Was man mit dem Pi-hole noch so machen kann

Zusammenfassung des Pi-hole Dashboards
Zusammenfassung des Pi-hole Dashboards

Den Pi-hole habe ja nun schon länger im Einsatz und er verrichtet hier zuverlässig seinen Dienst. Im Schnitt habe ich dabei aktuell eine Blockquote von 30-40%. Das ist irgendwie schon eine ganze Menge und daher schaut man dann doch mal ab und zu in die Logfiles, um zu sehen was da genau geblockt wird und von welchen Devices die DNS-Requests kommen.

Pi-hole Dashboard mit den Top-ListsNatürlich sind da in erster Linie die üblichen Verdächtigen dabei, also die ganzen AdServer und Tracking-Domains. Aber auch eine ganze Reihe von Requests, die man in die Kategorie „Nach-Hause-Telefonieren“ einsortieren könnte. Insbesondere diese sorgen aber vermutlich auch für eine erhöhte Blockquote, denn wenn der Request nicht durchgeht, also ge-Pi-holed wird, dann wird es halt immer wieder probiert. Und vermutlich etwas häufiger, als wenn der Request ungefiltert durch ginge. Nun gut, aber dafür ist der Pi-hole ja auch da.

WPAD – Web Proxy Autodiscovery Protocol

Ein sehr häufiger Request fiel mir aber zuletzt etwas mehr ins Auge. Denn einige Rechner im Netz versuchten quasi ununterbrochen die Domain „wpad.localdomain“ aufzulösen. Innerhalb von 24h kam da schon mal locker eine 5-stellige Zahl zusammen. Wie sich schnell herausstellte, handelte es sich dabei um die automatische Proxy-Konfiguration von Windows. Und die abgefragte Domain „.localdomain“ stammt aus der Konfiguration eines meiner VLANs, die ich in meinem UniFi-System eingerichtet habe. Hier war ein Standardwert hinterlegt. Häufig findet man in Routern auch einfach nur „.local“ oder recht bekannt dürfte auch „fritz.box“ sein, wenn man eine FritzBox verwendet.

Und die Subdomain „wpad“ ist der Standard für das Web Proxy Autodiscovery Protocol (WPAD), das Web-Clients also insbesondere Web-Browsern helfen soll, automatisch die gültige Proxy-Konfiguration im lokalen Netz zu finden. Ich habe keinen Proxy im Einsatz, die Clients sollen die Webserver also immer direkt kontaktieren. Aber die große Anzahl der Requests erschien mir dann doch etwas unnötig und irgendwie unkoordiniert.

WPAD als mögliches Sicherheitsrisiko

In der Tat kann das WPAD-Protokoll zu einer Schwachstelle werden. Die Idee hinter der automatischen Proxy-Konfiguration ist im Prinzip die zentrale Einrichtung und zwar ohne beim Client etwas konfigurieren zu müssen. Ein Client verwendet dazu einfach den Hostnamen seiner Organisation oder des Routers, also in meinem Fall z.B. „.localdomain“ oder eben bei einer FritzBox „fritz.box“, setzt die Sudomain „wpad“ davor und versucht dann dort die Proxy-Konfigurationsdatei „wpad.dat“ (oder „proxy.pac“) zu finden. Wenn diese nicht gefunden wird, dann wird die Domain-Hierarchie durchgegangen, bis etwas gefunden wird:

http://wpad.localdomain/wpad.dat
http://wpad/wpad.dat
http://wpad.fritz.box/wpad.dat
http://wpad.box/wpad.dat
http://wpad/wpad.dat

Auf den ersten Blick fällt auf, dass z.B. bei der FritzBox die vermeintliche Domain „wpad.box“ auftaucht. Die neue Top-Level-Domain „.box“ ist seit November 2016 verfügbar, allerdings sind die kritischen Domains „fritz.box“ und „wpad.box“ bisher noch nicht vergeben. Dennoch kann theoretisch die Verfügbarkeit der TLD schon problematisch werden. Manche Clients versuchen auch die Domain „wpad.com“ aufzulösen. Hierbei wird noch deutlicher, welche mögliche Gefahrenquelle besteht, denn diese Domain existiert sogar.

Die Lösung: Eine eigene wpad.dat ausliefern

Die Lösung ist aber so einfach wie naheliegend: Man muss einfach nur sicherstellen, dass die Clients eine eigene, also vertrauenswürdige „wpad.dat“ finden. Und dazu ist der Pi-hole natürlich bestens geeignet.

1. WPAD-Domains auf den Pi-hole umleiten

Zunächst muss man dem Pi-hole beibringen, dass er selber für alle möglichen wpad-Domains zuständig ist. Dazu trägt man diese zunächst in die „/etc/hosts“ ein und am besten auch zusätzlich auch noch in die „/etc/pihole/lan.list“. Folgende Zeile sollte eingefügt werden:

192.168.0.53 wpad.local wpad.localdomain wpad.com wpad.de wpad

Oder bei der FritzBox:

192.168.0.53 wpad.fritz.box wpad.box wpad.com wpad.de wpad

Die IP-Adresse „192.168.0.53“ müsst Ihr natürlich durch die IP-Adresse Eures Pi-hole ersetzen. Ebenso die Liste der möglichen lokalen Domains. Ein Blick ins Query-Log des Pi-hole kann helfen, die entsprechenden Domains zu finden. Wichtig ist, dass insbesondere auch „wpad.com“ und „wpad“ angegeben werden, diese also automatisch im lokalen Netz bleiben.

Damit ist im ersten Schritt sichergestellt, dass die wpad-Domains alle lokal aufgelöst werden und auf die IP-Adresse des Pi-hole verweisen. Nun muss der Pi-hole nur noch dafür sorgen, dass er antwortet und eine „wpad.dat“ ausliefert.

2. Weiteren VirtualHost im Webserver einrichten

Auf dem Pi-hole läuft ja der Webserver lighttpd, der bereits für das Webinterface des Pi-hole zuständig ist. Diesen muss man nun so einrichten, dass dieser auch auf die wpad-Domain antwortet. Dazu muss man in der Datei „/etc/lighttpd/external.conf“ folgende Zeilen ergänzen:

$HTTP["host"] =~ "wpad" {
server.document-root = "/var/www/wpad/"
mimetype.assign = (
".dat" => "application/x-ns-proxy-autoconfig",
".pac" => "application/x-ns-proxy-autoconfig"
)}

Diese sorgen dafür, dass alle Requests für Domains, die „wpad“ enthalten, ein anderes Stammverzeichnis (Document-Root) verwenden sollen. Standardmäßig liegt das Stammverzeichnis in „/var/www/html/“. Ich habe nun ein Verzeichnis „/var/www/wpad/“ angelegt und dieses als Stammverzeichnis für die wpad-Domains definiert. Die Angabe „mimetype.assign“ sorgt dafür, dass außerdem der korrekte MIME-Type für die Ausgabe von .dat- und .pac-Dateien verwendet wird.

3. Eigene WPAD-Konfigurationsdatei anlegen

Nun fehlt nur noch die WPAD-Konfigurationsdatei „wpad.dat“, die einfach im Verzeichnis „/var/www/wpad/“ angelegt werden muss. Der Inhalt ist sehr übersichtlich und gibt lediglich an, dass es keine Proxy-Server gibt und alle Verbindungen direkt erfolgen sollen:

function FindProxyForURL(url, host) {
return "DIRECT";
}

Die Datei kann man dann auch zusätzlich auch noch als „proxy.pac“ speichern. Zuletzt muss nur noch der Webserver neu gestartet werden:

sudo service lighttpd restart

Zum Testen braucht man im Browser lediglich die Adresse http://wpad.local/wpad.dat oder http://wpad/wpad.dat (bzw. die entsprechende lokale Domain) aufzurufen und der Browser sollte die „wpad.dat“ herunterladen. Das wars. Die automatische Proxy-Konfiguration im lokalen Netz sollte nun sicher sein.

Synology External IP Checker

Synology DDNS-EinstellungenEin weiterer häufiger und regelmäßiger DNS-Request stammt von meiner Synology-NAS. Obwohl ich kein DynDNS (DDNS) nutze (ich habe eine feste IP) und dieses daher im DiskStation Manager (DSM) abgeschaltet habe, ruft die Synology alle paar Minuten die Adresse „checkip.synology.com“ auf. Diese wird laut Synology nur dazu genutzt um die aktuelle externe IP-Adresse zu erfahren. Was in meinem Fall natürlich absolut unnötig ist.

Theoretisch gibt die Adresse http://checkip.synology.com nur die aktuelle externe IP-Adresse aus. Ich glaube zwar nicht, dass Synology da weitere Daten abgreift oder irgendetwas trackt, aber um es wie Horst Schlämmers Gisela zu sagen: „Isch möschte das nischt“.

Aber diesen Request kann man natürlich ebenso prima auf den Pi-hole umleiten. Also wieder in der die „/etc/hosts“ und der „/etc/pihole/lan.list“ folgende Zeile einfügen:

192.168.0.53 checkip.synology.com

Die IP-Adresse „192.168.0.53“ müsst Ihr natürlich wieder durch die IP-Adresse Eures Pi-hole ersetzen. Dann wird ein weiterer VirtualHost in der lighttpd-Konfiguration „/etc/lighttpd/external.conf“ eingefügt:

$HTTP["host"] == "checkip.synology.com" {
server.document-root = "/var/www/checkip/"
}

Ich habe also ein weiteres Stammverzeichnis „/var/www/checkip/“ definiert. Dort muss jetzt nur eine HTML-Datei „index.html“ abgelegt werden, die das Gleiche ausgibt wie der IP-Checker von Synology:

<html>
<head><title>Current IP Check</title></head>
<body>Current IP Address: ###.###.###.###</body>
</html>

Das „###.###.###.###“ müsst Ihr natürlich durch die statische IP-Adresse Eures Providers ersetzen.

Optional kann man das natürlich auch über ein PHP-Skript „index.php“ lösen, falls Ihr Eurer statischen IP-Adresse einen Hostname zugewiesen habt. Ich habe z.B. eine Subdomain eingerichtet und deren A-Record auf meine statische IP-Adresse gesetzt. Diese wiederum kann ich mit der php-Funktion „gethostbyname()“ auflösen und bekomme wieder meine IP-Adresse:

<html>
<head><title>Current IP Check</title></head>
<body>Current IP Address: <?php echo gethostbyname("subdomain.domain.tld"); ?></body>
</html>

Der Eintrag „subdomain.domain.tld“ muss dann natürlich durch Eure eigene Subdomain ersetzt werden. Somit bekommt die Synology immer die aktuelle IP-Adresse geliefert, ohne dass diese auf einen externen Dienst von Synology zugreifen muss.

Das Ganze macht natürlich nur Sinn, wenn man eine statische IP-Adresse hat. Bei DHCP bietet sich weiterhin an, einen DynDNS-Dienst zu verwenden und dann ist der IP-Checker von Synology schon irgendwie sinnvoll. Insbesondere, wenn man die Synology-NAS auf von extern erreichen will.

Teredo IPv6-Tunnel

Und noch weiterer Request ist mir im Query-Log recht häufig untergekommen. Mein Windows-Server versuchte regelmäßig die Domain „teredo.ipv6.microsoft.com“ aufzulösen. Bei Teredo handelt es sich um ein Übergangsprotokoll von Microsoft Windows für den Zugriff auf das IPv6-Netzwerk hinter dem NAT, also dem Router.

Allerdings läuft mein lokales Netz und auch mein Internetzugang komplett auf IPv4. Warum Windows trotzdem versucht, einen IPv6-Tunnel aufzubauen, bleibt mir daher mehr als unklar. Der Request verpuffte zwar ohnehin dank des Pi-hole im Nichts, aber ich wollte dann doch lieber die Ursache abschalten. In den Netzwerk-Einstellungen war IPv6 wie erwartet natürlich bereits überall deaktiviert.

In der Windows-Eingabeaufforderung (als Administrator starten) wurde mir allerdings Teredo noch als aktiv angezeigt:

ipconfig /all

Aber das lässt sich mit folgendem Befehl recht einfach abschalten:

netsh interface ipv6 set teredo disable

Damit wird Teredo komplett deaktiviert. In der Tat ist seitdem Ruhe und der Pi-hole wird nicht weiter mit unnötigen Requests belästigt. Auch wenn hier keine neue Aufgabe für den Pi-hole hinzugekommen ist, hat dieser zumindest geholfen, unnötige DNS-Requests zu finden.

Fazit

Ein regelmäßiger Blick in die Query-Logs macht also durchaus Sinn. Die Transparenz im lokalen Netzwerk ist mit dem Pi-hole deutlich größer geworden und eine theoretische Schwachstelle konnte beseitigt werden. Ich werde also auch weiterhin die Logs im Auge behalten und wenn nötig entsprechende Maßnahmen ergreifen.

Update Dezember 2020

Pi-hole v5.x – Lokale A-Records und CNAME-Records

Seit der Version 5.0 gibt es ja endlich die Möglichkeit lokale DNS-Einträge vorzunehmen und das wurde nun mit der Version 5.2 noch einmal verbessert. So kann man jetzt auch zwischen A-Records und CNAME-Records unterscheiden.

Wie oben beschrieben musste man die lokalen Hostnames ja bisher immer in die „/etc/pihole/lan.list“ bzw. „/etc/hosts“ eintragen. Das ist nun nicht mehr notwendig und man kann die benötigten Einträge direkt über das Webinterface eintragen.

Bisher 78 Kommentare
  1. Andreas K.

    Andreas K.

     

    18. November 2018, 16:29 Uhr

    Hallo und Danke für die Anleitung zum Thema wpad. Mit dem Eintrag habe ich die iphones meiner Kinder wieder ins WLAN bekommen. Mit Safari konnte ich bis dato keine Webseite aufrufen, oder nur zufällig oder stark verzögert.
    Was aber nicht klappt, ist die Anzeige einer wpad.dat
    Es kommt die Fehlermeldung im Firefox: "Die Verbindung mit dem Server www.wpad.local schlug fehl."
    Müssen den erstellten Verzeichnissen (sudo mkdir /var/www/wpad) oder Dateien (sudo touch /var/www/wpad/wpad.dat) irgendwelche Rechte zugewiesen werden?

  2. Thomas Mielke

    18. November 2018, 17:49 Uhr

    @Andreas: Der Fehler hört sich weniger nach einem Problem mit den Dateirechten an, denn dann würdest Du eine entsprechende Fehlermeldung vom Webserver bekommen (Error 403, Error 500 oder ähnliches).

    Ich vermute eher, dass Du in der „/etc/hosts“ oder „/etc/pihole/lan.list“ einen Fehler hast, sodass die Namensauflösung nicht wie gewünscht funktioniert.

  3. Andreas K.

    Andreas K.

     

    20. November 2018, 07:41 Uhr

    @Thomas: Danke, ich werde das nochmal prüfen, doch vorher rüste ich den Pi noch mit Unbound auf.

  4. Andreas K.

    Andreas K.

     

    21. November 2018, 09:50 Uhr

    So, nun habe ich das nochmal probiert und ich bekommen beim Aufruf von wpad.local "403 - Forbidden" und beim Aufruf von http://wpad/wpad.dat tatsächlich die Datei zum Donwload angeboten. Ich hatte glaube ich, den Neustart des Dienstes vergessen.
    Was aber mit den Einstellungen nach wie vor nicht klappt, ist die Kindersicherung der Fritzbox. Da müßte ja in den DNS-Einstellungen des Pihole die Fritzbox-IP rein.
    Gibt es denn die Möglichkeit zu beobachten, welchen Weg die Anfrage eines Clients zu einer Webadresse nimmt? Tracert (Win) zeigt mir nur die Fritzbox und dann alles ausßerhalb meines Netzes (was eben so sichtbar ist) bis zum Ziel. Aber ob die Anfrage über den pihole geht und dann die Fritzbox oder umgedreht? Kann man sowas "sichtbar machen"?

  5. Thomas Mielke

    21. November 2018, 09:54 Uhr

    @Andreas: Der 403 beim direkten Aufruf von http://wpad.local ist ja soweit richtig, denn es existiert ja keine "index.html" oder Ähnliches. Das ist ja auch nicht nötig.

    Bei der Kindersicherung hast Du aber vermutlich einen Denkfehler. In den DNS-Einstellungen des Pi-hole hat die IP-Adresse der FritzBox allerdings nichts zu suchen. In den Pi-hole gehören nur externe DNS-Server für Google oder Cloudflare. In der FritzBox muss die IP-Adresse des Pi-hole hinterlegt werden.

    Ein Traceroute hilft Die hier im übrigen nicht weiter. Der Pi-hole ist ein Nameserver, das bedeutet, er teilt dem dem Client nur IP-Adresse der angefragten Domain mit. Nicht mehr und nicht weniger.

  6. De. Gathmann

    De. Gathmann

     

    5. Dezember 2018, 12:08 Uhr

    Hallo und vielen Dank für die Anleitung zur Lösung der wpad-Anfragen. Hat mir sehr geholfen. Als alter Unix-Fan bin ich von dem Raspberry-Pi zusammen mit PI-Hole begeistert.

  7. Holger

    Holger

     

    19. Januar 2019, 19:35 Uhr

    Die Frage was hinter den wpad Anfragen steckt hatte mich genauso beschäftigt und hier wurde sie perfekt erklärt und sogleich gelöst. Vielen Dank für den tollen Artikel.

    Bei dem Eintrag für die /etc/hosts Datei steckt noch kleiner Fehler. Statt „wapd.local“ müsste es natürlich „wpad.local“ heißen.

  8. Thomas Mielke

    19. Januar 2019, 19:38 Uhr

    @Holger: Danke für den Hinweis! Der Tippfehler ist korrigiert.

  9. Ente 42

    Ente 42

     

    21. Januar 2019, 23:33 Uhr

    Danke für die Tips, habe ich meinem pi-hole auch gleich beigebracht.
    Allerdings fiel mir dabei auf, dass die entsprechende pi-hole-Konfigurationsdatei in der aktuellen Version (4.1.1) vermutlich /etc/pihole/local.list heißt.
    Schöne Grüße!

  10. Verwirrt

    Verwirrt

     

    23. Januar 2019, 08:56 Uhr

    Bezgl. Beitrag von Ente 42 folgendes:

    Hi, without using pi-hole dhcp server it would be cool to add local host names in /etc/pihole/local.list but this file is erased and re-written on each run of pihole -g, i.e. at least once per week.
    see : https://discourse.pi-hole.net/t/howto-using-pi-hole-as-lan-dns-server/533/8

  11. Thomas Mielke

    23. Januar 2019, 09:44 Uhr

    @Ente 24, @Verwirrt: In der Tat ist mein Blog-Artikel da nicht ganz vollständig. Die „/etc/pihole/local.list“ sollte man nicht überschreiben, da diese automatisch generiert und somit spätestens beim Neustart überschrieben wird.

    Man kann aber eine Datei „/etc/dnsmasq.d/02-lan.conf“ anlegen und in dieser weitere .list-Dateien definieren. Die folgende Zeile in der „02-lan.conf“ genügt:

    addn-hosts=/etc/pihole/lan.list

    In die Datei „/etc/pihole/lan.list“ kann man dann wiederum alle lokalen Geräte eintragen, denn diese Datei wird nicht beim Neustart überschrieben.

  12. Joachim Silvestri

    Joachim Silvestri

    @SilverJoachim

    9. Februar 2019, 21:38 Uhr

    Ich musste bei mir auch die IP V6 in der etc/hosts und /etc/pihole/lan.list mit versorgen sonst hat es nur sporadisch funktioniert. Habe IPV6 aktiv.

    root@raspberrypi:/var/log/lighttpd# cat /etc/pihole/lan.list
    192.168.115.245 wpad.fritz.box wpad.box wpad.com wpad.de wpad
    2003:c8:b723:db00:c2d8:131f:cc44:5a7f wpad.fritz.box wpad.box wpad.com wpad.de wpad

  13. Thomas Mielke

    9. Februar 2019, 22:12 Uhr

    @Joachim: Ah, guter Hinweis. Klar, wenn man IPv6 nutzt, dann müssen die entsprechenden Einträge natürlich auch zusätzlich mit den IPv6-Adressen vorgenommen werden.

  14. Max

    Max

     

    19. Februar 2019, 14:20 Uhr

    Hallo Thomas
    Sehr interessanter Blog. Kannst du mir weiterhelfen, wie ein Eintrag bei nginx ausschauen würde? Ich habe mir einen Raspberry mit piHole und Nexcloud aufgebaut und nutzte dabei nur nginx - leider dazu auch noch als reverse proxy :-)

    server {
    listen 80;
    server_name checkip.synology.com
    root /var/www/checkip
    }

    Oder ist es komplexer? Habe leider dazu auch meine 80ger Eingänge auf 443 weitergeleitet.

    Gruß .. Max

  15. Thomas Mielke

    19. Februar 2019, 14:44 Uhr

    @Max: Eigentlich sollte das so funktionieren. Wenn das alles auch per SSL, also auf Port 443 laufen soll, dann müsstest Du da aber anstelle von:

    listen 80;

    folgendes schreiben:

    listen 80;
    listen 443 ssl;
  16. 99Percent

    99Percent

     

    14. März 2019, 14:38 Uhr

    Und schlicht und einfach WPAD in Windows 10 disablen (1 mausklick) ist keine Lösung?

  17. Thomas Mielke

    14. März 2019, 19:01 Uhr

    @99Percent: Es gibt ja nicht nur Windows-Devices im Netz, die nach der wpad.dat suchen...

  18. Max

    Max

     

    28. März 2019, 20:34 Uhr

    Hi Thomas,

    nach ein paar Problemen in meiner nginx config habe ich zumindest das wpad Problem jetzt glaube ich eben in Griff bekommen.
    Größere Probleme habe ich allerdings bei der checkip. Mir wurde die IP nicht ausgegeben. Ich bekomme bei echo "Hallo"; nicht mal eine Ausgabe und bin überfragt.
    Dafür habe ich allerdings die Möglichkeit über meine Hausautomatisierung die IP über einen netzinternen Link abzufragen und bräuchte somit kein gethostbyname. Hast du eine Idee das anders umzusetzen?

    Gruß .. Max

  19. Thomas Mielke

    28. März 2019, 20:57 Uhr

    @Max: PHP hast Du aber installiert und nginx auch entsprechend konfiguriert, sodass PHP-Dateien ausgeführt werden?

  20. Lars

    5. April 2019, 11:45 Uhr

    Hallo @max
    wie sieht denn deine nginx-Config bzgl. der wpad-thematik aus?

    ich habe nginx wie folgt installiert.
    - lighthttp deinstalliert mittels
    sudo apt-get purge -y lighttpd
    sudo apt-get autoremove --purge -y
    sudo rm -rf -v /etc/lighttpd/
    reboot
    - unter etc/nginx/sites-available die datei default nach default.orig kopiert und dann die default wie folgt angepasst (momentan nur http):
    server {
    listen 80 default_server;
    listen [::]:80 default_server;

    root /var/www/html;
    server_name _;
    autoindex off;

    index pihole/index.php index.php index.html index.htm;

    location / {
    expires max;
    try_files $uri $uri/ =404;
    }

    location ~ .php$ {
    include snippets/fastcgi-php.conf;
    fastcgi_pass unix:/run/php/php7.0-fpm.sock;
    fastcgi_param FQDN true;
    auth_basic "Restricted"; #For Basic Auth
    auth_basic_user_file /etc/nginx/.htpasswd; #For Basic Auth
    }

    location /*.js {
    index pihole/index.js;
    auth_basic "Restricted"; #For Basic Auth
    auth_basic_user_file /etc/nginx/.htpasswd; #For Basic Auth
    }

    location /admin {
    root /var/www/html;
    index index.php index.html index.htm;
    auth_basic "Restricted"; #For Basic Auth
    auth_basic_user_file /etc/nginx/.htpasswd; #For Basic Auth
    }

    location ~ /.ht {
    deny all;
    }
    }

    - nun unter etc/pihole/setupVars.conf noch die folgenden Einträge von true nach false geändert:
    INSTALL_WEB_SERVER=
    LIGHTTPD_ENABLED=

    - unter url www.htaccesstools.com/htpasswd-generator/ eine .htpasswd-config mit user und passwd generiert und den inhalt in die datei /etc/nginx/.htpasswd kopiert

    - nun mit pihole -r das bestehende Setup aktualisiert (repair ausgewählt)

    - mittels reboot den pi neu gestartet

    - rufe ich nun pi.hole auf muss ich den user und das passwort eingeben, welche ich verschlüsselt in die .htpasswd eingetragen habe

    - wpad habe ich noch nicht ans laufen bekommen

  21. Andi

    Andi

     

    29. Juli 2019, 12:31 Uhr

    Im Query Log von Pi-hole sehe ich, dass meine Android-Geräte regelmäßig nach time.android.com fragen.
    Bestimmt wäre es auch möglich in Pi-hole einzurichten, dass dabei die IP der Fritz!Box zurückgegeben wird und die Geräte dann die Uhrzeit lokal synchronisieren und nicht über einen von Google betriebenen Server :)

  22. Thomas Mielke

    29. Juli 2019, 12:39 Uhr

    @Andi: Das ist im Prinzip gar kein Problem. Genauso wie beim Synology External IP Checker in meinem Artikel, musst Du nur die Domain „time.android.com“ auf die IP-Adresse des Pi-hole umleiten.

    Dann richtest Du auf Deinem Pi-hole einen NTP-Server ein, der dann entsprechend auf dem NTP-Standard-Port 123 antwortet. Dieser wiederum kann die Zeit dann z.B. mit den Servern der PTB in Braunschweig synchronisieren.

  23. Lemmi

    Lemmi

     

    23. Dezember 2019, 11:19 Uhr

    Hi Thomas.
    Danke für den Artikel. Alles sehr gut beschrieben. Hat mir schnell weitergeholfen die ständigen Anfragen nach wpad in den Griff zu bekommen. Auch das Hintergrundwissen dazu hast du super gut erklärt. Weiter so und frohe Weihnachten.

  24. Dave5581

    Dave5581

     

    13. Januar 2020, 10:04 Uhr

    Hallo!
    Super Beitrag. Werde davon sicher was übernehmen.
    An dieser Stelle aber auch gleich eine Frage, vielleicht hast du eine Idee.
    Ich habe vor meinem USG eine Fritzbox 7490. An den USG wiederum ein (Switch und daran ein) RaspPi, auf dem ebenso Pihole läuft. Am WLAN (Unifi AP am Switch) sind ein paar Sonos Player. Ebenso auf dem RaspPi läuft Node-Red. Über letzteres steuere ich die Sonos Player. Läuft alles gut. Naja ... einzig, wenn ich den Sonos Playern sage, dass sie ein Radio von TuneIn abspielen sollen, dauert es recht lange, bis sie antworten. Teilweise bricht der Sonos ab, sicher ein Timeout. Beim zweiten oder dritten Versuch klappt es dann.
    Vorher, also ohne USG in der Kette, klappte es deutlich schneller.
    Weisst du wo man ansetzen könnte, um heraus zufinden woran es liegt? Die Anfrage läuft ja immer über den Pihole, richtig? Kann man hier was "beschleunigen", dass eben die Anfragen zum TuneIn oder generell Streaming Diensten schneller geht? Oder priorisiert?

    Danke für deine Gedanken!

  25. Thomas Mielke

    13. Januar 2020, 10:16 Uhr

    @Dave5581: Hm. Der Pi-hole macht ja „nur“ die Namensauflösung. Sofern dieser korrekt eingerichtet ist, sollte es eigentlich keinen Einfluss auf die Performance geben. Und wenn, dann würdest Du diese Probleme bei allem Anwendungen bemerken.

    Schau doch mal ins Query-Log des Pi-hole. Wir da eventuell etwas geblockt, was nicht geblockt werden sollte?

  26. hermann wais

    hermann wais

     

    27. Januar 2020, 12:14 Uhr

    hallo ich habe ein problem und zwar wenn ich Conditional Forwarding an mache und die fritz.box eintrage funtzt das mit den wpad nicht dann kommt immer die seite von firtz.box un die meldung DNS schutz ist aktiv zugrif verweigert Conditional Forwarding aus mache sehe ich nur die cleint ip addrese und nicht mehr denn host name wie kann ich es machen ?

  27. Thomas Mielke

    27. Januar 2020, 12:23 Uhr

    @hermann wais: Ich würde Conditional Forwarding ausschalten, da die FritzBox in diesem Fall eben nicht alles an den Pi-hole weierleitet, sondern zum Teil selbst beantwortet. Alles was mit DNS-Auflösung zu tun hat, solltest Du dem Pi-hole überlassen. Lokale Geräte musst Du dann also z.B. in die /etc/hosts auf dem Pi-hole eintragen.

  28. hermann wais

    hermann wais

     

    27. Januar 2020, 12:31 Uhr

    sry jetzt noch mall richtig

    hallo ich habe ein problem und zwar wenn ich Conditional Forwarding an mache und die fritz.box eintrage funtzt das mit den wpad nicht.
    dann kommt immer die seite von firtz.box un die meldung DNS schutz ist aktiv zugrif verweigert. wenn ich Conditional Forwarding aus mache klapt das mit denn wpad nur jetzt sehe ich nur die cleint ip addrese und nicht mehr denn host name wie kann ich es machen das es klappt wenn ich denn Conditional Forwarding an mache und die frite da eintrage das dann auch denn wpad klappt und nicht auf die firtz.box weiter leitet?

    sry bin nicht so gut in schreiben mfg hermann

  29. Thomas Mielke

    27. Januar 2020, 12:31 Uhr

    @hermann wais: Wie gerade schon geschrieben habe. Das wird nur funktionieren, wenn Du Conditional Forwarding abschaltest und alle lokalen Geräte manuell in die /etc/hosts auf dem Pi-hole einträgst.

  30. hermann wais

    hermann wais

     

    27. Januar 2020, 12:37 Uhr

    ok wie mache ich es mit denn /etc/hosts ich habe zb ein ip von cleint aber will das stad die ip der name da steht zb 192.168.178.77 ip host name desktop-nhj3e89.fritz.box da vor wahr ja immer desktop-nhj3e89.fritz.box und jetzt nur die ip

  31. Thomas Mielke

    27. Januar 2020, 13:03 Uhr

    @hermann wais: Du trägst dort einfach die IP-Adresse und Namen ein, den Du für das jeweilige Gerät verwenden willst. Schau auch mal hier.

  32. hermann wais

    hermann wais

     

    27. Januar 2020, 22:17 Uhr

    ok jetzt habe ich noch eine frage das mit wpad habe ich gemacht klappt auch aber oft kommt im query log sehr oft hintereinander wpad.fritz.box warum so oft

    "2020-01-27
    22:10:46 AAAA wpad.fritz.box 192.168.178.77 OK
    (cached) NODATA
    2020-01-27
    22:10:46 A wpad.fritz.box 192.168.178.77 OK
    (cached) IP (0.1ms)
    2020-01-27
    22:10:46 AAAA wpad.fritz.box 192.168.178.77 OK
    (cached) NODATA (0.1ms)
    2020-01-27
    22:10:46 A wpad.fritz.box 192.168.178.77 OK
    (cached) IP (0.1ms)
    2020-01-27
    22:04:12 AAAA wpad.fritz.box 192.168.178.77 OK
    (cached) NODATA (0.1ms)
    2020-01-27
    22:04:12 A wpad.fritz.box 192.168.178.77 OK
    (cached) IP (0.1ms)"

    und so weiter
    ist wpad.fritz.box 494 hits und wird immer mehr ist nur wenn ich mein pc an habe kann ich dir auch per mail schreiben das es hier nicht so ein spam ist

  33. Thomas Mielke

    28. Januar 2020, 00:08 Uhr

    @hermann wais: Die Ausgabe sieht zumindest danach aus, dass es bei Dir funktionieren würde. Wenn einer Deiner PCs sehr häufig versucht die WPAd-Konfiguration aufzurufen, dann ist vermutlich die automatische Proxy-Konfiguration aktiviert. Diese solltest Du einfach deaktivieren. Danach sollten diese DNS-Requests nicht mehr auftauchen.

  34. hermann wais

    hermann wais

     

    4. Februar 2020, 17:41 Uhr

    hi habe noch eine frage wennn ich jetzt jede cleint die ip addrese in host rein mache zb ip x.x.x.x.x pc1 so nun ist es jetzt so das die fritz.box jede 10 tage neue ip addrese vergeben tut und muss dan die host weider neu machen kann ich evtl mac addrese machen ?

  35. Thomas Mielke

    4. Februar 2020, 17:43 Uhr

    @hermann wais: Warum vergibt die FritzBox alle 10 Tage neue IP-Adressen? Das macht im lokalen Netz doch überhaupt gar keinen Sinn... Normalerweise merkt sich die FritzBox (oder jede andere Router auch) die MAC-Adressen der Devices und vergibt bei Neuverbindung wieder die gleiche IP-Adresse.

  36. hermann wais

    hermann wais

     

    4. Februar 2020, 17:50 Uhr

    Unter DHCP ist die ip auf 10 tage Gültig warum auch immer weil sonst muss ich jedes ding an klicken und dann auf immer gleiche ip addrese vergeben aber bei 30 gärate dauert es

  37. Thomas Mielke

    4. Februar 2020, 17:52 Uhr

    @hermann wais: Dass durch das Ende der Leasetime automatisch eine andere IP-Adresse vergeben wird, ist aber so nicht richtig. Nach Ablauf der Leasetime kann die IP-Adresse an ein anderes Geräte vergeben werden. Allerdings nur, wenn das Gerät, das diese IP aktuell hat, nicht offline ist. In der Regel passiert das nur in Netzen mit vielen (wechselnden) Geräten, in denen es nicht genug Adressen gibt.

    Unabhängig davon kannst Du aber in der FritzBox für jedes Geräte festlegen, dass dieses immer die gleiche IP-Adresse zugewiesen bekommen. Das ist dann quasi wie eine statische IP-Adresse.

  38. hermann wais

    hermann wais

     

    4. Februar 2020, 18:16 Uhr

    ok alles klar jetzt habe ich noch 1 problem habe ja jetzt nur denn pi hole als haubt DNS server in denn DHCP stehen jetzt ist es so das 1 gärat ab und zu einfach keine internet hat "Android" sagt kein internet ligt es am pi hole oder handy wie kann ich es Prüfen

  39. Thomas Mielke

    5. Februar 2020, 10:20 Uhr

    @hermann wais: Es gibt in der FritzBox zwei Möglichkeiten, den DNS-Server einzustellen. Einmal in den Einstellungen des Internetzugangs und einmal in den Einstellungen des DHCP-Servers. Trage mal bei beiden die IP-Adresse des Pi-hole ein.

  40. Blibabl

    Blibabl

     

    17. Februar 2020, 00:31 Uhr

    Vielleicht sollte man ergänzen, dass die Fritzboxen mittlerweile einen Wpad-Filter mitbringen ab Werk und das die Fritzboxen somit nicht mehr nötig ist!

  41. unwichtig

    unwichtig

     

    19. Februar 2020, 21:14 Uhr

    Danke für die super Anleitung .
    Was eventuell auch machbar wäre, die captive Verbindungen auch auf PI-Hole umzuleiten so als Idee .

    # http://captive.apple.com/
    # <HTML><HEAD><TITLE>Success</TITLE></HEAD><BODY>Success</BODY></HTML>

    # http://clients3.google.com/generate_204
    # http://connectivitycheck.gstatic.com/generate_204
    # <html><head>
    #<meta http-equiv="content-type" content="text/html; charset=UTF-8"></head><body></body></html>

    # http://detectportal.firefox.com/success.txt
    # http://detectportal.firefox.com/success.txt?ipv4
    # success

    Habe es noch nicht getestet, aber das wäre auch ein schöner Beitrag wenn Sie dieses eventuell hier ansprechen ?

    Nochmals vielen Dank für die Ideen, es funktioniert super .

    Gruß
    Mapa
    PS: Eigentlich wollte ich mich nur bedanken und selber nichts veröffentlichen, jetzt muss ich doch die Datenschutzbedingungen akzeptieren ?

  42. dcx

    dcx

     

    7. März 2020, 17:25 Uhr

    Ich habe bei mir lieber die Ursache beseitigt:

    Unter Windows 10 einfach in die "Einstellungen" und "Proxy" in die Suchleiste eingeben. Dann findet man die Einstellung "Automatische Proxyeinrichtung" und kann diese deaktivieren. Der Rechner sendet fortan keine Anfragen mehr ins Netzwerk.

    Alternativ findet man die selbe Option auch in der Systemsteuerung unter "Internetoptionen" -> Reiter "Verbindungen" -> Button "LAN-Einstellungen"

  43. Esteban

    Esteban

     

    4. Januar 2021, 00:31 Uhr

    Hi! Ich hab wpad.fritz.box einfach in die Blocklist gepackt und gut.

  44. Thomas Mielke

    4. Januar 2021, 00:33 Uhr

    @Esteban: Damit löst Du aber nicht das Problem an sich....

  45. Josef

    Josef

     

    9. Januar 2021, 11:15 Uhr

    Hallo Thomas,
    danke für den Beitrag. Bevor ich das umsetze habe ich eine Frage: Bei mir läuft der Pi-Hole in einem Docker-Container auf der Synology. Geplant ist, das der regelmäßig per Script "frisch" gemacht wird. Sind dann aber die Einstellungen für wpad weg?
    Viele Grüße Josef

  46. Thomas Mielke

    9. Januar 2021, 20:13 Uhr

    @Josef: Warum willst Du den regelmäßig frisch machen...? Wenn der einmal richtig eingerichtet ist läuft der doch normalerweise absolut stabil...

  47. Heiko

    Heiko

     

    12. Januar 2021, 13:11 Uhr

    Hallo, vielen Dank für deine Beiträge, die ich schon seit längerem verfolge und lese. Nun habe ich mich auf für PiHole und Unbound über den Docker auf der Synology entschieden und installiert. Da ich ebenso die WPAD Meldung erhalte, habe ich nach eine Lösung gesucht und deinen Beitrag gefunden. Hast du auch eine Anleitung für die grafische Oberfläche im Webinterface von Pihole um das Problem zu beseitigen?

  48. Heiko

    Heiko

     

    12. Januar 2021, 13:14 Uhr

    Noch eins hatte ich vergessen zu fragen. Welcher Client ist unifi.local?

  49. Thomas Mielke

    12. Januar 2021, 13:24 Uhr

    @Heiko: Was genau meinst Du mit „Anleitung für die grafische Oberfläche im Webinterface“? Für die Einrichtung des VirtualHost des Webservers gibt es kein Webinterface. Das musst Du manuell in der Konsole machen. Die Domain-Umleitungen in „/etc/hosts“ bzw. „/etc/pihole/lan.list“ sind ja seit der Version 5.x des Pi-hole nicht mehr notwendig. Diese kann man jetzt direkt im Webinterface des Pi-hole vornehmen (Menüpunkt Local DNS), also dort die entsprechenden CNAME-Records eintragen.

    Der Client „unifi.local“ wird vermutlich Dein USG bzw. Deine UDM sein. Schau mal im Unifi-Controller bei den lokalene Netzwerken. Dort ist vermutlich „local“ als Domain Name eingetragen und „unifi“ hast Du deinen USG/Deine UDM genannt.

  50. Heiko

    Heiko

     

    12. Januar 2021, 15:28 Uhr

    Ok Danke.
    Weiterhin fällt mir auf, das in der UDMpro ich nun folgende Meldungen erhalte:
    33 Unregelmäßigkeiten bei 10 Geräten
    • 13:00
    Endgerät RedmiNote8Pro-RedmiN hat Probleme, einen Domainnamen in eine IP-Adresse aufzulösen (DNS Timeout).in den letze(n) 2 hours
    • 13:00
    Übermäßiger Paketverlust bei Access Point AP-Terasse
    • 13:00
    Hohe TCP Latenz bei Endgerät Staubsaugerin den letze(n) 2 hours
    • 13:00
    Hohe TCP Latenz bei Endgerät 0019 wifiin den letze(n) 5 hours
    • 13:00
    Hohe TCP Latenz bei Endgerät RedmiNote8Pro-RedmiNin den letze(n) 3 hours
    • 12:00
    Hohe DNS-Latenz bei Endgerät Echo Schlafzimmerin den letze(n) 2 hours
    • 12:00
    Hohe DNS-Latenz bei Endgerät Echo Esszimmer
    • 12:00
    Hohe DNS-Latenz bei Endgerät Heikos-iPhone
    • 12:00
    Hohe DNS-Latenz bei Endgerät Echo Pxxxx
    • 11:00
    Endgerät Waschmaschine hat Probleme, einen Domainnamen in eine IP-Adresse aufzulösen (DNS Timeout).in den letze(n) 4 hours

    Ist das normal wenn der PiHole läuft?

  51. Heiko

    Heiko

     

    12. Januar 2021, 15:36 Uhr

    Meine UDM hat den Namen "UDM-Pro". Daher wundert mich der Eintrag unifi.local

  52. Thomas Mielke

    12. Januar 2021, 15:42 Uhr

    @Heiko: Nein die Meldungen sind absolut nicht normal...

    Wo genau hast Du die IP-Adresse des Pi-hole im Controller eingetragen? Der Pi-hole sollte nur bei den lokalen Netzen bzw. VLANs als 1. DHCP-Nameserver eingetragen sein. Bei den WAN-Einstellungen darf dieser nicht drin stehen. Dort muss man entweder einen öffentlichen (1.1.1.1 oder 8.8.8.8) DNS-Server eintragen, oder das Feld komplett leer lassen.

    Der Pi-hole sollte sich außerdem im Management-LAN und nicht einem VLAN befinden, damit dieser auch von jedem Gerät im lokalen Netz erreichbar ist. Bei mir läuft der Pi-hole ja auf einem Raspberry Pi und so also komplett autark mit eigener IP-Adresse. Mit der Einrichtung in einem Docker-Container kenne ich mich leider nicht aus. Ist denn sicher gestellt, dass dort alle Rechte und Portfreigaben stimmen?

  53. Heiko

    Heiko

     

    12. Januar 2021, 16:14 Uhr

    Wo finde ich die Blockierung von WiFicalling von Vodafone? Ist seit dem nicht mehr möglich.

  54. Heiko

    Heiko

     

    12. Januar 2021, 16:19 Uhr

    Ich habe es in der UDMpro unter Einstellungen-Netzwerke-LAN-DHCP-Nameserver eingetragen und auf manuell gestellt. Und unter Netzwerke-WAN-Allgemeine Einstellung-DNS-Server .

  55. Thomas Mielke

    12. Januar 2021, 16:29 Uhr

    @Heiko: Unter Netzwerke-WAN-Allgemeine Einstellung-DNS-Server darf der Pi-hole nicht eingetragen werden. Das führt zu einem DNS-Loop und sorgt vermutlich indirekt für Deine Fehlermeldungen in der UDM. Der Pi-hole darf nur als LAN-DHCP-Nameserver eingetragen werden.

    Wifi-Calling funktioniert bei mir einwandfrei. Mit Pi-hole und Unbound sollte es eigentlich keine Probleme geben. Hast Du in dem Zusammenhang das hier gelesen?

  56. Heiko

    Heiko

     

    12. Januar 2021, 16:43 Uhr

    Ja, deinen Beitrag hatte ich gelesen. Nutzt der PiHole+Unbound nicht auch den Google-DNS?

  57. Thomas Mielke

    12. Januar 2021, 16:44 Uhr

    @Heiko: Nein. Wenn Du zusätzlich den Unbound installiert hast, dann wird natürlich kein Upstream-DNS wie Google oder Cloudflare verwendet. Der Unbound fungiert dann als Upstream-DNS für den Pi-hole.

    Der Unbound ist ja ein vollständiger rekursiver DNS-Server, der im Prinzip genauso funktioniert wie Cloudflare-DNs der Google-DNS auch. Wie das genau funktioniert habe ich hier beschrieben.

  58. Heiko

    Heiko

     

    12. Januar 2021, 17:00 Uhr

    Den Beitrag kenne ich, kann aber nicht die Lösung für mein Problem herauslesen. So wie es verstehe, werde alle DNS-Server abgefragt, wenn intern kein Eintrag vorhanden ist. Kann ich den Google-Server im PiHole ausschließen? Wir haben ohne WifiCalling keine Möglichkeit zu telefonieren.

  59. Thomas Mielke

    12. Januar 2021, 17:00 Uhr

    @Heiko: Nein, dann hast Du das System in der Tat nicht verstanden... Ein rekursiver DNS-Server fragt nacheinander die autoritativen DNS-Server für eine Domain ab.

    Für die Domain „example.com“ wird also zunächst der autoritative/zuständige DNS-Server der TLD „.com“ vom Root-DNS-Server angefragt. Für die TLD „.com“ sind das nur ganz bestimmte Server (Zonen-Server). Und dort wird dann der zuständige Nameserver für die Domain „example.com“ abgefragt. Bei diesem Nameserver wird dann die IP-Adresse der Domain „example.com“ abgefragt und der Pi-hole kann diese dann an den Client weitergeben. Google oder Cloudflare haben damit nichts zu tun.

  60. Heiko

    Heiko

     

    12. Januar 2021, 17:23 Uhr

    Dann verstehe ich nicht, warum WifiCalling nicht möglich ist, sobald Pihole + unbound läuft.

  61. Thomas Mielke

    12. Januar 2021, 17:24 Uhr

    @Heiko: Bist Du denn sicher, dass Pi-hole und Unbound korrekt konfiguriert sind? In der Konfiguration des Pi-hole darf keiner der vorgegebenen Upstream-DNS-Server aktiviert sein. Und bei Custom 1 muss der Unbound drinstehen. Im Normalfall sollte da also „127.0.0.1#5353“ eingetragen sein.

  62. Heiko

    Heiko

     

    12. Januar 2021, 17:45 Uhr

    Ich habe es nach der Anleitung von iDomix (https://idomix.de/courses/pi-hole-unbound-auf-synology-diskstation-werbeblocker-fuer-alle-geraete-im-netzwerk-zentraler-dns-server) aufgesetzt und eingestellt. Es ist bei keinem Upstream-DNS-Server ein Haken drin und bei Custom 1 steht die ip des Unbound drin, welcher im Docker auf der Synology läuft. Alles andere funktioniert ja. Nur das Wifi-Calling steigt dann aus.

  63. Thomas Mielke

    12. Januar 2021, 19:41 Uhr

    @Heiko: Hm, da bin ich jetzt ehrlich gesagt auch überfragt, woran das dann bei Dir liegen könnte. Sobald Du den Pi-hole deaktivierst, bzw. als DHCP-Nameserver wieder etwas anderes einträgst, klappt es aber mit dem Wifi-Calling?

  64. Heiko

    Heiko

     

    12. Januar 2021, 20:26 Uhr

    Ja, richtig. Dann ist Wifi-Calling wieder möglich.

  65. Martin Lesser

    Martin Lesser

     

    20. Januar 2021, 21:11 Uhr

    Huhu, wollte nur kurz sagen, zumindest die fb7590 hat default nen wpad filter aktiv, ich weis leider nicht ab welcher firmware.
    "
    Dieser Filter sperrt WPAD (Web Proxy Auto-Discovery Protocol).

    WPAD läuft unter Windows-Betriebssystemen. Mit WPAD können Windows-Computer im Heimnetz automatisch erkennen, ob ein Proxy-Server vorhanden ist und genutzt werden soll. WPAD erlaubt die Nutzung eines Proxy-Servers, ohne dass dieser vorab an jedem Windows-Computer manuell eingerichtet werden muss.

    Deaktivieren Sie diesen Filter nur dann, wenn Sie im Heimnetz einen WPAD-Server einsetzen."

  66. Thomas Mielke

    20. Januar 2021, 21:34 Uhr

    @Martin: Für aktuelle FritzBox-Modelle bzw. aktuelle FritzBox-Firmware mag das inzwischen stimmen. Aber nicht jeder hat eine FritzBox.

  67. Seide Thorsten

    Seide Thorsten

     

    22. Januar 2021, 08:55 Uhr

    Hallo, ich hatte vor kurzen das PiHole mit Unbound von vers4 auf 5.2.x umgestellt. Es läuft noch ein Windows ADC und Exchange bei mir, der DHCP ist auf meiner Synology, die Fritzbox ist nur der Router.
    In der QueryLog habe ich folgende Einträge die sich ständig wiederholen (6stellig).
    _ldap._tcp-pdc._msdcs.(meine Domain).local
    wapd.(meine Domain)
    und die Rückwärtssuche der lokalen IP Adresse xx.xx.168.192.in-addr.arp
    Ich habe schon die lokalen IPs in die DNS Records eingetragen um die Rückwärtssuche etwas zu unterbinden. Aber das kann ja nicht ganz so das Ziel sein.
    Wenn ich einen Tipp bekommen kann, was ich falsch gemacht habe würde ich mich freuen. Bitte nehmet noch Rücksicht darauf dass ich kein IP Fachmann bin. LG

  68. Thomas Mielke

    22. Januar 2021, 09:06 Uhr

    @Thorsten: Ich weiß natürlich nicht, welche Clients Du hast und was Du dort für Software einsetzt, bzw. welche externen Dienste darüber genutzt werden. Der Pi-hole verarbeitet ja nur die Anfragen der Clients.

    Die SRV-Einträge (_ldap, _kerberos, _tcp, _msdcs, etc.) im Query-Log deuten daraufhin, dass Cloud-Dienste von Microsoft genutzt werden (Exchange, Office 365, Active Directory, OneDrive, etc.) genutzt werden. Die Einträge sind in dem Fall also schon ok.

    WPAD-Anfragen sind natürlich grundsätzlich auch ok, allerdings kannst Du bei den meisten Clients auch entsprechend konfigurieren, dass diese Anfragen nicht notwendig sind. Hierzu muss in der Regel nur die automatische Proxy-Konfiguration deaktiviert werden.

    Bezüglich der Rückwärtssuche: Welche Einstellungen hast Du im Pi-hole denn unter „Advanced DNS settings“ vorgenommen? Ist dort insbesondere beim „Conditional Forwarding“ die korrekte IP-Adresse des Deines DHCP-Servers eingetragen?

  69. Seide Thorsten

    Seide Thorsten

     

    22. Januar 2021, 12:17 Uhr

    Hallo Thomas,
    danke für die schnelle Reaktion. Cloud-Dienste habe ich vom Microsoft nicht. Ich habe nur meine eigenen Cloud-Dienste von der Synology die ich nutze und Cloudmatic für die HomMatic.
    Die wpad Anfragen kommen immer vom Synology NAS, hier habe ich aber keine aktivierte Proxy-Konfiguration gefunden.
    Den Bereich Conditional Forwarding habe ich aktiviert und 192.168.11.0/24 mit der IP vom DHCP (Synology NAS) und seide.local eingetragen. Die anderen Advanced DNS Settings hatte ich mal aktiv und zur Zeit abgeschaltet, hier hatte ich auch keine Änderung festgestellt.
    Beim Upstream DNS Servers habe ich jetzt nur Custom1 127.0.0.1#5353 für den Unbound eingetragen, als Custom2 hatte ich den ADC mal eingetragen gehabt, das hatte aber auch keinen Unterschied.
    Ich habe auch noch die Einträge „_ladap._tcp.oberhausen.sites.dc._msdcs.seide.local“ in der QueryLog.

  70. Thomas Mielke

    22. Januar 2021, 12:31 Uhr

    @Thorsten: Das klingt ja erstmal so, als wenn da alles passt. Ich kenne den DHCP-Server der Synology nicht, da müsste man mal prüfen, warum dort WPAD-Anfragen gesendet werden.

    Bezüglich der SRV _tcp-Anfragen würde ich mal auf den entsprechenden Clients prüften, ob da doch irgendwelche Dienste laufen, die eigentlich nicht nötig sind.

  71. Seide Thorsten

    Seide Thorsten

     

    22. Januar 2021, 12:56 Uhr

    Ok, das ist ja schon mal was. Die „_ladap._tcp.oberhausen.sites.dc._msdcs.seide.local“ kommen auch vom NAS. Hast du da mal eine Idee oder mal Synology anfragen? Ich hatte den DHCP vom ADC auf die Synology gewechselt vor ein paar Wochen gewechselt. Könnte das damit im Zusammenhang stehen?

  72. Thomas Mielke

    25. Januar 2021, 11:45 Uhr

    @Thorsten: Ich würde da mal direkt bei Synology oder in einem Synology-Forum nachfragen...

  73. Felix

    Felix

     

    12. Februar 2021, 19:33 Uhr

    Moin,
    schöne Anleitung. Nur habe ich ein Problem mit dem DNS Rebind Schutz der Fritzbox. Wenn ich im Webinterface des Piholes unter Local DNS Records die Wpad Domains auf die lokale IP des Piholes weiterleite, dann bekomme ich bei dem Test im Webbrowser die Standard Seite der Fritzbox, dass der Rebind Schutz das Auflösen verhindert hat. Das Pihole ist mit unbound richtig eingerichtet. Der DHCP Server der Fritzbox verteilt die IP des Piholes als DNS Server. Habe ich irgendwas übersehen oder muss ich tatsächlich die Domains als Ausnahmnen vom Rebind Schutz hinzufügen?
    Grüße

  74. Thomas Mielke

    12. Februar 2021, 23:52 Uhr

    @Felix: In der Tat musst Du in diesem Fall den Rebind-Schutz der Fritzbox deaktivieren oder entsprechende Ausnahmen definieren.

  75. JK

    JK

     

    3. März 2021, 14:45 Uhr

    Danke für die Anleitung, ich scheitere leider an der Umsetzung von Punkt "3. Eigene WPAD-Konfigurationsdatei anlegen": wenn ich mittels Cyberduck per SFTP auf den pi-hole gehe und in /var/www/ den Ordner "wpad" anlegen will, erhalte ich die Meldung "Ordner wpad kann nicht angelegt werden. Permission denied. Bitte kontaktieren Sie Ihren Webhoster für weitere Hilfestellung." Irgendeine Idee, wie ich das Berechtigungsproblem löse?

  76. Thomas Mielke

    3. März 2021, 14:49 Uhr

    @JK: Ich nehme an, dass Du Dich mit dem User „pi“ einloggst. Das Verzeichnis /var/www“ gehört aber dem User „www-data“. Du müsstest also entweder ein Passwort für diesen User erstellen und Dich dann mit diesen Daten einloggen, oder Du machst das ganze auf der Konsole über den Befehl sudo.

  77. Andi

    Andi

     

    29. Januar 2022, 12:55 Uhr

    Hallo,

    danke, schöner Artikel, ich hatte mich auch gefragt, was wpad ist.

    Ich habe es aber einfacher gelöst, indem ich
    wpad.box und wpad.fritz.box
    auf die blacklist gesetzt habe.

    Sollte doch auch funktionieren.

    Viele Grüße

  78. Nico

    Nico

     

    16. Mai 2022, 15:20 Uhr

    @Max Ich habe es jetzt auf meinem Pi mit Arch Linux ARM, Pi-Hole und NGINX so gemacht
    in der `/etc/nginx/conf.d/pihole.conf` habe ich folgende location hinzugefügt:

    location ~* .(dat|pac)$ {
    root /var/www/html;
    access_log off;
    types { } default_type "application/x-ns-proxy-autoconfig";
    }

    dann einmal ein `sudo mkdir -p /var/www/html && sudo chown pihole: -R /var/www` darin dann die 2 Dateien wie oben beschrieben angelegt `sudo systemctl restart nginx` und dann hat es getan. Bei Bedarf die Pfade anpassen, ich hatte zuvor kein `/var/www` und nutze es jetzt nur dafür.

Dein Kommentar?

Bitte gib zumindest Deinen Namen, Deine E-Mail-Adresse sowie einen Kommentar an

Bitte gib eine gültige E-eMail-Adresse an

Bitte bestätige die Datenschutzerklärung

Vielen Dank für Deinen Kommentar

Nutzungshinweise:

Dein Kommentar erscheint nicht automatisch, sondern wird erst nach einer Prüfung manuell freigeschaltet. Ich behalte mir vor alle Kommentare zu löschen, die

  • rassistische, sexistische oder gewaltverherrlichende Inhalte haben,
  • zu kriminellen Aktionen aufrufen oder diese verteidigen,
  • beleidigende Inhalte besitzen,
  • Werbung für Dritte darstellen oder deren Inhalte einem Link auf fremde Angebote gleichkommt.
Gravatar:

Wenn Du möchtest, dass Dein Bild neben Deinem Kommentar erscheint, dann melde Dich einfach bei Gravatar an.