Pi Hole (via Synology): Client mit mehreren IPs unterschiedlicher Netze

[whocares]

Hallo,


ich hoffe, das Thema ist hier richtig, da es auch Pi Hole und Fritzbox betrifft.

Ich betreibe ein Pi Hole über meine Synology DS218+. Soweit läuft alles. Heute ist mir folgende Meldung des Pi Holes aufgefallen:

ignoring query from non-local network (IP aus jetzt 10.38.x.x.)

Der MAC-Adresse dieses Clients, den ich anhand der IP-Adresse ausgemacht habe, hat laut Pi Hole noch drei weitere IP-Adressen aus folgenden Netzen:
10.33.x.x
10.41.x.x
192.168.x.x

Die letzte IP-Adresse kann ich nachvollziehen, entspricht sie doch meinem Heimnetzwerk.

Der Client ist ein Samsung-Handy. Was ich nicht verstehe ist, warum dort IP-Adresen aus diesen 10-er Netzen bei dem Gerät auftauchen. Wie kann das sein? Ist da sicherheitstechnisch irgendetwas krumm? Das Netzwerk sollte vom außen nicht zugänglich sein. Die IP-Adressen sind öffentlich ja auch interne / private Adressen. Hat jemand eine Erklärung dafür?

Viele Grüße

 

[Barungar]

Warum das Samsung Handy auch diese IP-Adressen verwendet; kann ich Dir aus der Ferne nicht sagen.

Meine Samsungs tun das nicht (drei Smartphones und drei Tablets hab ich im Einsatz). Die Ursache dafür wirst Du auf dem Samsung Smartphone suchen müssen. Als erstes kannst Du in Einstellungen / Telefoninfo / Statusinformation mal nach dem Block "IP-Adresse" ausschau halten ob da dieser 10er-Adressen auch aufgeführt werden.

Die nächste Möglichkeit wäre zu prüfen, was denn da so a) an Apps installiert ist oder b) welche DNS-Anfrage konkret von der 10er IP gekommen ist - das könnte eventuelle auch Hinweise auf die Quelle liefern.

 

[whocares]

Hallo und danke für Deine Antwort.

Ich frage mich, wie überhaupt ein Gerät mit einer 10-er IP-Adresse das Pi Hole erreichen kann? Denn das Pi Hole ist im 168-er Netz. Der DNS (Pi Hole) wird ja von der Fritzbox vergeben, welches eben das 168-er Netz bildet. Normalerweise dürfte zwischen den beiden Netzen überhaupt keine Kommunikation stattfinden.

Hast Du Tipps, wie genau prüfe, welche DNS-Anfrage konkret von der 10er IP gekommen sind?

Vielleicht interpretiere ich die Sache auch falsch. Anbei mein zwei Screenshots vom Pi Hole.




Update: So sehen die IP-Adressen des Handys aus, wenn es mit dem WLAN verbunden ist:

 

[Boxenluder]

Ich würde auch a) und b) aus #2 präferieren, da Samsung bekannt ist für intensive Kontakte mit den eigenen Cloudservern und Co. Kommt noch ein Samsungs-TV hinzu, der noch intern via Bluetooth kommuniziert und ggfs. Streaming-Kontent bereitstellt, wird die Blockliste ziemlich lang. Ich hatte diese historisch ( vor Piholezeiten) mal in der Fritzbox angelegt, die rd. ein Dutzend IPs umfasste. Zudem könnten VPN-Dienste (APPs) auch mit 10er IPs aufwarten.

 

[blurrrr]

Zudem könnten VPN-Dienste (APPs) auch mit 10er IPs aufwarten.

Die Syno dürfte vom VPN (VPN-Server-Dienste auf der Syno) her auch per default mit dem 10er Bereich arbeiten (soweit ich mich richtig erinnere), das wäre ggf. mal einen Blick wert.

 

[whocares]

Guter Hinweis, danke. Aktiv habe ich kein VPN eingerichtet. Wo und wie würdest du prüfen?

 

[blurrrr]

Wenn Du auf der Syno den VPN-Server nicht installiert hast, brauchst Du Dich in diese Richtung auch garnicht weiter orientieren. Da Du aber die Syno virtualierst (so hab ich das jetzt zumindestens verstanden)... Du kannst die VM-Ports direkt ins eigene Netz hängen, oder es werden "eigene" (interne) Netze gebildet. Kann ggf. sein, dass Du genau so eine Config nutzt und dort wird mitunter der 10er Bereich genutzt. Bin aber nicht so im VMM-Thema, da meine privaten Synos das nicht können (nur 2xxj-Series ) und auf den geschäftlich eingesetzten hat sowas nichts zu suchen, also schau vielleicht einfach mal bei den VMM-VMs nach, was die so für IPs haben, vielleicht bist Du dann ja schon schlauer

 

[whocares]

Genau, VPN nutze ich nicht, mein Netzwerk ist komplett privat und von außen nicht erreichbar. Das Pi Hole läuft in einem Container auf der physischen DS218+. Auf dem NAS finde und beim Pi Hole finde ich keine Angaben zu einem 10-er Netz.

 

[the other]

Moinsen,
ist nur ne Vermutung und auch nur nach kurzer Recherche...
Scheinbar handelt es sich bei diesen Meldungen um Inhalte in /var/log/pihole.log. Seit einem der letzten Updates werden diese Warnungen auch in der GUI angezeigt. So wie ich es verstanden habe, werden in pihole.log alle bisherigen Anfragen gespeichert. Du kannst dort mal nachschauen, ob für die fraglichen 10.xxx.xxx.xxx IPs dort Einträge vorhanden sind. Ggf. von vor langer Zeit, als ggf. mal ein (VPN) Client mit diesen IPs aktiv war...?
Quellen:
https://discourse.pi-hole.net/t/warning-in-dnsmasq-core-ignoring-query-from-non-local-network/51879
Einen Token bei pihole dazu aufmachen:
https://discourse.pi-hole.net/t/warning-in-dnsmasq-core-ignoring-query-from-non-local-network/53280

edit: in einem der links wird empfohlen, einen checkout zu machen. Andere raten davon ab, da du dadurch einen anderen Entwicklungsbranch aktivierst:
https://www.giga.de/artikel/pihole-ignoring-query-from-non-local-network-dnsmasq-warn/

 

[whocares]

Danke für Deine Nachricht. Das hatte ich auch beides schon gelesen. Die Einträge im Log waren aktuell. Das Wechseln auf den anderen Zweig würde ich vorerst lassen wollen. Ich würde wirklich gerne wissen, wo dieses 10-er Netz herkommt und wie e mit dem Pi Hole im 192er Netz kommunizieren kann.

 

[the other]

Moinsen,
ne, das sollte auch keine Aufforderung zum Branchwechsel sein.
Was mir noch einfällt: mal irgendwas mit Docker in einem separatem Netzwerk aufgesetzt gehabt in der Vergangenheit, was vielleicht im eigenen IP Raum stattfand?
Ich denke auch, dass du dir keine ernsten Gedanken bzgl Sicherheit machen musst. Denn wenn du keine Portweiterleitungen oder -freigaben im Router hast, nix mit Automatischen Portfreigaben (Upnp) oder so, dann ist ja eigentlich von außen alles dicht. Dann hast du ja anscheinen auch den Haken in Pihole gesetzt bei "nur lokale Anfragen erlauben" (o.ä.), denn das ist vermutlich der Auslöser des Ganzen (der Warnung).
Es gibt auf jeden Fall leider eine Vielzahl an Suchmaschinen Einträgen zu der Fehlermeldung, ich hab auch noch nix konstruktives gefunden...andererseits hab ich aber auch nirgendwo etwas gelesen, was sich nach ernsten Problemen anhört.
Hmm...

 

[whocares]

Was mir noch einfällt: mal irgendwas mit Docker in einem separatem Netzwerk aufgesetzt gehabt in der Vergangenheit, was vielleicht im eigenen IP Raum stattfand?

Ich glaube nicht, nein. Und falls doch, würde es mich wundern, dass ausgerechnet und ausschließlich bei dem Samsung Handy das Phänomen auftritt.

Genau, das Pi Hole ist konfiguriert auf "allow only local requests".

Es bleibt spannend. Was ich beim Samsung Handy eben noch festgestellt hab: es hat eine Verbindung zu Android Auto und Nearby Share. Aber auch da konnte ich nichts feststellen, was auf einen 10-er Adressenreich deutet.

 

[the other]

Moinsen,
Kannst du denn in der log Datei nachsehen, von wann diese ominösen Anfragen bzw IPs sind?
Kommen aktuell neue hinzu?
Wenn ja, kannst du dabei eine Regelmäßigkeit erkennen (nach Reboot, x mal am Tag...)?
Ggf. per ssh mal in der.log Datei direkt geschaut oder ausschließen via GUI?

 

[whocares]

Gute Idee, werde ich Mal beobachten. Hatte vor zwei Tagen "dummerweise" einen restore durchgeführt, bisher gibt's noch keine derartigen Daten. Ich beobachte das weiter.