habe ich die ip-adresse der Fritz.box eingetragen.
Meine Frage nun: ist das alles richtig ? bin mir nämlich nicht ganz sicher
Gruß Wilhelm
Thomas Mielke
www.mielke.de
8. März 2019, 09:21 Uhr
@Wilhelm: Mit den genannten Einstellungen sollte das eigentlich alles korrekt funktionieren. Im Query-Log des Pi-hole kannst Du ja auch sehen, ob es funktioniert, also ob alle Geräte im lokalen Netz den Pi-hole verwenden.
Gerd
9. März 2019, 12:20 Uhr
Probleme mit unbound.
Pi-Hole zu instalieren hat gut funktioniert. Allerdings habe ich mit unbound Probleme. Ich habe unbound nach der Anleitung installiert. Wenn ich den Befehl:
dig pi-hole.net @127.0.0.1 -p 5353
eingeben, bekomme ich folgende Fehlermeldung:
; <<>> DiG 9.10.3-P4-Raspbian <<>> pi-hole.net @127.0.0.1 -p 5353
;; global options: +cmd
;; connection timed out; no servers could be reached
Was kann das sein? Ich habe mal die Suchmaschine bemüht und konnte dabei feststellen, dass dieser Fehler wohl auch schon bei anderen aufgetreten ist. Eine Lösung war nicht zu finden.
Thomas Mielke
www.mielke.de
9. März 2019, 12:36 Uhr
@Gerd: Hast Du die aktuelle root.hints Datei heruntergeladen? Ich vermute, der Unbound arbeitet nicht, weil er keine Liste der Root-Nameserver hat. Folgende Befehle sind dafür notwendig:
Gerd
10. März 2019, 11:24 Uhr
@Thomas Mielke
Ja habe ich runter geladen. Ich habe die Anleitung genau befolgt. Kann es sein, dass der Port 5353 belegt ist und ich einen anderen nutzen muss? Geht das überhaupt?
Thomas Mielke
www.mielke.de
10. März 2019, 11:44 Uhr
@Gerd: Der Unbound läuft aber, oder? Lass Dir mal den Status ausgeben:
Gerd
10. März 2019, 12:30 Uhr
Der Service startet nicht! Ich habe mal einen anderen Port genommen. Leider das gleiche Ergebnis. Den Privat Adressbereich hatte ich auf meine Fritzbox angepasst (192.168.178.1/30). Ansonsten alles so in der pi-hole.conf , wie vorgegeben, gelassen.
Thomas Mielke
www.mielke.de
10. März 2019, 12:40 Uhr
@Gerd: Ich denke nicht, dass es am Port liegt. Aber irgendetwas anderes ist in Deiner Konfiguration vermutlich falsch. Aber das kann ich vor hier aus schwer beurteilen...
Gerd
10. März 2019, 12:59 Uhr
Ich habe mal den status-code beigefügt. Vielleicht kannst du daraus etwas ersehen. Wenn nicht, dann muss ich halt auf unbound verzichten. Ich hatte zwischenzeitlich den raspberry komplett neu installiert und nur pi-hole und unbound drauf:
unbound.service - Unbound DNS server
Loaded: loaded (/lib/systemd/system/unbound.service; enabled; vendor preset: enabled)
Active: failed (Result: exit-code) since Sun 2019-03-10 12:43:49 CET; 11min ago
Docs: man:unbound(8)
Process: 3570 ExecStart=/usr/sbin/unbound -d $DAEMON_OPTS (code=exited, status=1/FAILURE)
Process: 3564 ExecStartPre=/usr/lib/unbound/package-helper root_trust_anchor_update (code=exited, status
Process: 3559 ExecStartPre=/usr/lib/unbound/package-helper chroot_setup (code=exited, status=0/SUCCESS)
Main PID: 3570 (code=exited, status=1/FAILURE)
Mär 10 12:43:48 raspberrypi systemd[1]: unbound.service: Failed with result 'exit-code'.
Mär 10 12:43:49 raspberrypi systemd[1]: unbound.service: Service hold-off time over, scheduling restart.
Mär 10 12:43:49 raspberrypi systemd[1]: Stopped Unbound DNS server.
Mär 10 12:43:49 raspberrypi systemd[1]: unbound.service: Start request repeated too quickly.
Mär 10 12:43:49 raspberrypi systemd[1]: Failed to start Unbound DNS server.
Mär 10 12:43:49 raspberrypi systemd[1]: unbound.service: Unit entered failed state.
Mär 10 12:43:49 raspberrypi systemd[1]: unbound.service: Failed with result 'exit-code'.
Thomas Mielke
www.mielke.de
10. März 2019, 17:07 Uhr
@Gerd: Hm. Deinstalliere den Unbound nochmal und versuche die Installation erneut. Oder prüfe nochmal die Konfiguration. Irgendwas passt da scheinbar nicht.
Gerd
11. März 2019, 08:00 Uhr
Ich habe das ganze System neu aufgesetzt und pi-hole sowie unbound installiert. Leider ohne Erfolg. Es erfolgt die gleiche Fehlermeldung. Ich lass es jetzt erst mal sein....
Swimbho
13. März 2019, 14:52 Uhr
Hi, habe heute nochmals den unbound auf dem Syno Docker installiert, eigentlich kriege ich das hin, nur startet er nicht weil ein Error erscheint, dass Port 53 schon belegt sei, konnte zwar nicht herausfinden von wem oder was, aber kann ich einfach einen anderen Port verwenden?
Thomas Mielke
www.mielke.de
13. März 2019, 14:53 Uhr
@Swimbho: Unbound kann nicht auf Port 53 laufen, weil dort ja bereits der Pi-hole läuft und im lokalen Netz für alle anderen Devices erreichbar sein muss. Port 53 ist der Default-Port für DNS. Daher sollte der Unbound auf Port 5353 laufen. Der Pi-hole ruft diesen dann direkt über den Port auf.
Swimbho
14. März 2019, 10:11 Uhr
@ThomasMielke: Ich bekomme folgenden Error beim Versuch zu starten...
ash-4.3# docker run
> --name unbound
> -v /volume1/docker/unbound:/opt/unbound/etc/unbound/
> --publish=5353:5353/tcp
> --publish=5353:5353/udp
> --restart=unless-stopped
> --detach=true
> mvance/unbound:latest
24d9e99bcc151801fae552a39d2edd4bfbfdd1444a4d6070fafb04b556e7e82e
docker: Error response from daemon: driver failed programming external connectivity on endpoint unbound (5866d0f38adfdc9c9f97edd83cd7c9e363b7bc662947f7633a4bd4a4c8cd8c65): Error starting userland proxy: listen udp 0.0.0.0:5353: bind: address already in use.
Thomas Mielke
www.mielke.de
14. März 2019, 10:45 Uhr
@Swimbho: Ich weiß nicht, welche Besonderheiten zu beachten sind, wenn man das Ganze in einem Docker installiert. Aber der Hinweis „listen udp 0.0.0.0:5353“ deutet meiner Meinung nach auf einen Konfigurationsfehler hin, da die IP-Adresse „0.0.0.0“ ungültig ist.
Swimbho
20. März 2019, 16:52 Uhr
@Thomas Mielke: Hallo, unbound läuft noch nicht, habe zwar das IP Problem gefunden, aber er startet noch nicht, sehe ich das richtig, dass ich in der .conf die 127.0.0.1@5353 eintragen muss, oder muss ich dort die Docker IP angeben?
# Listen to for queries from clients and answer from this network interface
# and port.
interface: 127.0.0.1@5353
Thomas Mielke
www.mielke.de
20. März 2019, 22:09 Uhr
@Swimbho: Hm. Bei mir in der „/etc/unbound/unbound.conf.d/pi-hole.conf“ steht gar keine IP-Adresse drin.
Swimbho
21. März 2019, 08:44 Uhr
@Thomas Mielke: Hi, ich habe gar keine /unbound.conf.d/pi-hole.conf“, sondern nur die "unbound.conf", die "/pi-hole.conf" fehlt bei mir komplett...
Thomas Mielke
www.mielke.de
21. März 2019, 09:49 Uhr
@Swimbho: Hast Du den Unbound denn nach dieser Anleitung installiert?
PeterMayda
10. April 2019, 20:37 Uhr
Hallo,
weißt du oder kennst du dich aus, wie ich beim Pi-Hole die Update-Frequenz der Blocklisten erhöhen kann? So wie ich es verstanden habe, aktualisiert er die jede Woche am Sonntag via Cronjob.
Das ist aber nicht unbedingt nötig und schlecht für die SD-Karte, die ja eh nicht so gut mit vielen Schreibvorgängen klarkommen. Ich würde es gerne erhöhen, damit sich die Blocklisten nur einmal Monatlich updaten. Das reicht mir und es entlastet die Hoster der Blocklisten.
Gibt es dafür einen Befehl oder ein Kommando oder sonst etwas? Habe jetzt ca. 60 Minuten gegoogled, finde aber absolut nichts dazu, was mir konkret weiterhilft. Und wenn, dann ist immer nur die Rede davon, die Frequenz zu erhöhen.
Hoffe hier kann mir jemand helfen.
Thomas Mielke
www.mielke.de
10. April 2019, 21:10 Uhr
@PeterMayda: Ich persönlich würde die Update-Frequenz nicht verringern. Wenn Du Angst um die Lebensdauer Deiner SD-Karte hast, dann solltest besser auf eine SSD umsteigen. Mit einem einfachen USB-Adapter kannst Du problemlos eine kleine günstige SSD verwenden und auf die SD-Karte verzichten. Das habe ich auch so gemacht. Dadurch wird Performance des Pi-hole auch nochmal ein wenig gesteigert, insbesondere bei großen Blocklisten.
Aber ansonsten kannst Du die Cronjobs für den Pi-hole natürlich trotzdem anpassen:
Dort sollte es eine Zeile geben, die Folgendes enthält:
Davor steht der Intervall. Bei mir steht da folgender Intervall, der kann bei Dir aber z.B. von der Uhrzeit etwas abweichen:
Das Update wird also jeden Sonntag (7) um 4:29h ausgeführt. Wenn Du das auf Monatlich ändern willst, dann könnte das so aussehen:
Damit würde der Cronjob jeweils am 1. des Monats um 4:29h ausgeführt. Wenn Du allerdings jeden ersten Sonntag im Monat haben willst, dann wird es etwas komplizierter...
Weitere Infos zum Aufbau eines Crontab-Intervalls findest Du z.B. hier.
Alain
12. April 2019, 09:18 Uhr
Zunächst einmal ein großes Lob für die Seite! Sowohl der Artikel als auch die Kommentare sind sehr hilfreich.
Da das Thema eBlocker angesprochen wurde: ich hatte diesen bisher im Einsatz, jedoch gab es in der Praxis einige Probleme. Die Unterstützung von HTTPS-Verbindungen funktioniert unzuverlässig und man muss sehr viele Ausnahmen hinzufügen - was teilweise sehr kompliziert ist, weil der eBlocker nicht alle Verbindungsfehler angezeigt. Der Zugriff auf das Internet wird merklich langsamer, es kommt auch immer wieder zu Verbindungsabbrüchen. In der Theorie hört sich alles toll an, aber ich kann den eBlocker letztendlich nicht empfehlen.
Ich möchte eine andere Lösung nutzen und komme daher zu meiner Frage: Hast du Erfahrung mit dem Technitium DNS Server? Das scheint eine Alternative zu Pi-hole zu sein. Ansonsten werde ich demnächst Pi-hole ausprobieren. Da ich sowohl eine Fritzbox als auch eine NAS von Synology habe, freue ich mich über die vielen Hinweise in deinem anderen Artikel „Was man mit dem Pi-hole noch so machen kann“.
Holger
13. April 2019, 08:18 Uhr
man braucht überhaupt keinen Raspberry, das läuft auf jedem Linux. und linux kann man sehr gut auf den Android TV boxen installieren. diese gibts ab 20 eur. man sollte nur auf den Chipsatz schauen. es sollte ARMbian o.ä. drau laufen. die box bootet einfach von sd oder usb. aber Achtung. kein Fälschung mit falschen chip kaufen.
Richard
17. April 2019, 09:03 Uhr
Hi Thomas,
danke für den guten Artikel. Ich bin darauf gestoßen, weil ich seit einiger Zeit Pi-Hole nutze. Deinem Kommentar vom 16. November 2018, 09:03 Uhr muss ich allerdings widersprechen. Das Setup von Stefan ist schon sinnvoll, Ping-Pong wird hier nicht gespielt. Eigentlich sieht es so aus:
Die FritzBox verteilt per DHCP den Pi-hole als lokalen DNS-Server
Der Client fragt den Pi-hole: „Welche IP-Adresse hat example.com?“
Der Pi-hole schaut im Cache nach und antwortet, falls die Adresse bereits bekannt ist.
Der Pi-hole schaut in die Blocklisten und antwortet, falls die Domain geblockt ist.
Wenn weder 2. oder 3. zu einer Antwort geführt haben, leitet der Pi-hole die Anfrage an den oder die konfigurierten Upstream-Server weiter, was hier die FritzBox ist.
Interne Adressen *.fritz.box werden von der FritzBox selber aufgelöst.
Externe Anfragen leitet die FritzBox dann an den in ihr eingetragenen Dienst weiter.
Dieser antwortet mit der IP-Adresse für example.com.
Die Antwort gibt die FritzBox an den Pi-hole zurück
Der Pi-hole leitet diese dann dann an den Client weiter.
Der Pi-hole speichert die Antwort im Cache, um bei Bedarf schneller antworten zu können, wenn ein anderer Client dieselbe Domain anfragt.
Wilhelm
19. April 2019, 08:03 Uhr
Hi Thomas, ich habe meinen pihole (läuft mit Raspi) an den LAN- Port meiner Fritz 7590 angeschlossen. Jetzt stellt sich die Frage muss der LAN-Port mit Gigabit oder 100 MBits laufen ?
Danke Wilhelm
Thomas Mielke
www.mielke.de
19. April 2019, 20:46 Uhr
@Wilhelm: Das ist völlig egal. Der RasPi hat ohnehin keine echten GigaBit-Port. Die Geschwindigkeit handelt die FritzBox und RasPi da schon selber aus. Aber abgesehen davon sind die Datenmengen, die bei einer DNS-Abfrage übertragen werden marginal. Ob 100 oder 1000 MBit spielt also keinerlei Rolle.
Kevin Weber
5. Mai 2019, 18:44 Uhr
Hallo Thomas,
ich würde gerne den Raspi (habe die neuste Version) so einstellen das man sich über den Raspi einloggt und darüber ins Internet geht, mit Pihole. Ich teile mir das Internet mit jemand anderem (Vertrag läuft über mich) und würde sehr ungern auch seine potentiellen Seiten blocken. Das heißt ich würde den Raspi gerne als WLAN Router verwenden, mit Pihole. Ich habe es probiert, bin aber bisher immer an der Installation gescheitert. Entweder der Hotspot oder das Pihole haben nicht funktioniert.
Ich hoffe du oder jemand anderes können mir hier weiterhelfen :)
Beste Grüße
Thomas Mielke
www.mielke.de
6. Mai 2019, 07:50 Uhr
@Kevin: Der Pi-hole ist kein Router, sondern ein DNS-Server. Nichts anderes. Wenn Du aber möchtest, dass nicht alle Geräte den Pi-hole nutzen, dann hast Du nur die Möglichkeit in Deinem Router weiterhin einen öffentlichen DNS-Server einzutragen und alle Deine Geräte manuell zu konfigurieren. Dort muss Du dann also die IP-Adresse Deines Pi-hole direkt eintragen.
Unabhängig davon würde ich aus Sicherheits- und Datenschutzgründen bei einen gemeinsam genutzten Internet-Zugang getrennte SSIDs und VLANs einrichten, sodass die beide Netzbereiche komplett voneinander getrennt sind. Für jeden VLAN kannst Du dann dann die DNS-Konfiguration getrennt vornehmen. Ich weiß aber nicht ob Dein Router das kann.
Kevin Weber
6. Mai 2019, 19:44 Uhr
Erstmal vielen Dank für deine Antwort. Ich hab im Internet schon zahlreiche Berichte über das Pihole gelesen aber dein Blog inklusive Kommentare war bisher mit Abstand die beste Informationsquelle.
Mein ursprünglicher Plan war das Pihole zu installieren und dann über den Hotspot vom Raspi ins Internet zu gehen. Deine Variante klingt allerdings wesentlich besser.
Ich habe leider nur den Standard Router von Kabel Deutschland, der hat ja bekanntlich nicht so viele Funktionen (daher auch mein Hotspot Plan).
Da ich Student bin, finde ich es gut das ich mir den Preis für das Internet teilen kann, die Sicherheit hat mir allerdings schon von Anfang an zu bedenken gegeben. Kannst du ein günstigen Router empfehlen der diese Einstellungen bietet die ich bräuchte?
Thomas Mielke
www.mielke.de
6. Mai 2019, 21:15 Uhr
@Kevin: Eines der flexibelsten Setups könntest Du mit dem UniFi-Systemumsetzen, aber das dürfte für Deine Anwendung wohl etwas zu überdimensioniert und wohl auch zu teuer sein.
Der Klassiker ist aber sicher eine FritzBox, allerdings kann die auch keine beliebigen VLANs einrichten. Hier könntest Du aber zumindest den Gastzugang für Deinen Mitbenutzer verwenden. Entweder nutzt dieser dann nur das Gast-WLAN und ist somit von Deinen Geräten komplett getrennt, oder er hängt selber einen kleinen Router an den Port 4 der FritzBox (den kann man als Gastport konfigurieren) und kann dann sein eigenes Setup mit eigenem WLAN, etc. umsetzen.
Mathias
2. Juni 2019, 22:13 Uhr
Ich nutze pi hole bereits seit 6 Monaten.
Da ich den PI 3B+ für ein anderes Projekt brauche, habe ich eine Frage dazu.
Muß ich pi hole auf dem PI2 neu aufsetzen, oder reicht es, wenn ich die SD einfach tausche. WLAN wird auf dem PI3 B+ nicht benötigt.
Dominik Schiffner
28. Juli 2019, 11:44 Uhr
Hallo Herr Mielke,
Ich habe nahezu die identische Konfiguration wie Sie im Einsatz: Fritzbox > USG > Switch APs.
Aktuell hängt der PiHole an einem Switch nach der USG und ist in den Netzwerkeinstellungen bei UniFi in meinem Hauptnetz als Nameserver eingetragen. Somit wird bei allen Geräten die in diesem Netz hängen der DNS-Server bei der nächsten Verbindung übernommen.
Ich benutze den PiHole auch als eine Art Kindersicherung indem ich Listen mit nicht Kindergerechten Internetseiten in Gravity habe.
Wenn der DNS im Netzwerk eingetragen ist, besteht doch die Möglichkeit an einem PC diese übernommenen Einstellungen wieder zu überschreiben und anschließend gehen die Anfragen am PiHole vorbei.
Haben Sie die IP des PiHole auch unter WAN in UniFi eingetragen, oder funktioniert es evtl., wenn der PiHole direkt an der FritzBox angeschlossen ist (z.B. 192.168.178.3) und diese IP in der FB bei DNS eingetragen wird?
Ich denke, dass dann zwar die Informationen, welcher Anfragen von welchem Client kommen, fehlen, kann aber dann nicht von lokalen Einstellungen von einzelnen Geräten umgangen werden.
Vielen Dank für ihre Meinung vorab.
Thomas Mielke
www.mielke.de
29. Juli 2019, 11:50 Uhr
@Dominik: Ja, ich habe den Pi-hole nicht nur in den LANs sondern auch in den WAN-Einstellungen eingetragen. Aber das ändert nichts an dem Problem, dass diese von jedem Gerät überschrieben werden können. Der Router sorgt ja nur dafür, das einem Client der zuständigen Nameserver mitgeteilt werden, die bitte verwendet werden sollen. Trotzdem kann jeder Client die Einstellungen ignorieren, bzw. die können in den Netzwerk-Einstellungen des Clients geändert werden. Daran kann der Router nichts ändern.
Wenn Deine Kinder diese DNS-Einstellungen nicht überschreiben sollen, dann musst Du deren Benutzerrechte auf dem PC entsprechend einschränken – Was man bei Kindern ohnehin machen sollte. Kinder brauchen keine Admin-Rechte, sondern im Idealfall nur ein entsprechendes Nutzer-Profil mit Kindersicherung. Entsprechende Lösungen gibt es sowohl bei Windows als auch auf dem Mac.
cucumberfail
9. August 2019, 18:45 Uhr
Hallo, könnten Sie vielleicht ihren text um Methode zwei erweitern?
Methode 1 wie bei ihnen zu lesen ist funktioniert auf allen Fritzboxen Methode 2 nicht, bietet aber entscheidente vorteile.
https://youtu.be/I6FQ5RaGWeI
Bernhard
26. August 2019, 21:34 Uhr
Man sollte vielleicht darauf hinweisen, das "Queries Blocked" und dementsprechend auch "Percent Blocked" heißt, dass soviele Anfragen nicht an einen DNS Server weitergeleitet wurden, weil die Auflösung aus dem Pi-hole Cache auch darunter fällt.
Eigentlich wäre es besser bei Pi-hole besser von "Not Forwarded Queries" und "Percent Not Forwarded" zu sprechen oder die Auflösung aus dem Cache herauszurechnen.
Thomas Mielke
www.mielke.de
26. August 2019, 21:59 Uhr
@Bernhard: Naja, „Blocked“ ist ja nun mal die offizielle Bezeichnung beim Pi-hole. Aus der Funktionsweise des Pi-hole sollte sich aber ergeben, dass dort natürlich gar nichts „geblockt“ wird, sondern dass „Blocken“ beim Pi-hole eben die Nicht-Weiterleitung der DNS-Abfrage und je nach Konfiguration die Rückgabe der Antwort „NXDOMAN“ oder „0.0.0.0“ ist.
HF
28. August 2019, 16:48 Uhr
Hallo,
irgendwie stehe ich mit unbound in Verbindung mit DNSSEC, DNSCrypt auf dem Schlauch.
Sollte pi-hole und unbound nicht so konfiguriert sein, dass direkt nach den authoritativen DNS Nameservern gefragt wird?
Wie bringe ich das mit DNSSEC und DNSCrypt in Verbindung? Oder gilt das nur für den Fall das unter "forward" "." ein recursive DNS eingetragen ist?
Irgendwie fehlen mir da zusammenhängende Infos ;)
Thomas Mielke
www.mielke.de
28. August 2019, 17:24 Uhr
@HF: Ich habe ja oben bereits genau beschrieben, wie der Pi-hole zusammen mit dem Unbound funktioniert. Natürlich fragt dieser nicht direkt den autoritativen DNS-Server einer Domain ab. Denn diesen kennt der Unblound (abgesehen vom eigenen Cache) ja noch gar nicht. Also muss erst der Root-DNS, dann der TLD-DNS und erst dann der autoritative DNS-Server abgefragt werden.
Das Ganze hat mit DNSSEC und DNSCrypt erstmal gar nichts zu tun, denn das muss beim Pi-hole und beim Unbound gesondert eingerichtet bzw. aktiviert werden.
johann
8. September 2019, 08:37 Uhr
Hallo,
Einrichtung lt. Anleitung Pihole hat wunderbar geklappt. Doch sobald ich in meinem unifi Netzwerk die ip des Pihole eingebe unter Wan und Lan geht nichts mehr. Der Raspberry ist am unifi Switch eingesteckt, Dort sind auch die Ap's und ein USG. Woran könnte der Fehler liegen. Ich komme nicht drauf. Sind noch Einstellungen auf der Pihole Admin Console nötig?
Thomas Mielke
www.mielke.de
8. September 2019, 11:08 Uhr
@Johann: Was sieht siehst Du denn im Query-Log des Pi-hole? Kommen da die DNS-Requests der Clients an? Kannst Du die IP-Adresse des Pi-hole von allen Clients erreichen (Ping)? Hat der Pi-hole Internet-Zugriff, bzw. funktioniert der Pi-hole auch Standalone einwandfrei? Wenn Du per SSH auf dem Pi-hole eine DNS-Abfrage macht, z.B. einen Ping auf eine beliebige Domain, oder noch besser eine Host-Abfrage auf eine beliebige Domain. Kommt da eine korrekt Antwort?
Andreas
22. Oktober 2019, 16:51 Uhr
Hallo,
ich möchte das auch auf meinem PiHole einrichten.
Leider bin ich kein IT-Experte und weiss hiermit nichts anzufangen:
# Ensure privacy of local IP ranges
private-address: 192.168.0.0/16
private-address: 169.254.0.0/16
private-address: 172.16.0.0/12
private-address: 10.0.0.0/8
private-address: fd00::/8
private-address: fe80::/10
Was bedeutet das? Mein Netzwerk ist bei 192.168.2.1(Router) und höher.
Was muss ich da eintragen?
Vielen Dank für die freundliche Hilfe schon mal.
Gruß, Andreas
Thomas Mielke
www.mielke.de
22. Oktober 2019, 16:53 Uhr
@Andreas: Die Adressen kannst Du dort so drin stehen lassen. Dabei handelt es sich um sämtliche IP-Adress-Bereiche, die in privaten Netzen verwendet werden dürfen. Deine IP-Adressen sind dort also bereits enthalten.
Andreas
22. Oktober 2019, 17:19 Uhr
Vielen Dank Thomas!
Darf ich mich noch mal melden, falls ich weitere Fragen habe, oder ein Problem auftaucht?
Thomas Mielke
www.mielke.de
22. Oktober 2019, 17:27 Uhr
@Andreas: Ja klar. Dafür ist die Kommentarfunktion ja da.
kaschmir
27. Oktober 2019, 22:36 Uhr
Guter Artikel und klasse Projekt!
Habe mal meinen Raspberry 3 mit Pihole installiert und dazu eine Videoanleitung veröffentlicht:
Installation:
https://devtube.dev-wiki.de/video-channels/pihole_01/videos
Inbetriebnahme:
https://devtube.dev-wiki.de/video-channels/pihole_02/videos
Gruß Dr. Varut Kaschmir
Robb
8. November 2019, 22:46 Uhr
Hallo Thomas,
habe PiHole auf einer alten Asus-EEE-Box auf Lubuntu zum Laufen gebracht und bin ganz stolz auf mich. Hab mir ein paar Blocklisten, in erster Linie von Firebog draufgezogen und nun so knapp 148T Domains drauf. Das ganze läuft seit ein paar Tagen, ich habe knapp 20T geblockt, aber jetzt kommts, die BlockRate ist 60% und davon fast 7900 mit nur einer Adresse: secure-eu.imrworldwide.com, zeitweise alle 2 Sekunden, dann kommt mit knapp 3300 Blocks api.segment.io, also zusammen 2 adressen verursachen >50? der Blocks... Weißt Du was das ist und wie man das abstellen kann? LG Robb
Thomas Mielke
www.mielke.de
8. November 2019, 23:06 Uhr
@Robb: Zunächst solltest Du herausfinden, von welchen Devices bzw. von welchen Apps oder Websites die Anfragen kommen. Das ist im Query-Log ja einsehbar. Eventuell kannst Du die Adressen auch mal googeln, da findet man meist hilfreiche Hinweise auf die Verursacher. Ob sich die Ursache dann abstellen oder reduzieren lässt, hängt natürlich vom Device, bzw. der App oder Website ab.
Michael
25. November 2019, 15:49 Uhr
@ThomasMielke ... Hallo ich bekomme bei der Installation von Unbound auf dem Raspi einen Fehler gemeldet (Port 53) . ISt das Problem bereits gelöst ? Soweit ich sehe benutzt der Pi-Hole den Port, aber bei der Installation von Unbound kann man da ja nicht eingeben !
Hier das Installations-Log:
pi@raspi-block:~ $ sudo apt reinstall unbound
Paketlisten werden gelesen... Fertig
Abh▒ngigkeitsbaum wird aufgebaut.
Statusinformationen werden eingelesen.... Fertig
0 aktualisiert, 0 neu installiert, 1 erneut installiert, 0 zu entfernen und 61 nicht aktualisiert.
Es m▒ssen 669 kB an Archiven heruntergeladen werden.
Nach dieser Operation werden 0 B Plattenplatz zus▒tzlich benutzt.
Holen:1 http://ftp.gwdg.de/pub/linux/debian/raspbian/raspbian buster/main armhf unbound armhf 1.9.0-2+deb10u1 [669 kB]
Es wurden 669 kB in 0 s geholt (1.479 kB/s).
(Lese Datenbank ... 41448 Dateien und Verzeichnisse sind derzeit installiert.)
Vorbereitung zum Entpacken von .../unbound_1.9.0-2+deb10u1_armhf.deb ...
Entpacken von unbound (1.9.0-2+deb10u1) ▒ber (1.9.0-2+deb10u1) ...
unbound (1.9.0-2+deb10u1) wird eingerichtet ...
Job for unbound.service failed because the control process exited with error code.
See "systemctl status unbound.service" and "journalctl -xe" for details.
Job for unbound.service failed because the control process exited with error code.
See "systemctl status unbound.service" and "journalctl -xe" for details.
invoke-rc.d: initscript unbound, action "restart" failed.
* unbound.service - Unbound DNS server
Loaded: loaded (/lib/systemd/system/unbound.service; enabled; vendor preset: enabled)
Active: activating (auto-restart) (Result: exit-code) since Mon 2019-11-25 15:30:28 CET; 44ms ago
Docs: man:unbound(8)
Process: 4462 ExecStartPre=/usr/lib/unbound/package-helper chroot_setup (code=exited, status=0/SUCCESS)
Process: 4465 ExecStartPre=/usr/lib/unbound/package-helper root_trust_anchor_update (code=exited, status=0/SUCCESS)
Process: 4470 ExecStart=/usr/sbin/unbound -d $DAEMON_OPTS (code=exited, status=1/FAILURE)
Main PID: 4470 (code=exited, status=1/FAILURE)
Trigger f▒r man-db (2.8.5-2) werden verarbeitet ...
Trigger f▒r systemd (241-7~deb10u1+rpi1) werden verarbeitet ...
Gruß
Michael
Thomas Mielke
www.mielke.de
25. November 2019, 17:01 Uhr
@Michael: Hast Du Dich an diese Anleitung gehalten? Wichtig ist hier die Anpassung der Unbound-Konfiguration, sodass dieser auf Port 5353 läuft. Denn der Default-DNS-Port 53 wird ja natürlich schon vom Pi-hole genutzt.
Michael
25. November 2019, 18:52 Uhr
@Thomas , Ja habe den Fehler jetzt gefunden. Die Konfigurationsdatei war nicht richtig angelegt. Habe die Daten nachgetragen und läuft das.
Aber jetzt habe ich noch ein Problem mit dem Gäste WIfI. Ich habe den Gäste WiFi Vlan zugeordnet mit der Ip 192.168.178.x meine normale Unifi LAN lautet 192.168.1.x und die Fritzbox hat die IP 192.168.34.x Sobald VLAN für Gäste aktiv sind bekomme Sie keine Antwort aus dem Internet. Muss ich bei derFirewall jetzt auch noch was einstellen damit die Gäste den neuen DNS Server erreichen ? Dieser liegt auch im Unifi Netzwerk.
Gruß
Michael
Thomas Mielke
www.mielke.de
25. November 2019, 19:27 Uhr
@Michael: Ich kenne Deine gesamte Konfiguration nicht. Hast Du auch einen USG? Dann Du musst im UniFi-Controller für alle Netzwerke die IP des Pi-hole als DNS-Server eintragen. Wenn Du eine FritzBox hast, dann auch dort in den Netzwerk-Einstellungen.
Michael
25. November 2019, 19:48 Uhr
Hi warum finde ich meinen Betrag zu dem Blog nicht mehr ?
Gruß
Michael
Michael Klein
29. Dezember 2019, 15:38 Uhr
danke für den Beitrag. Nach einer halbe stunde war der Blocker aktiv...
Vorerst noch ohne unbound...
Friedrich G.
14. Februar 2020, 20:34 Uhr
Eine Verständnisfrage: Könnten Facebook & Co. eine solche Ausbremsung nicht verhindern, indem sie ihre IP-Adresse statt den Domain-Namen in die Cookies schreiben?
Thomas Mielke
www.mielke.de
14. Februar 2020, 22:50 Uhr
@Friedrich: Ja, das wäre natürlich theoretisch möglich, allerdings würde das natürlich das gesamte DNS System ad absurdum führen. Hinzu kommt, dass Facebook & Co. ja mit riesigen Clustern arbeiten, was bedeutet, dass sich hinter den Domains erheblich mehr Server und somit IP-Adressen und befinden, die sich vermutlich auch häufig ändern. Und das DNS System ist ja unter anderem dafür gedacht, dass Server mit wechselndem IP-Adressen immer unter einem gleichen Namen erreichbar sind. Du hast sicher schon von DynDNS gehört, dann weiß Du was ich meine.
Johann Stegherr
16. Februar 2020, 10:45 Uhr
Hallo Herr Mielke,
Sie sind meine letzte Rettung:). Ich habe den Raspberry Pi4. Ist es möglich den als Mini PC zu nutzen? Ich habe schon mehrere Möglichkeiten ausprobiert. Ich möchte ein Linux System installieren. Z.B. Debian mx, oder mint, aber der Pi will nicht booten von der Iso. Von SD Karte nicht und von einer ssd Platte nicht. Habe auf der Komandozeile den Befehl zum booten von USB gegeben, da tut sich nichts. Geht das überhaupt was ich vorhabe. Im Netz liest man unterschiedliche Meinungen. Mal sind Aussagen das es kein Problem ist, manche sagen die Möglichkeit kommt noch und geht momentan noch nicht. Für meine Ansprüche würde mein Vorhaben genügen, anstatt ein großer Desktop PC. (Mails, Schreibkram, Internet).
Vielleicht habe Sie ja eine Lösung. Vielen Dank.
Thomas Mielke
www.mielke.de
16. Februar 2020, 11:18 Uhr
@Johann: Raspbian ist doch ein auf Debian basiertes Linux-System. Warum willst Du etwas anders installieren? Den Raspi4 kann man übrigens im Gegensatz zum Raspi3 leider nicht direkt von einer SSD oder einem andren USB-Laufwerk booten. Man braucht immer noch eine MicroSD auf der sich die Boot-Partition befindet.
Johann Stegherr
16. Februar 2020, 12:05 Uhr
okay vielen Dank. Ich habe eine microsd Boot iso mit debian mx erstellt. Der bootet trotzdem nicht. Ich habe noch einen Raspi3 , mit dem sollte es ja funktionieren?
Vielen Dank Herr Mielke. Immer eine Reise wert, zu Ihnen
Thomas Mielke
www.mielke.de
16. Februar 2020, 15:11 Uhr
@Johann: Die ISO alleine reicht glaube ich nicht. Du benötigst noch eine Boot-Partition, bzw. den boot-Loader. Aber warum nimmst Du nicht einfach Raspbian?
Johann Stegherr
16. Februar 2020, 20:21 Uhr
ja wenn das reicht als Betriebssystem? Dann nehme ich das.
Ich dachte das sei nur eine magere grafische Darstellung zum leichteren Bedienen, für Benutzer die Linux Befehle nicht ausführen wollen/können. Dank Dir, setze ich meinen zweiten für weitere Annehmlichkeiten/Spielereien ein. :)
Vielen Dank und Grüße aus Tirol
Thomas Mielke
www.mielke.de
16. Februar 2020, 20:28 Uhr
@Johann: Raspbain ist die Debian-Distribution für den Raspberry, inklusive vollwertiger grafischer Benutzeroberfläche. Du brauchst Dir nur NOOBS herunterladen und auf die SD-Karte kopieren. Damit kannst Du dann alles installieren.
Stegherr
9. März 2020, 08:02 Uhr
Guten Morgen Herr Mielke,
wenn Hilfe, geh zu Mielke :), Mist reimt sich nicht.... Komme beim dichten nicht weiter und beim PiVPN. Vielleicht wissen Sie ja eine einfache Lösung?
Woran könnte der Fehler beim installieren des PiVpn liegen, wenn ich diese Meldung bekomme?:
curl -L https://raw.githubusercontent.com/pivpn/pivpn/master/auto_install/install.sh | bash
% Total % Received % Xferd Average Speed Time Time Time Current
Dload Upload Total Spent Left Speed
0 0 0 0 0 0 0 0 --:--:-- --:--:-- --:--:-- 0curl: (7) Failed to connect to raw.githubusercontent.com port 443: Connection refused
Pihole ist installiert, läuft auch . Vorher hatte ich den Raspi3 jetzt Raspi4.
Mit Raspi3 hatte ich schon öfters Pihole und PiVpn installiert, Installation lief immer problemlos, außer bei letzerem bekam ich nie eine erfolgreiche VPN Übertragung hin. Aber jetzt lässt sich piVpn nicht mal installieren. Kann es sein, das es am overblocking liegt?
Vielen Dank und Grüße
J. Stegherr
Thomas Mielke
www.mielke.de
9. März 2020, 08:08 Uhr
@Stegherr: Sorry, aber da kann Dir vermutlich nicht weiterhelfen, da ich PiVPN nicht einsetzte und auch noch nicht getestet habe.
Stegherr
9. März 2020, 11:02 Uhr
...schaaaade, aber trotz dem Danke!! :)
Roger
27. April 2020, 07:39 Uhr
Hallo, vielen Dank für die tolle Anleitung. Ich hätte nur mal noch eine Frage betreffend Pi-Hole und zwar wie sehen bei Dir die Einstellung auf dem Pi-Hole unter DNS genau aus?
- Never forward non-FQDNs
- Never forward reverse lookups for private IP ranges
- Use DNSSEC
- Use Conditional Forwarding
Vielen herzlichen Dank für Deine Bemühungen.
Thomas Mielke
www.mielke.de
27. April 2020, 10:25 Uhr
@Roger: Ich habe bei mir alle Optionen aktiviert. Bei „Local domain name“ habe meine lokalen Domain-Namen eingetragen, den ich in meinem UniFi-System definiert habe. Typischerweise nutzt man hier „local“ oder „localdomain“ oder Ähnliches.
Roger
27. April 2020, 10:44 Uhr
Vielen Dank für die super schnelle Antwort.Das heisst auf der USG unter WAN hast Du bei den DHCP Server nichts geändert, da sind zum Beispiel die beiden Google-Server drin. Ist das soweit korrekt?
Dann hast Du auf der USG unter LAN bei DHCP-Nameserver die IP des Pi-Hole eingetragen.
Und auf dem Pi-Hole unter DNS hast Du bei
Upstream DNS Server: (z.B. die beiden Google aktiviert)
Never forward non-FQDNs: aktiv
Never forward reverse lookups for private IP ranges: aktiv
Use DNSSEC: aktiv
Und bei "Use Conditional Forwarding" hast Du auch aktiv und die IP des USG drin und beim "Local Domain Name" steht das drin was Du beim USG unter - LAN - IP - Domainname drin hast. Ich habe bei mir home.lan im USG und somit müsste home.lan dort beim Pi-Hole rein.
Habe ich das so korrekt verstanden?
Vielen herzlichen Dank für die Hilfe
Thomas Mielke
www.mielke.de
27. April 2020, 13:15 Uhr
@Roger: Beim WAN-Port habe ich auch die IP-Adresse des Pi-hole eingetragen. Und natürlich bei allen LANs. Und zwar immer nur den Pi-hole, keinen weiteren DNS-Server.
Auf dem Pi-hole habe ich keinen öffentlichen Upstream-Server eingetragen, da ich ja den Unbound installiert habe (siehe oben im Artikel).
Dirk
17. Mai 2020, 21:57 Uhr
Hallo Thomas,
toller Blog! Ich habe eine recht ähnliche Hardware Situation wie Du. Eine kurze Frage wie hast Du das Conditional Forwarding mit den VLANs gelöst. Ich kann dort ja nur einen Namen eintragen, oder?
Beste Grüße
Dirk
Thomas Mielke
www.mielke.de
18. Mai 2020, 10:35 Uhr
@Dirk: Beim Conditional Forwarding kann man in der Tat nur eine Router-IP bzw. eine Local-Domain eintragen. Ich habe aber bei mir im Unifi-System für alle VLANs die gleiche Local-Domain definiert. Von daher ist das bei mir eigentlich kein Problem.
Florian
22. Juni 2020, 21:59 Uhr
Hallo Thomas,
toller Blogbeitrag!
Da du doch auch die USG-PRO-4 nutzt, frage ich mich warum du die PI-hole Funktionalität nicht gleich auf der USG laufen lässt? Was ist hier dein Beweggrund es auf dem PI laufen zu lassen?
Danke!
LG Florian
Thomas Mielke
www.mielke.de
22. Juni 2020, 22:00 Uhr
@Florian: Wie soll ich denn auf dem USG den Pi-hole laufen lassen? Dort kann ich doch keine zusätzliche Fremd-Software installieren. Das macht schon Sinn, den Pi-hole ganz autark auf einem Raspberry Pi laufen zu lassen, das ist ja nun auch keine große Investition...
Sven
30. September 2020, 12:54 Uhr
Gerade auf den Blog gestoßen der mich verständlicher macht was genau da eigentlich alles installiert habe und warum ;-)
Danke
FranzK
31. Oktober 2020, 14:46 Uhr
Hallo Thomas, alle,
ich habe curl -sSL https://install.pi-hole.net | bash durchgefuehrt, allerdings wollte ich nicht google als DNS server, sondern den von DNS.watch. Wie kann ich die nameserver konfiguration nochmals machen (ohne alles nochmal laufen zu lassen) ?
Danke
Thomas Mielke
www.mielke.de
1. November 2020, 11:26 Uhr
@FranzK: Die ganzen Einstellungen kannst Du jederzeit in der Webkonsole ändern.
Kai
17. Dezember 2020, 07:55 Uhr
Hallo Thomas,
ich habe mal eine Frage zu den mit Pi-hole 5.0 eingeführten Gruppen. Das ist prinzipell genaus das Feature, das mir zu meinem Glück noch fehlte...
Ich habe im April dieses Jahres mein gesamtes Netzwerk auf UniFi umgestellt. Meine Konstellation ist: FritzBox -> USG 4P -> 24-POE-Switch -> Switches/APs/Clients...
Mein alter Raspi 3 verrichtet als zentrales Pi-hole zwischen der FritzBox und dem USG fleißig seinen Dienst.
Dafür nochmal vielen Dank für Deine super Blogs, die mich auf die Idee gebracht und erfolgreich durch den Umbau geführt haben.
Diese Konstellation bedeutet doch aber, dass aus Sicht des Pi-hole alle Anfragen aus dem internen Netz mit der IP und MAC des USG erfolgen, oder?
Wenn ich also im Pi-hole einen Client mit einer bestimmten IP- oder MAC-Adresse definiere, wird diese doch niemals im Pi-hole ankommen (weil ja letztlich alles über das USG läuft)?
Oder sehe ich das falsch? (Sorry, bin kein Netzwerker...)
Oder müsste dafür meine Hardware anders aufgebaut werden?
VIelen Dank für einen Tipp,
bleib gesund,
viele Grüße
Kai
Thomas Mielke
www.mielke.de
17. Dezember 2020, 10:53 Uhr
@Kai: Was meinst Du mit „Pi-hole zwischen der FritzBox und dem USG“...? Der Pi-hole sollte eigentlich hinter dem USG, also an einem der Switches hängen. Von dort ist dieser dann für alle Clients im lokalen Netz (UniFi) erreichbar, also sind für den Pi-hole auch die IP-Adressen und MAC-Adressen sichtbar.
Kai
17. Dezember 2020, 12:09 Uhr
Hallo Thomas,
aaahh, da habe ich wohl einen Denkfehler (und daraus resultierend einen Verkabelungsfehler) gemacht.
Und ich war nicht ganz ehrlich... ;-) Ich habe an einem zweiten LAN-Anschluss der Fritzbox noch einen alten Netgear-Switch, der ausschließlich ein paar (IP-) Telefone bedient. Hinter dem USG im ersten LAN-Anschluss der FritzBox hängt dann "der Rest".
Der Pi-hole-Raspberry steckt in dem oben erwähnten Switch und agiert damit sozusagen "parallel" zum USG - das meinte ich mit "zwischen der FritzBox und dem USG".
Ich stöpsele also das Pi-hole an einen der UNiFi-Switches um und passe dann in den UniFi-WAN-Netzwerkeinstellungen (-> DNS Server) die IP-Adresse des Pi-hole an, richtig?
Du siehst jetzt sozusagen das Lämpchen über meinem Kopf aufleuchten.
Danke!!!
Viele Grüße
Kai
Thomas Mielke
www.mielke.de
17. Dezember 2020, 12:47 Uhr
@Kai: Ok, bei der genannten Verkabelung ist der Pi-hole natürlich für die Geräte im UniFi-Netz nicht erreichbar.
Wenn Du das „umstöpselst“, so wie Du ja schon geschrieben hast, dann sollte der Pi-hole funktionieren. Diesen darfst Du aber nicht in den WAN-Einstellungen als DNS-Server eintragen, sondern in allen Dein LANs als DHCP-Nameserver. Damit wird die IP-Adresse des Pi-hole automatisch allen Deinen Devices mitgeteilt.
In den WAN-Einstellungen darf der Pi-hole nicht stehen, ansonsten erzeugst Du einen Loop. Die Nameserver beim WAN kannst Du entweder komplett leer lassen (das geht aber glaube ich nur in den ganz aktuellen Controller-Versionen), oder Du trägst dort Google (1.1.1.1) und/oder Cloudflare (8.8.8.8) ein.
Kai
17. Dezember 2020, 13:33 Uhr
Hallo Thomas,
vielen Dank für die Tipps!
Du hast recht; das Pi-hole ist jetzt auch schon in den LANs als DHCP-Nameserver eingetragen, das würde ich also entsprechend ändern.
Außer beim meinem Corporate LAN, das ist - wie heißt es so schön? - historisch gewachsen. Da steht noch ein alter SBS 2011 als Domain Controller in der Ecke; er kümmert sich mittlerweile nur noch um die Nutzer(profile) und eben DHCP. (Deswegen ist in den UniFi-Einstellungen des Corporate LAN der DHCP Mode auf "None" eingestellt.)
Falls Du dazu noch eine Idee hast, ist diese herzlich willkommen (außer Ablösung des SBS; das lassen mangelndes Wissen und mangelnde Zeit im Moment nicht zu ;-) ).
Ansonsten vielen Dank für Deine Geduld und Deine Tipps!
Viele Grüße
Kai
Kai
18. Dezember 2020, 08:38 Uhr
Hallo Thomas,
jetzt habe ich doch noch ein Frage/Anmerkung zu Deiner Aussage "In den WAN-Einstellungen darf der Pi-hole nicht stehen...".
Ich hatte Deinen Blog oben so verstanden, dass ich für eine "all-in-one-Lösung" die IP-Adresse meines Pi-holes als primären/bevorzugten DNS-Server nicht nur im Router angeben kann, sondern bei entsprechend vorhandener UniFi-Hardware "auch bei den WAN-Einstellungen des USG, sodass wirklich die gesamten DNS-Abfragen über den Pi-hole laufen".
Ich hatte das so gemacht und bisher auch keine (gefühlten) Probleme damit. :-)
Viele Grüße
Kai
Thomas Mielke
www.mielke.de
18. Dezember 2020, 09:52 Uhr
@Kai: Ja, das mit der All-in-One-Lösung ist auch richtig. Der USG bzw. die UDM übernimmt aber auch immer noch einen kleinen DNS-Part für die internen Devices. Daher kann man bei den WAN-Einstellungen die DNS-Server auch ganz weglassen. Wenn dort auch die IP-Adresse Pi-hole eingetragen wäre, dann würden der USG und der Pi-hole „Ping-Pong“ spielen. Du kannst das gerne mal ausprobieren... Damit legst Du Dein lokales Netz quasi lahm.
Alle Geräte im lokalen Netz erhalten ja per DHCP eine IP-Adresse und darüber auch den Nameserver, also den Pi-hole und werden diesen dann auch verwenden. Bei den UniFi-Devices (APs, Switchtes) kannst Du den DNS-Server auch direkt angeben, damit verwenden diese dann auch den Pi-hole.
Kai
19. Dezember 2020, 21:35 Uhr
Hallo Thomas,
ich schon wieder... zwei Fragen habe ich noch. :-)
[1] Wenn ich den Pi-hole in allen meinen LANs als DHCP-Nameserver eintrage, dann muss doch folglich erstens der DHCP-Server auf dem Pi-hole aktiviert werden und zweitens alle anderen DHCP-Server der betroffenen LANs (wie z. B. auch im USG) deaktiviert werden, oder? (Zwei DHCP-Server im selben Netz sind keine gute Idee, oder?)
[2] Wenn ich die UniFi-Einstellungen richtig interpretiere, kann ich bei den UniFi-Devices den DNS-Server nur direkt angeben, wenn ich ihnen statische IP-Adressen verpasse, richtig?
Danke Dir nochmals für Deine Geduld,
viele Grüße
Kai
Thomas Mielke
www.mielke.de
19. Dezember 2020, 23:30 Uhr
@Kai: Nein, den DHCP-Server auf dem Pi-hole solltest Du deaktiviert lassen. Dafür ist der USG bzw. die UDM zuständig. Sonst könntest Du auch keine VLANs nutzen, nicht mal eine Gastnetz wäre möglich.
Die Angabe der Nameserver in den DHCP-Einstellungen der LANs im UniFi-Controller (also für den USG bzw. die UDM) bedeuten lediglich, dass diese bei der Zuweisung einer IP-Adresse auch an den DHCP-Client übermittelt werden.
Kai
20. Dezember 2020, 06:42 Uhr
Hallo Thomas,
prima, alles klar.
Vielen, vielen Dank!
Viele Grüße
Kai
Kai
25. Dezember 2020, 08:27 Uhr
Hallo Thomas,
ich habe jetzt alles umgestöpselt und rekonfiguriert, und alles läuft reibungslos. Was soll ich sagen? Kaum macht man's richtig, funktioniert's! :-)
Jetzt habe ich viele schöne IP- und MAC-Adressen bzw. Devices in meinem Pi-hole und kann sie alle separat berechtigen. Klasse!
Also herzlichen Dank nochmals für Deinen super Blog und Deine Hilfe!
Viele Grüße
Kai
Markus Krüger
13. Februar 2021, 11:16 Uhr
Moin,
ich brauche mal einen Rat wo ich den Pi-hole am "sinnvollsten" platziere bzw. anschließe.
Folgendes Setup (auch Dank Deines tollen Blogs Thomas!):
Aktuell läuft eine FB6490 am Kabelanschluss als erstes Gerät. Dahinter sitzt ein USG Pro4 mit kompletter Unifi-Infrastruktur dahinter. Statische Routen zwischen USG und FB sind eingerichtet, NAT im USG deaktiviert. Soweit so gut. Die FritzBox werde ich als erstes Gerät wg. Kabelanschluss auch nicht los. Die Telefonie wird durchgereicht. Hinter dem USG laufen SIP-Telefone von Grandstream.
Meine eigentliche Frage:
Wo platziere ich am besten den Pi-hole? Mit am 1. Switch hinter dem USG oder direkt an einem freien Port der FritzBox, also noch vor der ganzen Unifi-Infrastruktur? Technisch möglich ist ja beides, aber was macht am meisten Sinn? Hier "hänge" ich gerade ein wenig.
Thomas Mielke
www.mielke.de
13. Februar 2021, 12:39 Uhr
@Markus: Eigentlich ist es egal, wo der Pi-hole hängt, Hauptsache dieser ist von allen Geräten uneingeschränkt erreichbar. Er sollte sich also nicht in einem getagten VLAN befinden, sondern im Management-LAN.
Markus Krüger
13. Februar 2021, 13:00 Uhr
@Thomas,
danke für Deine Antwort. Mittels VLAN laufen nur die IPCams um Ihnen das "Telefonieren" zu verbieten und die Alexa-Büchsen, sowie ein Gäste-WLAN mit Voucher. Alles andere ist gemeinsam. Ich brauche es aber auch nicht beruflich und hier sind keine Kinder.
Ich war glaube ich nicht ausführlich genug was mich umtreibt dabei:
Ich war am Schwanken, weil der Pi-hole ja auch die VLAN's bedienen soll und war unsicher, ob es dann "besser" ist ihn zentral an die FritzBox zu hängen. Sonst müsste ich ja noch irgendwie den Zugriff aus den VLAN's auf das "normale" LAN einrichten wenn der Pi-hole dort hängt und da auch eine IP hat oder?
Mein "Quick-and-Dirty"-Gedanke war den Pi-hole an die FritzBox zu hängen, in der Konfig der FritzBox den Pi-hole als lokalen DNS-Server zu setzen und in den verschiedenen VLAN/LAN's im USG einfach die FritzBox als DNS-Server einzutragen. Die statische Routen existieren ja grundsätzlich. Oder begehe ich hier womöglich einen krassen Denkfehler?
Thomas Mielke
www.mielke.de
13. Februar 2021, 16:03 Uhr
@Markus: Das Management-LAN, also das ungetagte Standard-Netz ist normalerweise immer für alle erreichbar, also auch aus allen VLANs oder dem Gästenetz. Du solltest also die IP-Adresse des Pi-hole in allen Netzen als DNS-Server eintragen.
jakob
24. Februar 2021, 17:55 Uhr
Hallo Thomas
ich habe pihole gemäss Deiner Anweisung mit unbound über einen USG-3P installiert. Funktioniert soweit, dass ich ins Internet komme, mir werden ide Email blockert.
"Senden der Nachricht fehlgeschlagen.
Fehler beim Senden der Nachricht: SMTP-Server smtp.mail.yahoo.com ist unbekannt. Der Server ist eventuell falsch konfiguriert. Bitte kontrollieren Sie die SMTP-Server-Einstellungen und versuchen Sie es nochmals."
Ich habe im Lan den DHCP-Modus als DHCP-Server , DHCP-Nameserver auf Manuell und die IP des Raspi eingetragen.
Mit dieser Einstellung habe ich praktisch keine Einträge. Ich habe es mal probiert, im WAN-Bereich unter Allg..Einst.. den DNS-Server auf die Raspi-IP zu setzen. Dann funktioniert pihole so wie es soll, auch Internet und WLAN kein Problem, aber Emails weder nach aussen noch nach innen möglich. Werden alle geblockt. Hast Du evtl. einen Tipp für mich?
Thomas Mielke
www.mielke.de
24. Februar 2021, 18:08 Uhr
@jakob: Was steht dem im Query-Log des Pi-hole? Wird dort eventuell der Yahoo-SMTP-Server blockiert? Dann müsstest Du den auf die Whitelist setzen.
Sushi
7. April 2021, 15:22 Uhr
Hallo Thomas,
wenn ich Dein Netzwerk Setup richtig verstanden habe, so steckt Deine UDM-Pro ja als "Exposed Host" hinter der Fritz. Der PiHole ist ja am Netzwerk der Fritz angebunden, damit er von der Fritz als DHCP Server genutzt werden kann. Gibt es einen Trick, dass ich den PiHole nun auch von meinem "normalen" PC aufrufen kann oder muss ich dafür immer zum Serverschrank und meine Laptop an die Fritz anbinden? Sowas wir ein "Kurzschlusskabel" das die Fritz und die UDM-Pro oder den PoE Switch auf einem Port verbindet oder so?
Thomas Mielke
www.mielke.de
7. April 2021, 15:59 Uhr
@Sushi: Der Pi-hole hängt natürlich nicht an der FritzBox, sondern im Management-LAN des UniFi-Netzwerks. Die FritzBox hat im gesamten Setup im Prinzip keinerlei Funktion und ist quasi als reines Modem degradiert. Das heißt, dort sind soweit möglich auch allen Dienste deaktiviert.
Denn dafür habe ich ja das UniFi-Netzwerk...
Sushi
7. April 2021, 17:12 Uhr
Hallo Thomas,
ok danke für die Klärung!
Mal was anderes: Hast Du mal überlegt, einen Blog Eintrag über Deine Firewall Regeln zu erstellen? Vor allem die Kommunikation zwischen verschiedenen VLANs und Devices in den VLANs?
DaRo
22. April 2021, 15:25 Uhr
Halo Zusammen,
ich habe Phiole und Unbound auf zwei getrennten Servern laufen. Soweit so gut. Es funktioniert auch alle prima. Nur Das AppleTV geht funktioniert jetzt nicht mehr. Hat jemand eventuell einen Idee woran es liegen könnte.
Viele Grüße
Thomas Mielke
www.mielke.de
22. April 2021, 15:35 Uhr
@DaRo: Was sagt denn das Query Log dazu? Wird da eventuell etwas geblockt, was besser auf die Whitelist sollte? Bei Apple gibt es eine Liste sämtlicher Dienste, die zur Funktion von Apple-Produkten oder -Services verwendet werden:
https://support.apple.com/de-de/HT210060
Du musst vermutlich ein paar davon auf die Whitelist setzen. Schau einfach mal ins Query Log.
Bernd Ehlebracht
22. April 2021, 17:19 Uhr
Hallo Thomas,
vielen Dank erstmal für deine viele Arbeit.
Ich habe PI-HOLE auf meinen Raspi installiert. Sehe nun aber, dass die Version anscheinend sehr alt ist (hab es mit apt-get install pihole gemacht).
Ich hatte einen Apache auf dem PI laufen. Bis ich dann herausbekomen habe, dass ich Lighttpd für pihole benötigte. Die Weboberfläche läuft auch. Es wird
Pi-hole vDev (HEAD, v3.2.1-0-ge602008)
Web Interface vDev (HEAD, v3.2.1-0-g31dddd8a)
FTL v5.8
angezeigt.
Ich wollte nun mit sudo pihole -up auf die neueste Version "updaten",
bekomme abe4r die Fehlermeldung
Error: Remote revision coulde not be obtained, please contact pihole support.
Woran kann das liegen?
Weiterhin wird, egal wieviel Domains ich dazu füge, im Webinterface immer die gleiche Anzahl von "Domains on Blocklist" angezeigt?
Vielen Dank für deine Antwort.
Gruß
Bernd
Bernd Ehlebracht
22. April 2021, 17:21 Uhr
Entschuldigung, natürlich mit
curl -sSL https://install.pi-hole.net | bash
installiert.
(Muss an meinem Alter liegen [68])
Thomas Mielke
www.mielke.de
22. April 2021, 17:27 Uhr
@Bernd: Wenn Du den Pi-hole korrekt mit
installiert hast, dann sollte das Update eigentlich mit
problemlos laufen. Da Du aber in der Tat eine recht alte Version nutzt, kann es natürlich sein, dass das Update da nicht so einfach durchläuft. Deine Version sieht auch so aus, als wenn Du irgendwann mal auf einen Beta-Zweig gewechselt bist. Versuch mal mit
zurück auf die Stable-Version zu wechseln und versuche dann das Update erneut. Auch
könnte eventuell ein paar Probleme beheben.
DaRo
22. April 2021, 17:59 Uhr
@Thomas Mielke
Das Query Log im Bezug auf die Apple TVs ist Grün.
Könnte es am Unbound liegen.
Denn wenn ich die IP vom Unbound im AppleTV direkt als DNS eintrage funktioniert es auch nicht.
Viele Grüße
Thomas Mielke
www.mielke.de
22. April 2021, 18:00 Uhr
@DaRo: Nimm doch den Unbound beim Pi-hole erst mal raus und teste das nur mit dem Google- oder Cloudflare-DNS.
Dass der Unbound nur beim AppleTV für Probleme sorgt, halte ich ehrlich gesagt für unwahrscheinlich. Wenn der Unbound korrekt konfiguriert ist und eine aktuelle Root-DNS-Liste hat (sollte man alle paar Monate updaten), dann sollte dieser eigentlich für alle Devices gleichermaßen funktionieren.
Was ist denn, wenn Du den Pi-hole deaktivierst (im Menü Disable)? Funktioniert das AppleTV dann?
Bernd Ehlebracht
22. April 2021, 18:12 Uhr
Das ist das Ergebnis von "pihole checkout master"
[i] Shortcut "master" detected - checking out master branches...
[i] Pi-hole core
fatal: ref HEAD is not a symbolic ref
[✓] Switching to branch: 'master' from ''
fatal: mehrdeutiges Argument '': unbekannter Commit oder Pfad existiert nicht
im Arbeitsverzeichnis
Benutzen Sie '--', um Pfade und Commits zu trennen, ähnlich wie:
'git <Befehl> [<Commit>...] -- [<Datei>...]'
Bereits aktuell.
[i] Web interface
fatal: ref HEAD is not a symbolic ref
[✓] Switching to branch: 'master' from ''
fatal: mehrdeutiges Argument '': unbekannter Commit oder Pfad existiert nicht
im Arbeitsverzeichnis
Benutzen Sie '--', um Pfade und Commits zu trennen, ähnlich wie:
'git <Befehl> [<Commit>...] -- [<Datei>...]'
Bereits aktuell.
[✓] Detected ARM-hf architecture (armv6 or lower) Using ARM binary
[✓] Installing FTL
##############################
pihole reconfigure (option repair) läuft noch
Gruß
Bernd
Bernd Ehlebracht
22. April 2021, 18:38 Uhr
pihole reconfigure (option repair)
.
.
.
[i] Target: https://raw.githubusercontent.com/anudeepND/blacklist/master/facebook.txt
[✓] Status: Retrieval successful
[i] Analyzed 4000 domains
[✓] Storing downloaded domains in new gravity database
[✓] Building tree
[✓] Swapping databases
[i] Number of gravity domains: 4864026 (4187562 unique domains)
[i] Number of exact blacklisted domains: 0
[i] Number of regex blacklist filters: 8
[i] Number of exact whitelisted domains: 0
[i] Number of regex whitelist filters: 0
[✓] Flushing DNS cache
[✓] Cleaning up stray matter
[✓] DNS service is listening
[✓] UDP (IPv4)
[✓] TCP (IPv4)
[✓] UDP (IPv6)
[✓] TCP (IPv6)
[✓] Pi-hole blocking is enabled
[i] The install log is located at: /etc/pihole/install.log
Update Complete!
Current Pi-hole version is v5.3.1.
Current AdminLTE version is v5.5.
Current FTL version is v5.8.1.
pi@raspberrypi:~ $
#########
zumindest sind jetzt die Anzahl der "Blocked Domains" im Webinterface richtig.
pi@raspberrypi:~ $ pihole -up
[i] Checking for updates...
[i] Pi-hole Core: up to date
[i] Web Interface: up to date
[i] FTL: up to date
[✓] Everything is up to date!
pi@raspberrypi:~ $
#####################
und die Version ist:
Pi-hole v5.3.1 Web Interface v5.5 FTL v5.8.1
Das sieht doch gut aus.
Vielen Dank
Gruß
Bernd
Thomas Mielke
www.mielke.de
22. April 2021, 18:40 Uhr
@Bernd: Das sieht doch gut aus! Freut mich, wenn ich helfen konnte ;-)
Bernd Ehlebracht
22. April 2021, 20:27 Uhr
Hallo Thomas,
ich muss nochmal nerven.
Nachdem der pihole nun läuft, kann ich aber nicht mehr auf mein
Datenverwaltungsprogramm "phpmyadmin" zugreifen.
Wenn ich http://192.168.178.98/phpmyadmin/ eingebe, erscheint:
eine leere Seite mit dem Text
Pi-hole logo
Pi-hole: Your black hole for Internet advertisements
Did you mean to go to the admin panel?
Gestern hat es noch funktioniert ??
Hast du eine Idee?
Gruß
Bernd
Thomas Mielke
www.mielke.de
22. April 2021, 20:41 Uhr
@Bernd: Der Pi-hole nutzt den Webserver lighttpd und dieser hört natürlich auf den Standard-Port 80. DOCUMENT_ROOT liegt üblicherweise in „/var/www/html“, dort findest Du auch das Verzeichnis „/admin“, also das Web-Frontend des Pi-hole.
Ich weiß nicht, wo Du phpMyAdmin bisher installiert hattest und ob es eventuell noch einen Apache-Webserver gab, der natürlich nicht parallel mit dem lighttpd auf dem gleichen Port laufen kann. wenn Du phpMyAdmin über apt-get installiert hast, kann es sein, dass damit auch automatisch der Apache installiert und aktiviert wurde – und eventuell damit as Pi-hole Frontend deaktiviert wurde.
Prinzipiell sollte phpMyAdmin aber auch mit dem lighttpd laufen. Entweder legst Du in „/var/www/html“ ein Verzeichnis „/phpmyadmin“ an und kopierst dort die Datei hin, oder erstellst einen entsprechenden Symlink zum Verzeichnis von phpMyAdmin. Du musst dann nur schauen, ob das mit den Dateirechten passt.
Bernd Ehlebracht
22. April 2021, 21:16 Uhr
also das Verzeichnis heisst:
/var/www/htdocs
hier liegen die Verzeichnisse
admin
phpmyadmin
filmverwaltung
Den Apache hab ich deinstalliert - läuft also nicht
Ich sehe gerade, es gibt unter /var/www auch eine Verzeichnis html
Hier gibt es auch das Verzeichnis /admin (heute angelegt!)
Dann wurde wohl das Server-Document Verzeichnis bei der Reparatur geändert und liegt jetzt nicht mehr unter htdocs sondern html.
mmmh, jetzt muss ich mal sehen wie ich das korrigiert bekomme.
Gruß
Bernd
Thomas Mielke
www.mielke.de
22. April 2021, 21:17 Uhr
@Bernd: Sowas hatte ich vermutet. htdocs klingt nach Apache. Prinzipiell müsstest Du das Verzeichnis phpmyadmin aber einfach von „/var/www/htdocs“ nach „/var/www/html“ verschieben können.
Bernd Ehlebracht
22. April 2021, 21:22 Uhr
Hallo Thomas,
ich habe die Verzeichnisse "filmverwaltung" und "phpmyadmin" in
das Verzeichnis "html" verschoben.
Jetzt läuft es wieder.
Vielen, vielen Dank für deine schnelle Hilfe!!
P.S. Deine Webseite finde ich sehr interessant. Schade, das es in Hamburg
den Glasfaseranbieter nicht gibt.
Thomas Mielke
www.mielke.de
22. April 2021, 21:23 Uhr
@Bernd: Ah, jetzt warst Du schneller als ;-)
Prima, dass es geklappt hat.
Kai
23. April 2021, 18:09 Uhr
Hallo Thomas,
bei mir läuft noch immer alles reibungslos. Danke nochmal an Deinen tollen Blog!
Ich habe jetzt noch eine Frage zu den DNS-Servern der Telekomiker. Zur Erinnerung: mein Aufbau ist FritzBox -> LAN1 -> USG, LAN2 -> alter Netgear-Switch. An LAN1 hinter dem USG hängt dann die UniFi-Welt und mein internes Netzwerk (192.168.10.0/24), an LAN2 hängen nur ein paar (IP-) Telefone, die über die FritzBox verwaltet werden (192.168.0.0/24).
Der Pi-hole hängt hinter dem USG im internen Netzwerk und ist überall als DNS-Server eingetragen - funktioniert bestens. Darüber hinaus habe ich die IP-Adresse des Pi-hole auch in der FritzBox eingetragen, und zwar an zwei Stellen:
[1] unter "Heimnetz -> Netzwerk" als lokalen DNS Server und
[2] unter "Internet -> Zugangsdaten -> DNS-Server -> Andere DNSv4-Server verwenden".
Damit nutze ich nicht den DNS-Server meines Internet-Anbieters - funktioniert (bisher) ebenfalls bestens.
Allerdings habe ich gehört, dass beispielsweise einige Telekom-Geräte es gar nicht mögen, dass der hauseigene DNS-Server nicht verwendet wird (Stichwort: IP-TV).
Kannst Du mir zufällig sagen, ob ich in der FritzBox unter "Internet -> Zugangsdaten -> DNS-Server" die Option "vom Internetanbnieter zugewiesene DNSv4-Server verwenden" aktivieren könnte oder hebel ich dann den Pi-hole wieder aus?
Natürlich dürfte ich dann magentafarbene Geräte nicht an LAN1 bzw. ins UniFi-Netzwerk hängen; diese müssten dann direkt in die FritzBox gestöpselt werden, oder?
Danke Dir vielmals,
bleib gesund,
viele Grüße
Kai
Thomas Mielke
www.mielke.de
23. April 2021, 19:34 Uhr
@Kai: Solange alle Geräte bei Verwendung des Pi-hole funktionieren ist doch alles prima. Die Telekom kann Dir ja auch nicht vorschreiben, welchen DNS-Server Du verwendest.
Kai
23. April 2021, 22:54 Uhr
Hallo Thomas,
ja, klar, vielen Dank.
Als ich meinen Beitrag eben las, dachte ich auch: "Wo ist eigentlich das Problem?" ;-)
Es war ein langer Tag heute - sorry für den "Spam".
Danke für Deine Geduld,
viele Grüße
Kai
Lunacherie
3. Juni 2021, 12:55 Uhr
Hallo Thomas,
ich habe den RasPi 3, Pi-hole v5.3.1, Web Interface v5.5, FTL v5.8.1 im Netz, und er funktioniert einwandfrei. Trotzdem möchte ich die /etc/pihole/pihole-FTL.conf um den Eintrag: BLOCKINGMODE=IP ergänzen, damit der PI auf eine blockierte Seite eine Antwort gibt, dass diese durch den PI blockiert wurde, und es keinen anderen Grund im Netz gibt. Leider ist die pihole-FTL.conf schreibgeschützt.
Wie muss ich verfahren (SSH ?) um dort ediesen Eintrag hin zu bokommen?
---
DANKE!
Thomas Mielke
www.mielke.de
3. Juni 2021, 19:28 Uhr
@Lunacherie: sudo ist Dein Freund...
don
30. Oktober 2021, 17:47 Uhr
macht es eigentlich noch Sinn, IPP Filterlisten zu verwenden?
Ein guter Bekannter klagte kürzlich über nigerianische Scammer, die bei seinem Webshop mit geklauten Kreditkarten einkaufen was ihm nachher eine Menge Stress beschert hat und jetzt die "nix als Ärger" Fraktion von dort blocken will.
Sebastian
5. August 2022, 14:40 Uhr
Hallo Herr Mielke,
Danke für diese Anleitung (und Danke für die vielen hilfreichen und klärenden Kommentare.)
Ich experimentiere gerade zum ersten Mal mit dem PiHole und weil mein Vodafone Kabel-Router mir nicht die Möglichkeit gibt, den DNS-Server einzustellen, habe ich nach einer Lösung gesucht, wie ich das testweise vorerst ohne weitere neue Hardware vielleicht doch zum Laufen kriege.
Einer oder mehr Kommentatoren haben angeregt, an Stelle des DHCP-Servers des Routers, den des piHole zu nutzen.
Mein Setup sieht also im Moment so aus:
- der Router weist alleine dem piHole (genau genommen dem RaspberryPi) eine statische IP-Adresse zu
- der DHCP-Server des Routers ist AUS
- der DHCP-Server des PiHole ist AN.
Nach allem, was ich als relativer dummy nun verstehe wenn ich mir die Logs des PiHole ansehe, funktioniert das tatsächlich und der gesamte trafic der clients (via wlan ein Smartphone sowie ein Winwos-PC) wird gefiltert... mir ist nur nicht klar, warum das funktioniert ? :-)
Können Sie mich aufklären? Hat dieses Setup evtl. irgendwelche grundsätzlichen Nachteile gegenüber den beschriebenen Konfigurationen mit dem piHole als DNS-Server?
beste Grüße
Sebastian
Thomas Mielke
www.mielke.de
5. August 2022, 15:29 Uhr
@Sebastian: Prima, dass es funktioniert. Grundsätzlich hat es erstmal keine Nachteile, den DHCP-Server des Pi-hole zu verwenden. Zumindest solange Du keine VLANs, also unterschiedliche Netze verwendest. Aber sowas wird die Vodafone-Box ja vermutlich auch gar nicht können.
Mich wundert allerdings, dass Du den DHCP-Server ändern kannst, nicht aber die DHCP-Nameserver...
Sebastian
6. August 2022, 16:33 Uhr
Hallo Thomas, Danke für die schnelle Antwort.
Ja, mich wundert das auch, habe extra nochmal das Handbuch konsultiert ... aber diese Hardware kann man offensichtlich nicht allzu umfangreich konfigurieren. Wenn mein setup aber nicht "falsch" ist, dann geht das für mich in Ordnung, dann kann ich nämlich auch nicht aus Versehen irgendwas kaputt-konfigurieren. :-)
Schönes Wochenende!