fritzbox 6690 Cable - DNS Einstellungen

[David.123]

Hallo zusammen,

ich hoffe ihr könnt mir bei einer Frage helfen...

Im Webinterface der Fritzbox gibt es ja an zwei unterschiedlichen Stellen die Möglichkeit einen eigenen DNS-Dienst einzustellen.

- Einmal unter Heimnetz -> Netzwerk -> Netzwerkeinstellungen -> IPv4-Einstellungen (bzw. entsprechend auch für V6) und

- zum anderen unter Internet -> Zugang -> DNS-Server.

Was ist denn da der Unterschied?

Zum Hintergrund:
Ich habe einen Raspberry mit PiHole laufen und diesen bisher immer unter der zweiten genannten Möglichkeit angegeben (was, glaube ich, auch funktioniert bisher).
Jetzt habe ich aber eine Anleitung im Kuketz-blog gefunden, bei der das Pi-Hole bei den IPv4-Einstellungen angegeben wurde...
Und außerdem hat mich diese doppelte Nennung schon immer gewundert und ich wüsste gerne was da der Unterschied ist

Vielen Dank und schöne Grüße!

 

[the other]

Moinsen,
a) unter den Angaben zum LAN (Heimnetz) eingeben, welche IP für DNS Anfragen an die clients gegeben wird.
b) Unter den Angaben bei Internet (WAN) eingeben, welche DNS Server die Fritzbox selber befragt.

Zum pihole gibt es oft diese beiden Möglichkeiten:
Geräte bekommen via Angaben unter a) entweder die IP der Fritzbox zugeteilt und fragen diese. Dann muss dafür aber unter "Internet" in der Fritzbox die IP des pihole bekannt sein (und dort auf dem pihole ein DNS Server, etwa google, cloudflare oder was Datenschutzfreundlicheres). Das geht, allerdings Nachteil: das Log vom pihole zeigt dann immer nur eine einzige IP (die der Fritzbox).

Andere (imho bessere) Variante: unter a) wird die IP vom Pihole eingetragen, das geht raus an die Clients. Diese fragen dann via pihole (den dort hinterlegten DNS, zB die IP der Fritzbox). Anfragen gehen also > pihole (mit Filter) und weiter zu > fritzbox und von dort > dahin, was du unter "Internet" eingetragen hast.

Noch besser: du nutzt mit pihole auch unbound als DNS resolver (Anleitung dazu hier: https://www.heimnetz.de/anleitungen...lver-mit-pi-hole-installieren-und-einrichten/).
Dann gehen die Anfragen vom client weiter zu > pihole (filtert) und von da an die authoritative DNS Server im Internet (also die höchste DNS Instanz) ohne Umwege über cloudflare, google und wie sie alle heißen. Mein Favorit...wenn ich pihole nutzen würde.

Was gar nicht geht: in der Fritzbox den DNS Server IP für pihole eintragen unter LAN UND INTERNET UND dann im pihole die IP der Fritzbox als DNS Server!! Dann gehen die Anfragen vom client > zum Pihole und weiter > zur Fritzbox und von da (weil wieder unter Internet IP vom pihole) zurück zum pihole...genau, und dann wieder zur Fritzbox und dann wieder zum pihole und...OMG, wir befinden uns in einer Endlosschleife!!

edit: Text angepasst, da missverständlich...

 

[3komma14]

Konfiguriere den DNS-Server im Netzwerkbereich. Dann kann PiHole auch auflösen, welches Gerät die Anfrage sendet. Ansonsten ist es immer nur der Router.
Meine Fritzbox hat einen öffentlichen DNS-Anbieter. An die Clients verbreite ich per DHCP die Adresse vom Raspberry.

 

[Stationary]

DNS Server IP für pihole eintragen unter LAN UND INTERNET!!

Das geht doch, wenn im pihole mit unbound 127.0.0.1#5335 eingetragen ist, oder nicht?

 

[the other]

Moinsen,
aber das war ja nicht mein oben gemeintes setting. Dann wäre ja pihole in der Lage an unbound durchzureichen welches dann eben raus geht an die Root-DNS Server.
Ich meinte den oft anzutreffenden Problem-Klassiker einer Schleife. Trotzdem: mal wieder unsauber formuliert meinerseits, daher Danke für den ergänzenden Hinweis @Stationary! Ich ergänze das mal oben, nicht dass noch andere drüber stolpern.

 

[blurrrr]

Dein interner DNS (Pi-Hole/Adguard/was auch immer) wird via DHCP von der Fritzbox an die Clients verteilt. Dieser wiederum fragt entweder die Fritzbox (welche wiederum "draussen" nachfragt), oder irgendwelche anderen öffentlichen Server. Bei letzten Fall ist es allerdings so, dass eine Auflösung von "fritz.box" auch nicht mehr funktioniert. Hier wäre dann noch ein "conditional forwarding" relevant, welches besagt: Für Auflösungen der Domain "fritz.box" wende Dich bitte an die Fritzbox. Somit gehen alle Anfragen bzgl. der Domain fritz.box an die Fritzbox, während alle anderen Anfragen an die hinterlegten öffentlichen Server (Resolver) geschickt werden.

Alternativ hat man eben selbst einen - entsprechend konfigurierten - Resolver laufen (iterativ), welche direkt Kontakt zu den Root-Servern aufnimmt und auch alle anderen Abfragen vornimmt. Hier noch eine kurze Info dazu: https://de.wikipedia.org/wiki/Domain_Name_System#Resolver.

 

[David.123]

Hallo zusammen,

vielen Dank für die Antworten; ich glaub ich habe das jetzt endlich mal verstanden:

a) Bei den lokalen Netzwerkeinstellungen wird "nach innen" an die Clients kommuniziert, wo die DNS-Anfragen gestellt werden sollen.
In meinem Fall wäre das also die Adrese des PiHole, damit dieser filtern kann, was er dann weiterreicht an ...
b) die "Upstream" DNS-Anfrage "nach außen" an einen öffentlichen DNS-Dienst (voreingestellt vom ISP, oder ein selbst gewählter).

Beides gleichzeitig auf den Pihole zu verweisen geht nicht (bzw. mit unbound schon, bringt aber vermutlich keinen Vorteil?!?).

Für Variante a) spricht dann, dass das PiHole direkt mit den Clients spricht und daher im Webinterface ersichtlich ist, welcher Client welche (ggf. blockierte) Anfrage gestellt hat, richtig? Gibt es auch Nachteile dieser Methode gegenüber Variante b)?
Etwa, dass Clients dann eher mal am PiHole vorbei nach draußen funken (falls die z.B. im Smartphone ein eigener DNS-Dienst hinterlegt ist, der dann das per DHCP zugewiesene PiHole ignoriert, den Upstream-DNS-Dienst aber nicht ignorieren könnte)?

Dein interner DNS (Pi-Hole/Adguard/was auch immer) wird via DHCP von der Fritzbox an die Clients verteilt. Dieser wiederum fragt entweder die Fritzbox (welche wiederum "draussen" nachfragt), oder irgendwelche anderen öffentlichen Server. Bei letzten Fall ist es allerdings so, dass eine Auflösung von "fritz.box" auch nicht mehr funktioniert. Hier wäre dann noch ein "conditional forwarding" relevant, welches besagt: Für Auflösungen der Domain "fritz.box" wende Dich bitte an die Fritzbox. Somit gehen alle Anfragen bzgl. der Domain fritz.box an die Fritzbox, während alle anderen Anfragen an die hinterlegten öffentlichen Server (Resolver) geschickt werden.

Den Teil habe ich noch nicht vollständig verstanden...
Beschrieben ist (denke ich) die Variante a), also, dass das PiHole "nach innen" für's DNS-Auflösen bekannt gemacht wird. OK. Dann filtert der PiHole schon mal alle unsinnigen Anfragen raus. Aber was ich noch nicht verstehe, sind die dann weiter beschriebenen beiden Varianten... Fragt der PiHole dann die Fritzbox, geht es von dieser "nach außen" weiter über irgendeinen öffentlichen DNS-Dienst (quad 9 o.ä.; je nachdem, was ich da eintrage...).
Und die zweite Variante? Da fragt PiHole dann selbst "nach draußen"? Aber das muss doch so-oder-so über die Fritzbox, oder? Was wäre denn dann der Unterschied, bzw. "besser"?

Zu Unbound: M.E. ist Unbound beim PiHole (mittlerweile) standartmäßig mit dabei, oder?
Bei mir (über den Installer von DietPi) wurde das jedenfalls mit installiert, glaub ich. Im PiHole habe ich über das Webinterface auch als DNS-Dienst nur den "costom" upstream DNS-Server von Unbound eingetragen ( ...5335).
Hieße das dann, dass (in meinem Fall mit Unbound) immer das PiHole selbst "nach außen" fragt und die Einstellung in der FritzBox für den Upstrream DNS-Dienst (oben Variante b)) egal wäre?

... Puhh. Gar nicht mal so einfach das ganze
Aber danke euch!

P.S.: Ach ja, falls das PiHole mal abschmiert; greift der Router dann (nach beiden Varianten) ein und löst die Anfrage durch einen alternativen DNS-Dienst auf, oder geht das nur in Variante b) ?

​

 

[blurrrr]

Was ich meinte, sieht - rein aus DNS-Sicht - ungefähr so aus:



Wen die Fritzbox selbst für ihre Auflösungen fragt, ist egal, die Clients kriegen via DHCP (oder statisch) ja sowieso den pi-Hole zugewiesen. Es wird vom pi-Hole auch alles nach draussen geschickt, abgesehen von den bedingten Weiterleitungen (conditional forwarding). Dort wird pro Domain ein zu fragender DNS angegeben. In diesem Fall gehen Anfragen bzgl. der Domain "fritz.box" zur Fritzbox, alle anderen Anfragen gehen direkt an den öffentlichen Server.

EDIT: Wenn der pi-Hole abschmiert, kurzerhand die DHCP-Informationen auf der Fritzbox ändern (DNS -> Fritzbox) und weiter geht's.

 

[David.123]

Hey!

Es wird vom pi-Hole auch alles nach draussen geschickt, abgesehen von den bedingten Weiterleitungen (conditional forwarding). Dort wird pro Domain ein zu fragender DNS angegeben. In diesem Fall gehen Anfragen bzgl. der Domain "fritz.box" zur Fritzbox, alle anderen Anfragen gehen direkt an den öffentlichen Server.

Ok, aber warum das "conditional forwarding", bzw. was ist das und in welchen Fällen geht es so und wann über den PiHole direkt nach draußen? Das habe ich immer noch nicht ganz verstanden...

VG und Danke!

 

[blurrrr]

Ich dachte, das hätte ich jetzt schon mehrfach erklärt... ich zitiere mich einfach mal selbst:

Es wird vom pi-Hole auch alles nach draussen geschickt, abgesehen von den bedingten Weiterleitungen (conditional forwarding). Dort wird pro Domain ein zu fragender DNS angegeben. In diesem Fall gehen Anfragen bzgl. der Domain "fritz.box" zur Fritzbox, alle anderen Anfragen gehen direkt an den öffentlichen Server.

 

[blurrrr]

Vielleicht hilft ja diese exemplarische Übersicht:

Angefragt -> Regel -> zu befragender Server

example.com -> alle -> public DNS
www.example.com -> alle -> public DNS
microsoft.com -> alle -> public DNS
test.de -> alle -> public DNS
fritz.box -> Anfragen bzgl. "fritz.box" an Fritzbox schicken -> Fritzbox
amazon.com -> alle -> public DNS
www.heimnetz.de -> alle -> public DNS
PC-192.168-178-100.fritz.box -> Anfragen bzgl. "fritz.box" an Fritzbox schicken -> Fritzbox
forum.heimnetz.de -> alle -> public DNS
adac.de -> alle -> public DNS
computer1.fritz.box -> Anfragen bzgl. "fritz.box" an Fritzbox schicken -> Fritzbox
www.ebay.de -> alle -> public DNS

... und so langsam gehen mir die Ideen aus und mehr ist dazu nun wirklich nicht mehr zu sagen... Die Bedingte Weiterleitung greift, falls eine bestimmte Domain angesprochen wird, wo dem Resolver (pi-Hole) dann mitgeteilt wird, dass er dafür nicht bei seinen standardmässig hinterlegten Servern nachfragen soll, sondern bei ganz bestimmten. In diesem Fall muss die Fritzbox gefragt werden, denn nur sie kennt sich selbst bzw. "fritz.box". Hättest Du nebenbei noch ein anderes System (x.x.x.x) laufen mit einem DNS-Dienst, welcher eine eigene Zone verwaltet (david123.internal), dann bräuchte es noch ein conditional forwarding in Form von "david123.internal -> x.x.x.x".

 

[David.123]

Ahh, OK!

Also die "Bedingung" bei der bedingten Weiterleitung ist die, dass es um eine Anfrage bei der FritzBox geht (also vermutlich bei Anfragen, die gar nicht "raus" sollen, sondern z.B. die eigene lokale Netzwerkfestplatte betreffen.

"Bedingung" ist dabei also nicht, dass eine Domain aus einer der Blockierlisten angefragt wird!
Irgendwie so hatte ich es erst (falsch?) verstanden.

Danke dir!
VG

 

[blurrrr]

Nein, es geht lediglich um die Frage: "Wo frage in bei einer Anfrage in Bezug auf Domain XY nach?"

Da gibt es dann einmal den "Standard" (erstmal alles), aber eben auch Bedingungen, die dann dafür sorgen, dass die gefragten DNS-Server vom Standard abweichen. Hättest Du "nur" den Standard und würdest nach "fritz.box" fragen, würde diese Anfrage ins Internet gehen. Ist aber blöd, da kennt ja niemand die IP Deiner Fritzbox, aber Deine Fritzbox weiss, dass unter "fritz.box" ihre eigene aktuelle (interne) IP zu finden ist. Weiss die Fritzbox nun noch von anderen Geräten (z.B. computer1), kann man die Fritzbox auch nach "computer1.fritz.box" fragen, dann kann sie auch die entsprechende IP von computer1 zurückgeben. Schlussendlich bleiben damit 2 Fragen:

1) Wer weiss was?
2) Wen frage ich wann?

alles -> draussen nachfragen
fritz.box -> Fritzbox fragen
interne-domain1 -> NAS fragen
interne-domain2 -> NAS fragen
etc.

 

[David.123]

Hey zusammen,

nochmal zum obigen Thema: Ich habe das jetzt mal ausprobiert, und die IP des PiHoles in der Fritzbox unter Heimnetz -> Netzwerk -> Netzwerkeinstellungen -> IPv4-Einstellungen (bzw. entsprechend auch für V6) eingetragen.

Das Webinterface des PiHole zeigt mir auch jede Menge eingehende requests und auch blockierte Anfragen an (vorher aber auch schon, als es als Upstream DNS in der Fritzbox eingestellt war).

... Allerdings ergibt ein Test (www.dnsleaktest.com), das Ergebnis "Vodafone Germany".
Das heißt doch dann, dass die DNS Anfragen doch von meinem ISP beantwortet werden und das PiHole scheinbar doch nicht arbeitet, oder hab ich da einen Denkfehler?

VG!

 

[blurrrr]

Erstmal guckste, ob Dein Rechner auch den pi-Hole fragt, via Windows-Eingabeaufforderung: nslookup test.de. Da sollte dann in der Ausgabe bei Server der pi-Hole auftauchen, ist dem nicht so, fragt Dein Client den pi-Hole nicht. Fragt Dein Client den pi-Hole, wäre die Frage: Wen fragt der pi-Hole?

 

[David.123]

Erstmal guckste, ob Dein Rechner auch den pi-Hole fragt, via Windows-Eingabeaufforderung: nslookup test.de. Da sollte dann in der Ausgabe bei Server der pi-Hole auftauchen, ist dem nicht so, fragt Dein Client den pi-Hole nicht. Fragt Dein Client den pi-Hole, wäre die Frage: Wen fragt der pi-Hole?

OK, Antwort sieht so aus:

PS C:\Users\(...)> nslookup test.de
Server: fritz.box
Address: 192.168.178.1

Das ist die Router IP, der Raspi / Pihole hat aber die 3 hinten (statisch zugewiesen)

Könnte es sein, dass der Rechner einfach noch nicht wieder per DHCP die Info bekommen hat?
... Allerdings hatte ich Rechner, Pihole, Router u.s.w. alles schon mal neu gestartet...

 

[blurrrr]

Naja, die Fritzbox sollte ja eigentlich DHCP spielen. Wenn dort für die Clients als DNS der pi-Hole hinterlegt ist, sollten diese eigentlich die korrekten Informationen via DHCP zugewiesen bekommen. Scheinen ja auch "einige" mitbekommen zu haben, fraglich ist, warum das bei Deinem Rechner nicht so ist.... Eventuell statisch die IP vergeben inkl. DNS?

 

[David.123]

Hey!

Ne, statische IP hat nur der RasPi, sonst nichts.
Aber die minimale Gültigkeit der vergebenen IPs ist bei der Fritzbox ja 1 Tag.
Evtl. haben daher die Geräte nicht nicht nach neuer IP üner DHCP bei der Fritzbox angefragt und daher auch noch nicht den RasPi als DNS-Dienst mitgeteilt bekommen?
Dann müsste ich zum Testen wohl irgendwie anstoßen, das der Rechner bei der Box nach Ner neuen IP fragt?!?

 

[blurrrr]

Mach einfach mal folgendes in der Windows-Eingabeaufforderung:
1) ipconfig /release
2) ipconfig /renew
Wenn Du willst, kannst Du auch noch den lokalen DNS-Cache des Clients löschen via:
3) ipconfig /flushdns

 

[David.123]

Hmm, also die Antwort auf:

nslookup test.de

lautet dann jetzt:

PS C:\Users\(...)> nslookup test.de
Server: fritz.box
Address: fd00::e72:74ff:feca:e418

Nicht autorisierende Antwort:
Name: test.de
Address: 128.65.209.28

Der Server ist also die FritzBox, jetzt allerdings mit IPv6-Adresse?

Und dnsleaks.com sagt immernoch Vodafone Germany...