Nur WLAN nutzt DNS Ad Guard home server

[blurrrr]

Naja, wer mit einem Workaround leben möchte... Ist es in der aktuellen Konstellation nicht so, dass im Pi-Hole dann auch nur die IP der Fritz!Box angezeigt wird? Davon ab... in Deinen Screenshot (Fritz!Box WAN DNS) hast Du einmal einen internen und einmal einen externen DNS eingetragen?

 

[IN10SE]

Naja, wer mit einem Workaround leben möchte... Ist es in der aktuellen Konstellation nicht so, dass im Pi-Hole dann auch nur die IP der Fritz!Box angezeigt wird? Davon ab... in Deinen Screenshot (Fritz!Box WAN DNS) hast Du einmal einen internen und einmal einen externen DNS eingetragen?

Naja ich muss mit dem leben was meine Fähigkeiten mir ermöglichen hier. Ich habe wirklich keinen Plan was da wie wirkt und habe das Gefühl ich mach mehr trial and error als dass ich weiß was ich tue.

Du hast recht. Habe ich dass falsch verstanden dass er den alternativen nur anzieht wenn der primäre ausfällt? Ich habe das als positive Ausfallsicherung betrachtet. Oder wir er hier parallel zwischen intern und extern verteilen?

Bestimmte clients werden schon aufgeführt mit der IP. Ich muss dann die IP manuell einem Client zuweisen und diese eintragen, dann sehe ich das Client splitting. Dennoch kommen bestimmt 90 Prozent der Anfragen von der fritzbox direkt.

Allerdings habe ich irgendwo gelesen das auf diese Art und Weise auch das Gastnetz den dns Server heranzieht. Wenn ich ihn unter DHCP bei ipv4 eintragen würde, würde das Gastnetz ohne den lokalen dns laufen. Kann mich hier aber auch irren.

 

[blurrrr]

Also regulär "sollte" es eigentlich so aussehen, dass Du etwas grundlegend in dieser Form hast:

Clients -> Pi-Hole -> DNS im Internet

Dabei wäre noch ein conditional forwarding (bedingte Weiterleitung) zu berücksichtigen, so dass Du Anfragen beim Pi-Hole an die Domain "fritz.box" an die Fritz!Box weiterleitest, damit Du auch <hostname>.fritz.box korrekt auflösen kannst.

Allerdings habe ich irgendwo gelesen das auf diese Art und Weise auch das Gastnetz den dns Server heranzieht.

Darfst Du denn Deinen Gästen Werbung verbieten? Darfst Du einfach DNS-Anfragen Deiner Gäste protokollieren? Datenschutz? Also davon würde ich mal dezent Abstand nehmen... Für einen selbst - eine Sache, andere diesbezüglich zu bevormunden... eher schwierig (ausser Du hast eine entsprechende Vorschaltseite, wo diese Bedingungen akzeptiert werden).

Ich habe wirklich keinen Plan was da wie wirkt und habe das Gefühl ich mach mehr trial and error als dass ich weiß was ich tue.

Vielleicht erstmal ein wenig in die Thematik einlesen

Bestimmte clients werden schon aufgeführt mit der IP.

Dann fragen die aber vermutlich direkt den Pi-Hole, denn ansonsten würde die Fritz!Box (im Auftrag des Client) die Antwort (beim Pi-Hole) besorgen und somit stünde im Pi-Hole-Log auch nur die IP der Fritz!Box.

Du hast recht. Habe ich dass falsch verstanden dass er den alternativen nur anzieht wenn der primäre ausfällt? Ich habe das als positive Ausfallsicherung betrachtet. Oder wir er hier parallel zwischen intern und extern verteilen?

https://avm.de/service/wissensdaten...65_Andere-DNS-Server-in-FRITZ-Box-einrichten/

Damit Internetseiten auch bei Ausfall des bevorzugten DNSv4-Servers aufgerufen werden können, tragen Sie die IP-Adresse eines zweiten DNSv4-Servers in das Eingabefeld "Alternativer DNSv4-Server" ein.

Wenn Du eine Instanz auf dem Raspberry und eine Instanz auf dem NAS laufen hast, würde ich auch eher diese beiden Instanzen angeben.

 

[IN10SE]

Also regulär "sollte" es eigentlich so aussehen, dass Du etwas grundlegend in dieser Form hast:

Clients -> Pi-Hole -> DNS im Internet

Dabei wäre noch ein conditional forwarding (bedingte Weiterleitung) zu berücksichtigen, so dass Du Anfragen beim Pi-Hole an die Domain "fritz.box" an die Fritz!Box weiterleitest, damit Du auch <hostname>.fritz.box korrekt auflösen kannst.

Danke dass Du Dir die Zeit nimmst!

Conditional forwarding in meinem Fall wäre dann dies hier, richtig?: [/fritz.box/]192.168.111.1:53 ODER ist es das hier [/fritz.box/]192.168.111.1, also ohne den Port?

Darfst Du denn Deinen Gästen Werbung verbieten? Darfst Du einfach DNS-Anfragen Deiner Gäste protokollieren? Datenschutz? Also davon würde ich mal dezent Abstand nehmen... Für einen selbst - eine Sache, andere diesbezüglich zu bevormunden... eher schwierig (ausser Du hast eine entsprechende Vorschaltseite, wo diese Bedingungen akzeptiert werden).

Sehe ich etwas anders. Es geht mir ja nicht vorwiegend um Ads, sondern auch um dem ein oder anderen Dienst der nicht gerade hinzugezogen werden soll, oder diverse NSFW contents oder andere Dinge.

Der Punkt mit dem Datenschutz ist aber ein valider Punkt, den hatte ich so nicht bedacht! Allerdings sieht man ja, wie Du schon sagtest nur die Fritz.Box als Client, also werden die zwar geloggt, aber sind nicht zurückzuführen von welchem Client sie kamen (zumindest nicht von mir als Laie). Aber logging ist logging, da hast Du recht.

Dann fragen die aber vermutlich direkt den Pi-Hole, denn ansonsten würde die Fritz!Box (im Auftrag des Client) die Antwort (beim Pi-Hole) besorgen und somit stünde im Pi-Hole-Log auch nur die IP der Fritz!Box.


https://avm.de/service/wissensdaten...65_Andere-DNS-Server-in-FRITZ-Box-einrichten/

Wenn Du eine Instanz auf dem Raspberry und eine Instanz auf dem NAS laufen hast, würde ich auch eher diese beiden Instanzen angeben.

Habe es nun als lokalen DHCP eingetragen und es funktioniert mit der Auflschlüsselung. Fritzbox taucht nicht mehr auf im Client-Log. Es sieht auch danach aus, dass alle Geräte den DNS hernehmen, LAN wie WLAN Geräte.

Das Grundproblem war also wirklich eher der Docker Container, der komischerweise nur über WLAN erreicht werden konnte.

Habe jetzt den Pi und lasse diesen laufen, bin aber mir nicht sicher ob mir die Aufschlüsselung es wert ist, die Ausfallsicherung aufzugeben. WEnn mein Pi nicht am Netz ist, aus welchem Grund auch immer, habe ich kein Internet mehr biss ich die Fritzbox als DHCP eintrage.

Bei der anderen Variante habe ich keine Aufschlüsselung, dafür aber kann ich mit zwei lokalen DNS Servern arbeiten und könnte auch den Haken setzen bei "Auf öffentliche DNS zugreifen wenn Störung". Das ist schon eine gute Ausfallsicherung. Allerdings habe ich das logging was ethisch und ggf. auch rechtlich etwas problematisch sein könnte.

Was hältst Du/Ihr davon wenn ich den Pi als DHCP unter Heimnetz eintrage UND als DNS Server + weiteren DNS Server (2. Pi) unter Internet --> Zugangsdaten --> DNS Server?

Würde mir dies das Beste aus beiden Welten geben? Ausfallsicherheit + Aufschlüsselung? Oder baue ich somit Loops?

 

[the other]

Moinsen,
Warum nicht einfach den pihole bzw adguard auf dem raspi installieren ohne den docker Kram?
Zum Punkt DNS block im Gastnetz...die Fritzbox bietet doch sogar an, dass dort eine Vorschaltseite gezeigt wird, oder? Da dann direkt den Hinweis geben, wer das dann nicht möchte hat eben keinen Zugang. Fertig.
Zum Punkt Ausfallsicherheit....Du setzt in der fritzbox unter Heimnetzwerk den DNS auf die IP des Adblockers. Dhcp Server kann trotzdem bei der fritzbox bleiben, im ad blocker trägst du die clients mit IP und hostname trotzdem ein. Dann kann der die clientnames auflösen...Stell sicher dass nur ein einziger dhcp server im Netzwerk aktiviert ist! Sollte jetzt der ad blocker ausfallen, gehst du schnell per IP auf die Fritzbox, änderst dns auf die fritzbox selber um und kannst weiter surfen. Das ist schnell gemacht (2 Minuten).
Natürlich geht das auch per docker...mir ist bei so etwas elementarem in Heimnetz aber eine simple direkte Lösung persönlich lieber.

 

[the other]

Moinsen,
...Und nochmal generell zu der Frage, was wo eintragen...
Die fritzbox gibt den Clients per dhcp die Info, welcher dns server zu fragen ist > IP ad blocker
Die Clients fragen dns dort nach. Im adblocker sind für die Clients im Heimnetz feste IP (verwaltet durch die fritzbox! ) und hostname und domainname hinterlegt, so dass du in den Protokollen sehen kannst, welche Clients wie oft wobei blockiert wurden.
Im ad blocker gibst du als upstream dns (der dns server, an den der adblocker die erlaubten Anfragen weiterleiten soll) dann entweder die fritzbox oder einen datenschutzfreundliche öffentlichen dns server oder zur Not das doofe google dns oder cloudflare dns an.
Oder hast noch einen eigenen resolver im Netzwerk wie zb unbound, der direkt die grossen öffentlichen befragt.

Was du nicht machen darfst: im ad blocker unter upstream die fritzbox IP eingeben und in der fritzbox unter Internet die IP des ad blockers als dns Server eintragen...das wäre ein loop...(server 1 fragt server 2, der fragt dann server 1, der fragt dann server 2 usw).

Und zur Ausfallsicherheit / Redundanz / Hochverfügbarkeit...klar ist das nett, wenn es das gibt. Dann aber auch konsequent, also 2. Router, USV, kein single-point-of-failure Netzaufbau....ja, nun. Will sagen, mach das ruhig wie es für dich passt, aber behalte Aufwand und Nutzen im privaten Netz im Auge. KISS...
Oder (als Hobby und zum Lernen) tob dich aus.
Ok?

 

[IN10SE]

Moinsen,

Schön wieder von Dir zu lesen .

Und zur Ausfallsicherheit / Redundanz / Hochverfügbarkeit...klar ist das nett, wenn es das gibt. Dann aber auch konsequent, also 2. Router, USV, kein single-point-of-failure Netzaufbau....ja, nun. Will sagen, mach das ruhig wie es für dich passt, aber behalte Aufwand und Nutzen im privaten Netz im Auge. KISS...
Oder (als Hobby und zum Lernen) tob dich aus.
Ok?

Klar, da hast Du absolut recht. Geht mir nicht um meinem SPieltrieb, eher darum was passiert wenn ich nicht zu Hause bin. Das NAS muss öfters updaten/neustarten als es der Pi muss ,daher versuch ich es erst einmal so.

Notfalls muss ich eine Anleitung für meine Familie schreiben wenn es doch zu AUsfällen in meiner Abwesenheit kommt.

Danke DIr