net(t)forum
net(t)work(s) - fli4l - eisfair

Startseite » fli4l » spline.fli4l.dev » DNS auf internen Rechner (Pi-Hole) umbiegen
DNS auf internen Rechner (Pi-Hole) umbiegen [Beitrag #69842] Sun, 03 March 2019 20:07 Zum nächsten Beitrag gehen
B. Sprenger ist gerade offline  B. Sprenger
Beiträge: 367
Registriert: July 2010
Senior Member
Hallo zusammen,
ich möchte mit dem Pi-Hole experimentieren und schliesslich im Netz die
Namensauflösung vom Pi-Hole machen lassen.
(https://adminforge.de/dns/pi-hole-werbeblocker-fuer-das-heimnetz/)
Da bei mir alle ortsgebundenen Geräte (und dass sind viele) eine feste
IP-Adresse haben, wäre eine Änderung nur im DHCP-Server auf dem Fli4l
nicht zielführend. Auch die Änderung auf allen Geräten wäre ein
ziemlicher Aufwand.
Daher die Frage: kann ich die DNS Auflösung im Fli4l so umbiegen, dass
er einen internen Rechner befragt? Im Moment ist ja als Default der
DNS-Server des Internet-Providers eingestellt. Kann ich da einfach die
(interne) IP-Adresse des Pi-Hole eingeben? Vermutlich nicht.

LG
Boris
Re: DNS auf internen Rechner (Pi-Hole) umbiegen [Beitrag #69843 ist eine Antwort auf Beitrag #69842] Sun, 03 March 2019 22:14 Zum vorherigen Beitrag gehenZum nächsten Beitrag gehen
Hans Bachner ist gerade offline  Hans Bachner
Beiträge: 354
Registriert: August 2010
Senior Member
B. Sprenger schrieb am 03.03.2019 um 20:07:
> Hallo zusammen,
> ich möchte mit dem Pi-Hole experimentieren und schliesslich im Netz die
> Namensauflösung vom Pi-Hole machen lassen.
> [...]
> Daher die Frage: kann ich die DNS Auflösung im Fli4l so umbiegen, dass
> er einen internen Rechner befragt? Im Moment ist ja als Default der
> DNS-Server des Internet-Providers eingestellt. Kann ich da einfach die
> (interne) IP-Adresse des Pi-Hole eingeben? Vermutlich nicht.

Warum nicht? Wenn der Pi-Hole seinerseits dann einen externen DNS-Server
(des Providers oder auch einen anderen) befragt, fällt mir nichts ein,
warum das nicht gehen sollte.

Eine Einschränkung gibt es möglicherweise im Zusammenhang mit den
dynamischen DNS-Updates des DHCP-Servers auf dem fli4l - wenn aber alle
internen Rechner ohnehin zuerst den fli4l befragen, müsste das
eigentlich auch gehen.

Ich habe bei mir häufig eine fli4l Testinstanz laufen, die ebenfalls auf
den Produktiv-fli4l als Upstream-DNS-Server verweist.

Hans.
Re: DNS auf internen Rechner (Pi-Hole) umbiegen [Beitrag #69844 ist eine Antwort auf Beitrag #69843] Sun, 03 March 2019 22:31 Zum vorherigen Beitrag gehenZum nächsten Beitrag gehen
B. Sprenger ist gerade offline  B. Sprenger
Beiträge: 367
Registriert: July 2010
Senior Member
Hallo Hans,
vielen Dank für die Antwort.

Am 03.03.2019 um 22:14 schrieb Hans Bachner:

>> Daher die Frage: kann ich die DNS Auflösung im Fli4l so umbiegen, dass
>> er einen internen Rechner befragt? Im Moment ist ja als Default der
>> DNS-Server des Internet-Providers eingestellt. Kann ich da einfach die
>> (interne) IP-Adresse des Pi-Hole eingeben? Vermutlich nicht.
>
> Warum nicht? Wenn der Pi-Hole seinerseits dann einen externen DNS-Server
> (des Providers oder auch einen anderen) befragt, fällt mir nichts ein,
> warum das nicht gehen sollte.
Ich dachte, dass es evt. an eine Netzwerkkarte gebunden ist.
Ich werde es ausprobieren.
>

> Ich habe bei mir häufig eine fli4l Testinstanz laufen, die ebenfalls auf
> den Produktiv-fli4l als Upstream-DNS-Server verweist.

Aber dann nur mit einer Netzwerkkarte?
LG
Boris
Re: DNS auf internen Rechner (Pi-Hole) umbiegen [Beitrag #69859 ist eine Antwort auf Beitrag #69844] Mon, 04 March 2019 10:18 Zum vorherigen Beitrag gehenZum nächsten Beitrag gehen
Hans Bachner ist gerade offline  Hans Bachner
Beiträge: 354
Registriert: August 2010
Senior Member
B. Sprenger schrieb am 03.03.2019 um 22:31:
> Hallo Hans,
> vielen Dank für die Antwort.
>
> Am 03.03.2019 um 22:14 schrieb Hans Bachner:
>
>>> Daher die Frage: kann ich die DNS Auflösung im Fli4l so umbiegen, dass
>>> er einen internen Rechner befragt? Im Moment ist ja als Default der
>>> DNS-Server des Internet-Providers eingestellt. Kann ich da einfach die
>>> (interne) IP-Adresse des Pi-Hole eingeben? Vermutlich nicht.
>>
>> Warum nicht? Wenn der Pi-Hole seinerseits dann einen externen
>> DNS-Server (des Providers oder auch einen anderen) befragt, fällt mir
>> nichts ein, warum das nicht gehen sollte.
> Ich dachte, dass es evt. an eine Netzwerkkarte gebunden ist.
> Ich werde es ausprobieren.
>>
>
>> Ich habe bei mir häufig eine fli4l Testinstanz laufen, die ebenfalls
>> auf den Produktiv-fli4l als Upstream-DNS-Server verweist.
>
> Aber dann nur mit einer Netzwerkkarte?

Nein, in der Regel mit zwei.

Drei mögliche Szenarien:

- der Test-fli4l hängt entweder am gleichen Modem wie der
Produktions-fli4l (dieser Provider erlaubt zweifache Einwahl) oder
verwendet ein UMTS-Modem. Die DNS-Anfragen gehen übers LAN an den
Produktions-fli4l.

- der Test-fli4l hängt wie der Produktions-fli4l am Router des
Providers, wo feste externe IP-Adressen anliegen (/29er Netz). Diese
Konfiguration verwende ich meistens im Büro. Der fli4l arbeitet hier als
Ethernet-Router. Die DNS-Anfragen gehen übers LAN an den Produktions-fli4l.

- der Test-fli4l hängt WAN-seitig am LAN und versorgt ein eigenes
Test-LAN - hier gehen die DNS-Anfragen über seine WAN-Schnittstelle an
den Produktions-fli4l.

Der Grund für die Verwendung des Produktions-fli4l als
Upstream-DNS-Server: ich brauch Änderungen/Ergänzungen des DNS-Setups
nur auf einem Router pflegen und nicht auf dem Test-Router replizieren.

Schöne Grüße,
Hans.
Re: DNS auf internen Rechner (Pi-Hole) umbiegen [Beitrag #69876 ist eine Antwort auf Beitrag #69859] Mon, 04 March 2019 16:51 Zum vorherigen Beitrag gehenZum nächsten Beitrag gehen
B. Sprenger ist gerade offline  B. Sprenger
Beiträge: 367
Registriert: July 2010
Senior Member
Hallo zusammen,
kurz vorweg: Es funktioniert:
Am 04.03.2019 um 10:18 schrieb Hans Bachner:
> B. Sprenger schrieb am 03.03.2019 um 22:31:

>>
>>>> Daher die Frage: kann ich die DNS Auflösung im Fli4l so umbiegen, dass
>>>> er einen internen Rechner befragt?

Einfach in der base.txt als DNS forwarder die Adresse des Pi-Hole eintragen.
Allerdings habe ich jetzt Fehlermeldungen bzw. Warnunegn im Log:
Local0.Warning 172.16.0.1 dnsmasq[18768]: possible DNS-rebind attack
detected: de.ioam.de
Local0.Warning 172.16.0.1 dnsmasq[18768]: possible DNS-rebind attack
detected: securepubads.g.doubleclick.net
Local0.Warning 172.16.0.1 dnsmasq[18768]: possible DNS-rebind attack
detected: prophet.heise.de
Local0.Warning 172.16.0.1 dnsmasq[18768]: possible DNS-rebind attack
detected: securepubads.g.doubleclick.net


Kann man das abstellen?
Oder soll ich das einfach ignorieren?


LG
Boris
Re: DNS auf internen Rechner (Pi-Hole) umbiegen [Beitrag #69902 ist eine Antwort auf Beitrag #69876] Mon, 04 March 2019 22:32 Zum vorherigen Beitrag gehenZum nächsten Beitrag gehen
Hans Bachner ist gerade offline  Hans Bachner
Beiträge: 354
Registriert: August 2010
Senior Member
B. Sprenger schrieb am 04.03.2019 um 16:51:
> Hallo zusammen,
> kurz vorweg: Es funktioniert:
> Am 04.03.2019 um 10:18 schrieb Hans Bachner:
>> B. Sprenger schrieb am 03.03.2019 um 22:31:
>
>>>
>>>> > Daher die Frage: kann ich die DNS Auflösung im Fli4l so umbiegen, dass
>>>> > er einen internen Rechner befragt?
>
> Einfach in der base.txt als DNS forwarder die Adresse des Pi-Hole
> eintragen.
> Allerdings habe ich jetzt Fehlermeldungen bzw. Warnunegn im Log:
> Local0.Warning 172.16.0.1 dnsmasq[18768]: possible DNS-rebind
> attack detected: de.ioam.de
> Local0.Warning 172.16.0.1 dnsmasq[18768]: possible DNS-rebind
> attack detected: securepubads.g.doubleclick.net
> Local0.Warning 172.16.0.1 dnsmasq[18768]: possible DNS-rebind
> attack detected: prophet.heise.de
> Local0.Warning 172.16.0.1 dnsmasq[18768]: possible DNS-rebind
> attack detected: securepubads.g.doubleclick.net
>
>
> Kann man das abstellen?
> Oder soll ich das einfach ignorieren?

Sind das Rechner, die von Pi-Hole geblockt werden (sollen) und für die
daher private Adressen (RFC 1918) zurückgegeben werden? Wenn ja, kannst
du die Meldungen mit DNS_REBINDOK_* Definitionen unterdrücken. Wird aber
vermutlich relativ aufwendig, vor allem wenn der Pi-Hole seine
Sperrliste dynamisch von außen bezieht.

Soviel ich weiß, kann man diese Adressen nur je Domain erlauben und
nicht von einem bestimmten (internen) DNS-Server grundsätzlich
akzeptieren. Ich habe mich mit Pi-Hole nicht befasst - ist es wichtig,
dass der für blockierte Sites private Adressen geliefert werden? Würde
nicht ein NXDOMAIN (Non-existent domain) auch genügen?

Hans.
Re: DNS auf internen Rechner (Pi-Hole) umbiegen [Beitrag #69909 ist eine Antwort auf Beitrag #69902] Tue, 05 March 2019 09:16 Zum vorherigen Beitrag gehenZum nächsten Beitrag gehen
LeSpocky ist gerade offline  LeSpocky
Beiträge: 648
Registriert: July 2010
Ort: Magdeburg
Senior Member

Moin,

ich experimentiere derzeit auch ein wenig mit pi-hole, siehe bspw. auch
https://web.nettworks.org/bugs/browse/FFL-2384

Hans Bachner schrieb Montag, 4. März 2019, 22:32 (CET):
> Sind das Rechner, die von Pi-Hole geblockt werden (sollen) und für die
> daher private Adressen (RFC 1918) zurückgegeben werden? Wenn ja, kannst
> du die Meldungen mit DNS_REBINDOK_* Definitionen unterdrücken. Wird aber
> vermutlich relativ aufwendig, vor allem wenn der Pi-Hole seine
> Sperrliste dynamisch von außen bezieht.

pi-hole bezieht seine Filterlisten von außen und zwar dynamisch, d.h.
die werden immer mal automatisch aktualisiert.

Blocken tut der insofern, als dass er für eine unerwünschte Domain
0.0.0.0 bzw. :: zurück liefert, bspw. so:

adahl@ada ~ % host id.google.com
id.google.com has address 0.0.0.0
id.google.com has IPv6 address ::
id.google.com is an alias for id.l.google.com.

Ob mein Client da jetzt noch eine Verbindung hin aufmacht oder das
gleich als sinnlos erachtet, kann ich allerdings nicht sagen.

Grüße
Alex

--
***** http://blog.antiblau.de/ *****************************
GnuPG-FP: C28E E6B9 0263 95CF 8FAF 08FA 34AD CD00 7221 5CC6
Re: DNS auf internen Rechner (Pi-Hole) umbiegen [Beitrag #69916 ist eine Antwort auf Beitrag #69909] Tue, 05 March 2019 12:37 Zum vorherigen Beitrag gehenZum nächsten Beitrag gehen
Hans Bachner ist gerade offline  Hans Bachner
Beiträge: 354
Registriert: August 2010
Senior Member
Hallo Alex,

Alexander Dahl schrieb am 05.03.2019 um 09:16:
> Moin,
>
> ich experimentiere derzeit auch ein wenig mit pi-hole, siehe bspw. auch
> https://web.nettworks.org/bugs/browse/FFL-2384
>
> Hans Bachner schrieb Montag, 4. März 2019, 22:32 (CET):
>> Sind das Rechner, die von Pi-Hole geblockt werden (sollen) und für die
>> daher private Adressen (RFC 1918) zurückgegeben werden? Wenn ja, kannst
>> du die Meldungen mit DNS_REBINDOK_* Definitionen unterdrücken. Wird aber
>> vermutlich relativ aufwendig, vor allem wenn der Pi-Hole seine
>> Sperrliste dynamisch von außen bezieht.
>
> pi-hole bezieht seine Filterlisten von außen und zwar dynamisch, d.h.
> die werden immer mal automatisch aktualisiert.
>
> Blocken tut der insofern, als dass er für eine unerwünschte Domain
> 0.0.0.0 bzw. :: zurück liefert, bspw. so:
>
> adahl@ada ~ % host id.google.com
> id.google.com has address 0.0.0.0
> id.google.com has IPv6 address ::
> id.google.com is an alias for id.l.google.com.
>
> Ob mein Client da jetzt noch eine Verbindung hin aufmacht oder das
> gleich als sinnlos erachtet, kann ich allerdings nicht sagen.

danke für die Info!

Dann stellt sich mir jetzt die Frage, wo die Adresse 172.16.0.1 in
Boris' Log herkommt. Oder interpretiere ich die syslog-Meldung falsch:

> Local0.Warning 172.16.0.1 dnsmasq[18768]: possible DNS-rebind
> attack detected: securepubads.g.doubleclick.net

und das soll eigentlich heißen, dass der Upstream-DNS mit der Adresse
172.16.0.1 die privaten Adressen geliefert hat? Fällt eine Auflösung auf
0.0.0.0 für den dnsmasq ebenfalls unter "private Adressen" und löst
daher die DNS-rebind attack Warnung aus?

Hans.
Re: DNS auf internen Rechner (Pi-Hole) umbiegen [Beitrag #69963 ist eine Antwort auf Beitrag #69916] Tue, 05 March 2019 22:40 Zum vorherigen Beitrag gehenZum nächsten Beitrag gehen
B. Sprenger ist gerade offline  B. Sprenger
Beiträge: 367
Registriert: July 2010
Senior Member
Hallo zusammen
>
> Dann stellt sich mir jetzt die Frage, wo die Adresse 172.16.0.1 in
> Boris' Log herkommt. Oder interpretiere ich die syslog-Meldung falsch:
>
>> Local0.Warning    172.16.0.1    dnsmasq[18768]: possible DNS-rebind
>> attack detected: securepubads.g.doubleclick.net
>
> und das soll eigentlich heißen, dass der Upstream-DNS mit der Adresse
> 172.16.0.1 die privaten Adressen geliefert hat? Fällt eine Auflösung auf
> 0.0.0.0 für den dnsmasq ebenfalls unter "private Adressen" und löst
> daher die DNS-rebind attack Warnung aus?

Die 172.16.0.1 ist die Adresse vom Router (Fli4l)
Der macht die DNS-Anfragen, bzw. leitet die Anfragen der internen Geräte
an den Pi-Hole weiter.
Im Log des Fli4l steht dann diese Fehlermeldung.
Die "securepubads.g.doubleclick.net" ist eine geblockte Domain.
Für die erhält der Router anscheinend nicht die Antwort die er erwartet
und geht von einer Hackattacke aus.
Bei 0.0.0.0 als Antwort kann ich mir diese Fehlermeldung allerdings
nicht erklären.
Das Log wird da im Moment etwas aufgebläht.
Wenn man das reduzieren könnte....
LG
Boris

>
> Hans.
Aw: Re: DNS auf internen Rechner (Pi-Hole) umbiegen [Beitrag #70231 ist eine Antwort auf Beitrag #69963] Tue, 12 March 2019 19:55 Zum vorherigen Beitrag gehenZum nächsten Beitrag gehen
Klaus Dreier ist gerade offline  Klaus Dreier
Beiträge: 322
Registriert: January 2015
Senior Member
Hallo,

wird dir nicht wirklich helfen aber: ich habe die Meldungen im fli4l-log nicht. Der fli4l zeigt mittels DNS_FORWARDERS auf die Pi-hole IP.
Zusätzlich habe ich allerdings - da ich gesagt bekam, daß dies nötig sei, um die device name Anzeige im Pi-hole Interface zu bekommen (statt nur die IPs) - noch mit den Einträgen
DHCP_RANGE[x].DNS_SERVERS='*Pi-hole-IP*'
für jedes meiner Netze die IP des DNS-Servers forciert. Ich habe mehrere NICs und dazu noch VLANs, weswegen vielleicht allein der Forwarders-Eintrag nicht gelangt hat. Keine Ahnung. Funktioniert allerdings trotzdem nicht vollumfänglich, weswegen ich jetzt in der host-Datei auf dem Pi-hole noch Einträge für die clients gesetzt habe. Unschön und aufwendig, aber ja nu.

Jedenfalls hat dieses Vorgehen auch den Vorteil, daß man einzelne Netze bei Bedarf sehr schnell auf einen anderen DNS umbiegen kann - scheinbar losgelöst von dem, was eine PREROUTING-Regel sagt, aber das muß ich noch besser testen.
Denn ich habe zusätzlich für den Fall, daß gewisse IoT-Geräte einen fixen DNS-Eintrag haben, noch die folgende Regel für die Firewall gesetzt:
PF_PREROUTING[]='if:IP_NET_2_DEV:any !@Pihole 53 DNAT:@Pihole'
PF_PREROUTING[]='if:IP_NET_5_DEV:any !@Pihole 53 DNAT:@Pihole'

NET_2_DEV ist das LAN/NIC, in dem der Pi-hole hängt und dessen DNS-Anfragen in jedem Fall über den Pi-hole laufen sollen; NET_5_DEV ist ein VLAN, wo die gleiche Logik gilt, hängt an der gleichen NIC wie NET_2. Nicht sicher, ob das so gänzlich richtig ist, aber scheint zu funktionieren.

Übrigens: an anderer Stelle hier wurde mir gesagt ich solle für das gewünschte Ergebnis
PF_PREROUTING[]='tmpl:dns @Pihole ACCEPT'
setzen. Kam mir schon komisch vor, aber immerhin hatte es kein "dynamic" drin. Jedoch, das führte zumindest bei meinem Setup zu einem open DNS resolver. Ups. Zum Glück hatte ich das noch getestet.

Zu deiner Fehlermeldung: was hast du im Pi-hole bzgl. des Interfaces eingestellt? Und: hast du da drauf noch unbound laufen?

Gruß
Klaus
Re: DNS auf internen Rechner (Pi-Hole) umbiegen [Beitrag #70245 ist eine Antwort auf Beitrag #70231] Wed, 13 March 2019 08:55 Zum vorherigen Beitrag gehenZum nächsten Beitrag gehen
B. Sprenger ist gerade offline  B. Sprenger
Beiträge: 367
Registriert: July 2010
Senior Member
Hallo Klaus,
Am 12.03.2019 um 19:55 schrieb K. Dreier:

> Zu deiner Fehlermeldung: was hast du im Pi-hole bzgl. des Interfaces
> eingestellt? Und: hast du da drauf noch unbound laufen?
vielen Dank für deine sehr ausführlichen Erläuterungen.
Die Sperregel für andere DNS-Server werde ich auf jeden Fall noch
übernehmen.
Im Moment ist der Pi-Hole wieder ausser Betrieb.
Damit ich eine gewisse Ausfallsicherheit habe, werden es 2 Pi-Holes werden.
Zur Stromversorgung habe ich 2x das POE-Modul besorgt.
Das ganze muss aber noch zusammengebaut werden.
Ich würde die Pi-Holes gerne mit Netzboot (PXE) betreiben, habe das aber
noch nicht hinbekommen (weder mit Fli4l, noch Eisfair od., Windows)
Einen Pi-Server hatte ich aufgesetzt, damit funktioniert Netzboot, aber
der angemeldete User hat keinen Root-Zugriff, damit lässt sich nichts
vernünftig installieren und konfigurieren.
Die nächsten 2 Wochen bin ich unterwegs, so dass das Projekt erst mal ruht.

Ich habe bis jetzt nur in der base.txt den DNS-Forwarder konfiguriert
und in der circuits.txt den providerseitigen DDNS deaktiviert.
Ich vermute dass die Meldungen im Logfile aufgrund der Rückgabe von
0.0.0.0 erfolgen, daher wundert es mich, dass due Meldungen nicht hast.
Im April werde ich das ganze dann weiter betreiben. Dann werde ich mich
ggf. nochmal melden.
LG
Boris
Re: DNS auf internen Rechner (Pi-Hole) umbiegen [Beitrag #70271 ist eine Antwort auf Beitrag #70231] Wed, 13 March 2019 18:37 Zum vorherigen Beitrag gehenZum nächsten Beitrag gehen
Hans Bachner ist gerade offline  Hans Bachner
Beiträge: 354
Registriert: August 2010
Senior Member
Hallo Klaus,

K. Dreier schrieb am 12.03.2019 um 19:55:
> Hallo,
>
> wird dir nicht wirklich helfen aber: ich habe die Meldungen im fli4l-log
> nicht. Der fli4l zeigt mittels DNS_FORWARDERS auf die Pi-hole IP.
> Zusätzlich habe ich allerdings - da ich gesagt bekam, daß dies nötig
> sei, um die device name Anzeige im Pi-hole Interface zu bekommen (statt
> nur die IPs) - noch mit den Einträgen
> DHCP_RANGE[x].DNS_SERVERS='*Pi-hole-IP*'
> für jedes meiner Netze die IP des DNS-Servers forciert. [...]

Wenn alle deine Rechner direkt den Pi-hole befragen (wegen des Eintrags
für die DHCP_RANGE), bekommst du natürlich auf dem fli4l die Meldungen
nicht mehr - die Anfragen gehen an ihm vorbei, er bekommt von der
Auflösung auf eine private Adresse nichts mit und motzt daher auch nicht
mehr.

Schöne Grüße,
Hans.

PS: zu den anderen Punkten (PF_PREROUTING) kann ich jetzt nichts sagen;
hab grade keine Zeit, mir das genauer anzusehen, sorry.
Aw: Re: DNS auf internen Rechner (Pi-Hole) umbiegen [Beitrag #70314 ist eine Antwort auf Beitrag #70271] Thu, 14 March 2019 18:15 Zum vorherigen Beitrag gehenZum nächsten Beitrag gehen
Klaus Dreier ist gerade offline  Klaus Dreier
Beiträge: 322
Registriert: January 2015
Senior Member
Hallo,

Hans Bachner schrieb am Wed, 13 March 2019 18:37

Wenn alle deine Rechner direkt den Pi-hole befragen (wegen des Eintrags
für die DHCP_RANGE)
Ist das wegen dem Eintrag oder wegen DNS_FORWARDERS? Wsa hat "Vorrang"? Wobei mir gerade einfällt, daß ich mir das selber beantworten kann: auch wenn DNS_F gesetzt ist mit IP vom Pihole und ich bei DNS_RANGE z.B. 8.8.8.8 eintrage, dann bekommt dieses Netz 8.8.8.8 als DNS-Server und nicht jene, die im Pihole definiert sind (welche nicht von Google sind). Insofern frage ich mich gerade, inwieweit der DNS_F-Eintrag überhaupt noch relevant ist, wenn man DNS_RANGE-Einträge gesetzt hat? Habe gerade mal getestet und ein build mit auskommentiertem DNS_F-Eintrag läuft zumindest mal durch.

Zitat:
bekommst du natürlich auf dem fli4l die Meldungen
nicht mehr - die Anfragen gehen an ihm vorbei, er bekommt von der
Auflösung auf eine private Adresse nichts mit und motzt daher auch nicht
mehr.
Macht Sinn. Allerdings wundert mich das "läuft an ihm vorbei", denn immerhin muß er ja "wissen was läuft", schliesslich ist er es, der den clients via DHCP-Service alle Infos mitteilt. Aber vermutlich ist das wie einer, der aus dem Fenster vom Haus r8uft "lauft um die Ecke rum" - so läuft niemand durch sein Haus und trotzdem kommen alle auf der anderen Seite davon an. :)

Ich werde das mal zum Spaß halber ändern, um zu schauen, ob ich auch diese Fehlermeldungen bekomme wie sie Boris hat.

Zitat:
PS: zu den anderen Punkten (PF_PREROUTING) kann ich jetzt nichts sagen;
hab grade keine Zeit, mir das genauer anzusehen, sorry.
Kein Problem, aber würde mich natürlich trotzdem dann noch interessieren. Denn generell finde ich die Prerouting-Regeln heikel und dennoch werden sie für mich immer wichtiger, da ich jetzt meinen eigenen (internen, separaten) DNS-Server habe und gewisse Dinge im Rahmen gerade der VLANs forcieren will. Sehe z.B. nicht ein, warum manche Android-Geräte den DNS-Server hardcoded haben. Zumindest wenn sie sich in meinem Netz befinden sollen die gefälligst das tun, was ich bzw. meine "LAN-Chefs" (fli4l und Pihole) ihnen sagen.

Gruß
Klaus
Aw: Re: DNS auf internen Rechner (Pi-Hole) umbiegen [Beitrag #70321 ist eine Antwort auf Beitrag #70245] Thu, 14 March 2019 19:26 Zum vorherigen Beitrag gehenZum nächsten Beitrag gehen
Klaus Dreier ist gerade offline  Klaus Dreier
Beiträge: 322
Registriert: January 2015
Senior Member
Hallo,

B. Sprenger schrieb am Wed, 13 March 2019 08:55

Die Sperregel für andere DNS-Server werde ich auf jeden Fall noch
übernehmen.
Halte aber bitte (hier) ein Auge drauf, ob die so auch stimmt... Habe leider etwas schlechte Erfahrungen gemacht mit den Regeln von fli4l. Liegt sicherlich an meiner Blödheit, aber es ist schon schwierig, wenn man bei Linux letztlich immer Infos zu iptables sieht, dies aber nur sehr schwer in die fli4l-Syntax umgesetzt bekommt, weil man scheinbar für die Doku zu blöd ist und die Hilfe hier auch nicht immer ganz auf das konkrete Setup passt. :-/

Zitat:
Damit ich eine gewisse Ausfallsicherheit habe, werden es 2 Pi-Holes werden.
Mache ich für mein überschaubares Heimnetz nicht. Habe aber meinen mit einer SSD gepimpt. ;) Weil, warum nicht. *g* Abseits vom Boot ist alles, was mit r/w zu tun hat nun auf der SSD. Thema "SD-card failure" sehe ich damit als erledigt an. Und wenn doch, dann, ja mei.
Dazu sitzt der Pi in einem Gehäuse mit Lüfter und läuft bei rund 40-41° C. Das geht im Sommer sicherlich etwas hoch, aber was die Hardware anbelangt fühle ich mich sicher.

Zitat:
Zur Stromversorgung habe ich 2x das POE-Modul besorgt.
Die übrigens wohl problematisch sein sollen. Habe das deswegen nicht gemacht. Habe auch WLAN deaktiviert und es schön brav mit einem ordentlichen CAT6-Kabel direkt am Hauptswitch hängen. Alles an USV natürlich. Da du Redundanz willst, würde ich zumindest mal den 2. Pihole mittels Netzteil anschliessen, ganz ehrlich. Was bringt dir der, wenn er dann wegen defektem POE-Hat im Fall der Fälle nicht läuft. ;) Alternativ gäbe es natürlich eine Cloud-Variante, aber wegen Thema open DNS resolver müsste man das dann wohl via VPN einbinden, was auch wiederum nicht ganz trivial ist. Da gehe ich dann doch lieber nach dem KISS-Prinzip vor...

Zitat:
Ich würde die Pi-Holes gerne mit Netzboot (PXE) betreiben, habe das aber
noch nicht hinbekommen (weder mit Fli4l, noch Eisfair od., Windows).
Eben, ich auch nie. Habe das aufgegeben. Speicher ist heute so billig, daß es doch total egal ist, ob ich mein OS auf einer SSD, SD, USB oder was auch immer installiere. Zum Testen sicherlich interessant, aber da habe ich Spannenderes...

Zitat:
Einen Pi-Server hatte ich aufgesetzt, damit funktioniert Netzboot, aber
der angemeldete User hat keinen Root-Zugriff, damit lässt sich nichts
vernünftig installieren und konfigurieren.
Da ist dann aber gröber was falsch gelaufen? Root hat kein Root? Oder hast du irgendwo ein Problem mit sudo(er) für nicht-root user? Habe das aber nie selbst genutzt. Brauche ich nicht, habe VMs auf meinem NAS für so Zeug.

Zitat:
Ich habe bis jetzt nur in der base.txt den DNS-Forwarder konfiguriert
und in der circuits.txt den providerseitigen DDNS deaktiviert.
Genau so hatte ich das anfangs auch. Habe da aber nie in die fli4l-Logs geschaut. Habe es nun gerade mal für einige Minuten zurück bzw. wieder wie bei dir eingestellt: hatte keine solche Fehlermeldung in den fli4l-Logs.

Hast du im Pihole (Admin Interface) unter DNS ganz unten einen Haken bei "Use Conditional Forwarding" gesetzt und dort die fli4l-IP und die Domain eingetragen? Probier das mal. Nur damit wird übrigens auch ermöglicht, die client Namen statt nur IP anzuzeigen.

Ich würde an deiner Stelle echt auch noch unbound in den Pihole einbinden sowie - sofern du das willst als DNS-Zielserver - cloudflare. Läuft bei mir hervorragend und ist eigentlich ziemlich einfach einzurichten. Ich empfehle allerdings, nirgends - wie in manchen Tutorials angegeben - den Port 5353 zu verwenden, denn wird scheinbar auch für multicast verwendet. Ich bilde mir ein, daß ich nach Änderung auf z.B. 5053 weniger Probleme mit meinen IoT-Geräten hatte.

Gruß
Klaus
Re: DNS auf internen Rechner (Pi-Hole) umbiegen [Beitrag #70326 ist eine Antwort auf Beitrag #70314] Thu, 14 March 2019 20:31 Zum vorherigen Beitrag gehenZum nächsten Beitrag gehen
Hans Bachner ist gerade offline  Hans Bachner
Beiträge: 354
Registriert: August 2010
Senior Member
Hallo Klaus,

K. Dreier schrieb am 14.03.2019 um 18:15:
> Hallo,
>
> Hans Bachner schrieb am Wed, 13 March 2019 18:37
>> Wenn alle deine Rechner direkt den Pi-hole befragen (wegen des
>> Eintrags für die DHCP_RANGE)
>
> Ist das wegen dem Eintrag oder wegen DNS_FORWARDERS? Wsa hat "Vorrang"?
> Wobei mir gerade einfällt, daß ich mir das selber beantworten kann:
> auch wenn DNS_F gesetzt ist mit IP vom Pihole und ich bei DNS_RANGE z.B.
> 8.8.8.8 eintrage, dann bekommt dieses Netz 8.8.8.8 als DNS-Server und
> nicht jene, die im Pihole definiert sind (welche nicht von Google sind).

DHCP vergibt ja nicht nur IP-Adressen (samt Netzwerk-Maske), sondern
kann dem Client auch mitteilen, welcher Domain-Name bzw. welche Adressen
für das default gateway, den DNS-Server, NTP-Server und vieles andere
mehr verwendet werden sollen.

Mit DHCP_RANGE[x].DNS_SERVERS='<ip-adresse>' sagst du dem Client, dass
er als DNS-Server eben diese Adresse verwenden soll. Ist das nicht die
Adresse des fli4l, wird dieser mit den DNS-Anfragen des Clients gar
nicht mehr "belästigt".

> Insofern frage ich mich gerade, inwieweit der DNS_F-Eintrag überhaupt
> noch relevant ist, wenn man DNS_RANGE-Einträge gesetzt hat? Habe gerade
> mal getestet und ein build mit auskommentiertem DNS_F-Eintrag läuft
> zumindest mal durch.

Ja sicher - aber der fli4l kann dann, wenn er als Ethernet-Routere
konfiguriert ist, keine Adressen mehr auflösen, die du nicht in deiner
Konfiguration stehen hast. Wenn du für den Zugang einen DSL-Circuit o.ä.
verwendest, kannst du dort mit USE_PEER_DNS einstellen, ob der fli4l
sich den Forwarder bei der Einwahl holen soll. Mit anderen Worten: mit
dem explizit konfigurierten oder implizit per Einwahl erhaltenen
DNS_FORWARDER sagst du dem fli4l, wen er fragen soll, wenn er einen
Namen aus seinen lokalen Definitionen nicht auflösen kann.

> Zitat:
>> bekommst du natürlich auf dem fli4l die Meldungen
>> nicht mehr - die Anfragen gehen an ihm vorbei, er bekommt von der
>> Auflösung auf eine private Adresse nichts mit und motzt daher auch
>> nicht
>> mehr.
>
> Macht Sinn. Allerdings wundert mich das "läuft an ihm vorbei", denn
> immerhin muß er ja "wissen was läuft", schliesslich ist er es, der den
> clients via DHCP-Service alle Infos mitteilt.

Siehe oben - sobald er dem Client den DNS-Server genannt hat, fragen die
nicht mehr ihn, sondern den per DHCP mitgeteilten Server.

> Aber vermutlich ist das
> wie einer, der aus dem Fenster vom Haus r8uft "lauft um die Ecke rum" -
> so läuft niemand durch sein Haus und trotzdem kommen alle auf der
> anderen Seite davon an. :)
>
> Ich werde das mal zum Spaß halber ändern, um zu schauen, ob ich auch
> diese Fehlermeldungen bekomme wie sie Boris hat.

Wenn du:
- DHCP_RANGE[x].DNS_SERVERS nicht definierst (oder den fli4l einträgst)
- beim fli4l den pi-hole als Forwarder einträgst
wirst du die Meldungen vermutlich bekommen.

Schöne Grüße,
Hans.
Re: DNS auf internen Rechner (Pi-Hole) umbiegen [Beitrag #70354 ist eine Antwort auf Beitrag #70314] Fri, 15 March 2019 12:10 Zum vorherigen Beitrag gehenZum nächsten Beitrag gehen
B. Sprenger ist gerade offline  B. Sprenger
Beiträge: 367
Registriert: July 2010
Senior Member
Hallo zusammen,
>
> Ich werde das mal zum Spaß halber ändern, um zu schauen, ob ich auch
> diese Fehlermeldungen bekomme wie sie Boris hat.

Vielleicht nochmal zu Klarstellung:
Auf den Clients ist der Fli4l als DNS-Server eingetragen
DHCP nutze ich nur für die "beweglichen" Geräte. Alles andere hat eine
feste IP und somit auch eine fixe DNS-Adresse (die des Fli4l).
Daher ist es für mich ein schwieriges Unterfangen den DNS Server auf den
Clients zu ändern.
Also habe ich einfach den DNS-Forwarder im Fli4l genutzt.
Da gehen also keine Anfragen an ihm vorbei.
Er bekommt für die geblockten Domains 0.0.0.0 als Auflösung zurück.
Daher kommen vermutlich die Fehlermeldungen

Etwas anderes wäre es, wenn, auf den Clients die IP-Adressen vom Pi-Hole
hinterlegt wäre. Für die die "DHCP-Geräte" könnte man das natürlich machen.


>
> Zitat:
>> PS: zu den anderen Punkten (PF_PREROUTING) kann ich jetzt nichts
>> sagen;
>> hab grade keine Zeit, mir das genauer anzusehen, sorry.
>
> Kein Problem, aber würde mich natürlich trotzdem dann noch
> interessieren. Denn generell finde ich die Prerouting-Regeln heikel und
> dennoch werden sie für mich immer wichtiger, da ich jetzt meinen
> eigenen (internen, separaten) DNS-Server habe und gewisse Dinge im
> Rahmen gerade der VLANs forcieren will. Sehe z.B. nicht ein, warum
> manche Android-Geräte den DNS-Server hardcoded haben. Zumindest wenn
> sie sich in meinem Netz befinden sollen die gefälligst das tun, was ich
> bzw. meine "LAN-Chefs" (fli4l und Pihole) ihnen sagen.


Was ich noch nicht ganz verstehe:
Wenn ich für die LAN-interne Geräte DNS nach aussen verbiete, wie kommt
denn der PI-Hole an die externen DNS-Server?
Oder sitzt der PI-Hole bei dir in einem anderen Netz?
AAh, habe gerade nochmal die Posta gelesen, du hast das mit VLANS
segmentiert.
Hast du das nur im FLI4l konfiguriert, oder hast du auch am Switch VLANS
konfiguriert?

LG
Boris
(der jetzt erst mal 2 Wochen weg ist)
Re: DNS auf internen Rechner (Pi-Hole) umbiegen [Beitrag #70365 ist eine Antwort auf Beitrag #70321] Fri, 15 March 2019 15:31 Zum vorherigen Beitrag gehenZum nächsten Beitrag gehen
B. Sprenger ist gerade offline  B. Sprenger
Beiträge: 367
Registriert: July 2010
Senior Member
Hallo,
Am 14.03.2019 um 19:26 schrieb K. Dreier:

>

> Zitat:
>> Zur Stromversorgung habe ich 2x das POE-Modul besorgt.
>
> Die übrigens wohl problematisch sein sollen. Habe das deswegen nicht
> gemacht. Habe auch WLAN deaktiviert und es schön brav mit einem
> ordentlichen CAT6-Kabel direkt am Hauptswitch hängen. Alles an USV
> natürlich. Da du Redundanz willst, würde ich zumindest mal den 2.
> Pihole mittels Netzteil anschliessen, ganz ehrlich. Was bringt dir der,
> wenn er dann wegen defektem POE-Hat im Fall der Fälle nicht läuft. ;)
> Alternativ gäbe es natürlich eine Cloud-Variante, aber wegen Thema
> open DNS resolver müsste man das dann wohl via VPN einbinden, was auch
> wiederum nicht ganz trivial ist. Da gehe ich dann doch lieber nach dem
> KISS-Prinzip vor...

Naja, wenn ein POE-Hat, also ein Pi-Hole ausfällt, läuft das Netz ja
störungsfrei weiter.
Ich habe eine PHP-Seite gebastelt, die mir meine Geräte überwacht, so
dass ich sofort sehe, wenn etwas ein Gerät ausfällt.

>
> Zitat:
>> Ich würde die Pi-Holes gerne mit Netzboot (PXE) betreiben, habe das
>> aber
>> noch nicht hinbekommen (weder mit Fli4l, noch Eisfair od., Windows).
>
> Eben, ich auch nie. Habe das aufgegeben. Speicher ist heute so billig,
> daß es doch total egal ist, ob ich mein OS auf einer SSD, SD, USB oder
> was auch immer installiere. Zum Testen sicherlich interessant, aber da
> habe ich Spannenderes...
Die Idee hinter dem Netzboot ist die Unabhängigkeit von billigen
Massenspeichern die evt. kaputt gehen können.
Vielleicht werfe ich das wieder über Bord.
>
> Zitat:
>> Einen Pi-Server hatte ich aufgesetzt, damit funktioniert Netzboot,
>> aber
>> der angemeldete User hat keinen Root-Zugriff, damit lässt sich
>> nichts
>> vernünftig installieren und konfigurieren.
>
> Da ist dann aber gröber was falsch gelaufen? Root hat kein Root? Oder
> hast du irgendwo ein Problem mit sudo(er) für nicht-root user? Habe das
> aber nie selbst genutzt.
Der PI-Server ist wohl so konzipiert, dass die davon bootenden
Raspberrys nur normale User-Rechte haben. Man hat keine Chance
Root-Rechte zu erlangen.
Das ganze ist wohl für Schulen oder ähnliches gedacht. Das Konzept ist
nicht schlecht, aber ohne Root für mich nicht verwertbar. Man kann ja
nicht mal Programme installieren.

>
> Zitat:
>> Ich habe bis jetzt nur in der base.txt den DNS-Forwarder
>> konfiguriert
>> und in der circuits.txt den providerseitigen DDNS deaktiviert.
>
>
> Hast du im Pihole (Admin Interface) unter DNS ganz unten einen Haken bei
> "Use Conditional Forwarding" gesetzt und dort die fli4l-IP und die
> Domain eingetragen? Probier das mal. Nur damit wird übrigens auch
> ermöglicht, die client Namen statt nur IP anzuzeigen.
Ja habe ich, aber da alle Clients den Router als DNS Server verwenden,
taucht da natürlich nur der name vom Fli4l auf.

>
> Ich würde an deiner Stelle echt auch noch unbound in den Pihole
> einbinden sowie - sofern du das willst als DNS-Zielserver - cloudflare.
Entschuldig die blöde Frage:
Wofür ist das gut? Was macht unbound?
Es läuft doch dann schon ein DNS-Server auf dem Pi.

> Läuft bei mir hervorragend und ist eigentlich ziemlich einfach
> einzurichten. Ich empfehle allerdings, nirgends - wie in manchen
> Tutorials angegeben - den Port 5353 zu verwenden, denn wird scheinbar
> auch für multicast verwendet. Ich bilde mir ein, daß ich nach
> Änderung auf z.B. 5053 weniger Probleme mit meinen IoT-Geräten hatte.

Welche IOT-Geräte machen denn bei dir Multicast?

LG
Boris
Aw: Re: DNS auf internen Rechner (Pi-Hole) umbiegen [Beitrag #70396 ist eine Antwort auf Beitrag #70365] Sun, 17 March 2019 12:37 Zum vorherigen Beitrag gehen
Klaus Dreier ist gerade offline  Klaus Dreier
Beiträge: 322
Registriert: January 2015
Senior Member
Hallo,

B. Sprenger schrieb am Fri, 15 March 2019 15:31

Der PI-Server ist wohl so konzipiert, dass die davon bootenden
Raspberrys nur normale User-Rechte haben. Man hat keine Chance
Root-Rechte zu erlangen.
Das ganze ist wohl für Schulen oder ähnliches gedacht. Das Konzept ist
nicht schlecht, aber ohne Root für mich nicht verwertbar. Man kann ja
nicht mal Programme installieren.
Ich kenne das Setup nicht. Aber letztlich muß ja irgendein Admin/root entscheiden, was (wie) auf den clients läuft? Vielleicht muß man da anknüpfen. Wie auch immer, letztlich hier ja nicht so ganz relevant.


> Hast du im Pihole (Admin Interface) unter DNS ganz unten einen Haken bei
> "Use Conditional Forwarding" gesetzt und dort die fli4l-IP und die
> Domain eingetragen? Probier das mal. Nur damit wird übrigens auch
> ermöglicht, die client Namen statt nur IP anzuzeigen.
Ja habe ich, aber da alle Clients den Router als DNS Server verwenden,
taucht da natürlich nur der name vom Fli4l auf.[/quote]
Jein. Nicht, wenn du auf dem fli4l noch bei
DHCP_RANGE[x].DNS_SERVERS=
die IP vom Pihole einträgst. Klar, im Pihole Interface oben rechts im Kuchen "Queries answered by", dort steht nur der fl4il bzw. cache usw. Aber bei der client-Liste hast du dann die IPs von den einzelnen clients - und wenn du in der /etc/host den einzelnen clients, welche vom fli4l eine fixe IP bekommen, noch einen hostname zuweist, dann werden die auch mit Name angezeigt. Nicht ganz so toll, wenn man viele clients hat, aber...

> Ich würde an deiner Stelle echt auch noch unbound in den Pihole
> einbinden sowie - sofern du das willst als DNS-Zielserver - cloudflare.
Entschuldig die blöde Frage:
Wofür ist das gut? Was macht unbound?
Es läuft doch dann schon ein DNS-Server auf dem Pi.[/quote]
Richtig. Aber die Kombination unbound und (z.B.) cloudflare gibt dir dann DoH und limitiert nicht zuletzt die Anfragen an den upstream DNS-Server, da der unbound (u.a. also DNS-Cache hinter Pihole) die Anfragen nach oben limitiert und technisch anders "rauf schickt" als wenn es der Pihole direkt täte. Bin da kein Experte und verweise insofern auf die einschlägigen Artikekl zu unbound. Cloudflare ist dann letztlich nur das Vehikel, die Verbindung zwischen unbound und upstream-Server über DoH laufe zu laufen lassen. Nicht nötig, aber warum denn nicht!

Zitat:
Welche IOT-Geräte machen denn bei dir Multicast?
Tja, da bin ich auch nicht so ganz sicher. Steige da nicht durch. Aber jedenfalls zickt z.B. der Amazon Echo seitdem er in einem VLAN hängt. Habe sehr viel probiert und was ich so lese, scheint es an multicast zu liegen. Habe da noch keine Lösung. Ist nicht wirklich meine Baustelle. :-/ Aber das hat nichts mit Pihole zu tun, da das Problem auch besteht, wenn ich den Echo am Pihole vorbei laufen lasse.

Gruß
Klaus
Vorheriges Thema: Informationen zu den wöchentlichen 4.0-Archiven vom 15.03.2019 (r55419)
Nächstes Thema: Feature Request: Speicherort Kernel_Version
Gehe zum Forum:
  


aktuelle Zeit: Sun Mar 24 23:18:18 CET 2019

Insgesamt benötigte Zeit, um die Seite zu erzeugen: 0.02067 Sekunden