Android umgeht ersten DNS Server

[Spassmuskel]

Hallo,

ich betreibe seit zwei Jahren einen PiHole. Seitdem mein Handy (Mi A3) Android 10 hat (zumindest kommt es mir so vor) umgeht es meinen PiHole und nimmt stattdessen den zweiten eingetragenen DNS Server (keine Werbung wird blockiert, noch geht der Zähler beim PiHole hoch).

In meinem WLAN Router der als DHCP Server agiert, habe ich als ersten DNS den PiHole und als zweiten einen anderen Anbieter (digitale Gesellschaft CH). Beide DNS stehen auch richtig in den "Infos" des Handys.

Gebe ich meinem Handy eine statische IP und trage nur den PiHole ein, wird der PiHole wie gehabt genutzt. Sobald ich aber einen zweiten DNS als Backup einpflege, wird nur der zweite genutzt. Sowohl im Firefox als auch im Chrome. Nun würde ich aber gerne vor allem bei den mobilen Geräten DHCP nutzen und einen zweiten DNS einrichten, falls der Pi mal ausfällt (bin nämlich nicht der einzige, der das Netzwerk nutzt).
Gibt es irgendeine Einstellung damit wirklich, falls er verfügbar ist, nur der Pi genutzt wird?

Bei Windows funktioniert es übrigens problemlos. Nur bei Android nicht, was mich aber wegen Google nicht wirklich verwundert (siehe Standardeinstellung in Chrome).

 

[DeusoftheWired]

Trag den DNS der digitalen Gesellschaft in Pi-hole als (zweiten) Upstream-DNS ein und entferne im Router den sekundären DNS, sodaß nur noch die IP des Pi-hole an die DHCP-Clients verteilt wird.

Google und Apple haben angefangen, mit Certificate Pinning, DoT/DoH und ähnlichen Techniken gegen Werbeblocker wie Pi-hole vorzugehen, indem hartkodierte DNS-Server vorgegeben werden, die nicht von einer Einstellung im Netzwerkmenü, hosts-Datei, per DHCP o. Ä. berührt werden. Es ist absehbar, daß Pi-hole in seiner jetzigen Form nicht mehr lange bestehen wird, jedenfalls bis das ganze zum Standard geworden ist. Pi-hole ist darauf angewiesen, in DNS-Anfragen hineinschauen zu können. Sie dürfen nicht verschlüsselt sein, sonst könnte es nicht wissen, ob darin Werbedomänen angefragt werden.
Dagegen muß man dann stärkere Geschütze auffahren und mit etwas wie Edgerouter X oder vergleichbarer Hard/software (ipfire, pfSense …) sämtliche Anfragen, die ein Gerät zum Ziel 8.8.8.8 auf Port 53 stellt, zur IP eines Pi-hole umleiten. Für Weiteres siehe diesen reddit-Thread.

 

[Spassmuskel]

Schade eigentlich, fand es immer ganz praktisch.
Nur wenn der Pi mal ausfällt, geht gar nichts mehr. Aber gut, anders geht es wohl nicht.

 

[Fard Dwalling]

Wenn du eh über eine pfsense nachdenkst, da kannst du auch die pihole Filterlisten hinterlegen. :-)

 

[Zero_Official]

dieses Verhalten ist nur ein Tropfen auf den heissen stein!
ich habe 2 Wlans, ein für Mobile Geräte wie smartphones und ein Gäste Wlan.
In Mobilen ist ziemlich viel restriktiert, in Gast alles frei ausser Lokalem Netzwerk.
Mein Android Handy wechselt Wlan von restiktiven zu Gast selbstständig....
wenn bedarf besteht.... also habe ich gast profil gelöscht.

PS
hardcodierte DNS finde ich blöd, lassen sich mit Wireshark und port spiegelung rausfinden und simpel blocken.

 

[snaxilian]

@Spassmuskel Fällt der Router aus, geht auch nix mehr. So ist das mit Single Point of Failure Lösungen. Theoretisch kannst dir nen zweiten pihole auf nem zweiten Raspi aufsetzen und den als sekundären DNS an die Clients verteilen lassen oder nutzt zwei Raspis um pihole redundant zu betreiben oder oder oder. Also Möglichkeiten dies zu beheben gibt es.

 

[Legolas]

Dagegen muß man dann stärkere Geschütze auffahren und mit etwas wie Edgerouter X oder vergleichbarer Hard/software

Ich vermute mal das man da mit einer Fritzbox als Router keine Chancen hat oder?

Edit: Könnte man da mit einer statischen Route was machen?

 

[Spassmuskel]

@Spassmuskel Theoretisch kannst dir nen zweiten pihole auf nem zweiten Raspi aufsetzen und den als sekundären DNS an die Clients verteilen lassen oder nutzt zwei Raspis um pihole redundant zu betreiben oder oder oder. Also Möglichkeiten dies zu beheben gibt es.

Da ich tatsächlich noch einen arbeitslosen Raspi rumliegen habe, habe ich auch schon daran gedacht. Der Pi ist mir in den zwei Jahren tatsächlich schon zwei mal ausgestiegen. Einmal weil er anscheinend aus unbekannten Gründen überhitzte und das andere Mal hat er einfach keine Anfragen mehr aufgelöst. In beiden Fällen reichte Stecker raus und wieder rein.
Mein Router läuft aber tatsächlich seit mehreren Jahren problemlos durch.

 

[snaxilian]

Dein Verschleiß an Raspis ist aber eine andere Baustelle und hat mit dem eigentlichen Problem nix mehr zu tun.
Dein Router wird nicht persistent den vorhandenen Speicher mit Logs zu müllen und so SD-Karten kaputt schreiben oder hat ein besseres Temperaturmanagement bzw. die CPU hat eine deutlich geringere Abwärme als so mancher Raspi 3/4

 

[DeusoftheWired]

Ich vermute mal das man da mit einer Fritzbox als Router keine Chancen hat oder?

Leider richtig. Du brauchst etwas, das nicht nur statische Routen beherrscht wie eine FRITZ!Box, sondern Pakete anhand ihres Zielports umleiten kann.

 

[RoccoMD]

Mein PiHole funktioniert an für sich mit meiner Fritzi 7430 mittlerweile perfekt. Zumindest ohne Unbound Einstellungen.

Sobald ich jedoch den PiHole mit Unbound nutzen möchte, den Custom Upstream-DNS auf 127.0.0.1#5335 umstelle, den anderen DNS-Dienst (Google oder Cloudflare) deaktiviere, schnellen die Pi-Queries in die Höhe und nichts geht mehr auf kurz oder lang.

Dazu muss ich sagen, ich habe auch einen PV-Wechselrichter, der ständig mit dem Netz hin und her kommunizieren muss (wegen der Echtzeit-WebApp). Das klappt in Verbindung mit Unbound irgendwie leider nicht.

Falls jemand einen Rat hat, gerne her damit.^^