Fritz!Box und PiHole / Proxmoxx einrichten, aber richtig ....

[the other]

Moinsen,
ich bin heute anderweitig eingebunden, daher nur kurz und nebenbei:
- dein "apt update -y" zeigt, dass versucht wird (Post #20) per IPv6 (hier mit einer ULA fd:xx) zuzugreifen.
Im screenshot in Post #10 ist auch zu sehen, dass du für den Proxmox container / vm(?) IPv6 aktiviert hast, aber kein Gateway eingetragen und auch "statisch" angegeben, aber hier keine IPv6 eingetragen....

Wenn beides aktiv, wird immer erst v6 versucht. Diese fd:xxx Adresse ist die ULA, die durch die Fritzbox vergeben wurde?
Frage: warum hast du dort überhaupt IPv6 aktiviert?
Wenn du das eventuell nicht benötigst, dann dort mal deaktivieren und erneut den "apt update -y" Befehl aufrufen...

In /etc/.pihole scheint also noch etwas enthalten zu sein, das dann mit sudo /root mal löschen, dann sollte auch das klappen, hoffe ich.

Insgesamt kan ich dir bzgl proxmox und docker eh nicht viel helfen, ich kenne den pihole auf dem raspi und habe selber mit docker eher nur sporadische Erfahrungen... aber da bist du bei @blurrrr ja in guten Händen.
Viel Erfolg und nicht stressen lassen!

 

[saffi]

Danke Dir.

Ich habe jetzt den Container verworfen und nochmal angefangen. hierbei habe ich jetzt debian11 ausgewählt. Außerdem habe ich nun DHCP für ipv4 verwendet und bei ipv6 habe ich SLAAC ausgewählt.

Und schon wurden auch die Updates für debian richtig gezogen und installiert.

 

[blurrrr]

Dann sollte die Installation ja nun auch funktionieren, aber am besten mal mit einem neuen Container testen (IP-Einstellungen für IPv6 bitte dann auch setzen).

 

[saffi]

So der Anfang ist gemacht.


Nun zu Deinem Hinweis nochmal. Wo genau soll ich was zu ipv6 einstellen? Aktuell steht folgendes bei mir drin:


Weiter habe ich jetzt mal in PiHole unter Updates geschaut und es wurde eine List mit wohl 132k Adresse geladen.^^ Hoffe das war richtig. Wie gehe ich nun weiter vor? Was muss ich nun als nächstes einstellen?

 

[blurrrr]

Da Du den Pi-Hole als DNS nutzen willst, wäre es schon von Vorteil, wenn eine statische IP vergeben ist. Du könntest z.B. hingehen und in der Fritz!Box den Haken setzen, dass das Gerät immer die gleiche IP bekommt.

Was muss ich nun als nächstes einstellen?

Da ich vom Pi-Hole keine Ahnung habe, würde ich sagen: Upstream-DNS (ansonsten kann das Ding auch nix externes auflösen). Beim Rest bin ich allerdings raus, weil halt keine Ahnung

 

[saffi]

Ich danke Dir für Deine Geduld. Ja, ich habe per Fritzbox eine eindeutige IP vergeben. Somit ist Pihole immer unter gleicher IP erreichbar. Bei Upstream-DNS war ich gerade wieder raus.^^ Was und wo müsste ich das nochmal einstellen. Sorry.

 

[blurrrr]

Achso... kleiner Hinweis noch am Rande, bevor man ständig den DNS-Server umstellt... Ich würde erstmal alles so lassen "wie es ist" (bzgl. Deiner aktuellen Infrastruktur) und zum testen den nslookup-Befehl einfach um die IP des Pi-Hole erweitern.

Reguläre Anfrage (geht zum hinterlegten DNS)
nslookup example.com

Abfrage mit Angabe eines zu befragenden DNS
nslookup example.com 192.168.178.x (halt die IP vom Pi-Hole hinter der eigentlichen Abfrage)

Bei Upstream-DNS war ich gerade wieder raus.

Der Pi-Hole ist nur ein "Resolver". Das Ding kann so erstmal nix selbstständig beantworten, sondern muss wen anders bzgl. der korrekten Antworten befragen. Das ist dann der Upstream-DNS:

Client -> Pi-Hole -> Upstream-DNS

Ich sehe aber grade in der Doku, dass da vermutlich schon etwas hinterlegt ist:

The Pi-hole setup offers 10 options for an upstream DNS provider during the initial setup.

(Quelle: https://docs.pi-hole.net/guides/dns/upstream-dns-providers/)

Damit sollte jetzt z.B. ein nslookup example.com <Pi-Hole-IP> schon eine entsprechende Antwort bringen. Mit den Blocklisten und sonstigem Zeugs habe ich nichts zu tun, was mir aber noch einfällt... Du hast ja auch noch etwas namens "Fritz!Box" laufen, was auf "fritz.box" reagiert.

Wenn nichts anderes angegeben ist, wird der Pi-Hole Anfragen "immer" an seinen Upstream-DNS senden. Irgendwas im Internet kann nun allerdings herzlichst wenig mit "fritz.box" anfangen und schon garnicht auf Deine lokale IP auflösen (die ja nicht "zwingend" 192.168.178.1 sein muss). Hier wäre es nun ratsam, ein "conditional forwarding" (bedingte Weiterleitung) einzurichten.

Schau mal, ob Du diesbezüglich irgendwo in der Pi-Hole-Oberfläche etwas findest. Beim conditional fowarding ist es so, dass Anfragen bzgl. vorher definierter Domains zu bestimmten DNS-Servern geschickt werden. Ich versuch mal zu "malen"....:

Client -"*"- Pi-Hole -"*"- Upstream-DNS
               |
          "fritz.box"
               |
           Fritz!Box

Die DNS-Anfragen sind mit "" gekennzeichnet. Heisst: Anfragen bzgl. "aller" Domains gehen vom Client an den Pi-Hole. Alle Anfragen bzgl. "aller" Domains gehen an den Upstream-DNS, ausser bzgl. der Domain "fritz.box" - diese Anfragen werden an die Fritz!Box geschickt.

Somit kannst Du dann lokal auch weiterhin "fritz.box" auflösen. Im Vorherigen Konstrukt (Client -> Pi-Hole -> Upstream-DNS) wäre das nicht möglich gewesen.

 

[saffi]

Puuh... ^^ Das ist viel input.

Aber du hast Recht. Ich werde vorerst mal zweigleisig fahren, sonst kann ich mit der "Katz" fressen.

Ich hatte das letzte Mal direkt in der FritzBox die Weiterleitung zum PiHole gemacht. Somit waren ja alle gezwungen meine Blacklisten mitzu nutzen. Das war dann das Dilemma. Nun habe ich mal nachgelesen, dass man auch Gruppen anlegen kann und denen bestimmte oder so gut wie keine Blacklisten zuordnen kann. Das wäre dann die wohl beste Wahl. Dazu muss ich mich aber noch etwas einlesen bzw. kommt noch wer anders mit PiHole Erfahrung in den Thread.^^

Sobald ich die Gruppen angelegt und das Verständnis mit den Listen habe, kann ich dann auch die Umleitung über den PiHole in der FritzBox festelegen. Somit umgehe ich dann jeglichen Disbut in der Familie.

 

[blurrrr]

Ah, okay, dann hast Du die "Kette" also noch verlängert... Client -> Fritz!Box -> Pi-Hole -> Upstream-DNS. Je länger die Kette, desto länger dauert es, bis die Antwort da ist. Wenn das für Dich nicht spürbar bemerkbar ist, ist das kein Thema

Somit umgehe ich dann jeglichen Disbut in der Familie.

Siehe oben... erstmal alles fertig machen und noch nix für die Familie umstellen (testen halt mit "nslookup <FQDN> <Pi-Hole>"). Hier gibt es bestimmt einige die Pi-Hole im Einsatz haben, aber wenn man mal so aus dem Fenster schaut, ist es auch nicht verwunderlich, dass grade nicht viel los ist

 

[saffi]

Ja da hast du wohl recht. Ich habe heute vormittag mit meinem Großen seinen neunen Rechner aufgebaut und danach alles eingerichtet. in der Wartezeit der Installationen habe ich, wen wunderts, in meinen Rechner geschielt.^^ Im Alter wird man sogar wieder multitasking fähig. ;O)

Bin gerade mal am Hintersteigen Deiner Ausführungen, auch wenn ich ehrlich gesagt gerade etwas überfordert bin damit.^^

Das kam nach der Anfrage zum PiHole:

root@pihole:~# nslookup example.com 192.168.178.52
Server:         192.168.178.52
Address:        192.168.178.52#53

Non-authoritative answer:
Name:   example.com
Address: 23.192.228.80
Name:   example.com
Address: 23.215.0.138
Name:   example.com
Address: 96.7.128.198
Name:   example.com
Address: 96.7.128.175
Name:   example.com
Address: 23.215.0.136
Name:   example.com
Address: 23.192.228.84
Name:   example.com
Address: 2600:1406:3a00:21::173e:2e66
Name:   example.com
Address: 2600:1406:3a00:21::173e:2e65
Name:   example.com
Address: 2600:1408:ec00:36::1736:7f24
Name:   example.com
Address: 2600:1406:bc00:53::b81e:94ce
Name:   example.com
Address: 2600:1406:bc00:53::b81e:94c8
Name:   example.com
Address: 2600:1408:ec00:36::1736:7f31

 

[saffi]

ICh weis nicht ob das was bringt oder ob ich einfach gerade völlig daneben stehe, aber wenn ich die Fritz!Box anspreche, einmal per IP oder einmal mit Namen, erhalte ich in beiden Fällen das selbe Ergebnis.

root@pihole:~# nslookup example.com 192.168.178.1
Server:         192.168.178.1
Address:        192.168.178.1#53

Non-authoritative answer:
Name:   example.com
Address: 23.215.0.136
Name:   example.com
Address: 96.7.128.198
Name:   example.com
Address: 23.192.228.80
Name:   example.com
Address: 23.215.0.138
Name:   example.com
Address: 23.192.228.84
Name:   example.com
Address: 96.7.128.175
Name:   example.com
Address: 2600:1406:3a00:21::173e:2e65
Name:   example.com
Address: 2600:1406:bc00:53::b81e:94c8
Name:   example.com
Address: 2600:1408:ec00:36::1736:7f24
Name:   example.com
Address: 2600:1406:3a00:21::173e:2e66
Name:   example.com
Address: 2600:1406:bc00:53::b81e:94ce
Name:   example.com
Address: 2600:1408:ec00:36::1736:7f31

root@pihole:~# nslookup example.com fritz.box   
Server:         fritz.box
Address:        fd16:7eed:ee65:0:de39:6fff:fe77:3bd8#53

Non-authoritative answer:
Name:   example.com
Address: 23.215.0.136
Name:   example.com
Address: 96.7.128.198
Name:   example.com
Address: 23.192.228.80
Name:   example.com
Address: 23.215.0.138
Name:   example.com
Address: 23.192.228.84
Name:   example.com
Address: 96.7.128.175
Name:   example.com
Address: 2600:1406:bc00:53::b81e:94ce
Name:   example.com
Address: 2600:1408:ec00:36::1736:7f24
Name:   example.com
Address: 2600:1406:bc00:53::b81e:94c8
Name:   example.com
Address: 2600:1406:3a00:21::173e:2e66
Name:   example.com
Address: 2600:1406:3a00:21::173e:2e65
Name:   example.com
Address: 2600:1408:ec00:36::1736:7f31

root@pihole:~#

 

[blurrrr]

Bin gerade mal am Hintersteigen Deiner Ausführungen, auch wenn ich ehrlich gesagt gerade etwas überfordert bin damit.^^

Ich merke auch schon, dass das Thema nicht ganz klar ist, aber kein Problem! Dröseln wir das ganze einfach mal etwas auf...

Ich beziehe mich da jetzt einfach mal auf https://www.heimnetz.de/anleitungen/theorie/netzwerk/dns/. @Barungar hat es dort ja schön leicht verständlich formuliert.

Grundsätzlich: Im Internet gibt es authoritative DNS-Server. Das sind diejenigen, die "wirklich"(!) bestimmte DNS-Zonen verwalten. Diese DNS-Server antworten auch "nur" auf Zonen, für welche sie verantwortlich sind (als Beispiel sei hier einfach mal "example.com" genannt). Das Gegenstück dazu sind die sogenannten "Resolver". Diese Resolver haben keinen anderen Job, als "nachzufragen", damit sie eine Antwort erhalten, welche dann wiederum an den Client zurück gegeben werden kann.

Vergleich es einfach mit einer telefonischen Auskunft: Du (Client) rufst dort an, bekommst einen Menschen (Resolver) ans Telefon und lässt diesen Menschen irgendwas (DNS-Record, z.B. example.com) im Register (authoritativer DNS) nachschlagen. Also: die authoritativen Server "haben" die Antworten, die Resolver versuchen selbst nur irgendwoher die Antworten zu bekommen. Soweit erstmal zur grundsätzlichen Funktionsweise.

ICh weis nicht ob das was bringt oder ob ich einfach gerade völlig daneben stehe, aber wenn ich die Fritz!Box anspreche, einmal per IP oder einmal mit Namen, erhalte ich in beiden Fällen das selbe Ergebnis.

Natürlich, Du fragst ja auch immer die gleiche Gegenstelle. Aber davon ab, wird die Antwort sowieso immer die gleiche sein - selbst wenn Du Deinen Pi-Hole befragst, der wiederum seinen Upstream-DNS (Was haben wir gelernt? Richtig! Also seinen externen "Resolver") befragt. Warum? Naja, weil die "eigentliche" Antwort sowieso die Server haben, welche für die Zone "example.com" zuständig sind. Du kannst die "zuständigen" authoritativen Server für eine Zone auch abfragen mittels nslookup -q=ns example.com.

Soweit... nun wird es leider noch ein bisschen "nervig":

Wir wissen jetzt, dass sich die Resolver um die Auflösung kümmern (und sich die Antworten von anderer Stelle besorgen). Nun gibt es im DNS zu jedem DNS-Eintrag den sogenannten "TTL"-Wert (time to live). Dieser bestimmt, wie lange so eine Antwort gültig ist. Das sieht dann z.B. so aus:

Domain "example.com"
Typ: A
Host: www
IP: 2.19.11.110
TTL: 3600

Die TTL wird in Sekunden angegeben, bei 3600 Sekunden, macht das 60 Minuten und somit 1 Stunde. Die Resolver speichern die Antworten dann für eine gewisse Zeit und fragen garnicht mehr nach. Warum das ganze? Naja, damit - z.B. im Falle von Microsoft - nicht grade zig Billionen DNS-Anfragen pro Sekunde eintrudeln.

Als Beispiel: Du öffnest "google.de" im Browser. Der Router besorgt sich die Antwort (auf Deinem Rechner läuft auch ein Resolver, aber das lassen wir grade erstmal raus). Nun öffnet Dein Kind ebenfalls google.de im Browser. Der Resolver auf dem Router wird nicht nochmal nach google.de fragen, hat er doch grade erst und die TTL des DNS-Eintrages von google.de besagt "3600". Also ist der Eintrag für den Router noch gültig und er wird diesen direkt aus seinem lokalen Cache ausgeben.

Der Pi-Hole ist ja auch nur ein Resolver, welcher auch einen entsprechenden Cache nutzt. Diesen "könntest" Du theoretisch auch ausschalten:

Setting the cache size to zero (dns.cache.size = 0) disables caching.

(Quelle: https://docs.pi-hole.net/ftldns/dns-cache/

Wenn ich richtig informiert bin (mag sein, dass ich mich hier grade irre, sollte aber so sein), haben diese ganzen kleineren "Lösungen" immer noch ein kleines Extra mit an Board: Cache-Manipulation. So kann man dem Pi-Hole auch "irgendwas" erzählen/vorgeben. Zum Beispiel kannst Du bestimmte Einträge anlegen, z.B. forum.heimnetz.de = 142.250.185.195 (die IP ist bei mir grade die für google.de). Fragst Du Pi-Hole dann nach forum.heimnetz.de, wird nicht mehr weiter nachgefragt, sondern die manipulierte Antwort aus dem lokalen Cache genommen.

Zum Schluss noch eine Sache: Dein lokaler Rechner hat auch einen DNS-Cache. Auch hier werden Dinge zwischengespeichert. Angenommen Du manipulierst den Cache auf Deinem Pi-Hole und stellst irgendwas um, kann es sein, dass Du trotzdem noch eine Weile (TTL!) immer den vorherigen Wert als Antwort bekommst (halt aus dem lokalen Cache vom Computer). Abhilfe schafft hier unter Windows z.B. ein ipconfig /flushdns, womit der lokale DNS-Cache gelöscht wird.

So, jetzt bin ich aber fertig und Du hast erstmal gut was zu verdauen Falls noch Fragen vorhanden sind, hau raus, es ist halt wichtig, dass Du verstanden hast, wie die Dinge funktionieren, da sich damit auch viele anderweitigen Fragen/Problemchen von selbst klären

 

[saffi]

Blurrrr, was soll ich sagen?^^

Vielen Dank für die tolle Arbeit um mir das Zusammenspiel etwas näher zu bringen. Da werde ich noch etwas Zeit zum Verdauen aufbringen müssen. Einiges kam bereits schon an, anderes werde ich mir noch verinnerlichen müssen. Ist schon etwas schwere Kost, wenn man von Grund auf alles sich nochmal aneignen möchte. Bisher ist das immer bei mir vorbei gegangen. Man hat was eingestellt, auch wenn man es eigentlich nicht verstanden hat, und am Ende das Tages hat es irgendwie funktioniert.^^

Aber wenn man im Netzwerk etwas tiefer einsteigen möchte, kommt man dann doch nicht daran vorbei sich mit der Thematik mehr auseinander zusetzen.

Das verlinkte Beispiel von @Barungar hat es schon ganz gut angerissen. Nun muss ich nur noch begreifen, wie ich das für mein Beispiel runterbreche.^^

Also wenn ich das recht verstehe, stelle ich mit meinem PC eine Frage an meine Fritzbox, in der steht nun, dass der DNS mein PiHole ist, der wiederum weis das er nun bei Google nachfrägt, um mir meine Antwort zu beantworten. Richtig? Vorrausgesetzt, dass eine Umleitung inder FritzBox zum PiHole besteht. Ist ja noch nicht. Nun kann oder könnte ich mittels Gruppen in PiHole ja festlegen, wenn ich (PC X) anfrägt, benutze die Liste oder jene, frägt jemand anders aus meinem Netz an, nimm deren Regel und sende die Frage weiter an Google.

Ich hoffe ich habe jetzt nicht komplett versagt.^^

 

[blurrrr]

Also wenn ich das recht verstehe, stelle ich mit meinem PC eine Frage an meine Fritzbox, in der steht nun, dass der DNS mein PiHole ist, der wiederum weis das er nun bei Google nachfrägt, um mir meine Antwort zu beantworten. Richtig? Vorrausgesetzt, dass eine Umleitung inder FritzBox zum PiHole besteht.

Ganz genau

Nun kann oder könnte ich mittels Gruppen in PiHole ja festlegen, wenn ich (PC X) anfrägt, benutze die Liste oder jene, frägt jemand anders aus meinem Netz an, nimm deren Regel und sende die Frage weiter an Google.

Das kann ich Dir leider nicht beantworten, da ich Pi-Hole u.ä. nicht nutze. Ich denke, in erster Linie werden die Filter-Listen für die jeweiligen Clients aktiviert. Da wird es (vermutlich!) dann so sein, dass die DNS-Antwort halt eine "falsche" sein wird, so dass der DNS-Record nicht die "richtige" Antwort bringt und ein Zugriff darauf auch nicht möglich ist. Alles andere sollte dann theoretisch an den hinterlegten Upstream-DNS gehen, usw.

Aber wenn man im Netzwerk etwas tiefer einsteigen möchte, kommt man dann doch nicht daran vorbei sich mit der Thematik mehr auseinander zusetzen.

Naja, ich sag mal so: Rechner an den Router und fertig. Soweit kein Problem. Sobald man aber anfängt, an den Dingen rumzuschrauben, welche man vorher einfach nur (unwissend) "benutzt" hat, sollte man sich schon "etwas" tiefer in die Materie einarbeiten, um das gesamte Zusammenspiel auch zu verstehen. Insbesondere, wenn es dann zu Problemen (z.B. aufgrund von fehlerhaften Konfigurationen) kommt, oder Dinge "anscheinend" nicht funktionieren, wie sie sollten (s. Änderung eines DNS-Records, TTL und DNS-Cache)... da hilft ein bisschen Basiswissen schon ungemein. Das Problem ist ja primär, dass man gerne zum "rumfummeln" neigt. Man hatte etwas eingetragen, funktioniert. Nun hat man es geändert und es wird noch immer die alte Antwort ausgeliefert. Eigentlich hat man alles richtig gemacht, nur hat man Hummeln im Hintern und fängt an etlichen anderen Stellen rumzuschrauben. Nach einer gewissen Zeit (TTL) wäre das Ergebnis nun eigentlich das richtige, nur hat man in der Zwischenzeit schon wieder soviel rumgefummelt, dass nun alles verstellt ist.

Also lieber ein bisschen lesen, ein bisschen verstehen (ist ja nicht sooo viel) und dafür kann man sich dann in den meisten Situationen auch selbst behelfen (und das macht doch sicherlich deutlich mehr Spass)

 

[saffi]

Ganz genau

Fein, dann ist doch nicht Hopfen und Malz verloren.^^

Das Problem ist ja primär, dass man gerne zum "rumfummeln" neigt. Man hatte etwas eingetragen, funktioniert. Nun hat man es geändert und es wird noch immer die alte Antwort ausgeliefert. Eigentlich hat man alles richtig gemacht, nur hat man Hummeln im Hintern und fängt an etlichen anderen Stellen rumzuschrauben. Nach einer gewissen Zeit (TTL) wäre das Ergebnis nun eigentlich das richtige, nur hat man in der Zwischenzeit schon wieder soviel rumgefummelt, dass nun alles verstellt ist.

Könnte meinen, wir kennen uns aus privaten Kreisen und Du hast mein Wesen umschrieben.^^ Ja ich bin der, der nicht ruhig sitzen kann und probiere eher aus, als die Lektüre dazu aufzuschlagen. Aber im Alter sollte man das vielleicht doch eher mal beherzigen. Komm auch noch dahinter, ganz sicher!

Nochmals vielen Dank fürs Erste. Hast mir sehr geholfen! Schönen Abend wünsche ich Dir.

man liest sich

 

[blurrrr]

Danke ebenso!