Mit dem Pi-hole einen Werbeblocker für das gesamte lokale Netz einrichten

Pi-hole – Das Schwarze Loch für Werbung im Internet
Pi-hole – Das Schwarze Loch für Werbung im Internet

Ich habe mal wieder ein neues Tool in das lokale Netzwerk eingebunden. Im letzten Jahr hatte ich ja das gesamte lokale Netz auf UniFi umgestellt und dadurch unter anderem einen viel besseren Überblick bekommen was im Netzwerk so los. Die Anzahl der Geräte, die mit dem Internet verbunden sind, steigt ja ständig und so sind hier inzwischen ca. 35 bis 40 Geräte ständig mit dem Internet verbunden. Diese habe ich je nach Anwendung gruppiert und eigene VLANs definiert. Neben dem ohnehin getrennten Gastnetz gibt es also VLANs für VoIP-Telefonie, für die Büro-Rechner, Smarthome-Geräte, etc. Über Firewall-Regeln ist dann definiert ob und in welcher Richtung sich die Geräte sehen dürfen – oder eben nicht. Ein feine Sache.

Weitere Filter, z.B. für Werbung oder als Kindersicherung gab es bisher nicht, oder wenn dann nur direkt auf den jeweiligen Geräten. Entsprechende Werbeblocker-Plugins wie Adblock Plus oder uBlock Origin nutzen ja sicher viele von Euch. Diese verrichten sehr zuverlässig ihren Job und machen insbesondere Websites mit vielen Werbebannern und Trackern nutzbarer und sicherer. Der Nachteil: Sie funktionieren nur in dem Browser oder auf dem Gerät, in dem das Plugin installiert ist.

Werbung und Tracker finden sich aber nicht nur auf Websites, sondern beispielsweise auch in vielen Smartphone-Apps. Auch Software auf dem PC oder auf Smart-TVs sowie Streaming-Boxen wie Apple TV oder Fire TV spielen Werbung aus oder setzen Tracker ein. Hier ist aber der Einsatz von Werbeblockern in der Regel gar nicht möglich. Und an dieser Stelle setzt nun der Pi-hole an. Auf den bin ich erst kürzlich in einem UniFi-Forum aufmerksam geworden und habe mir das Ding mal näher angesehen – Und kurzerhand eingerichtet.

Was ist der Pi-hole?

Die Pi-hole Webadmin-ConsoleDer Pi-hole ist ein Filter, der Werbung oder Tracker direkt im lokalen Netzwerk blockt. Umgesetzt wird das über die DNS-Auflösung. Hinter jeder Domain-Adresse verbirgt sich ja eine IP-Adresse und im Domain Name System (DNS) sind diese Verknüpfungen hinterlegt. Beim Aufruf einer Website fragt der Router also zunächst diese Informationen bei einem öffentlichen DNS-Server ab und gibt diese an den Browser zurück, damit dieser dann den Webserver kontaktieren kann. Meist ist das der DNS-Server des Zugangsproviders, sehr gerne wird aber auch der Google-DNS 8.8.8.8 verwendet. Genauso funktioniert die DNS-Auflösung natürlich bei allen anderen Domain-/IP-Basierten Internet-Anwendungen.

Der Pi-hole übernimmt nun die Aufgabe der DNS-Auflösung und gleicht vor der Weitergabe an die öffentlichen DNS-Server die anforderte Domain-Adresse mit den internen Filterlisten ab. Aktuell sind in den Filterlisten über 120.000 Domainnamen eingetragen, die Werbung ausliefern oder den User/das Gerät tracken. Steht eine Domain auf einer der Filterlisten, dann gibt der Pi-hole einfach seine eigene lokale IP-Adresse zurück. Und der im Pi-hole integrierte kleine Webserver liefert dann auf Anfrage eine leere Antwort. Anstelle eines Werbebanners erscheint somit auf der Website einfach gar nichts.

Der Pi-hole ist also ein kleiner DNS-Server, der einfach auf einem Raspberry Pi installiert wird und mittels Filterlisten Werbung und Tracker blockiert. Im Router muss man dazu einfach nur die lokalen IP-Adresse vom Pi-hole als DNS-Server eintragen. Fertig. Klingt einfach und ist es eigentlich auch.

Der größte Vorteil des Pi-hole ist, dass dieser Werbung und Tracker für alle Devices im gesamten lokalen Netz blockieren kann. Und zwar ohne, dass man dafür auf den einzelnen Geräten irgendetwas installieren oder konfigurieren muss.

Der Name Pi-hole setzt sich übrigens aus „Raspberry Pi“ und „Black hole“ zusammen. Sozusagen das Schwarze Loch für Online-Werbung. Den Namen mag ich übrigens.

Was benötigt man?

Zunächst benötigt man natürlich den kleinen Bastel-Computer Raspberry Pi, am besten mit einem passenden Gehäuse. Dazu eine 16GB Micro-SD-Karte und ein USB-Netzteil, dass mindestens 2,4A liefert. Es gibt auch komplette Starter-Kits, die alles Notwendige enthalten. Vorteil an den Starter-Kits ist, dass auf der Micro-SD bereits das RasPi Installations-Programm NOOBS vorinstalliert ist. Also einfach zusammenbauen und loslegen.

Naja fast. Zumindest für die Erstinstallation benötigt man noch einen Monitor oder Fernseher mit HDMI-Anschluss und eine USB-Tastatur. Wenn der der RasPi einmal eingerichtet ist, benötigt man Monitor und Tastatur nicht mehr. Man verbindet sich einfach von einem beliebigen PC per SSH auf die Konsole. Am einfachsten geht das mit PuTTY (Bitte nicht erschrecken – Ja, das ist die offizielle Website..!).

Auf der Raspberry-Pi-Website gibt es viele Anleitungen was genau zu tun ist, ich will jetzt hier nicht näher darauf eingehen. Es ist aber wirklich einfacher als es sich anhört. Und es macht Spaß. Installieren sollte man übrigens die aktuellste Version von Raspbian ohne Desktop auch Raspbian Stretch Lite genannt. Diese steht auch bei der Installation über NOOBS zur Auswahl.

Ich habe übrigens das ganz neue Modell 3B+ gewählt, das Vorgänger-Modell reicht aber auch völlig. Ein Gehäuse und alles andere hatte ich noch hier noch in der Schublade liegen.

Natürlich kann man auf auch auf einem bereits vorhandenen RasPi zusätzlich Pi-hole installieren. Ratsam ist aber, einen RasPi ausschließlich für diese neue Aufgabe zu verwenden. Der Pi-hole soll ja nicht durch andere Anwendungen oder Dienste versehentlich zur Bremse für das gesamte lokale Netz werden, weil dieser die DNS-Auflösung nicht schnell genug ausführen kann.

Pi-hole installieren

Wenn der RasPi eingerichtet ist und optimalerweise bereits eine feste IP-Adresse hat (entweder über den Router zugewiesen oder direkt auf dem RasPi konfiguriert) dann muss man nur einen Befehl auf der Konsole eingeben, um die Installation auszuführen:

curl -sSL https://install.pi-hole.net | bash

Während der Installation muss man noch ein paar Dinge festlegen, aber in der Regel kann man die vorausgewählten Optionen einfach bestätigten. Nach Abschluss der Installation bekommt man die Adresse des Web-Interfaces sowie das zugehörige Passwort angezeigt. Wenn alles geklappt hat dann, dann sollte man den Pi-hole über die Adresse

http://pi.hole/admin

aufrufen können. Das was man dort einsehen kann bzw. einstellen kann, sollte zum größten Teil selbsterklärend sein. Damit wäre der erste Teil erledigt und der Pi-hole sollte einsetzbar sein.

Pi-hole verwenden

Konfiguration in der FRITZ!BoxNachdem die Installation abgeschlossen ist, müssen die Geräte im Netzwerk – bzw. im einfachsten Fall nur der Router – natürlich wissen, dass ab jetzt nur noch der Pi-hole als DNS-Server verwendet werden soll. Falls Ihr also bei Euren Geräten bisher keine gesonderte DNS-Konfiguration vorgenommen habt (wovon ich ausgehe), dann genügt es in der Tat, nur im Router diese Einstellung vorzunehmen. Als primären/bevorzugten DNS-Server gebt Ihr dann also die IP-Adresse Eures Pi-holes an. Der sekundäre/alternative DNS-Server kann leer bleiben oder man trägt dort als Backup einen öffentlichen DNS-Server wie den Google DNS 8.8.8.8 oder den ganz neuen Cloudflare DNS 1.1.1.1 ein.

Konfiguration eines Netzwerks im UniFi ControllerIn meiner UniFi-Umgebung hatte ich diese Einstellung für den ersten Test zunächst nur für einzelne VLANs vorgenommen, dann aber doch recht schnell komplett umgestellt. Also nicht nur für die einzelnen Netzwerke/VLANs, sondern auch bei den WAN-Einstellungen des USG, sodass wirklich die gesamten DNS-Abfragen über den Pi-hole laufen. Bisher konnte ich noch keine Probleme feststellen. Der Pi-hole läuft zuverlässig und stabil.

Einblicke und Statistiken

Auf dem Dashboard des Web-Interfaces sieht man eine Zusammenfassung der letzten 24 Stunden. Interessant sind vor allem die Gesamtzahl der DNS-Abfragen (hier aktuell ca. 45.000 - 50.000) und die Anzahl der geblockten Abfragen (ca. 10.000) aus der sich eine Blockquote von aktuell ca. 20% ergibt.

Diese hohe Quote hätte ich ehrlich gesagt so nicht erwartet. Vor allem wenn man bedenkt, dass immer noch alles funktioniert. Kein Gerät hat bisher seinen Dienst verweigert, keine App meckert und natürlich funktionieren auch alle Websites noch immer wie bisher. In Firefox und Chrome habe ich übrigens weiterhin uBlock Origin im Einsatz. Hier wird immer noch Einiges zusätzlich gefiltert. Die Algorithmen eines AdBlocker-Plugins erkennen ja noch ganz andere Muster, als nur einen reinen Domainnamen auf einer Blacklist.

Im Query Log erhält man dann noch weitere Einblicke die DNS-Abfragen. Wirklich interessant, welche Geräte da im Hintergrund so nach draußen kommunizieren wollen. Und natürlich kann man aus dem Query Log einzelne Einträge direkt in eine eigene Blacklist oder Whitelist übernehmen.

Filterlisten

Derzeit verwende ich nur die mitgelieferten Filterlisten, die übrigens einmal pro Woche automatisch aktualisiert werden. Darin sind aktuell gut 120.000 Domains eingetragen. Weitere Filterlisten kann man einfach im Web-Interface eintragen. Quellen dafür gibt es viele. Auf GitHub wurde eine umfangreiche Sammlung von Filterlisten zusammengetragen.

Upstream DNS-Server

Der Pi-hole hat natürlich selber keine vollständige Datenbank aller weltweit existieren Domains, sondern benötigt die Angabe von sogenannten Upstream DNS-Servern, also DNS-Server an die er die DNS-Abfragen weiterleitet, wenn die abzufragende Domain nicht auf einer der Filterlisten steht.

Im Web-Interface kann man dazu eine Reihe von vordefinierten öffentlichen DNS-Servern (Google, OpenDNS, Quad9, und noch ein paar andere) auswählen oder auch zwei eigene DNS-Server (z.B. die vom Zugangsprovider) eintragen. Ich habe aktuell alle ausgewählt und zusätzlich die beiden neuen Cloudflare DNS-Server eingetragen, da diese aktuell noch nicht in der Liste der vordefinierten Server stehen.

Die neuen Cloudflare-DNS-Server legen laut eigener Aussage sehr viel Wert auf Privacy und sollen die beste Performance haben. Beim Blick in die 24h-Statistik kann ich das bis jetzt sogar bestätigen. Die Cloudflare-Server verarbeiten die meisten Anfragen meines Pi-holes. Eine interessante Alternative also zum beliebten Google Public DNS. Ich werde das jetzt mal eine Weile beobachten und dann vermutlich nur noch die Cloudflare-Server nutzen.

Welche Möglichkeiten gibt es noch?

Der Pi-hole fungiert nun also als DNS-Server im gesamten lokalen Netz für alle angeschlossenen Geräte gleichwertig. Ein getrennte Zuweisung von Filterlisten für einzelne IP-Bereiche oder MAC-Adressen ist aktuell leider (noch?) nicht möglich.

Prinzipiell ließe sich der Pi-hole durch weitere Filterlisten ja auch als Kindersicherung oder Ähnliches einsetzen. Hierzu wäre dann aber nach aktuellem Stand ein weiterer Pi-hole notwendig, den man dann mit den entsprechenden Filterlisten ausstattet. In meinem UniFi-System wäre es damit z.B. möglich, für eines der Netzwerke/VLANs einen weiteren Pi-hole einzusetzen, der dann andere bzw. zusätzliche Filterlisten verwendet. Mal sehen, was die Zukunft bringt...

Update August 2018

Pi-hole v4.0 kombiniert mit Unbound als Allround-DNS-Lösung

Kürzlich wurde die Pi-hole Version 4.0 veröffentlicht. Dabei wurde insbesondere der integrierte DNS-Resolver – der FTLDNS (Faster Then Light DNS) – optimiert. Aber auch die Möglichkeiten für die Anbindung der Upstream-Server wurde erweitert. So ist es nun möglich zusätzlich den lokalen DNS-Server Unbound zu betreiben, der dann als eigener Upstream-Server fungiert.

Ich habe meinen Pi-hole also nun auf das nächste Level gehoben und somit die Sicherheit erhöht und den Privacy noch etwas erhöht. Wie funktioniert das Ganze nun?

Pi-hole mit externem Upstream-Server

In der Standard-Konfiguration leitet der Pi-hole alle Anfragen, die nicht auf einer Blocklisten stehen, an den oder die hinterlegten externen Upstream-Server (Google, Cloudflare, Provider, etc.) weiter. Der Ablauf ist dann wie folgt:

  • Der Client fragt den Pi-hole: „Welche IP-Adresse hat example.com?“
  • Der Pi-hole schaut im Cache nach und antwortet, falls die Adresse bereits bekannt ist.
  • Der Pi-hole schaut in die Blocklisten und antwortet, falls die Domain geblockt ist.
  • Wenn weder 2. oder 3. zu einer Antwort geführt haben, leitet der Pi-hole die Anfrage an den oder die konfigurierten Upstream-Server weiter.
  • Der Upstream-Server antwortet mit der IP-Adresse für example.com.
  • Die Antwort des Upstream-Servers leitet der Pi-hole dann an den Client weiter.
  • Der Pi-hole speichert die Antwort im Cache, um bei Bedarf schneller antworten zu können, wenn ein anderer Client dieselbe Domain anfragt.

Das ist der normale Ablauf. Alle DNS-Abfragen werden also an einen Upstream-Server weitergegeben und man muss darauf vertrauen, dass dieser eine korrekte Antwort zurück liefert. Dabei könnte der Betreiber dieses Upstream-Servers speichern, welche Adressen alle von Deinem lokalen Netz angefragt werden und somit eine Art Profiling betreiben.

Pi-hole mit Unbound als lokalem Upstream-Server

Hier kommt nun der lokale DNS-Server Unbound ins Spiel. Wenn dieser eingerichtet ist, dann übernimmt dieser die Aufgabe des Upstream-Servers. Das alleine hätte nun noch keinen Vorteil, denn dieser muss ja auch irgendwo die Domains abfragen. Unbound ist aber ein rekursiver DNS-Server, daher ist der Ablauf ist nun etwas anders:

  • Der Client fragt den Pi-hole: „Welche IP-Adresse hat example.com?“
  • Der Pi-hole schaut im Cache nach und antwortet, falls die Adresse bereits bekannt ist.
  • Der Pi-hole schaut in die Blocklisten und antwortet, falls die Domain geblockt ist.
  • Wenn weder 2. oder 3. zu einer Antwort geführt haben, leitet der Pi-hole die Anfrage an den lokalen rekursiven DNS-Server Unbound weiter.
  • Der rekursive DNS-Server fragt den DNS-Root-Server: „Wer ist für die TLD .com zuständig?“
  • Der DNS-Root-Server antwortet mit der Liste der zuständigen DNS-Server für die TLD .com.
  • Der rekursive DNS-Server fragt einen dieser TLD-DNS-Server für .com: „Wer ist für example.com zuständig?“
  • Der TLD-DNS-Server ?antwortet mit der Liste der autoritativen DNS-Server für example.com.
  • Der rekursive DNS-Server fragt einen dieser autoritativen DNS-Server: „Welche IP-Adresse hat example.com?“
  • Der autoritative DNS-Server antwortet mit der IP-Adresse für example.com.
  • Der rekursive DNS-Server leitet die Antwort an den Pi-hole weiter.
  • Die Antwort des rekursiven DNS-Servers leitet der Pi-hole dann an den Client weiter.
  • Der Pi-hole speichert die Antwort im Cache, um bei Bedarf schneller antworten zu können, wenn ein anderer Client dieselbe Domain anfragt.

Der große Unterschied ist nun, dass die Anfragen immer vom autoritativen Nameserver der jeweiligen Domain beantwortet werden. Das erhöht zum Einen die Sicherheit, eine korrekte Antwort zu erhalten und sorgt gleichzeitig dafür, dass die Anfragen verteilt werden, sodass kein Nameserver alle Anfragen erhält und somit der Datenschutz ein wenig erhöht wird.

Die vielen Schritte über Root-Server, TLD-Server und autoritativen Server führen externe Upstream-Server wie Google oder Cloudflare genauso aus, allerdings haben diese natürlich einen viel größeren Cache, der dann als Geschwindigkeits-Vorteil beworben wird. Wir bewegen uns hier aber im Millisekundenbereich, der kaum ins Gewicht fallen sollte. Dieser ist also eher mess- als spürbar.

Was aber sehr wohl spürbar ist, was die Blocklisten wegfiltern. Insbesondere bei großen Nachrichtenseiten bei denen teilweise hunderte von externen Domains kontaktiert werden, ist das natürlich deutlich spürbar.

Die Kombination aus Pi-hole und Unbound ist also eine Allround-DNS-Lösung für das lokale Netzwerk.

Weitere Infos/Quellen:

Fazit nach vier acht Monaten mit dem Pi-hole

Die Pi-hole Webadmin-Console 4.0Den Pi-hole habe ich nun seit gut vier acht Monaten im Einsatz. Er verrichtet immer noch absolut zuverlässig seinen Dienst. Inzwischen habe ich die Blocklisten sogar noch weiter ergänzt, sodass ich nun gut 2,5 Millionen gut 3,5 Millionen Domains in den Blocklisten habe.

Dabei komme ich aktuell trotz zusätzlich aktivierter AdBlocker in den Browsern auf eine Blockquote von 30-40%. Probleme konnte ich bisher trotzdem keine feststellen. In der manuellen Whitelist befinden sich nur ein paar Handvoll Domains, die sich angesammelt haben. Das sind z.B. einige URL-Shortener oder ein paar Domains die ich persönlich trotzdem für vertrauenswürdig halte.

Inzwischen konnte die Blockquote noch einmal deutlich auf 10-20% reduzieren. In meinem anderen Blog-Artikel zum Pi-hole berichte ich, was man mit dem Pi-hole noch so machen kann. Dort bin ich unter anderem einigen sehr häufig im Query-Log auftauchenden Einträgen auf die Spur gegangen.

Den Einsatz eines Pi-holes kann ich also nach wie vor uneingeschränkt empfehlen.

Meine aktuellen Blocklisten

Häufiger wurde ich schon gefragt, welche Blocklisten ich einsetze, mit denen ich auf aktuell gut 3,5 Millionen 2,5 Millionen Domains komme. Im Prinzip sind das in erster Linie die ganzen Listen von The Firebog. Ein paar sind noch aus anderen Quellen dazugekommen, aber leider kann ich nicht mehr nachvollziehen, wo ich die ursprünglich aufgetrieben hatte oder ob die mittlerweile auch bei Firebog gelistet sind.

Zuletzt habe ich noch die Majestic Million CSV hinzugefügt, die meine gesamte Blocklist in der Tat noch einmal durch eine zusätzliche Million Domains ergänzt hat. Inzwischen habe ich Aufgrund eines Hinweises (siehe Kommentare unten) bemerkt, dass die Majestic Million CSV scheinbar doch nicht funktioniert. Der Pi-hole übernimmt zwar alle Daten in die gravity.list, sodass sich die Anzahl der Einträge erhöht, allerdings stimmt das Format der Einträge nicht, sodass diese unbrauchbar sind. Ich bin bisher immer davon ausgegangen, dass der Pi-hole alle Blocklisten mittels eines Parsers überprüft und eventuell eine Fehlermeldung ausgibt, bevor die Einträge in die gravity.list übernommen werden. Das scheint aber wohl nicht der Fall zu sein. Die Liste habe ich also vorerst deaktiviert und werde mal schauen, wie man diese für den Pi-hole nutzbar machen kann.

Bisher 160 Kommentare
  1. bruno jennrich

    bruno jennrich

     

    13. April 2018, 10:17 Uhr

    nice!

  2. Laura

    Laura

     

    4. Mai 2018, 23:22 Uhr

    Wenn der Pi-Hole denn mal richtig Programiert wird dann könnte er Toll sein, ist er aber nicht!

    in einem reinen IPv4 Netzwerk macht die Software nichts, da wird nichts gefiltert die anfragen werden Stumpf an den Router weitergeleitet. Der Pi-Hole leitet dann IPv6 Anfragen Stump ohne Überprüfung an den Router weiter.

    Eine kleine Option auf der Konfigurationsseite im Webmanagement vom Pi-Hole mit der Option IPv6 Anfragen weiterleiten
    An | Aus (diese möglichkeit gibt es nicht) Mein Pi-Hole hat schon keine IPv6 Adresse mehr, Anfragen werden trotzdem weitergereicht wie Toll.

    Momentan muss ich Client seitig alles was eine IPv6 Verbindung aufbaut davon abhalten, z.B. der Firefox der Standart mäßig erst eine IPv6 Verbindung aufbaut und wenn das gelingt dieses auch weiterhin benutzt.

    oder das Problem mit der Verbindung nach wpad.*

    Der Pi-Hole ist eher ein Bug-Hole nur das die Bugs nicht Verschwinden sondern enstehen.

  3. Thomas Mielke

    4. Mai 2018, 23:24 Uhr

    @Laura: Das klingt mir aber eher so, als wäre bei Dir etwas falsch konfiguriert. Grundsätzlich sollte der Router ja gar nicht als DNS-Server/Relay agieren, sondern dieser sollte ebenfalls alle Anfragen an den Pi-Hole stellen.

    Was hast Du denn überhaupt für einen Internet-Zugang? Läuft der auf IPv4 oder IPv6, oder kann der beides? Du schreibst, dass Du ein reines IPv4 Netzwerk hast, dann sollte IPv6 im Pi-hole eigentlich gar nicht aktiviert werden. Wenn Du ein reines IPv4-Netzwerk hast, dann solltest Du auf den Clients wenn möglich natürlich auch IPv6 deaktivieren.

    Führe am besten Mal ein ein Re-Configure mit diesem Befehl aus

    pihole -r

    und aktiviere dann nur IPv4. Falls das anschließend immer noch nicht funktioniert, kannst Du in die Datei /etc/pihole/pihole-FTL.conf folgendes eintragen (falls die Datei nicht existiert dann bitte neu anlegen):

    AAAA_QUERY_ANALYSIS=no

    Anschließend den Service neu starten:

    sudo service pihole-FTL restart

    Danach sollten im Query-Log keine IPv6-Einträge mehr auftauchen. Wichtig ist natürlich auch, dass im Router als DNS-Server auch der Pi-hole eingetragen ist.

  4. Friedbert

    Friedbert

     

    2. Juli 2018, 12:22 Uhr

    Hallo mich würde interessieren ob du eine Lösung für Speedport-Nutzer siehst. Bei den Speedports kann man den DNS Eintrag nämlich nicht editieren.
    Viele Grüße
    Friedbert
    p.s. Fritzbox kaufen ist keine Lösung

  5. Thomas Mielke

    2. Juli 2018, 13:48 Uhr

    @Friedbert: Wenn Du keine Möglichkeit hast, den DNS im Router zentral einzustellen, dann kannst Du das leider nur auf allen Geräten manuell machen.

  6. Thomas

    Thomas

     

    11. Juli 2018, 00:51 Uhr

    Den DHCP-Server des Pi-holes verwenden und den DHCP-Server im Speedport abschalten. Voilà, jetzt verteilt das Pi-hole die DNS-Informationen an die Clients. :-)

  7. Oli

    Oli

     

    16. August 2018, 10:17 Uhr

    Hey Thomas,
    ich hab bei mir das selbe System am laufen. Ich hab da mal ein paar fragen bzgl. deiner config.
    1. Hast du bei Pi-hole den DHCP laufen? oder geht das auch ohne?
    2. wie hast du den WAN umgeleitet? bei mir zeigt er auf die Fritzbox.

  8. Thomas Mielke

    16. August 2018, 10:19 Uhr

    @Oli: Nein, den DHCP-Server auf den Pi-hole habe ich deaktiviert. Erstens sehe ich nicht welchen Vorteil mir das bringen würde und zweitens habe ich über mein UniFi-System mehrere VLANs eingerichtet, die verschiedene IP-Bereiche/Netze haben und somit auch verschiedene DHCP-Bereiche. Das wäre mit dem Pi-hole gar nicht abzubilden.

    Der Pi-hole fungiert als reiner DNS-Server für das gesamte lokale Netz, das bedeutet ich habe – wie oben im Artikel beschrieben – im Router (bzw. in meinem UniFi-System) die IP-Adresse des Pi-hole als DNS-Server eingetragen.

  9. Tom

    Tom

     

    18. August 2018, 22:56 Uhr

    Pi-Hole ist wirklich ein tolles Projekt. Aber wenn man doch schon den Pi-Hole verwendet um Tracker- und Werbenetzwerke abzuwehren, dann macht es aus meiner Sicht absolut keinen Sinn einen DNS Server von Google einzutragen. Viele sind sich leider gar nicht im klaren, was DNS Requests von ihnen alles preisgeben. Es empfiehlt sich hier viel mehr öffentlich DNS Server zu verwenden, die keine Anfragen mitprotokollieren wie z.B. die DNS Server vom Chaos Computer Club oder Digitalcourage e.V. - siehe auch: https://www.kuketz-blog.de/dns-unzensierte-und-freie-dns-server-ohne-protokollierung/

  10. Thomas Mielke

    18. August 2018, 23:13 Uhr

    @Tom: Da gebe ich Dir völlig recht. Mit der aktuellen Version 4.0 des Pi-hole kann man den Datenschutz und die Sicherheit sogar noch etwas erhöhen. Zusammen mit Unbound, einem rekursiven DNS-Server benötigt man gar keinen öffentlichen DNS-Server. Unbound wird zusätzlich auf dem Pi-hole installiert und fungiert dann als Upstream DNS Server. Unbound macht im Grunde nichts anderes wie öffentliche DNS-Server auch: Er leitet die DNS-Requests jeweils an die autoritativen Nameserver der jeweiligen Domain weiter und speichert das Ergebnis in einem Cache zwischen. Damit wird zum Einen der Datenschutz erhöht, aber auch die Sicherheit einer korrekten DNS-Auflösung. Ich bin leider noch nicht dazu gekommen, meinen Blog-Artikel entsprechend zu ergänzen.

  11. Christoph

    Christoph

     

    23. August 2018, 15:51 Uhr

    Habe seit heute auch pi-hole in nutzung aber als docker container
    und ein vpn client im Router aktiv.
    So kann man in pi-hole den dns server des vpn anbieters einstellen und schon läuft alles über den vpn anbieter aber mit zusätzlichem Filter...

  12. John

    John

     

    23. August 2018, 20:42 Uhr

    Hallo, geht das auch mit ads über https oder wie kann man das einrichten? da müsste pihole ja auch das Zertifikat haben und ka ob das sicher wäre...
    https nimmt ja zu bei websites....sonst wäre pihole irgendwann nutzlos...

  13. Thomas Mielke

    23. August 2018, 22:52 Uhr

    @John: Wenn Du meinen Blog-Artikel gelesen hättest, dann wüsstest Du, dass das nichts mit https oder sonstwas zu tun hat. Der Pi-hole fungiert als DNS-Server und prüft lediglich die reine Domain. Das ist völlig unabhängig vom verwendeten Protokoll, vom Port, vom Dienst, noch von der URL... Wenn Dir das Verständnis dafür fehlt, dann ist der Pi-hole wohl eher nichts für Dich.

  14. Johannes

    Johannes

     

    2. September 2018, 14:59 Uhr

    Vielen Dank für diesen sehr informativen Artikel. Ich habe nach der Anleitung ohne Vorkenntnisse erfolgreich ein Pi-hole System eingerichtet. Seit einigen Wochen läuft das Ganze mit durchschnittlicher Block-Rate > 40%. Ich verwende die Blocklisten aus der Standard-Installation. Die Anzahl geblockter Domains liegt bei ca. 134K Domains. Darf ich fragen, welche Blocklisten Du ergänzt hast, um auf 2.5 Mio geblockte Domains zu kommen?

  15. Thomas Mielke

    2. September 2018, 23:46 Uhr

    @Johannes: Ich habe im Prinzip nur alle Listen von hier eingetragen (sowie noch ein paar kleine deutschsprachige Listen). Allerdings sollte man zusätzlich die dort angegeben Hinweise zum Whitelisting beachten.

  16. Christian

    Christian

     

    7. September 2018, 07:17 Uhr

    Ein sehr interessanter und ausführlicher Bericht über den pi-hole. Vielen Dank!
    Ich habe gestern meinen eigenen pi-hole installiert. Natürlich direkt die neuste Version 4.0. Was ich nun noch nicht verstehe, muss ich zusätzlich was für Unbound recursive DNS installieren? Oder kommt das mit der aktuellen Version alles mit?
    Zudem habe ich den pi-hole als DNS Server an der FritzBox nicht im Menü Internet/Zugangsdaten sondern unter Heimnetzwerk/Netzwereinstellungen hinterlegt.
    Können Sie einmal die weitere wichtige Einstellungen posten? Und ggf. die nötigen Setupbefehle für Unbound, sofern notwendig.

    Meine Konfig ist:
    FritzBox: InternetZugangsdatenDNS: "vom Provider übermittelt"
    FritzBox: HeimnetzwerkNetzwereinstellungDNS: pi-hole IP
    pi-hole: primär DNS Server: FritzBox IP

    es läuft alles, aber ist das so richtig?

    Gruß
    Christian

  17. Thomas Mielke

    7. September 2018, 07:56 Uhr

    @Christian: Unbound muss gesondert installiert werden. Oben im Artikel ist die Anleitung zur Installation verlinkt. Im Prinzip muss man einfach nur das Paket installieren:

    sudo apt install unbound

    Eventuell muss die

    /etc/unbound/unbound.conf.d/pi-hole.conf

    noch geringfügig angepasst werden. Wenn Inbound läuft und funktioniert, dann muss dieser nur noch in den Einstellungen der Upstream-Server des Pi-hole als Custom 1 (IPv4) eingetragen werden:

    127.0.0.1#5353

    Und natürlich müssen auch alle anderen vorkonfigurierten Upstream-Server deaktiviert werden.

    Bezüglich Deiner FritzBox-Konfiguration: Du musst unter InternetZugangsdatenDNS die Pi-hole IP eintragen (siehe auch Screenshot oben im Artikel). In der Pi-hole Konfiguration hat die FritzBox-IP allerdings nichts zu suchen. Falls Du Unbound installierst, dann siehe oben, ansonsten muss dort entweder einer oder mehrere der vorkonfigurierten Upstream-Server ausgewählt werden oder unter Custom die DNS-IP Deines Providers eingetragen werden.

  18. Christian

    Christian

     

    28. September 2018, 12:59 Uhr

    Friedbert:
    Kann man beim Speedport in den DHCP Settings nicht den zu vergebenden Bereich, die Lease-Time etc einstellen? Dann kann man dort doch sicher auch einstellen, welcher DNS an die Clients kommuniziert werden soll.
    Dann kann der Upstream DNS am Router selbst unverändert bleiben, da die Clients sowieso den Pi nehmen. Vom PiHole aus kann dann auch ruhig wieder der eigene Router als Upstream DNS angegeben werden, oder eben einer der anderen öffentlichen Alternativen (Cloudflare, google, etc pp) da von den Clients alle Anfragen eh erst an den PiHole gestellt werden.

    Die Konfiguration an allen Clients manuell vorzunehmen ist zwar eine Möglichkeit, jedoch recht umständlich und ineffektiv, nicht zuletzt bei einer großen Anzahl von Clients. Mobile Clients (Handys etc.) bspw. würden dann größtenteils aussen vor bleiben.

    Falls alles nichts hilft: Es muss ja auch keine FritzBox sein. Im Zweifelsfall, wenn man den Speedport unbedingt behalten will, schaltet man noch einen weiteren Router mit den entsprechenden Konfigurationsmöglichkeiten dazwischen (da gibt es recht günstige, TP-Link Archer C2 bspw.).

    Thomas: Tolle Site, tolle und auch für Laien gut verständliche Artikel. Freue mich, über die Seite gestolpert zu sein.
    Frage an dich: Hast du Erfahrungen mit dem PiHole im Unternehmensnetzwerk? Virtualisierter Server mit Ubuntu wäre kein Thema, alles andere läuft mit Windows 2012 R2.... ich bin der Meinung dass es reibungslos klappen sollte, aber würde da gerne eine zweite Meinung haben von jmd der evtl bereits Erfahrungen damit gemacht hat.
    Gerne auch per Email!

    Viele Grüße,

    Christian

  19. Thomas Mielke

    28. September 2018, 13:27 Uhr

    @Christian: Ich habe hier leider (oder zum Glück) keinen Speedport bei dem ich das testen könnte. Grundsätzlich sollte das aber möglich sein, eine eigenen DNS-Server zu hinterlegen. Die Clients nutzen ja in der Regel den Router als DNS-Server und somit dann indirekt den Pihole. Diese zentrale Lösung ist ja gerade das geniale bei der Nutzung des Pihole,

    Eine Trennung zwischen Unternehmensnetzwerk und und Privatanwendung würde nicht gar nicht so streng ziehen. Der Übergang ist ja fließend. Ich betreibe ja quasi auch ein „Unternehmensnetzwerk“ mit diversen Geräten (PCs, Server, Mobilgeräte, Multimedia, Smarthome, VoIP, etc.) in verschiedenen IP-Bereichen und VLANs. Der Pihole verrichtet da einwandfrei seinen Dienst. Für die Geräte im Netz macht es ja keinen Unterschied, wer die DNS-Auflösung übernimmt.

  20. Josef

    Josef

     

    1. Oktober 2018, 17:29 Uhr

    Hallo Thomas!
    Hast Du Unbound mit DNSCrypt 2.0 oder DNS-Over-HTTPS installiert?

    Du schreibst u.a.
    "Eventuell muss die /etc/unbound/unbound.conf.d/pi-hole.conf
    noch geringfügig angepasst werden."

    # Ensure privacy of local IP ranges
    private-address: 192.168.0.0/16 - ändern auf mein Netzwerk, z.b. 192.168.1.0 oder 192.168.2.0 usw.
    private-address: 169.254.0.0/16 - kann ich wegglassen?
    private-address: 172.16.0.0/12 - kann ich wegglassen?
    private-address: 10.0.0.0/8 - drinnen lassen für mein PiVPN vpn interface
    private-address: fd00::/8 - kann ich wegglassen, kein ipv6
    private-address: fe80::/10 - kann ich wegglassen, kein ipv6

    Viele Grüße
    Josef

  21. Thomas Mielke

    1. Oktober 2018, 18:04 Uhr

    @Josef: Ich habe Unbound mit DNSCrypt installiert. Bei der Konfiguration von Unbound habe ich mich im Prinzip an diese Anleitung gehalten. Soweit ich mich erinnere habe ich lediglich IPv6 deaktiviert:

    # May be set to yes if you have IPv6 connectivity
    do-ip6: no

    Die kompletten IP-Bereiche der möglichen privaten/lokalen IP-Adressen habe so drin gelassen:

    # Ensure privacy of local IP ranges
    private-address: 192.168.0.0/16
    private-address: 172.16.0.0/12
    private-address: 10.0.0.0/8
  22. Josef

    Josef

     

    1. Oktober 2018, 18:55 Uhr

    DNSCrypt oder DNSCrypt 2?

  23. Thomas Mielke

    1. Oktober 2018, 19:03 Uhr

    @Josef: DNSCrypt 2.0

  24. Stefan

    Stefan

     

    11. Oktober 2018, 00:15 Uhr

    Hallo Thomas,

    habe auf meinen Raspberry auf dem der Unifi Controller läuft auch noch PiHole installiert.
    Nach meiner 6490 Fritzbox ist ein USG geschaltet.
    Habe jetzt die IP Adresse des Pis auf der Unifi Seite als DHCP Nameserver eingetragen. Muss ich noch was am Gateway einstellen oder in der Fritzbox?

    Gruß

  25. Christoph Päckert

    Christoph Päckert

     

    18. Oktober 2018, 12:27 Uhr

    Hallo Thomas , erstmal vielen Dank für die super Anleitung zum pi-hole.
    Ich habe selbstverständlich dann auch Unbound installiert ,welches mir jedoch Keine Konfig. Datei erstellt hatte und ich diese selber erstellen musste.
    Wenn ich aber die ip-Bereiche so wie du dringelassen hätte , hat es nicht funktioniert.
    Ich habe jetzt als private-adress : nur meine ip von pi-hole angegeben mit dem Zusatz / 16 , und es scheint zu funktionieren.
    Ich kenne mich mit der Materie leider nicht so gut aus , habe ich jetzt was
    Falsch gemacht ?

  26. Josef

    Josef

     

    19. Oktober 2018, 10:51 Uhr

    Hallo Thomas!
    Pi-hole inkl. Unbound läuft bei mir jetzt schon eine Weile.
    Etwas habe ich aber noch nicht ganz verstanden.
    Bei einer DNS Anfrage die nicht Unbound beantworten kann, kommen Root, TLD usw. ins Spiel. Soweit so klar, aber was macht dann noch mein ISP? Dieser stellt mir nur mehr meine IP bzw. den Internetzugang zur Verfügung oder läuft eine DNS Anfrage weiterhin über ihn?

  27. Alex

    Alex

     

    20. Oktober 2018, 00:17 Uhr

    Hallo Thomas,
    danke für die Anleitung!
    Dennoch bin ich der Meinung, dass die config am Fritzbox bei dir so nicht korrekt ist.
    Bsp.
    Deine lokale Clients im Netz haben die DNS–Adresse von der Fritzbox. Die Clients fragen somit die Fritzbox, ist im Fritz Cache was da bekommst du Antwort, ist nix im Cache vorhanden, leitet die Fritzbox weiter zum Internet Service Provider – da ist aber jetzt die Adresse von Pi–hole drin und so erhält die Fritzbox die Antwort von Pi–hole. In der Regel wird die Fritzbox das alles im Cache haben was auch Pi–hole im Cache hat und hat Pi–hole nicht, dann geht er auf die suche und leitet d. Ergebnis weiter an Fritzbox, diese dann zu Clients. Ein unnötiger Zwischenschritt und genau das macht wenig Sinn.
    Richtig wäre doch die Fritzbox komplett aus den Abfragen herauszuhalten und das kann in der Fritzbox unter Netzwerkeinstellungen eingestellt werden.
    Die Clients erhalten sofort den pi–hole als DNS Server und der kümmert sich um die Abfragen weiter. So bin ich viel performanter unterwegs...
    Wo ist hier bei mir der Denkfehler :–)?

  28. Thomas Mielke

    22. Oktober 2018, 18:10 Uhr

    @Stefan: Eigentlich ist das mit den DHCP-Nameservern so schon richtig. Wenn Du mehrere Netzwerke eingerichtet hast, dann musst Du diese Einstellung aber für jedes Netzwerk vornehmen

  29. Thomas Mielke

    22. Oktober 2018, 18:11 Uhr

    @Christoph Päckert: Ich kenne Deine komplette Netzwerk-Einrichtung insbesondere Deine IP-Bereiche natürlich nicht. Daher kann ich die Frage nicht sicher beantworten. Im Query-Log des Pi-hole siehst Du aber, dass alle Geräte den Pi-hole nutzen?

  30. Thomas Mielke

    22. Oktober 2018, 18:14 Uhr

    @Josef: Dein ISP hat dem der DNS-Auflösung nichts mehr zu tun. Das erledigt der Pi-hole alles für Dich.

  31. Thomas Mielke

    22. Oktober 2018, 18:15 Uhr

    @Alex: Hm... Ich habe „leider“ keine FritzBox mehr hier, wo ich das nachschauen könnte. Eigentlich sollte die Einstellung aus meinem Screenshot oben aber doch genau das machen. Zumindest sollte damit jede externe Adresse an den Pi-hole umgeleitet werden.

  32. HerbertWilms

    HerbertWilms

     

    24. Oktober 2018, 13:56 Uhr

    Hallo Thomas,
    besten Dank für die super Anleitung. Installiert und funktioniert,
    mit einem kleinen Schönheitsfehler; die Clients-Aktivitäten werden zwar gezeigt und gefiltert, aber nicht mit ihren IP-Adressen.
    Ich betreibe eine FB4040 kaskadiert (mit eigenem Subnet) an einer FB6940. Als DNS-Server ist bei beiden Heimnetzen und Internet-Zugängen Pi-Hole eingestellt. Pi-Hole meldet alle Clients an der 4040-Adresse, die diese von der 6490 erhalten hat. Clients an der 6490 werden korrekt angezeigt, außer den Gäste-W/LAN usern, die erscheinen mit der 6490-Router-Adresse.
    Ist das so oder gibt es ggfls. eine entsprechende Einstellmöglichkeit?
    Viele Grüße

  33. Thomas Mielke

    24. Oktober 2018, 14:20 Uhr

    @HerbertWilms: Du schreibst, dass Du die beiden FritzBoxen kaskadiert hast. Also die 4040 hinter der 6940. Wo hängt denn der Pi-hole dran? An der 6940? Dann wäre es logisch, dass der Pi-hole nur die IP der 6940 und nicht deren Clients sieht. Da ist ja eine Firewall und das NAT dazwischen.

  34. HerberWilms

    HerberWilms

     

    24. Oktober 2018, 15:10 Uhr

    Ja, ist an der 6940 und sieht die IP der 6940 und auch alle Clients davon, aber eben nur die an die 4040 vergebene IP und nicht deren Clients.
    Damit ist der Topuser die 4040 und nicht aufgeschlüsselt deren Clients.

  35. Thomas Mielke

    24. Oktober 2018, 15:14 Uhr

    @HerberWilms: Das ist wie gesagt völlig richtig so. Die 4040 hängt ja mit dem WAN-Port an einem LAN-Port der 6940. Somit ist die 6940 aus Sicht der 4040 das „Internet“, also die unsichere Zone vor der Firewall. Durch den WAN-Port hindurch, also durch die Firewall, sind natürlich die Geräte an der 4040 nicht sichtbar. Sonst wären die Geräte ja auch aus dem Internet sichtbar.

    Warum hast Du überhaupt zwei FritzBoxen kaskadiert?

  36. HerbertWilms

    HerbertWilms

     

    25. Oktober 2018, 17:32 Uhr

    Hallo Thomas,
    an der 4040 'hängen' die Geräte meiner PrivacyZone, an der 6490 der Rest wie IOTs, SmartTV, Recorder, Automower, Pi-Hole u.ä.
    Denn nur so kann ich aus der 4040 Zone darauf zugreifen. Über Gäste W/LAN klappt das ja leider nicht. Und mein Pi-Hole scheint alle Internetzugriffe, auch die an der 4040 zuverlässig zu checken. Schade, dass Du keine Möglichkeit zum anhängen von Bildern/Dateien vorgesehen hast.
    Viele Grüße
    Herbert

  37. HerbertWilms

    HerbertWilms

     

    25. Oktober 2018, 17:43 Uhr

    Hallo Thomas,
    hier der Link mit der Info zur Router-Kaskade:
    https://www.heise.de/ct/artikel/Router-Kaskaden-1825801.html

  38. Thomas Mielke

    25. Oktober 2018, 21:04 Uhr

    @HerbertWilms: Ok, jetzt habe ich Dein Setup verstanden.

    Du schreibst ja, dass nur Deine Gäste-Adressen nicht am Pi-hole erscheinen. Das scheint dann aber vermutlich an den internen Firewall-Regeln der FritzBox zu liegen. Die Gäste befinden sich ja in der FritzBox auch nochmal in einem getrennten Netz, dass gegenüber dem „normalen“ Netz der FritzBox abgeschottet ist. Die Gäste können sich ja untereinander auch nicht sehen. Das ist ja auch sinnvoll so. Und daher sind die vermutlich auch für den Pi-hole nicht transparent sichtbar. Diese internen Firewall-Regeln wirst Du vermutlich nicht ändern können.

  39. HerbertWilms

    HerbertWilms

     

    30. Oktober 2018, 08:52 Uhr

    Hallo Thomas,
    jein, die Gäste-Adressen-Problematik sind klar; ärgerlich ist, dass auch die gesamten Adressen am kaskadierten Router nicht erscheinen, bzw. nur mit deren Routeradresse angezeigt werden.

  40. Thomas Mielke

    30. Oktober 2018, 08:57 Uhr

    @HerbertWilms: Wie ich schon geschrieben habe. Deine erste FritzBox ist für die zweite FritzBox ja quasi das Internet, und alles was in der zweiten FritzBox passiert, bleibt da drin. Nach außen ist logischerweise keine der internen Adressen sichtbar.

  41. Stefan Müller

    Stefan Müller

     

    15. November 2018, 10:23 Uhr

    Hallo, ich habe auf meiner Fritz DHCP aktiv und nutze im Heimnetz auch die Domain fritz.box (z.B. nas.fritz.box usw.). Bei Zugangsdaten -> DNS Server habe ich 192.168.98.75 (fixe IP der PI-Hole) und noch 1.1.1.1 (Cloudflare). Bei mir in Netz ist IPv4 aktiv und kein IPv6 (somit bei der PI-Hole Installation nicht aktiviert). Ist das so korrekt? Ich frage deshalb weil man auf anderen Seiten Kommentare findet das man die PI-Hole IP auf der Fritz wo anders eintragen muss (Heimnetz -> Netzwerkeinstellungen -> IPv4 Adressen), darum bin ich mir nicht sicher was korrekt ist.
    Wlan ist bei mir auf der Fritz deaktiviert da ich auch UniFi als Access-Point habe und da ist bei mir unter DHCP-Namesserver noch «Auto» aktiv, muss da «Manuell» aktiviert werden und die IP des PI-Hole eingetragen werden, damit das die Wireless verbundenen Geräte ebenfalls über den PI-Hole laufen? Vielen Dank für die Hilfe. Gruss

  42. Thomas Mielke

    15. November 2018, 10:26 Uhr

    @Stefan: In der Tat gibt es bei der FritzBox zwei Möglichkeiten, den DNS-Server zu hinterlegen. Im Prinzip kannst Du die IP an beiden Stellen eintragen. Die wichtigere Einstellung sollte aber die unter

    Heimnetz -> Netzwerkeinstellungen -> IPv4 Adressen

    sein. Denn die sorgt dafür, dass den Geräten, die mit der FritzBox verbunden sind, automatisch per DHCP die IP des zu verwendenden DNS-Servers (also des Pi-hole) mitgeteilt, bzw. zugewiesen wird. In der FritzBox solltest Du aber nur die IP des Pi-hole und keine weitere (z.B. von Cloudflare) eintragen. Ansonsten geht eventuell ein Teil der DNS-Abfragen am Pi-hole vorbei. Und das macht ja keinen Sinn.

    In der Konfiguration der UniFi-APs würde ich ebenfalls manuell die IP des Pi-hole eintragen, auch wenn hier bei der Einstellung „Auto“ vermutlich die Einstellungen der FritzBox geerbt werden.

    Im Query-Log des Pi-hole kannst Du ja einsehen, ob die DNS-Abfragen aller Geräte über den Pi-hole laufen.

  43. Stefan Müller

    Stefan Müller

     

    15. November 2018, 11:31 Uhr

    @Thomas, wenn ich das nun richtig verstanden habe bei «Zugangsdaten -> DNS Server» nur die IP des PI-Hole eintragen (192.168.98.75) und bei Alternativer DNSv4 leer lassen oder nochmals die IP des PI-Hole. Zudem bei «Heimnetz -> Netzwerkeinstellungen -> IPv4 Adressen» ebenfalls die PI-Hole IP. Dachte mir eben weil bei Deiner Anleitung nur die Rede war von den «Zugangsdaten …» würde dies ausreichen.

    Dann hätte ich habe noch zwei Folgefragen:

    1. Da ich bei der «Alternativer DNSv4» kein Cloudflare mehr habe, was wenn der PI-Hole mal down ist, geht dann im ganzen Netz DNS nicht mehr? Deshalb war meine Idee als Alternative noch Cloudflare einzutragen. Aber gemäss Dir wäre das ja falsch, denn wenn der PI-Hole läuft, soll ja alles darüber gehen.
    2. Wenn ich nun an beiden Orten auf der Fritz bei DNS die IP des PI-Hole eintrage, funktioniert dann in meinem Heimnetz die Aufrufe nach mit *.fritz.box (nas.fritz.box)?

    Vielen Dank
    Gruss

  44. Thomas Mielke

    15. November 2018, 14:02 Uhr

    @Stefan: In der Tat wäre der DNS nicht mehr erreichbar, wenn der Pi-hole down wäre. Ehrlich gesagt halte ich den Pi-hole aber für mindestens genau so zuverlässig, wie die FritzBox oder jeden anderen Router. Da sind Ausfälle des Providers deutlich wahrscheinlicher...

    Die Erreichbarkeit von „fritz.box“ müsstest Du mal testen. Falls das nicht mehr geht, kannst Du aber einfach die IP-Adresse und den Namen in die „/etc/hosts“ Deines Pi-hole eintragen. Das Gleiche gilt auch für andere Devices im lokalen Netz, die per Namen erreichbar sein sollen.

  45. Stefan Müller

    Stefan Müller

     

    15. November 2018, 14:26 Uhr

    Vielen Dank schon mal, ich werde heute Abend nochmals eine Versuch mit PI-Hole starten.

    Wieso stand in Deiner Anleitung von den DNS-Einstellungen unter "Heimnetz -> Netzwerkeinstellungen -> IPv4 Adressen" nichts, ist das bewusst weil dies nicht wirklich notwendig ist oder ist das einfach neu?

    Was ist dann der Unterschied zwischen den DNS-Einstellungen bei den Zugangsdaten und Heimnetz?

    Gruss

  46. Thomas Mielke

    15. November 2018, 14:34 Uhr

    @Stefan: In der Tat sollte ich den Artikel oben nochmal ein wenig überarbeiten. Denn es gibt da einen kleinen Unterschied:

    Internet -> Zugangsdaten -> DNS-Server

    Hier wird der zentrale DNS-Server festgelegt. Dieser wird für das gesamte lokale Netz, und auch von der FritzBox selber verwendet.

    Heimnetz -> Netzwerkeinstellungen -> IPv4 Adressen

    Hier wird nur der DNS-Server festgelegt, den die Clients verwenden sollen, nicht aber die FritzBox selber. Unter manchen Umständen kann es ja Sinn machen, das von einander zu trennen. Im Normalfall sollten aber einfach beide Einstellungen auf den Pi-hole zeigen.

  47. Stefan Müller

    Stefan Müller

     

    16. November 2018, 09:01 Uhr

    Hallo, ich habe es bei mir nun wie folgt gemacht damit ich auch weiterhin intern *.fritz.box nutzen kann. Auf dem Pi-Hole als DNS die IP der Fritz (192.168.98.1) eingetragen, nur diese IP. Dann habe ich auf der Fritz unter Netzwerkeinstellungen die IP des Pi-Hole (192.168.99.75). So funktioniert es zumindest bei mir.
    Die Idee ist das die Anfragen so über den Pi-Hole -> Fritz raus gehen, ist die Anfrage *.fritz.box kann der Pi-Hole nichts damit anfangen und gibt es der Fritz weiter und die kann damit dann was anfangen. Normale Anfragen gehen dann an den Pi-Hole, der prüft ob er was filtern muss, gibt es der Fritz weiter und die Fritz verwendet dann die beiden DNS-Server (Cloudflare).
    Gruss

  48. Thomas Mielke

    16. November 2018, 09:03 Uhr

    @Stefan: Ehrlich gesagt macht das so aber nicht viel Sinn. So wie Du das jetzt eingerichtet hast, spielen die FritzBox und der Pi-hole ein wenig Ping-Pong... Wenn Du eine vernünftige Filterung haben möchtest, dann sollte die FritzBox gar keine DNS-Abfragen bearbeiten, denn dafür ist ja der Pi-hole zuständig.

    Im Pi-hole hat die IP-Adresse der FritzBox nichts zu suchen. Hier müssen ein oder mehrere externe DNS-Server hinterlegt werden. Also entweder die DNS-Server Deines Providers, oder besser öffentliche DNS-Server, z.B. von Google, Cloudflare, etc. Noch besser ist sogar die Umsetzung mittels Unbound als rekursiven DNS-Server, so wie ich das oben auch beschrieben habe.

    In der FritzBox sollte dann (an beiden Stellen) nur die IP-Adresse des Pi-hole eingetragen werden. Wenn Du zusätzlich eine lokale Namensauflösung „*.fritz.box“ oder Ähnliches benötigst, dann solltest Du das nur über die „/etc/hosts“ (oder alternativ in der „/etc/pihole/lan.list“) auf dem Pi-hole machen. Alles was dort hinterlegt ist, wird vom Pi-hole in die DNS-Auflösung einbezogen. Denn genau das ist ja die Aufgabe des Pi-hole.

  49. Stefan Müller

    Stefan Müller

     

    19. November 2018, 08:17 Uhr

    Ich habe nun mein Setting gefunden wie es bei mir korrekt läuft (inkl. der internen *.fritz.box Namensauflösung). Der einzige Schönheitsfehler ist noch dass es anscheinend nicht möglich ist Pi-Hole auch über VPN zu nutzen. Ich habe bei mir VPN on Demand im Einsatz doch da wird immer der DNS-Server der Fritz verwendet, meine Vermutung ist weil VPN einen eigenen IP-Range hat.
    Viele Grüsse

  50. Andreas K.

    Andreas K.

     

    21. November 2018, 10:47 Uhr

    Eine Frage noch zum Download der Liste "root.hints": hier steht ja, man solle in etwa (höchstens) aller 6 Monate updaten. Kann oder sollte man das automatisieren z.B. in der crontab? Wenn ja einfach den wget Befehl rein?

  51. Thomas Mielke

    21. November 2018, 10:48 Uhr

    @Andreas: Ich habe das bisher nur einmal nach ein paar Monaten manuell gemacht und dann die neue Datei mit der alten Datei verglichen. Da gab es nur eine minimale Änderung. Ein Cronjob wäre sicher möglich, das habe ich aber bisher auch noch nicht eingerichtet.

  52. wahli

    wahli

     

    28. November 2018, 15:39 Uhr

    Zur Info an Speedport-Besitzer: der DNS-Server kann beim Speedport schon manuell eingestellt werden. Dazu muss der Internet-Zugang manuell eingestellt werden (nicht "Telekom", sondern "andere Anbieter") und kann dann den DNS-Server selbst vergeben. Für den Benutzernamen muss dann "AnschlusskennungT-Online-Nummer#Mitbenutzernummer@t-online.de" eingeben werden. Das Passwort bleibt gleich.
    Bei mir funktioniert das mit dem Speedport W724V wunderbar. Dort läuft auch der DHCP-Server. pi-hole verrichtet seine Arbeit auf dem Raspi. Der Ubiquiti Accesspoint bekommt per DHCP seine Konfig und nutzt somit ebenfalls pi-hole.

  53. Nino

    Nino

     

    1. Dezember 2018, 14:26 Uhr

    Hallo,
    ich habe die Anleitung 1:1 umgesetzt, jedoch habe ich extreme Probleme, daher musste ich alles wieder Rückgängig machen und erstmal alles pausieren. Ich habe sowohl die hier beschriebene Variante (1) als auch die Variante mit lokalen DNS Pi-Hole (2) probiert.
    Bei 1 wird alles blockiert, soweit wunderbar - Problem: Suchanfragen vorgeschlagene Seite durch google shopping / google adds service etc werden komplett blockiert. wie viele andere seiten ebenfalls (meine Frau möchte diese Seiten unbedingt haben :-))
    Bei 2 wird teilweise etwas blockiert, wobei ich nicht recht feststellen kann ob es den Zweck erfüllt. Für einen Tipp oder Idee wäre ich dir sehr dankbar.

    Eingesetzte Hardware:
    Fritzbox 7490
    Raspberry pi 3b headless (über lan / statische ip)

    Danek & Gruß

  54. Thomas Mielke

    1. Dezember 2018, 15:15 Uhr

    @Nino: Genau dafür ist doch die Whitelist da... Schau einfach in das Query Log was geblockt wird und klicke bei den Domains die nicht geblockt werden sollen auf den Button „Whitelist“. Problem gelöst.

  55. Marcus Igelmund

    Marcus Igelmund

     

    3. Dezember 2018, 21:19 Uhr

    HalloThomas.
    Vielen Dank für dein deine super Anleitung zum Pi hole !
    pi hole läuft bei mir seit 3 Wochen. Leider habe ich das Problem, dass ich seit dem einrichten des Raspberry’s und der Installation des Pi holes, einmal täglich den Raspberry neu starten muss. Da Chromium einfach einfriehrt.
    Da nach ca einem Tag Betrieb einige Seiten nicht mehr aufrufbar sind, oder die Verbindung so langsam wird, das ich noch nicht mal mehr ein App Update auf dem iPhone installieren kann.
    Ich habe in etwas das gleiche Setup sie du:
    Vigor 130, USG, Unifi-US-24 Non poe Switch, Unifi-US-16-150w poe Switch, 2 AP-AC PRO, 1 AP-AC Mesh außen Antenne.
    Raspberry Pi 3 B+ Mit POE Hat und Raspbian Betriebssystem und der Pi hole Installation. Und eine FritzBox 7390, die als reine Telefonanlage konfiguriert ist. Hast du irgendeinen Tipp für mich, woran es liegen könnte ? Die Hardware kann ich fast ausschließen. Konfiguriert ist es genau nach deiner Anleitung.
    Vielen Dank schonmal.
    Gruß, Marcus

  56. Thomas Mielke

    3. Dezember 2018, 21:25 Uhr

    @Marcus: Warum hast Du Chromium auf dem Raspberry Pi? Auf dem Pi-hole sollte eigentlich nur Raspbian Stretch Lite drauf. Dann wird die Pi-hole Software installiert und optional noch der Rekursive DNS-Server Unbound.

    Lassen wir den Unbound mal außen vor, dann wählst im Pi-hole einfach nur ein oder mehrere Upstream DNS-Server aus. Fertig. Falls der Unbound auch installiert ist, dann musst Du natürlich die Localhost-IP 127.0.0.1 mit dem Port 5353 als „Custom 1“ eintragen:

    127.0.0.1#5353

    Im UniFi-Controller (Einstellungen > Netzwerke) trägst Du für jedes Netzwerk (LAN) bzw. VLAN als DHCP-Namensserver (Auswahl „Manuell“) die IP-Adresse des Pi-hole ein. Ich habe das bei mir auch für das WAN gemacht.

    Damit sollte das eigentlich reibungslos funktionieren. Vielleicht schaust Du auch mal etwas genauer ins Query-Log ob da irgendetwas Verdächtiges erkennbar ist.

  57. Marcus Igelmund

    Marcus Igelmund

     

    9. Dezember 2018, 17:41 Uhr

    Danke für die schnelle Antwort !
    Jetzt ist meine Speicherkarte kaputt gegangen. Sobald ich eine neue habe, versuche ich es direkt nochmal.

  58. Christian Preiß

    Christian Preiß

     

    9. Dezember 2018, 19:11 Uhr

    Ich habe an meinem Raspi eine 2. Netzwerkschnittstelle dran, Usb -> ETH. Daran hängt das lokale Netz. Am Eth0 der Router. Warum? Weil ich mit TC den Traffic beschränken möchte. Installiere ich pihole zuerst, kann ich kein NAT mehr einrichten. Erstelle ich zuerst NAT und konfiguriere DNSMASQ, kann ich anschließend pihole nicht mehr installieren.

    Ich möchte wenn möglich nur einen RPI laufen haben, nicht 2.

  59. Thomas Mielke

    9. Dezember 2018, 19:50 Uhr

    @Marcus: Nimm eine vernünftige SD-Karte und keine billige No-Name Karte. Oder besser direkt eine kleine 16GB-SSD. Die gibts auch schon für 15 Euro und damit kaum teuer als eine SD-Karte. Eine SSD ist deutlich ausfallsicherer und natürlich auch etwas schneller als eine SD-Karte.

  60. Thomas Mielke

    9. Dezember 2018, 19:55 Uhr

    @Christian: Mir ist nicht ganz klar, warum Du dafür zwei Netzwerkschnittstellen benötigst? Ich habe hier auch mehrere Netze/VLANs mit unterschiedlichen Beschränkungen. Und die nutzen alle den Pi-hole, denn dieser ist Teil des Management-LANs. Traffic-Beschränkungen könnte ich über den Router, bzw. mein UniFi-System umsetzen. Da hat der Pi-hole nichts mit zu tun, denn der ist ja ein DNS-Server und kein Router oder Sonstiges. DHCP mache ich natürlich auch über UniFi und nicht über den Pi-hole, denn mehrere Netze/VLANs kann der ja auch gar nicht verwalten.

  61. Christian Preiß

    Christian Preiß

     

    9. Dezember 2018, 20:52 Uhr

    @Thomas
    es gab mal in der Zeitschrift für Computertechnik einen Artikel wie man den Traffic Richtung WAN mit einem RPI und dem Programm TC drosseln kann. Wir teilen uns mit mehreren einen UMTS Datentarif, und manche Seiten laden ja mal eben nen Film mit.
    Mit DNSMASQ sind bereits etliche Seiten, gerade Update und Cloud Adressen gesperrt, es sollte aber auch Werbung raus.
    Also auf nem 2. RPI pihole drauf und läuft.
    Nun fängt aber der Brems-PI an zu mucken mit der Stromversorgung, einer von den ersten. Da kam die Idee auf, beides au einem Pi ans laufen zu bekommen. Nur find ich keine Einstellung am Pihole, daß eht1 gefiltert nach eth0 weitergereicht wird.

  62. Thomas Mielke

    9. Dezember 2018, 21:07 Uhr

    @Christian: Ah ok, jetzt verstehe ich worum es geht. Das heißt der RasPi mit dem TC hängt am WAN-Port, also vor dem dem Router? Der Pi-hole gehört ja eigentlich ins LAN, also hinter den Router. Ich glaube genau da liegt das Problem. Und ich vermute, dass Du das nicht mit nur einem RasPi hinbekommen wirst...

  63. Marcus Igelmund

    Marcus Igelmund

     

    10. Dezember 2018, 09:38 Uhr

    Guten Morgen.
    Meinst du eine SSD Festplatte an USB ? Oder gibt es auch ssd Speicherkarten ?
    Bin was Radpberry und SSD‘s angeht.

  64. Thomas Mielke

    10. Dezember 2018, 09:39 Uhr

    @Marcus: Ja genau, am USB-Port. Du brauchst dann noch einen USB-SATA-Adapter. Einen Raspberry Pi 3B(+) kannst Du dann direkt davon booten. Du kannst das NOOBS-Image direkt auf die SSD kopieren und auf die SD-Karte verzichten.

  65. Marcus Igelmund

    Marcus Igelmund

     

    10. Dezember 2018, 09:42 Uhr

    Wollte mir eigentlich eine schnelle 32 gb sd Karte kaufen, da ich auf dem Pi zusätzlich noch eine homebrdige App installieren wollte. Bekomme demnächst Lampen, die ich darüber steuern möchte.

  66. Thomas Mielke

    10. Dezember 2018, 09:43 Uhr

    @Marcus: Dann nimm in der Tat besser eine SSD. Die ist auf jeden Fall schneller als eine SD-Karte. Und wie gesagt betriebssicherer.

  67. Marcus Igelmund

    Marcus Igelmund

     

    10. Dezember 2018, 12:12 Uhr

    Habe mir jetzt mal 2 SSD‘s besorgt. Schafft der Pi das mit der Stromversorgung über usb für die Platte ?
    Die 2. Platte ist für einen anderen Pi, den ich u.a. Als Internetradio in einer Kiste mit Boxen, Verstärker und 5“Touch Display einbauen möchte.
    Vielen Dank nochmal

  68. Thomas Mielke

    10. Dezember 2018, 12:26 Uhr

    @Marcus: Eine SSD braucht ja im Gegensatz zu einer HDD nicht so viel Strom. Ich habe hier aktuell vier RasPis laufen. Drei davon mit SSD. Die hängen alle zusammen an einem 60W-6-Port-Anker Netzteil. Das läuft problemlos.

  69. Marcus Igelmund

    Marcus Igelmund

     

    12. Dezember 2018, 11:42 Uhr

    Guten Morgen,
    Habe jetzt meinen Pi neu aufgesetzt und Pi hole installiert habe die IP des Pi‘s in den UNIFI Einstellungen für LAN und WAN geändert. Alles funktioniert reibungslos. Bis auf eine Sache:
    Wenn ich zum Beispiel Katzenfutter bei Google Suche kommt folgende Fehlermeldung:
    Seite kann nicht geöffnet werden, da Safari keine Verbindung zum Server aufbauen konnte.
    Folgende Seite sollte aufgerufen werden:
    [...]
    Alles was mit www.googleadservices.com anfängt wird blockiert.
    Hast du einen Tip für mich, wie ich die Seiten trotzdem aufrufen kann? Mir ist das egal. Aber meine Frau verzweifelt gerade daran.
    Vielen Dank !

  70. Thomas Mielke

    12. Dezember 2018, 12:34 Uhr

    @Marcus: Dafür ist doch die Whitelist da. Einfach die Domain dort eintragen und fertig. In den Blocklisten stehen halt auch viele Domains drin, die man manchmal trotzdem nutzen möchte oder muss. Und das lässt sich dann eben über die Whitelist lösen.

  71. Marcus Igelmund

    Marcus Igelmund

     

    12. Dezember 2018, 12:50 Uhr

    Vielen Dank. Läuft jetzt reibungslos.

  72. Markus

    Markus

     

    17. Dezember 2018, 10:52 Uhr

    Hallo Thomas

    Vielen Dank für die super Anleitung! Auch mit den Angaben daraus habe ich Pi-hole aufgesetzt und in Betrieb genommen.
    Ich nutze Pi-hole auf einem Raspberry in meinem Home-Netzwerk. Ich nutze sonst auch die Hardware von Ubiquiti (USG, Switch, AccessPoints).
    Macht es aus deiner Sicht Sinn, auf dem Raspberry noch die Firewall zu aktivieren resp. alles via iptables zu «konfigurieren»?

  73. Thomas Mielke

    17. Dezember 2018, 10:55 Uhr

    @Markus: Wenn sich der Pi-hole im lokalen Netz, also hinter der Firewall befindet und auch nur im lokalen Netz erreichbar ist, benötigt dieser nicht noch eine eigene Firewall.

  74. Mathias

    Mathias

     

    19. Dezember 2018, 14:51 Uhr

    Hallo,
    danke der Anleitung habe ich viele der Domains mittlerweile in die USG direkt eingetragen. (Falls der Raspi mal ausfällt) man kann ja gut beobachten was so immer aufgerufen wird bzw. was man selbst Blockiert.

    Interessant ist es auf jedenfall zu sehen wie Entwickler / Hersteller versuchen Persönliche Daten teils, Unverschlüsselt ins Netz zu senden.
    Ich hatte 2 Amcrest Cameras, und nachdem ich festgestellt hab das diese aller 10s versuchen ins Netz zu gehen habe ich mal geschaut was diese so senden..
    Kurz gesagt ich habe alle eingerichteten User + die Passwörter im Klartext im Log gehabt..
    Danach habe ich mal ein wenig übertrieben, aber es gibt doch so Dinge die auch ohne DNS ins Netz senden, bzw. es Versuchten.
    Konfiguration derzeit Fritzbox danach für einige zeit über 2 der 4 Ports der NAS eine VM mit PFsense, und dann die USG.

    Die USG arbeitet Sauber, aber dadurch hab ich noch gesehen was so unser Blueray Player von Samsung ins Netz senden... nun darf er nur noch Netzflix, Amazon und Youtube.

    Danke für die Anleitung..

  75. Paua

    Paua

     

    22. Dezember 2018, 21:54 Uhr

    Hi Marcus,
    wunderbare Sache mit dem pi-hole. Mal eine Frage. Habe Unbound installiert und die lokale DNS Adresse in pi-hole Menü eingetragen. Soweit so gut. Auf meinem Rechner funktionierten auch alle aufgerufene Websites. Aber auf meinem Telefon konnte ich weder Websites öffnen noch haben sich die Apps wie gewohnt aufgebaut.

    Hast du eine Ahnung woran das liegen kann?

    Gruß
    Paua

  76. Thomas Mielke

    23. Dezember 2018, 01:04 Uhr

    @Paua: Bekommt Dein Telefon denn vom Router per DHCP die IP-Adresse des Pi-hole als DNS-Server übermittelt?

  77. Ludger Rottmann

    Ludger Rottmann

     

    23. Dezember 2018, 12:57 Uhr

    Hallo, ich habe ein Problem bei der Konfiguration meines Netzwerkes.
    Aufbau Netzwerk: Router Genexis als DHCP-Server und daran angekoppelt eine Fritz 3490 als Client.
    Konfiguration Fritzbox:
    Vorhandene Internetverbindung mitbenutzen; IP Manuell festgelegt¸ Standard –Gateway ist der Genexis Router; bei Primärem DNS IP-Adresse Pi-Hole eingetragen, sekundäre frei gelassen; W-Lan ist aktiv.
    Der Pi-Hole funktioniert einwandfrei, aber leider nur dann, wenn ich auf meinem PC an der Netzwerkkarte die DNS- Einstellungen IPV4 auf die Pi-Hole-Adresse einstelle. Bei den über WLAN angeschlossenen Geräten (Smartphone) findet kein Blocken statt.
    Habe schon vieles ausprobiert, aber ich komme nicht weiter. Der Pi-Hole sollte so funktionieren, dass er für alle Geräte blockt.

  78. Thomas Mielke

    23. Dezember 2018, 15:46 Uhr

    @Ludger: Normalerweise sollten per DHCP verbundene Geräte automatisch vom Router den DNS-Server mitgeteilt bekommen. Damit die FritzBox das macht, muss die IP-Adresse des Pi-hole hier eingetragen werden:

    Heimnetz -> Netzwerkeinstellungen -> IPv4 Adressen

    Dann sollten eigentlich alle Clients den Pi-hole verwenden.

  79. Ludger Rottmann

    Ludger Rottmann

     

    23. Dezember 2018, 19:37 Uhr

    @Thomas,
    ich verstehe deinen Hinweis nicht.
    Die IP des Pi-Hole ist sowohl in der FritzBox als auch am Genexis Router eingetragen.

  80. Thomas Mielke

    24. Dezember 2018, 11:15 Uhr

    @Ludger: In der Regel gibt es zwei Möglichkeiten, im Router den DNS-Server einzutragen. Einmal für den Router selbst und einmal für die Clients (PC, Smartphone, etc.), so dass diese den DNS-Server per DHCP übermittelt bekommen. Ich vermute hier liegt Dein Problem. Schau doch mal am Client, welcher DNS-Server vom Router übermittelt wurde. Beim Client muss dort die IP-Adresse des Pi-hole stehen. Nicht die vom Router oder Sonstiges.

  81. Max

    1. Januar 2019, 13:26 Uhr

    Sehr interessanter Artikel, und ich bewundere wie Sie geduldig Support im Namen einer guten Sache (Erhöhung der Privatsphäre und Werbeblockade) leisten. Ich werde jetzt Ihren Artikel über Ubiquity lesen.

    Ein gutes Neues Jahr 2019!

  82. Florian

    Florian

     

    3. Januar 2019, 09:18 Uhr

    Hey, eigentlich ist dies doch so etwas wie der eBlocker, mit dem ich mich beschäftigt hatte. Ich hatte mir dazu einen BananaPi aufgesetzt. Ich habe ihn letztendlich nicht mehr, da sich der Aufbau der Internetseiten dadurch verlangsamte. Auch musste ich ständig neue Regeln erstellen, da ansonsten Internet-Banking und weitere Seiten nicht funktionierten. Ich weiß noch, dass von verschiedenen Inet Seiten wie z.B. Kleinanzeigen die Meldung "Keine Werbung ist auch keine Lösung" ausgespuckt wurde. Kanntest Du den eBlocker, bevor Du Dich mit PiHole beschäftigst hast? Beeinträchtigt PiHole das "Surfvergnügen"? Gruß Florian

  83. Thomas Mielke

    3. Januar 2019, 11:53 Uhr

    @Florian: Habe mir den eBlocker gerade mal angesehen. Das scheint so eine Art kommerzielle Variante des Pi-hole zu sein. Allerdings fungiert dieser wohl eher wie ein Proxy-Server, das heißt der gesamte Traffic läuft über den eBlocker. Und das kann natürlich auch mal zum Flaschenhals werden, wenn viele Devices im lokalen Netz hängen.

    Der Pi-hole ist ein reiner DNS-Server. Das heißt, der Traffic läuft nicht über den Pi-hole, sondern ganz normal über den Router. Der Pi-hole übernimmt also lediglich die Namensauflösung, die im Normalfall über den DNS-Server des Providers oder einen der öffentlichen DNS-Server wie Google-DNS oder Cloudflare-DNS passiert.

    Performance-Einbußen konnte ich bisher nicht feststellen – ganz im Gegenteil. Ich habe hier 40-50 Geräte im lokalen Netz hängen, von denen die meisten ständig versuchen, irgendeine Adresse aufzurufen, also eine DNS-Auflösungen benötigen. Das schafft der Pi-hole aber locker. Auf meiner Blocklist sind aktuell ca. 3,5 Millionen (!) Adressen, in der Whitelist befinden sich keine 100 Adressen. Und es kommt wirklich sehr selten vor, dass ich da etwas eintragen muss.

  84. Florian

    Florian

     

    4. Januar 2019, 09:29 Uhr

    Ja, Du hast recht. Der eBlocker fungiert quasi als "Man-In-The-Middle". 3,5 Mio. geblockte Adressen sind erschreckend. Wie viele Geräte sich letztendlich in meinem Netzwerk befinden, kann ich gar nicht genau sagen, aber es dürften so ca. 40-50 sein, davon sind einige auch LED-Controller. Da kommen bestimmt auch viele ungewollte Anfragen zustande. Wenn ich mal Zeit und Lust habe, werde ich mich dem Thema wieder annehmen und einen neuen Versuch mit Pi-Hole starten. Im Moment möchte ich erstmal mein W-Lan hier á la Ubiquiti verbessern. Du hast ja dazu bereits einen sehr guten Artikel verfasst.

  85. Sven

    Sven

     

    6. Januar 2019, 20:32 Uhr

    Hallo Thomas,
    ich habe nach deiner Anleitung pihole auf meinem odroid C2 aufgesetzt und bin begeistert. Vielen Dank dafür!

    Ich habe heute versucht auch unbound einzurichten allerdings habe ich hier noch einen Knoten im Kopf.

    Meine Konfig (aktuell ohne unbound):
    Internet >> Zugangsdaten >> Vom Internetanbieter zugewiesene DNS Server verwenden
    Heimnetz >> Netzwerk >> IP des odroid
    Heimnetz >> Netzwerk >> IPv4 Adressen >> Lokaler DNS Server >> IP des odroid
    pihole Web-IF >> Settings >> DNS >> Upstream DNS Servers >> 192.168.178.1#53

    Status:
    - Ich sehe im pihole Web-IF Query Log das geblockt oder weitergeleitet werden
    - percentage blocked liegt bei 0,5%
    - Domains on Blocklist 136.453
    - nslookup auf lokale Addressen funktioniert

    Fragen:
    1) unbound wurde nach Anleitung (https://docs.pi-hole.net/guides/unbound/) installiert. Wenn ich nun 192.168.178.1#53 durch 127.0.0.1#5353 als Upstream Server ersetze funktioniert die lokale Namensauflösung nicht mehr.
    Wie auch denn, unbound kennt keine public DNS, in pihole ist nur 127.0.0.1#5353 konfiguriert und auch in der lokalen /etc/resolv.conf steht 127.0.0.1 (also kein Verweis auf die Fritzbox, die die public Server kennt). Für mein Verständnis fehlt hier der Kommunikationswegs nach außen und weil unbound die Fritzbox nicht kennt kann auch die lokale Namensauflösung nicht funktionieren. Wie hast Du das gelöst, oder wo ist mein Denkfehler?

    2) Du schreibst Du hast mehrere Millionen Addressen auf der Blocklist. Bei mir ist die Zahl deutlich geringer obwohl ich nach Anleitung die Listen von https://firebog.net hinzugenommen habe. Wird die Blockliste vielleicht dynamisch erweitert mit der Laufzeit, oder wie kommt diese starke Abweichung zu stande?

    Bin für jeden Tipp dankbar.

    Vielen Grüße, Sven

  86. Thomas Mielke

    6. Januar 2019, 20:36 Uhr

    @Sven: Wenn Du unbound installierst, dann musst Du an Deiner Router-Konfiguration nichts ändern. Der DNS-Server (also der Pi-hole) bleibt ja für das lokale Netz unverändert. Durch den Einsatz von unbound muss lediglich der Upstream-Server in der Pi-hole Konfiguration auf 127.0.0.1#5353 geändert werden.

    Die lokale Namensauflösung (Ich nehme an, Du meist damit die Namen Deiner Devices im lokalen Netzwerk) funktioniert mit dem Pi-hole so nicht. Du musst entweder den DHCP-Server des Pi-hole verwenden und DHCP-Server der FritzBox deaktivieren, oder Deine lokalen Geräte auf dem Pi-hole in der /etc/hosts eintragen. Letzteres dürfte der sinnvollere Weg sein. So habe ich das auch gemacht.

    Bezüglich der Blocklisten: Ich sollte die Tage mal meinen Blog-Artikel erweitern. Da sind bei mir in der Tat in der letzten Zeit noch ein paar Listen dazu gekommen.

  87. Stefan

    Stefan

     

    7. Januar 2019, 09:11 Uhr

    Kurze Frage. Gibt es eine Möglichkeit das Du Deine Filterliste zur Verfügung stellst und erklärst wie man die dann übernehmen kann ? Der Vorteil für mich wäre das ich eine verbesserte Filterliste hätte.

    Tolle Seite.

    Lg Stefan

  88. Thomas Mielke

    7. Januar 2019, 09:13 Uhr

    @Stefan: Ich habe keine „eigenen“ Listen. Das wäre ja auch viel zu aufwendig, diese zu pflegen. Aber ich werde die Tage mal oben im Artikel ergänzen, welche externen Listen ich verwende. Diese Listen werden ja regelmäßig aktualisiert und der Pi-hole holt sich regelmäßig die Updates.

  89. Sven

    Sven

     

    7. Januar 2019, 09:50 Uhr

    Hallo Thomas,

    ich werde unbound nächstes WE noch ne Chance geben und mich bis dahin nochmal einlesen. Zu den Listen:
    Wenn ich Listen hinzufüge werden die URLs zum Teil bereits durch die standard pihole Blocklist geblockt. Z.B. https://raw.githubusercontent.com/...../hosts
    Ich habe als workaround die URL temporär auf die whitelist genommen, ein Update der Blocklist durchgeführt und dann anschliessend https://raw.githubusercontent.com wieder aus der whitelist entfernt.

    Ist das so gewollt oder hab ich was überlesen?

    Gruss Sven

  90. Thomas Mielke

    7. Januar 2019, 10:02 Uhr

    @Sven: Grundsätzlich kannst Du so viele Blocklists eintragen wie Du möchtest. Dabei kommt es natürlich vor, dass es in den Blocklisten Duplikate gibt. Das ist aber egal, da der Pi-hole diese alle in seiner Datenbank zusammengefasst. Schau mal auf der Konsole, was da ausgegeben wird, wenn Du die Listen aktualisierst:

    pihole -g

    Da werden zunächst alle eingetragenen Blocklists heruntergeladen und anschließend werden diese zu einer Liste zusammengefasst, bei der Duplikate gefiltert werden:

    ...
    Consolidating blocklists
    Extracting domains from blocklists
    Number of domains being pulled in by gravity: 5702435
    Removing duplicate domains
    Number of unique domains trapped in the Event Horizon: 3567408
    Number of whitelisted domains: 67
    Number of blacklisted domains: 14
    Number of regex filters: 8
    Parsing domains into hosts format
    ...

    Wie Du sehen kannst, befinden sich in meinen Listen aktuell theoretisch 5,7 Millionen Domains, nach dem Zusammenfassen sind es aber nur noch 3,5 Millionen.

  91. FranG

    FranG

     

    18. Januar 2019, 15:03 Uhr

    Hallo Thomas,

    vielen Dank für deine tolle Anleitung. Klappt soweit alles bis auf lokale Namensauflösung die funktioniert nicht. Habe in etc/hosts und/oder in der local.list meine lokalen Namen eingetragen wie z.b fritz.box. Wird aber leider nicht mehr erkannt. Weiß an dieser Stelle nicht weiter. Desweiteren würde mich interessieren, wie du die Majestic Million CSV in pihole eingetragen hast?
    Viele Grüße Franjo

  92. Thomas Mielke

    18. Januar 2019, 15:32 Uhr

    @FranG: Die Namen/Hostnames der lokalen Geräte gehören in die „/etc/hosts“. Soweit hast Du das richtig gemacht. Wenn keine Fehler in der Datei sind, sollte das eigentlich genauso funktionieren. Den DHCP-Server des Pi-hole hast Du aber deaktiviert, das heißt Deine FritzBox ist weiterhin der DHCP-Server?

    Den Link zu Majestic Million CSV findest Du auf der verlinkten Seite. Die URL trägst Du im Webinterface des Pi-hole einfach bei den Blocklists ein (Settings > Blocklists). Nach Save and Update kann es aber etwas dauern, bis der Pi-hole die Liste in die Datenbank übernommen hat. Die Liste ist halt sehr groß.

  93. FranG

    FranG

     

    18. Januar 2019, 19:18 Uhr

    Okay. Probiere ich aus. FritzBox ist nach wie vor DHCP-Server.
    Liegt es vielleicht daran, daß ich ip6 aktiviert habe?
    Die hosts Datei sieht bei mir so aus:
    127.0.0.1 localhost
    ::1 localhost ip6-localhost ip6-loopback
    ff02::1 ip6-allnodes
    ff02::2 ip6-allrouters

    127.0.1.1 raspberrypi
    Ist hier etwas falsch?

  94. Thomas Mielke

    18. Januar 2019, 19:52 Uhr

    @FranG: Die Frage ist zunächst, ob Du IPv6 benötigst, oder nicht. Wenn nicht, dann würde das deaktivieren.

    Deine hosts-Datei ist vermutlich nicht richtig. Die 127er-Adressen sind immer lokale Adressen, also die interne Adresse des Gerätes selber (localhost). Dein Pi-hole hat also intern die 127.0.0.1 und extern eine andere Adresse. Vermutlich eine 192.168.1.x, die vom DHCP-Server der FritzBox zugewiesen wurde. Allerdings sollte der Pi-hole besser eine statische Adresse haben. Diese muss dann aber auch im Adressbereich 192.168.1.x sein. Die ersten vier Zeilen lässt Du aber am besten unverändert, weil das eben die Localhost-Standard-Adressen sind.

    Deine FritzBox hat vermutlich die 192.168.1.1, also muss diese in der hosts-Datei auf dem Pi-hole entsprechend eingetragen werden:

    192.168.1.1 fritz.box

    Deine anderen Geräte im Netz haben ebenso Adressen aus diesem IP-Bereich. Also kannst Du diese ebenfalls in der hosts-Datei eintragen. z.B:

    192.168.1.15 mein-computer
    192.168.1.16 mein-handy
    192.168.1.25 xbox
    192.168.1.136 apple-tv
    192.168.1.147 nas

    Du trägst also alle Geräte aus Deinem lokalen Netz dort ein, die Du im Query-Log Deines Pi-hole mit Namen sehen willst. Am einfachsten schaust Du einfach in die Übersicht der verbundenen Clients Deiner FritzBox. Dort sind ja alle Geräte mit ihren IP-Adressen aufgeführt.

  95. FanG

    FanG

     

    18. Januar 2019, 20:02 Uhr

    Import der Liste hat geklappt. ;-) Das Format csv hatte mich ein wenig zögern lassen. Da die anderen Listen im txt Format sind.

  96. Thomas Mielke

    18. Januar 2019, 20:13 Uhr

    @FanG: Es gibt verschiedene Formate für die Blocklists. Wenn der Pi-hole die nicht mag, dann wird der Dir das schon sagen ;-)

  97. FanG

    FanG

     

    19. Januar 2019, 20:02 Uhr

    Hallo Thomas, jetzt sehe im Quer-Log die Namen die ich sehen will. Gibt es eine Möglichkeit das ich im Browser für eine spezielle IP auch einen Name vergebe und dann wird die Seite geöffnet? Bzw. kann ich das auf einem Mac dort auch mit der lokalen hosts Datei machen?
    Grüße Franjo

  98. FanG

    FanG

     

    19. Januar 2019, 20:07 Uhr

    Die Majestic Million CSV habe ich deaktiviert. Mein PI3 hatte einen belegten Speicher von 90 % und irgendwann ging Phiole nicht mehr. Ich musste mehrere male einen Reboot durchführen. Nach deaktivieren der Liste läuft er wieder 73% Speicherbelegung. Habe eine 32GB SD Karte. Würde eine SSD helfen?

  99. Thomas Mielke

    19. Januar 2019, 20:13 Uhr

    @FanG: Ja, das geht, denn das ist ja eigentlich der Sinn der hosts-Datei. Der Pi-hole bezieht die Daten aus der hosts-Datei ja in seine Abfrage mit ein. Diese haben auch eine höhere Priorität als die Abfrage bei einem Upstream-Server. Du kannst dort auch externe Domains eintragen und diese so an eine andere IP-Adresse lokale oder externe Adresse umleiten. Schau Dir mal meinen anderen Artikel zum Pi-hole an. Dort habe ich ein paar Szenarios beschrieben.

    Wenn Du Deinen lokalen Geräten einen Namen gibst, solltest Du aber am besten immer eine Dummy-TLD mit angeben. Also z.B. nicht nur „mein-computer“ sondern besser „mein-computer.local“. Andernfalls wird Dich Dein Browser vermutlich direkt an Google weiterleiten, da dieser die Eingabe als Suchbegriff identifiziert.

    Ich setze zwar eine SSD anstatt einer SD-Karte ein, aber ich glaube nicht, dass das in dem Fall einen Unterschied macht. Die SSD verwende ich erste Linie, weil diese betriebssicherer als eine SD-Karte ist. Ich setze den aktuellen 3B+ ein. Der kommt mit der Datenmenge gut zurecht. Lediglich das Update der Blocklisten zwingt ihn etwas in die Knie. Aber das macht der ja in der Regel nur irgendwann Nachts. Im normalen Betrieb läuft der sehr performant, auch wenn der Speicher (RAM) bei mir auch immer bei 70-75% liegt. Die Load liegt im Bereich zwischen 0,3 und 0,5. Das ist aber alles im grünen Bereich. Zuletzt habe ich Pi-hole vor knapp zwei Monaten neu gestartet, weil ich im Serverschrank etwas umgebaut habe. Seitdem läuft der durch.

    Ich weiß nicht welchen Pi Du einsetzt. Der aktuelle Pi3B+ hat schon eine ordentliche Performance. Der Unterschied zu den älteren Pi-Modellen ist auf jeden Fall spürbar. Ich habe hier auch noch ein Vorgängermodell, das ist deutlich langsamer.

  100. FanG

    FanG

     

    25. Januar 2019, 22:46 Uhr

    Hallo Thomas,
    vielen Dank für deine Hilfe. Hat jetzt alles geklappt mit den host-Dateien.
    Die Majestic Million CSV habe ich nach wie vor deaktiviert. Mein Pi ist ein 3B.
    Viele Grüße

  101. FanG

    FanG

     

    25. Januar 2019, 22:48 Uhr

    Habe jetzt noch piVPN installiert, dann hat man auf dem Handy auch keine Werbung mehr.

  102. Thomas Mielke

    25. Januar 2019, 23:39 Uhr

    @FanG: Prima, dass das jetzt bei Dir geklappt hat. Ich denke, Du wirst auch die Majestic Million CSV gut klar kommen. Die „wichtigsten“ Adressen sind ja in den anderen Liste ohnehin schon vorhanden.

  103. FanG

    FanG

     

    26. Januar 2019, 16:03 Uhr

    Hallo Thomas, mich würde interessieren welche Software du für Voice over IP in deinem Netzwerk benutzt.

  104. Thomas Mielke

    26. Januar 2019, 18:53 Uhr

    @FanG: Keine Software. Ich habe SIP-Telefone, die an einer Cloud-Telefonanlage hängen.

  105. Thorsten

    Thorsten

     

    31. Januar 2019, 11:27 Uhr

    Hallo Zusammen, habt Ihr auch ab und an Probleme mit eurem Dect-Telefon? Seit der Pi-Hole läuft kommt es ein mal im Monat vor, dass keine Anrufe ankommen oder rausgehen.

  106. Thomas Mielke

    31. Januar 2019, 11:28 Uhr

    @Thorsten: Was sollte das mit dem Pi-hole zu tun haben? Das DECT-Telefon hängt ja an der DECT-Basis. Die wiederum hängt an einem Telefonanschluss. Heutzutage ist die Basis allerdings häufig eine FritzBox und die ist mit einem SIP-Anschluss verbunden. Wenn es damit also Probleme gibt, dann liegt das vermutlich eher am SIP-Anbieter oder an Portfreigaben, etc.

    Das hat aber alles nichts mit dem Pi-hole zu tun. Der Pi-hole ist ja reiner DNS-Server. Das bedeutet, er löst die IP-Adresse zu der Domain-Adresse der SIP-Servers auf. Diese ist aber fest definiert, ändert sich also eigentlich nicht ohne Vorankündigung des SIP-Anbieters.

    Du kannst natürlich mal ins Query-Log Deines Pi-hole schauen, ob da eine Adresse Deines SIP-Anbieters geblockt wird. Ich gehe aber davon aus, dass das nicht der Fall ist. Denn das wäre ja sonst immer der Fall. Im Zweifel kannst Du die Adresse(n) des SIP-Servers bzw. des STUN-Servers ja auch in die Whitelist eintragen.

  107. Torsten

    Torsten

     

    1. Februar 2019, 17:37 Uhr

    Moin Thomas,
    im Grunde ist mir das alles klar, aber ich bin heute verzweifelt, weil ich es nicht hinbekommen.

    Am Gastzugang der Fritzbox hängt das USG mit WAN-IP 192.168.178.20. Die LAN-IP des USG ist 192.168.1.1. Der Unifi-Controller hat die 192.168.1.2. Alles funktioniert und die Clients kommen über die Unifi-APs mit einer 192.168.1er IP ins Web.

    In dem Moment, wo ich Pi-Hole installiere, kommt der Controller nicht mehr ins Internet, die Clients schon. In der DHCPCD.CONF steht die 192.168.1.2 als eigene Adresse und als Gateway und Nameserver die 192.168.1.1. Ich kann keine externe Domain pingen, wohl aber IPs, z.B. 8.8.8.8.

    Wenn ich in den DHCP-Einstellungen vom Unifi-Controller den Nameserver 192.168.1.2 (der Controller selbst mit Pi-Hole) konfiguriere, komme ich weiterhin nicht raus (logisch, weil fix), der Traffic der Clients wird aber auch nicht umgeleitet. Am Windows 10 Client im WLAN steht immer noch GW 192.168.1.1, trotz Neustart, De/Aktivierung WLAN.

    Wo ist der Knackpunkt? Damit a) der Controller ins Web kommt (Updates, etc) und der Client ein anderes Gateway bekommt?

    Danke.

  108. Thomas Mielke

    1. Februar 2019, 17:50 Uhr

    @Torsten: Mir ist Dein Setup noch nicht ganz klar. Der USG hängt also am Gast-Port der FritzBox. Am USG ist vermutlich noch ein Switch, an dem wiederum die APs, der Controller (CloudKey?) und der Pi-hole hängen. Richtig?

    Welche IP hat denn der Pi-hole? Dieser muss ja auch eine 192.168.1.x Adresse haben. Und genau diese IP-Adresse muss als Nameserver für jedes Netzwerk (Einstellungen -> Netzwerke) als DHCP-Nameserver eingetragen werden. Die Gateway-Adresse bleibt natürlich unverändert (192.168.1.1). Das ist eigentlich alles.

  109. Torsten

    Torsten

     

    2. Februar 2019, 07:40 Uhr

    Moin,

    genau so ist es.

    An der Fritzbox hängt das USG (192.168.179.20/192.168.1.1). Am Unifi 8-PoE-Switch (192.168.1.10) hängen die APs, das USG und ein Raspberry Pi (192.168.1.2) mit dem Unifi-Controller. Auf dem Raspi hab ich jetzt noch Pi-Hole installiert.

    Ergebnis: Raspi kommt nicht mehr ins Web und kann keine Blocklisten runterladen oder sich updaten. Die Clients an den APs kommen weiter ins Web.

    In den Einstellungen des Unifi-Controllers hab ich 192.168.1.2 als DHCP-Name Server eingetragen. Während ich schreibe, hab ich gerade kapiert, dass sich das Gateway nicht ändert, klar. In der DHCPCD.CONF des Raspi muss also Gateway 192.168.1.1 stehen, wie es auch tut. Trotzdem keine Verbindung ins Web.

    Irgendetwas muss sich bei der Installation von Pi-Hole verändert haben, dass der Raspi nicht mehr ins Web kommt bzw die Namensauflösung fehlschlägt, denn Pingen auf externe IPs geht. Vor der Installation von Pi-Hole bekam er eine statische IP über den Unifi-Controller, der auf ihm selbst installiert ist. Wer ist der Name Server für den Raspi und wo ist das konfiguriert, DHCPCD.CONF?

    Danke.

  110. Thomas Mielke

    2. Februar 2019, 12:31 Uhr

    @Torsten: Ah ok, verstehe. Das Problem ist in der Tat, dass der Controller und der Pi-hole auf dem gleichen RaspberryPi laufen und somit nach außen die gleiche IP-Adresse haben. Der Controller propagiert jetzt die 192.168.1.2 an alle Devices, müsste aber selber über localhost, also 127.0.0.1 auf dem Pi-hole zugreifen. Das müsste sich zwar über die hosts-Datei lösen lassen, aber ich würde den Pi-hole besser autark auf einem eigenen RasberryPi laufen lassen. Auch aus Performance-Gründen. Vermutlich wird Dir auch irgendwann die SD-Karte abrauchen, da würde ich dann aber zumindest auf eine kleine SSD wechseln.

  111. Torsten

    Torsten

     

    2. Februar 2019, 14:34 Uhr

    So hat doch Pi-Hole selbst immer ein Problem, sich selbst zu aktualisieren, wenn wenn es nicht rauskommt, egal ob auf dem Raspi Unifi mit läuft oder nicht.

    Wäre ein Eintrag in der DHCPCD.CONF für die feste IP mit "static domain_name_servers=127.0.0.1" nicht richtig? Muss ich mal probieren.

    Ja, die Endurace der SD ist ein Problem. Bisher lief der Controller zweieinhalb Jahre problemlos und ich habe sicherheitshalber die Karte gerade getauscht.

    Danke

  112. Thomas Mielke

    2. Februar 2019, 18:56 Uhr

    @Torsten: Nein, der Pi-hole selber natürlich mit der Localhost-Adresse kein Problem. Der UniFi-Controller aber scheinbar. Den DHCP-Server auf dem Pi-hole hast Du aber deaktiviert, oder?

    Mein Pi-hole hat in der dhcpcd.conf übrigens folgende Einträge:

    static ip_address=10.0.0.254/24
    static routers=10.0.0.1
    static domain_name_servers=10.0.0.254

    10.0.0.254 ist mein Pi-hole und 10.0.0.1 ist mein USG. Eigentlich müsste das bei Dir auch so funktionieren.

  113. Torsten

    Torsten

     

    2. Februar 2019, 21:01 Uhr

    Hmmm, ich habs jetzt.

    Beim Testen viel mir auf, dass die Aussage "Clients funktionieren" so nicht stimmt. Wenn ich im Unifi-Controller (mit Pi-Hole) als Name Server
    192.168.1.2 eintrage, kommen die Clients auch nicht raus.

    Folgendes habe ich angepasst:
    DHCPCD.CONF
    static domain_name_servers=127.0.0.1,
    damit der Raspi selbst über Pi-Hole DNS-Anfragen macht.

    Unifi
    DHCP Name Server auf 192.168.1.2
    Da frage ich mich, ob ich für den Ausfall einen zweiten öffentlichen eintragen sollte.

    Pi-Hole
    Custom Upstream DNS 192.168.1.1
    erst damit funktioniert es, dass Clients und Raspi rauskommen.

    Bei den Tests sieht es jetzt so aus, dass beim Raspi im Browser die Blockmeldung kommt. Bei meinem Laptop, was über WLAN drin ist, meldet der Browser einen DNS-Fehler. Da stimmt also noch etwas nicht ganz, aber eigentlich ist mir die Meldung lieber, als die Blockmeldung :)

    Danke

  114. Maxim

    Maxim

     

    3. Februar 2019, 16:56 Uhr

    Hallo Thomas,

    Danke für deine Beschreibung und die ganzen Tipps.
    Leider fehlten mir ein wenig die Beschreibung zum installieren von Unbound und DNSCrypt 2.0. Das hatte ich erst in den ganzen Kommentaren gelesen, dass du das auch einsetzt.
    Ich konnte mich nun aber durch die ganzen Beschreibungen, die es dazu bereits gibt, durchkämpfen und nun läuft der Raspi mit PiHole, Unbound und DNSCrypt. Jetzt stellt sich mir die frage, ob dass auch alles so funktioniert. Gefühlt würde ich sagen, dass die DNS Abfragen nun über DNSCrypt laufen und Unbound komplett übersprungen wird.
    Ist das richtig das in die /etc/unbound/unbound.conf.d/*.conf folgendes eingetragen wird:

    # You need this as no for dnscrypt-proxy to work
    do-not-query-localhost: no

    # Forward all queries to specified servers
    forward-zone:
    name: "."
    forward-addr: 127.0.0.1@*PortNummer von DNSCrypt*

    Kann man das nun irgendwie testen, ob Onbound auch mit einbezogen wird?

  115. Thomas Mielke

    3. Februar 2019, 17:06 Uhr

    @Torsten: Bei den Upstream-Servern solltest Du aber nicht den Router sondern eine echten Upstream-Server (Google, Cloudflare, etc.) verwenden.

  116. Thomas Mielke

    3. Februar 2019, 17:08 Uhr

    @Maxim: Zunächst musst Du sicherstellen, dass Dein lokales Netz den Pi-hole als DNS-Server verwendet. Davon gehe aus. Beim Pi-hole musst Du alle vorkonfigurierten Upstream-Server deaktivieren und lediglich 127.0.0.1#5353 eintragen. Der Unbound muss dazu natürlich in der /etc/unbound/unbound.conf.d/pi-hole.conf korrekt auf Port 5353 laufen.

    Den Unbound und die korrekte Funktion von DNScrypt kannst Du einfach über folgende Befehle testen:

    dig sigfail.verteiltesysteme.net @127.0.0.1 -p 5353
    dig sigok.verteiltesysteme.net @127.0.0.1 -p 5353

    In der Ausgabe des ersten Befehls sollte SERVFAIL auftauchen, in der zweiten NOERROR. Wenn das so passt, dann solltest Du alles korrekt eingerichtet haben.

  117. Maxim

    Maxim

     

    3. Februar 2019, 18:19 Uhr

    @Thomas: Ich glaube ich habe mir die Frage gerade selber beantwortet. mich wunderte es, dass die Ausgabe von "dig sigok.verteiltesysteme.net @127.0.0.1 -p 5353" ohne DNScrypt so war:

    ;; QUESTION SECTION:
    ;sigok.verteiltesysteme.net. IN A

    ;; ANSWER SECTION:
    sigok.verteiltesysteme.net. 2747 IN A 134.91.78.139

    ;; AUTHORITY SECTION:
    verteiltesysteme.net. 2747 IN NS ns2.verteiltesysteme.net.
    verteiltesysteme.net. 2747 IN NS ns1.verteiltesysteme.net.

    ;; ADDITIONAL SECTION:
    ns1.verteiltesysteme.net. 2747 IN A 134.91.78.139
    ns1.verteiltesysteme.net. 2747 IN AAAA 2001:638:501:8efc::139
    ns2.verteiltesysteme.net. 2747 IN A 134.91.78.141
    ns2.verteiltesysteme.net. 2747 IN AAAA 2001:638:501:8efc::141

    mit DNScrypt aber nun so aussieht:

    ;; QUESTION SECTION:
    ;sigok.verteiltesysteme.net. IN A

    ;; ANSWER SECTION:
    sigok.verteiltesysteme.net. 1417 IN A 134.91.78.139

    Beides endet mit NOERROR. Ich vermute das liegt aber daran, dass ich bei DNScrypt nur den einen DNS Server "dnscrypt.nl-ns0" eingetragen habe und vorher Unbound mehrer benutzt hat oder liegt das an etwas anderem?

    Hast du eine liste mit DNS Servern die du empfiehlst und eventuell selber in Benutzung hast, die DNSSEC, DNSCrypt 2.0 und Unbound unterstützen?

  118. Thomas Mielke

    3. Februar 2019, 18:38 Uhr

    @Maxim: Unbound benötigt keine weiteren DNS-Server. Unbound ist ein rekursiver DNS-Server, das bedeutet er fragt immer bei den Root-Servern und dann beim jeweiligen autoritativen DNS-Server der jeweiligen Domain nach. Du musst lediglich alle paar Wochen oder Monate mal die Liste der Root-Server aktualisieren. Die ändert sich ja nicht so häufig.

    Das geht mit den folgenden Befehlen:

    wget -O root.hints https://www.internic.net/domain/named.root
    sudo mv root.hints /var/lib/unbound/

    In der /etc/unbound/unbound.conf.d/pi-hole.conf muss diese Liste dann konfiguriert sein:

    root-hints: "/var/lib/unbound/root.hints"
  119. Pascal

    Pascal

     

    4. Februar 2019, 07:55 Uhr

    Moin zusammen,
    ich habe am Wochenende meinen ersten Pihole in Betrieb genommen. Der funktioniert schon echt super. Derzeit nutze ich einen Pi2 B.
    Ich bin aber auf eine kleine Hürde gestoßen. Die Maxdome-App im SmartTV funktioniert seit der Inbetriebnahme des Pihole nicht mehr. Kurioserweise die Maxdome-App auf dem Smartphone wunderbar.
    Deaktiviere ich den Pihole funktioniert alles tadellos.

  120. Thomas Mielke

    4. Februar 2019, 08:13 Uhr

    @Pascal: Schau doch einfach mal ins Query-Log Deines Pi-hole. Eventuell musst Du da eine Domain auf die Whitelist packen.

  121. Pascal

    Pascal

     

    6. Februar 2019, 06:48 Uhr

    @Thomas: Super, dass hat geklappt (bin noch Pihole Neuling)
    Eine weiter Frage hatte sich mir gestern aufgetan: Derzeit liege ich bei "NUR" knapp 2,6 % geblockter Anfragen. Woran kann das liegen (es kommt mir ziemlich wenig vor)
    Auf meiner Blockliste stehen über 1 millionen Domains.
    Ich nutze die Fritzbox 7590 und derzeit 2 Repeater, alles zusammen als Mesh Netzwerk.
    IPv6 ist an meinem Pihole aus...
    Getestet habe ich die Funktion vom Pihole z.B über Websites wie "Bild.de" und co....Das Funktioniert alles super.

  122. Thomas Mielke

    6. Februar 2019, 08:05 Uhr

    @Pascal: Wie Dein lokales Netz aufgebaut ist (Router, Repeater, Mesh, etc.) ist eigentlich völlig egal. Du musst nur sicherstellen, dass alle Geräte im lokalen Netz den Pi-hole als DNS-Server verwenden. Wenn Du Deinen Router richtig konfiguriert hast, sollte das bei DHCP-Geräten normalerweise automatisch der Fall sein. Falls Du Geräte mit einer festen IP-Adresse manuell konfiguriert hast und dort auch den DNS-Server eingestellt hast, dann musst Du diese Einstellung aber natürlich auf den Pi-hole anpassen.

    Ob die Blockquote bei Dir zu niedrig ist, lässt sich schwer beurteilen. Das hängt ja auch davon ab, welche Geräte im Netz sind und was die so machen.

  123. Pascal

    Pascal

     

    6. Februar 2019, 08:58 Uhr

    @Thomas,
    lediglich der Pihole hat in meinem Netz eine feste IP. An der Fritzbox habe ich den Pihole als DNS Server zugewiesen (mehrfach, da die Fritzbox auch dieses DNS rebind Schutz hat)
    Ich versuche heute abend einfach mal viel traffic zu erzeugen....vielleicht surfen wir ja nicht so viel auf Seiten die viel Werbung enthalten ;)

  124. Thomas Mielke

    6. Februar 2019, 08:59 Uhr

    @Pascal: Schau einfach mal ins Query-Log, ob dort alle Geräte auftauchen, die sich bei Dir im lokalen Netz befinden.

  125. maximal1981

    maximal1981

     

    9. Februar 2019, 13:01 Uhr

    @Thomas: die Majestic Million CSV wird zwar in die gravity.list importiert, jedoch als reine TXT. Somit ergibt sich dort z.B. ein Eintrag wie:

    743810,34349,vagifirm.net,net,474,541,vagifirm.net,net,-1,-1,-1,-1

    dieser wird dann auch nicht geblockt, da pi-hole diese Zeile nicht umwandelt.

    mfg maximal1981

  126. Thomas Mielke

    9. Februar 2019, 14:17 Uhr

    @maximal1981: Hmm... Du hast Recht. Ich habe mir die /etc/pihole/gravity.list mal genauer angesehen. Die Majestic_Million.CSV wird da in der Tat einfach nur 1:1 rein kopiert. Ich bin immer davon ausgegangen, dass der Pi-hole die Dateien auch parst, also nur die Domains übernimmt. Oder eben eine Fehlermeldung ausgibt. Das ist aber wohl beides nicht der Fall...

    Ich habe die Liste jetzt erstmal wieder deaktiviert und schaue mir mal an, wie man die Daten aus der Majestic_Million.CSV korrekt in die gravity.list übernehmen kann. Danke für den Hinweis!

  127. Wolfgang

    Wolfgang

     

    27. Februar 2019, 09:11 Uhr

    Kurzer Hinweis, den PiHole gibt's auch für X86, samt Raspberry-Ubuntu. Das auf einem Lenovo Thincentre M73 (den Mini, gerade mal 15cm x 15cm groß) und schon sind alle Probleme mit Speicher und Strom oder Netzwerk obsolet. Das gute stück kostet vielleicht 100 Euro, also unwesentlich mehr wie ein Raspberry Pi... :)

  128. Thomas Mielke

    27. Februar 2019, 09:14 Uhr

    @Wolfgang: Natürlich kann man den Pi-hole auch woanders installieren. Es gibt auch Anleitungen, wie man diesen in einem Synology-Docker installieren kann.

  129. Swimbho

    Swimbho

     

    1. März 2019, 15:06 Uhr

    Hallo habe pi-hole im Docker auf Synology laufen, da ich den NLnet Labs - Unbound für die Synology aber nicht finde wollte ich einen anderen Unbound DNS Server im Docker installieren, nur leider kriege ich das bei keinem angebotenen hin...
    Hat jemand eventuell einen Unbound am laufen im DS Docker?

  130. Wilhelm

    Wilhelm

     

    8. März 2019, 09:18 Uhr

    Eine Frage zum PIHOLE
    ich hab in meiner Fritz Box 7590 als lokaler DNS-Server die feste IP des Pihole eingetragen, desweiteren unter REBIND-Schutz die IP-Adresse des Pihole ebenfalls. In den DNS-Einstellungen des PIHOLE als UPStream DSN-Servers Google und Cloud-Flare aktiviert. Die Felder rechts CUSTOM 1-4 habe ich freigelassen. Im Feld "use conditional forwarding" habe ich die ip-adresse der Fritz.box eingetragen.
    Meine Frage nun: ist das alles richtig ? bin mir nämlich nicht ganz sicher
    Gruß Wilhelm

  131. Thomas Mielke

    8. März 2019, 09:21 Uhr

    @Wilhelm: Mit den genannten Einstellungen sollte das eigentlich alles korrekt funktionieren. Im Query-Log des Pi-hole kannst Du ja auch sehen, ob es funktioniert, also ob alle Geräte im lokalen Netz den Pi-hole verwenden.

  132. Gerd

    Gerd

     

    9. März 2019, 12:20 Uhr

    Probleme mit unbound.
    Pi-Hole zu instalieren hat gut funktioniert. Allerdings habe ich mit unbound Probleme. Ich habe unbound nach der Anleitung installiert. Wenn ich den Befehl:
    dig pi-hole.net @127.0.0.1 -p 5353
    eingeben, bekomme ich folgende Fehlermeldung:
    ; <<>> DiG 9.10.3-P4-Raspbian <<>> pi-hole.net @127.0.0.1 -p 5353
    ;; global options: +cmd
    ;; connection timed out; no servers could be reached
    Was kann das sein? Ich habe mal die Suchmaschine bemüht und konnte dabei feststellen, dass dieser Fehler wohl auch schon bei anderen aufgetreten ist. Eine Lösung war nicht zu finden.

  133. Thomas Mielke

    9. März 2019, 12:36 Uhr

    @Gerd: Hast Du die aktuelle root.hints Datei heruntergeladen? Ich vermute, der Unbound arbeitet nicht, weil er keine Liste der Root-Nameserver hat. Folgende Befehle sind dafür notwendig:

    wget -O root.hints https://www.internic.net/domain/named.root
    sudo mv root.hints /var/lib/unbound/
  134. Gerd

    Gerd

     

    10. März 2019, 11:24 Uhr

    @Thomas Mielke
    Ja habe ich runter geladen. Ich habe die Anleitung genau befolgt. Kann es sein, dass der Port 5353 belegt ist und ich einen anderen nutzen muss? Geht das überhaupt?

  135. Thomas Mielke

    10. März 2019, 11:44 Uhr

    @Gerd: Der Unbound läuft aber, oder? Lass Dir mal den Status ausgeben:

    sudo service unbound status
  136. Gerd

    Gerd

     

    10. März 2019, 12:30 Uhr

    Der Service startet nicht! Ich habe mal einen anderen Port genommen. Leider das gleiche Ergebnis. Den Privat Adressbereich hatte ich auf meine Fritzbox angepasst (192.168.178.1/30). Ansonsten alles so in der pi-hole.conf , wie vorgegeben, gelassen.

  137. Thomas Mielke

    10. März 2019, 12:40 Uhr

    @Gerd: Ich denke nicht, dass es am Port liegt. Aber irgendetwas anderes ist in Deiner Konfiguration vermutlich falsch. Aber das kann ich vor hier aus schwer beurteilen...

  138. Gerd

    Gerd

     

    10. März 2019, 12:59 Uhr

    Ich habe mal den status-code beigefügt. Vielleicht kannst du daraus etwas ersehen. Wenn nicht, dann muss ich halt auf unbound verzichten. Ich hatte zwischenzeitlich den raspberry komplett neu installiert und nur pi-hole und unbound drauf:
    unbound.service - Unbound DNS server
    Loaded: loaded (/lib/systemd/system/unbound.service; enabled; vendor preset: enabled)
    Active: failed (Result: exit-code) since Sun 2019-03-10 12:43:49 CET; 11min ago
    Docs: man:unbound(8)
    Process: 3570 ExecStart=/usr/sbin/unbound -d $DAEMON_OPTS (code=exited, status=1/FAILURE)
    Process: 3564 ExecStartPre=/usr/lib/unbound/package-helper root_trust_anchor_update (code=exited, status
    Process: 3559 ExecStartPre=/usr/lib/unbound/package-helper chroot_setup (code=exited, status=0/SUCCESS)
    Main PID: 3570 (code=exited, status=1/FAILURE)

    Mär 10 12:43:48 raspberrypi systemd[1]: unbound.service: Failed with result 'exit-code'.
    Mär 10 12:43:49 raspberrypi systemd[1]: unbound.service: Service hold-off time over, scheduling restart.
    Mär 10 12:43:49 raspberrypi systemd[1]: Stopped Unbound DNS server.
    Mär 10 12:43:49 raspberrypi systemd[1]: unbound.service: Start request repeated too quickly.
    Mär 10 12:43:49 raspberrypi systemd[1]: Failed to start Unbound DNS server.
    Mär 10 12:43:49 raspberrypi systemd[1]: unbound.service: Unit entered failed state.
    Mär 10 12:43:49 raspberrypi systemd[1]: unbound.service: Failed with result 'exit-code'.

  139. Thomas Mielke

    10. März 2019, 17:07 Uhr

    @Gerd: Hm. Deinstalliere den Unbound nochmal und versuche die Installation erneut. Oder prüfe nochmal die Konfiguration. Irgendwas passt da scheinbar nicht.

  140. Gerd

    Gerd

     

    11. März 2019, 08:00 Uhr

    Ich habe das ganze System neu aufgesetzt und pi-hole sowie unbound installiert. Leider ohne Erfolg. Es erfolgt die gleiche Fehlermeldung. Ich lass es jetzt erst mal sein....

  141. Swimbho

    Swimbho

     

    13. März 2019, 14:52 Uhr

    Hi, habe heute nochmals den unbound auf dem Syno Docker installiert, eigentlich kriege ich das hin, nur startet er nicht weil ein Error erscheint, dass Port 53 schon belegt sei, konnte zwar nicht herausfinden von wem oder was, aber kann ich einfach einen anderen Port verwenden?

  142. Thomas Mielke

    13. März 2019, 14:53 Uhr

    @Swimbho: Unbound kann nicht auf Port 53 laufen, weil dort ja bereits der Pi-hole läuft und im lokalen Netz für alle anderen Devices erreichbar sein muss. Port 53 ist der Default-Port für DNS. Daher sollte der Unbound auf Port 5353 laufen. Der Pi-hole ruft diesen dann direkt über den Port auf.

  143. Swimbho

    Swimbho

     

    14. März 2019, 10:11 Uhr

    @ThomasMielke: Ich bekomme folgenden Error beim Versuch zu starten...

    ash-4.3# docker run
    > --name unbound
    > -v /volume1/docker/unbound:/opt/unbound/etc/unbound/
    > --publish=5353:5353/tcp
    > --publish=5353:5353/udp
    > --restart=unless-stopped
    > --detach=true
    > mvance/unbound:latest
    24d9e99bcc151801fae552a39d2edd4bfbfdd1444a4d6070fafb04b556e7e82e
    docker: Error response from daemon: driver failed programming external connectivity on endpoint unbound (5866d0f38adfdc9c9f97edd83cd7c9e363b7bc662947f7633a4bd4a4c8cd8c65): Error starting userland proxy: listen udp 0.0.0.0:5353: bind: address already in use.

  144. Thomas Mielke

    14. März 2019, 10:45 Uhr

    @Swimbho: Ich weiß nicht, welche Besonderheiten zu beachten sind, wenn man das Ganze in einem Docker installiert. Aber der Hinweis „listen udp 0.0.0.0:5353“ deutet meiner Meinung nach auf einen Konfigurationsfehler hin, da die IP-Adresse „0.0.0.0“ ungültig ist.

  145. Swimbho

    Swimbho

     

    20. März 2019, 16:52 Uhr

    @Thomas Mielke: Hallo, unbound läuft noch nicht, habe zwar das IP Problem gefunden, aber er startet noch nicht, sehe ich das richtig, dass ich in der .conf die 127.0.0.1@5353 eintragen muss, oder muss ich dort die Docker IP angeben?

    # Listen to for queries from clients and answer from this network interface
    # and port.
    interface: 127.0.0.1@5353

  146. Thomas Mielke

    20. März 2019, 22:09 Uhr

    @Swimbho: Hm. Bei mir in der „/etc/unbound/unbound.conf.d/pi-hole.conf“ steht gar keine IP-Adresse drin.

  147. Swimbho

    Swimbho

     

    21. März 2019, 08:44 Uhr

    @Thomas Mielke: Hi, ich habe gar keine /unbound.conf.d/pi-hole.conf“, sondern nur die "unbound.conf", die "/pi-hole.conf" fehlt bei mir komplett...

  148. Thomas Mielke

    21. März 2019, 09:49 Uhr

    @Swimbho: Hast Du den Unbound denn nach dieser Anleitung installiert?

  149. PeterMayda

    PeterMayda

     

    10. April 2019, 20:37 Uhr

    Hallo,

    weißt du oder kennst du dich aus, wie ich beim Pi-Hole die Update-Frequenz der Blocklisten erhöhen kann? So wie ich es verstanden habe, aktualisiert er die jede Woche am Sonntag via Cronjob.

    Das ist aber nicht unbedingt nötig und schlecht für die SD-Karte, die ja eh nicht so gut mit vielen Schreibvorgängen klarkommen. Ich würde es gerne erhöhen, damit sich die Blocklisten nur einmal Monatlich updaten. Das reicht mir und es entlastet die Hoster der Blocklisten.

    Gibt es dafür einen Befehl oder ein Kommando oder sonst etwas? Habe jetzt ca. 60 Minuten gegoogled, finde aber absolut nichts dazu, was mir konkret weiterhilft. Und wenn, dann ist immer nur die Rede davon, die Frequenz zu erhöhen.

    Hoffe hier kann mir jemand helfen.

  150. Thomas Mielke

    10. April 2019, 21:10 Uhr

    @PeterMayda: Ich persönlich würde die Update-Frequenz nicht verringern. Wenn Du Angst um die Lebensdauer Deiner SD-Karte hast, dann solltest besser auf eine SSD umsteigen. Mit einem einfachen USB-Adapter kannst Du problemlos eine kleine günstige SSD verwenden und auf die SD-Karte verzichten. Das habe ich auch so gemacht. Dadurch wird Performance des Pi-hole auch nochmal ein wenig gesteigert, insbesondere bei großen Blocklisten.

    Aber ansonsten kannst Du die Cronjobs für den Pi-hole natürlich trotzdem anpassen:

    sudo nano /etc/cron.d/pihole

    Dort sollte es eine Zeile geben, die Folgendes enthält:

    root PATH="$PATH:/usr/local/bin/" pihole updateGravity

    Davor steht der Intervall. Bei mir steht da folgender Intervall, der kann bei Dir aber z.B. von der Uhrzeit etwas abweichen:

    29 4 * * 7

    Das Update wird also jeden Sonntag (7) um 4:29h ausgeführt. Wenn Du das auf Monatlich ändern willst, dann könnte das so aussehen:

    29 4 1 * *

    Damit würde der Cronjob jeweils am 1. des Monats um 4:29h ausgeführt. Wenn Du allerdings jeden ersten Sonntag im Monat haben willst, dann wird es etwas komplizierter...

    Weitere Infos zum Aufbau eines Crontab-Intervalls findest Du z.B. hier.

  151. Alain

    Alain

     

    12. April 2019, 09:18 Uhr

    Zunächst einmal ein großes Lob für die Seite! Sowohl der Artikel als auch die Kommentare sind sehr hilfreich.
    Da das Thema eBlocker angesprochen wurde: ich hatte diesen bisher im Einsatz, jedoch gab es in der Praxis einige Probleme. Die Unterstützung von HTTPS-Verbindungen funktioniert unzuverlässig und man muss sehr viele Ausnahmen hinzufügen - was teilweise sehr kompliziert ist, weil der eBlocker nicht alle Verbindungsfehler angezeigt. Der Zugriff auf das Internet wird merklich langsamer, es kommt auch immer wieder zu Verbindungsabbrüchen. In der Theorie hört sich alles toll an, aber ich kann den eBlocker letztendlich nicht empfehlen.
    Ich möchte eine andere Lösung nutzen und komme daher zu meiner Frage: Hast du Erfahrung mit dem Technitium DNS Server? Das scheint eine Alternative zu Pi-hole zu sein. Ansonsten werde ich demnächst Pi-hole ausprobieren. Da ich sowohl eine Fritzbox als auch eine NAS von Synology habe, freue ich mich über die vielen Hinweise in deinem anderen Artikel „Was man mit dem Pi-hole noch so machen kann“.

  152. Holger

    Holger

     

    13. April 2019, 08:18 Uhr

    man braucht überhaupt keinen Raspberry, das läuft auf jedem Linux. und linux kann man sehr gut auf den Android TV boxen installieren. diese gibts ab 20 eur. man sollte nur auf den Chipsatz schauen. es sollte ARMbian o.ä. drau laufen. die box bootet einfach von sd oder usb. aber Achtung. kein Fälschung mit falschen chip kaufen.

  153. Richard

    Richard

     

    17. April 2019, 09:03 Uhr

    Hi Thomas,

    danke für den guten Artikel. Ich bin darauf gestoßen, weil ich seit einiger Zeit Pi-Hole nutze. Deinem Kommentar vom 16. November 2018, 09:03 Uhr muss ich allerdings widersprechen. Das Setup von Stefan ist schon sinnvoll, Ping-Pong wird hier nicht gespielt. Eigentlich sieht es so aus:

    Die FritzBox verteilt per DHCP den Pi-hole als lokalen DNS-Server
    Der Client fragt den Pi-hole: „Welche IP-Adresse hat example.com?“
    Der Pi-hole schaut im Cache nach und antwortet, falls die Adresse bereits bekannt ist.
    Der Pi-hole schaut in die Blocklisten und antwortet, falls die Domain geblockt ist.
    Wenn weder 2. oder 3. zu einer Antwort geführt haben, leitet der Pi-hole die Anfrage an den oder die konfigurierten Upstream-Server weiter, was hier die FritzBox ist.
    Interne Adressen *.fritz.box werden von der FritzBox selber aufgelöst.
    Externe Anfragen leitet die FritzBox dann an den in ihr eingetragenen Dienst weiter.
    Dieser antwortet mit der IP-Adresse für example.com.
    Die Antwort gibt die FritzBox an den Pi-hole zurück
    Der Pi-hole leitet diese dann dann an den Client weiter.
    Der Pi-hole speichert die Antwort im Cache, um bei Bedarf schneller antworten zu können, wenn ein anderer Client dieselbe Domain anfragt.

  154. Wilhelm

    Wilhelm

     

    19. April 2019, 08:03 Uhr

    Hi Thomas, ich habe meinen pihole (läuft mit Raspi) an den LAN- Port meiner Fritz 7590 angeschlossen. Jetzt stellt sich die Frage muss der LAN-Port mit Gigabit oder 100 MBits laufen ?
    Danke Wilhelm

  155. Thomas Mielke

    19. April 2019, 20:46 Uhr

    @Wilhelm: Das ist völlig egal. Der RasPi hat ohnehin keine echten GigaBit-Port. Die Geschwindigkeit handelt die FritzBox und RasPi da schon selber aus. Aber abgesehen davon sind die Datenmengen, die bei einer DNS-Abfrage übertragen werden marginal. Ob 100 oder 1000 MBit spielt also keinerlei Rolle.

  156. Kevin Weber

    Kevin Weber

     

    5. Mai 2019, 18:44 Uhr

    Hallo Thomas,

    ich würde gerne den Raspi (habe die neuste Version) so einstellen das man sich über den Raspi einloggt und darüber ins Internet geht, mit Pihole. Ich teile mir das Internet mit jemand anderem (Vertrag läuft über mich) und würde sehr ungern auch seine potentiellen Seiten blocken. Das heißt ich würde den Raspi gerne als WLAN Router verwenden, mit Pihole. Ich habe es probiert, bin aber bisher immer an der Installation gescheitert. Entweder der Hotspot oder das Pihole haben nicht funktioniert.

    Ich hoffe du oder jemand anderes können mir hier weiterhelfen :)

    Beste Grüße

  157. Thomas Mielke

    6. Mai 2019, 07:50 Uhr

    @Kevin: Der Pi-hole ist kein Router, sondern ein DNS-Server. Nichts anderes. Wenn Du aber möchtest, dass nicht alle Geräte den Pi-hole nutzen, dann hast Du nur die Möglichkeit in Deinem Router weiterhin einen öffentlichen DNS-Server einzutragen und alle Deine Geräte manuell zu konfigurieren. Dort muss Du dann also die IP-Adresse Deines Pi-hole direkt eintragen.

    Unabhängig davon würde ich aus Sicherheits- und Datenschutzgründen bei einen gemeinsam genutzten Internet-Zugang getrennte SSIDs und VLANs einrichten, sodass die beide Netzbereiche komplett voneinander getrennt sind. Für jeden VLAN kannst Du dann dann die DNS-Konfiguration getrennt vornehmen. Ich weiß aber nicht ob Dein Router das kann.

  158. Kevin Weber

    Kevin Weber

     

    6. Mai 2019, 19:44 Uhr

    Erstmal vielen Dank für deine Antwort. Ich hab im Internet schon zahlreiche Berichte über das Pihole gelesen aber dein Blog inklusive Kommentare war bisher mit Abstand die beste Informationsquelle.

    Mein ursprünglicher Plan war das Pihole zu installieren und dann über den Hotspot vom Raspi ins Internet zu gehen. Deine Variante klingt allerdings wesentlich besser.

    Ich habe leider nur den Standard Router von Kabel Deutschland, der hat ja bekanntlich nicht so viele Funktionen (daher auch mein Hotspot Plan).
    Da ich Student bin, finde ich es gut das ich mir den Preis für das Internet teilen kann, die Sicherheit hat mir allerdings schon von Anfang an zu bedenken gegeben. Kannst du ein günstigen Router empfehlen der diese Einstellungen bietet die ich bräuchte?

  159. Thomas Mielke

    6. Mai 2019, 21:15 Uhr

    @Kevin: Eines der flexibelsten Setups könntest Du mit dem UniFi-Systemumsetzen, aber das dürfte für Deine Anwendung wohl etwas zu überdimensioniert und wohl auch zu teuer sein.

    Der Klassiker ist aber sicher eine FritzBox, allerdings kann die auch keine beliebigen VLANs einrichten. Hier könntest Du aber zumindest den Gastzugang für Deinen Mitbenutzer verwenden. Entweder nutzt dieser dann nur das Gast-WLAN und ist somit von Deinen Geräten komplett getrennt, oder er hängt selber einen kleinen Router an den Port 4 der FritzBox (den kann man als Gastport konfigurieren) und kann dann sein eigenes Setup mit eigenem WLAN, etc. umsetzen.

  160. Mathias

    Mathias

     

    2. Juni 2019, 22:13 Uhr

    Ich nutze pi hole bereits seit 6 Monaten.
    Da ich den PI 3B+ für ein anderes Projekt brauche, habe ich eine Frage dazu.
    Muß ich pi hole auf dem PI2 neu aufsetzen, oder reicht es, wenn ich die SD einfach tausche. WLAN wird auf dem PI3 B+ nicht benötigt.

Dein Kommentar?

Menschlich? Dann gib bitte die 5 Zeichen genau so ein, wie Du sie in der Grafik lesen kannst. Keine 5 Zeichen? Erzeuge einfach einen neuen Code.

Gravatar:

Wenn Du möchtest, dass Dein Bild neben Deinem Kommentar erscheint, dann melde Dich einfach bei Gravatar an.

Nutzungshinweise:

Dein Kommentar erscheint nicht automatisch, sondern wird erst nach einer Prüfung manuell freigeschaltet. Ich behalte mir vor alle Kommentare zu löschen, die

  • rassistische, sexistische oder gewaltverherrlichende Inhalte haben,
  • zu kriminellen Aktionen aufrufen oder diese verteidigen,
  • beleidigende Inhalte besitzen,
  • Werbung für Dritte darstellen oder deren Inhalte einem Link auf fremde Angebote gleichkommt.