Pi-Hole und FritzBox Setup Anleitung

:clapping:

1 Like

Wieso arbeitet ihr so?
Bei mir ist alles super schnell und sauber mit folgender Config:

Netz besteht aus FritzBox mit mehreren Accesspoints (Powerline) WLAN repeatern etc.

Fritzbox arbeitet als DHCP Server und hat als lokalen DNS Server die Pi-Hole Adresse eingetragen. Somit propagiert die FritzBox bei Anfragen der Clients den PI-Hole als DNS Server.

Im Pi-Hole ist wiederum die FritzBox unter Custom1 (IPv6 und IPv4) die FritzBox IP eingetragen.

In der FritzBox unter Zugangsdaten-DNS-Server steht die 1.1.1.1 und 1.0.0.1 Cloudflare als IPv4 und die 2606:4700:4700::1111 und 2606:4700:4700::1001 als IPv6 drin.

Wer (wie ich) IPv6 aktiv hat jetzt noch auf dem Pi-Hole:

ip6tables -A INPUT -p tcp --destination-port 443 -j REJECT --reject-with tcp-reset
ip6tables -A INPUT -p udp --destination-port 80 -j REJECT --reject-with icmp6-port-unreachable
ip6tables -A INPUT -p udp --destination-port 443 -j REJECT --reject-with icmp6-port-unreachable

sudo apt install ip6tables-persistent

Und alles läuft (inkl. Auflösung der lokalen Namen) stabil und schnell. Mein Netz ist nicht wirklich klein und keines der Geräte hat Werbung oder verzögerte Antworten.
Aktuell:
7 Android Handys
1 iPhone
3 Android Tablets
2 Streaming Player
5 Alexa
3 Chromecast
3 FireTV
5 Windows PCs
14 IoT (Lichtschalter etc)
1 IoBroker (Raspi)
2 Drucker

und das beste: nur unter dieser Konfiguration funktioniert die Filterung (Jugendschutz, Zeitschaltung, etc.) sauber. Obendrein sind meine Freunde, die mal im Gastnetz sind begeistert, da auch diese durch das Pi-Hole laufen und keine Werbung mehr haben :wink:

1 Like

Interessant, erlaubst Du noch ein paar Nachfragen?

Wie ist bei die die IPV6-Konfiguration auf der Fritzbox? Wie sieht Dein Pihole-Dashboard aus - werden die IP-Adressen reportet oder die DNS-Namen? Auch bei den IPv6-Adressen?

Warum hast Du auf dem Raspi Iptables aktiv? Macht doch eigentlich nur Sinn auf Gateway oder Router.
Warum forwardest Du DNS-Afragen wieder auf die Fritzbox ansatt direkt auf die externen Forwardeer?

Warum?
Warum nicht einfach IPv6 komplett deaktiveren, wenn man ehr nur mit IPv4 unterwegs ist.

Dashbord: Alles wenn es aufgelöst werden kann hat die DNS Namen. Domains sowieso, Clients fast alle mit Namen. (IPv4 Alle IPv6 90%)

iptables ist aktiv um https: Anfragen sofort die nicht erreicht werden könne sofort beendet werden und nicht ewige Suche stattfindet. Habe ich hier aus dem Forum und nachdem ich dies aktiv habe läuft alles wie geschmiert.

Mit dem forward der Anfragen ist sichergestellt, dass die FritzBox sowohl Gastnetz als auch alle Rules in den Filtern handeln kann.
Und wenn der Pi-Hole ne Anfrage nicht selbst beantworten kann geht er eben zur FritzBox und diese fragt dann bei Cloudflare,
Klar ein Metrik mehr in der Abfrage, aber das ist extremst gegenüber den gewonnenen bzw. nicht verlorenen Zusatzfunktionen auf der FritzBox für mich zu vernachlässigen.

IPv6 kannst du ausschalten. Ich nutze es massiv mittlerweile und bin froh natives IPv6 an meinem Anschluss zu haben. Kein sinnloses NAt etc.

jepp, aber ich komme von außen aus einem 4er Netz nicht mehr rein, da ich das gammlige DS-Lite mit IPv6 extern habe. Ansonsten würde ich auch IPv6 bevorzugen.

Noch was: Ich habe auch die aktuelle Beta von Pi-Hole mal getestet. Diese hat einige zusätzliche Einstellmöglichkeiten und ist ohne Logging in ner File nochmal deutlich performanter, hat aber bei mir noch einen Bug der aber bald gefixt wird.

Unter anderem NXDOMAIN :wink:

Welchen Provider mit DS-Lite nutzt du denn?

Unitymedia

wegen HTTPS-Prolematik schaut mal hier:

Den rebind-schutz habe ich nicht erwähnt aber selbstverständlich ist mein Pi-Hole hier eingetragen.
Aber nochmal: meine Konfig ist deshalb so gewählt, damit ich sowohl Namensauflösung als auch die kompletten Features der Fritzbox nutzen kann.
Ohne die Konfig surfen meine Kids tagelang :wink: Mit dieser Konfig greift z.B. die Zeitbeschränkung.

1 Like

Hallo habe nur kurze Frage bezüglich iptables, ich habe Raspi mit raspbian jessie und kann die roules nicht einpflegen.

Könntest du hierzu etwas mehr schreiben was man tun sollte ?

Grüße

Ich nutze Stretch, aber mit Jessie sollte es auch gehen.

Schau doch mal hier: https://blog.doenselmann.com/firewall-fuer-raspberry-pi-und-banana-pi/

Noch eine Frage, hast du die beiden settings aktiv ?

Never forward non-FQDNs
Never forward reverse lookups for private IP ranges

Wenn ich die aktiviere dann funktionioniert nslookup nicht.

und noch mal letzte Frage, wie kann ich es ändern wenn ich intern ping durchführe ipv4 zurückbekommen und nicht ipv6 ?

beides aus

Kommt darauf an, ob das Gerät IPv4 oder V6 priorisiert und benutzt.

ping fritz.box sollte mit v6 antworten

bzw. mach doch mal nen nslookup auf bekannte Geräte und schau welche Adresse zuerst gemeldet wird. Dies wird dann bei einem Ping auf den Namen antworten

Also bei der Fritzbox kommt ipv6 und bei anderen bekannten Geräten ebenfalls zuerst ipv6...gibt es da eine Möglichkeit es umzustellen ?!

Ist das bei dir auch so ?

Kommt immer darauf an, ob die Geräte (Interfaces) überhaupt v6 können. Wenn sie dies können, dann wird normalerweise v6 priorisiert
Ich habe noch Geräte ohne v6, dann kommt natürlich nur v4

Danke für deine Tipps, also eins habe ich gerausgefunden der nslookup für ipv4 geht nicht (habe ein Gerät der nur ipv4 kann und der kann nicht gefunden werden)

Jetzt muss ich schauen woran es liegt.

Grüße