Ein pi-hole für zwei (oder mehr) LAN-LAN-gekoppelte Router

Stationary

Active member
Gesetzt den Fall, man verwendet zwei (oder mehr) miteinander über LAN-LAN-Kopplung verbundene Fritzboxen. An einer dieser Fritzbox (A) hängt ein Raspberry Pi mit pi-hole und filtert den Verkehr des Netzwerks (A). Gibt es eine Möglichkeit, daß auch Fritzbox (B) [oder vielleicht sogar (C) und (D) für meinen konkreten Fall] vom pi-hole in Netzwerk (A) profitieren können?
Ich habe naiv versucht, in Fritzbox (B) den Raspberry des Netzwerkes (A) unter den IPv4 Netzwerkeinstellungen als DNS-Server zu hinterlegen…das blockiert dann jeden Netzwerkverkehr, da kommt nichts zurück. Scheint auch irgendwie logisch, der Raspberry liefert an Fritzbox (A) zurück, und die kann damit ja nichts anfangen, weil die Anfrage ursprünglich von Fritzbox (B) kam.
Hinterlege ich in Fritzbox (B) unter den Einstellungen die Adresse der Fritzbox (A), so findet sich im log des pi-hole nur eine Warnung wieder, aber es scheint nichts gefiltert zu werden:

DNSMASQ_WARN

Warning in dnsmasq core: ignoring query from non-local network 192.xxx.xxx.xxx (logged only once)

Meine Frage also: gibt es eine einfach zu realisierende Möglichkeit des Teilens des pi-hole oder kann das nicht funktionieren und ich brauche noch drei Raspberries? Und wenn die Antwort ”ja, es kann funktionieren” ist, wie wäre der Lösungsweg?
 

blurrrr

Well-known member
ignoring query from non-local network
Das müsstest Du dem System dann noch mitteilen (quasi "erlaubte anfragende Netzwerke"), ansonsten werden die Anfragen verworfen.
Und wenn die Antwort ”ja, es kann funktionieren” ist, wie wäre der Lösungsweg?
s.o.

Grundsätzlich verhält es sich ja erstmal wie folgt: Entweder ist es eine tierische Kaskade, oder es sind remote Standorte. Bei einer Kaskade sollte der Pi-Hole im vordersten Netz hängen, damit auch alle dran kommen (und keine unnötigen Portweiterleitungen entstehen, welche das Konstrukt wieder aufweichen). Sind die Standorte alle via VPN verbunden, sollte das Routing untereinander sowieso schon funktionieren und somit sollte der Pi-Hole auch von jedem Standort angesprochen werden können. So wie ich das sehe, ist das einzige Problem, dass der Pi-Hole derzeit nur anfragen aus dem lokalen Netz zulässt. Erweitere also die Liste der erlaubten anfragenden Netze um die jeweiligen anderweitigen Netze, dann sollte das Problem erledigt sein.

Vergiss dabei aber bitte nicht, dass wenn der Pi-Hole-Standort mal nicht erreichbar ist, alle anderen Netze ohne Pi-Hole darstehen.

EDIT: Der "sichere" Weg, wäre jener mit einem eigenen Raspi/Standort (als Fallback ggf. noch einen aus einem anderen Netz).
 

Stationary

Active member
Es sind vier voneinander getrennte Standorte. Wo trägt man die erlaubten anfragenden Netze denn genau ein? Habe erst vor drei Tagen mit pi-hole begonnen…

* Sind die Standorte alle via VPN verbunden, sollte das Routing untereinander sowieso schon funktionieren und somit sollte der Pi-Hole auch von jedem Standort angesprochen werden können.
-> ja, das Routing funktioniert seit Jahren stabil, und auf die Pi-Hole-Oberfäche komme ich von überall.

* So wie ich das sehe, ist das einzige Problem, dass der Pi-Hole derzeit nur anfragen aus dem lokalen Netz zulässt. Erweitere also die Liste der erlaubten anfragenden Netze um die jeweiligen anderweitigen Netze, dann sollte das Problem erledigt sein.
-> wo macht man das? In dnsmasq.d?

Die Erklärung von Pi-Hole zur Fehlermeldung ist für mich leider nicht selbsterklärend:

“dnsmasq can be configured to only accept queries from at-most-one-hop-away addresses using the option local-service. Other queries are discarded in this case.

This is meant to be a safe default to keep otherwise unconfigured installations safe. Note that local-service is ignored if any access-control config is in place (interface, except-interface, listen-address or auth-server).”
 
Zuletzt bearbeitet:

blurrrr

Well-known member
Das heisst erstmal, dass es nur "1 Hop" (also A -> B) sein darf und nicht über weitere Systeme gehen darf. Dann sollte "local-service" wohl raus, oder eben - wie es weiter unten steht:

Note that local-service is ignored if any access-control config is in place (interface, except-interface, listen-address or auth-server).”
So wie sich das liest, müsstest Du thereotisch nur eine ACL anlegen (schmeiss da einfach Deine entsprechenden internen Netze rein).

EDIT: Gib mir ne Minute, der Onkel guckt ma kurz, muss erst noch ein Pi-Hole aufsetzen 🙃
 

blurrrr

Well-known member
So, mal kurz was hingeschludert *husthust* 😇 Also, nur frisch den Container in einem Remote-Netz aufgesetzt:

nslookup test.de 172.x.x.x
Server: UnKnown
Address: 172.x.x.x

Nicht autorisierende Antwort:
Name: test.de
Address: 20.101.0.28

Quellnetz ist ein 192er... Habe aber auf den ersten flüchtigen Blick folgendes in der Pi-Hole-Management-Oberfläche gefunden:

1651683863436.png

Hast Du das evtl. auf "Allow only local requests" stehen? Hat sich für mich sehr schwer danach angehört, stell das mal um... Von aussen kommt ja eh nix dran, solange keine Portweiterleitung vorgenommen wird.
 

the other

Well-known member
Moinsen,
was passiert, wenn du unter Settings > DNS den Haken rausnimmst bei Allow only local requests?

Mal davon ab: der Gedanke ist natürlich verlockend...bedenke aber, dass dann aus vier Standorten ALLE DNS Anfragen über diese eine Leitung gehen und auf den Raspi einprasseln. Außerdem: wenn die Wohnungen ggf. räumlich deutlich entfernt liegen, was wenn die Bewohner*innen am Standort PIHOLE im Urlaub sind und das Teil fällt aus? Genau, kein Internet für den Rest (außer es wird manuell in drei Wohnungen umgestellt auf lokale eigene DNS Auflösung...)
Also kein Urlaub, kein Internet UND extra Arbeit unter Maulen und Wehklagen der werten Familienangehörigen bzw. Mitbewohner*innen.
Nur das es mal gesagt wurde...
;)

edit: und wieder war @blurrrr schneller...verdammt!
 

the other

Well-known member
Moinsen,
zum Glück nicht...
Der Kelch ist bislang an mir vorbei gegangen...da reicht die Fantasie um Weglauftendenzen zu bekommen
:)
 

Stationary

Active member
Ich habe das jetzt in den Interface settings mal umgestellt, das scheint zu funktionieren:
D616C0C8-B80A-49E1-87C9-1066B583F004.jpeg

Ihr habt natürlich Recht, wenn der Pi nicht läuft geht nichts mehr. Hauptsächlich will ich den LTE Router, den ich im Urlaub benutze, über das Heimnetzwerk laufen lassen. Ich hoffe, daß ich dann weniger von den wenigen GB, die ich da habe für Werbung verschwende. Oder mache ich da einen Denkfehler.
Zu Hause ist dann niemand, der Anfragen darüber laufen lassen würde, also die Last käme dann nur über das VPN vom LTE-Router. Und wenn der Pi zu Hause ausfällt, während ich weg bin, dann ändere ich das eben schnell in der LTE-Fritzbox.

Noch eine Frage: ist es denn richtig, in der LTE-Fritzbox auf die 7590 als DNS-Server zu verweisen (die dann über den Pi geht), oder muß da direkt der Pi hinein? Scheint nämlich beides zu funktionieren.
 
Zuletzt bearbeitet:

Stationary

Active member
Jetzt muß ich ja doch noch einmal nachfragen. Ich habe pi-hole nach der Anleitung hier im Forum eingerichtet, die @the other dankenswerterweise verfaßt hat. Da wird der pi-hole als lokaler DNS-Server unter Heimnetz>Netzwerk>Netzwerkeinstellungen>IPv4-Einstellungen eingetragen. Einen zweiten DNS-Server kann man dort nicht eintragen.
Platz für zwei DNS-Server gibt es unter Internet>Zugangsdaten>DNS-Server. Da ist jetzt unter DNSv4-Server “Vom Internetanbieter zugewiesene DNSv4-Server verwenden” markiert und die Felder der darunter stehenden “Anderen DNSv4-Server“ sind leer. Kann man den pi-hole auch dort eintragen? Und wenn, welche weiteren Änderungen zieht das dann noch nach sich, muß da in der Konfiguration des pi-hole auch noch etwas geändert werden?
 

Barungar

Well-known member
@Stationary Ja, man kann den oder die pihole auch bei den "externen" DNS-Servern der Fritz!Box eintragen. Das hat Vor- und Nachteile.

Vorteil: Auch die Fritz!Box selbst nutzt den pihole und nicht den Provider-DNS, die Fritz!Box nutzt damit automatisch auch den pihole für alle Clients, die die Fritz!Box als "DNS-Server" verwenden.

Nachteil: In der pihole-Statistik werden dann alle Anfragen unter der IP der Fritz!Box registriert. Aber wenn man nicht so auf Statistik steht, dann ist das egal und man kann sicher sein, dass wirklich "alles" über pihole läuft.

Alternative Option: Da man nur einen alternativen, internen DNS eintragen kann und auch manche Clients nur einen DNS aus DHCP übernehmen, selbst wenn mehr als einer gesendet wird. Muss man dafür sorgen, dass beide piholes (wahlweise) auf die gleiche IP antworten, dass kann man z.B. mit ucarp machen.

Damit bewegst Du Dich dann in die Richtung von mir. ;) Wobei meine DNS-Clusterlösung über pihole hinausgeht. Dann hättest Du auch einen DNS-Cluster, in Deinem Fall dann aus zwei pi's mit pihole.

Bei ucarp ist eine der beiden pi's dann aktiv und sendet ein Hearthbeat per Multicast ins Netz. Den Heartbeat hört die zweite pi und bleibt passiv. Fällt der Heartbeat nun für eine definierte Zeit, meist ca. 2000 ms, aus, dann übernimmt sofort die 2. pi die IP-Adresse und wäre damit dann die aktive pihole-Instanz.

Du bräuchtest dann also nur die ucarp IP der beiden pi's bei der Fritz!Box eintragen, und wärst gegen den Aufall eines pi abgesichert.

Diese ucarp IP kannst Du dann per internem DNS über den DHCP der Fritz!Box verteilen lassen; und zusätzlich könntest Du dann auch die beiden echten IPs der pihole bei der Fritz!Box als externe DNS eintragen. Dann hast Du wirklich "alles".

Eine "saubere" pihole-Statistik, weil die Clients über die ucarp-IP aus dem DHCP der Fritz!Box kommen und auch die Fritz!Box selbst wäre auf den piholes - und vom ggf. gefilterten Provider-DNS befreit.

Hier sei noch einmal angemerkt große deutsche Provider filtern ihre DNS-Server! Man bekommt bei Telekom, Vodafone, 1&1, usw. schon lange kein unzensiertes DNS mehr!
 
Zuletzt bearbeitet:

the other

Well-known member
Moinsen,
Aus genau diesem Grund

Hier sei noch einmal angemerkt große deutsche Provider filtern ihre DNS-Server! Man bekommt bei Telekom, Vodafone, 1&1, usw. schon lange kein unzensiertes DNS mehr!
könnte mensch zb mit unbound neben pihole einen eigenen dns resolver betreiben, der google, cloudflare und die ISP DNS Resolver umgeht.
Eine Anleitung dafür ist in den nächsten Tagen fertig und dann online unter
;)
 

the other

Well-known member
Moinsen,
Ich würde trotzdem weiter eher davon abraten, eine Pihole Zentrale für 4 Haushalte zu nutzen. Wenn, dann am ehesten noch nach @Barungars Alternative.
Ein Vorteil ist ja, dass in pihole die clients nach Gruppen sortiert werden können und diesen Gruppen dann mehr oder weniger rigide filterregeln auferlegt werden.
Auch hilft mitunter die clientspezifische Statistik, um herauszufinden was da ggf. ungewollt geblockt wird.
Wenn dann da nur "fritzbox3" steht und an dieser weitere 10 clients, dann wäre mir ein eigenes raspi mit pihole lieber (abgesehen davon noch ne weitere vpn Möglichkeit auf dem raspi neben Pihole als fritzbox vpn Alternative)...
:cool:
 

Stationary

Active member
Auf die unbound-Anleitung warte ich, das werde ich dann auch umsetzen. Den pi werde ich nicht an alle Haushalte verteilen. Wenn man wieder Pis kaufen kann, bekommt jeder einen eigenen.
Nur meine mobile Fritzbox wird auf den der 7590 zugreifen, das habe ich noch am Ehesten unter Kontrolle.

Hierzu dann noch einmal die Frage:
ist es denn richtig, in der LTE-Fritzbox auf die 7590 als DNS-Server zu verweisen (die dann über den Pi geht), oder muß da direkt der Pi hinein? Scheint nämlich beides zu funktionieren.

Ansonsten schon einmal vielen Dank für Eure Hilfe!
 

blurrrr

Well-known member
Das kannst Du machen wie Du willst. Einen "Vorteil" hast Du davon nicht. Wäre der erste ein anderer Router und danach käme die Fritzbox, hätte es den "Vorteil" (mag man sehen wie man möchte), dass Du dann auch noch "fritz.box" auflösen könntest.
 

Stationary

Active member
Spaßeshalber habe ich es mal von verschiedenen Fritzboxen versucht. Während die LTE-Box kein Problem hat, den/das pi-hole hinter an der DSL-Fritzbox zu nutzen, bricht die Kabel-Fritzbox beim Versuch damit komplett zusammen. Es funktioniert dann weder Telefonie, noch der Aufbau der LAN-LAN-Verbindung, noch irgendetwas mit Internet. Die Kabelbox macht also irgendetwas anders, als die LTE-Box.
War aber ja auch nur ein Test, ich bin von der Idee wieder ab und werde der Kabelbox ihren eigenen Pi verschaffen, sobald mal wieder welche zu vernünftigen Preisen lieferbar sind.
 
Zuletzt bearbeitet:

the other

Well-known member
Moinsen,
Alternativ gibt es ja auch noch was anderes...
Habe ich zwar keine eigene Erfahrung mit, wird aber als modernere Alternative zu pihole beschrieben.
Adguard
Selber nie genutzt, soll ein paar zusätzliche Funktionen bieten.
Kannst ja mal beide probieren und dann hier einen ausführlichen Vergleich einbringen (zwinker*)...
;)
 

Stationary

Active member
Habe jetzt einen Pi400 zum pi-hole umfunktioniert…bis es mal wieder normale Pi4 zu kaufen gibt, muß der ran an der Kabelbox. Ich weiß, kompletter overkill, aber das ist der Pi4 mit 8 GB auch schon. Ist alles mehr so das letzte Aufgebot, was noch irgendwo bei uns ohne Aufgabe herumstand, bekommt jetzt eine zugewiesen.

Demnächst schaue ich mir mal AdguardHome an.
 

Zurzeit aktive Besucher

Neueste Beiträge

Letzte Anleitungen

Statistik des Forums

Themen
956
Beiträge
13.925
Mitglieder
487
Neuestes Mitglied
hendrik2022
Oben