Debian Server soll alternativen DNS-Server an Clients schicken

[Geeky26]

Ich habe seit Jahren einen Server mit Debian und PiHole.

In meiner /etc/resolv.conf steht

domain fritz.box
search fritz.box
nameserver 192.168.1.99

In /etc/network/interfaces steht

auto lo
iface lo inet loopback

auto enp2s0
iface enp2s0 inet dhcp
        address 192.168.1.99
        netmask 255.255.255.0
        gateway 192.168.1.1
        dns-nameserver 192.168.1.1
        # dns-nameserver 127.0.0.1
        # dns-nameserver 192.168.1.1

192.168.1.99 ist der Debian-Server mit PiHole.
192.168.1.1 ist die FritzBox. In der FritzBox sind erster und zweiter DNS-Server gesetzt.
Der erste ist 192.168.1.99, der zweite 9.9.9.9

Ist alles irgendwie ein Mix mit Überbleibseln von verschiedenen Tests.

Ich hätte gerne, dass alle Clients den 9.9.9.9 als Alternativ-DNS gesendet bekommen.
Wie gehe ich da vor? Aktuell bekommen meine Clients nur 192.168.1.99 (ich denke vom Server).
Ist der Server aus, gibts gar keine Internetverbindung aktuell für keinen der Clients.

 

[madmax2010]

Option a: Trag quad9 in der Frizbox ein (wenn sie DHCP macht, werden DNS requests dann dort gecached und alle clients nutzen Quad9 / den lokalen cache.
Option b: Installier dnsmasq, und verteil die IP Konfiguraton vom Debian Rechner aus

 

[kartoffelpü]

Alternativ-DNS

Achtung, Alternativ-DNS-Server bedeutet nicht zwingend, dass dieser nur genutzt wird, wenn der erste gerade mal nicht erreichbar ist.
Aus dem Kopf: Windows-Clients bleiben dann beim zweiten DNS-Server, auch wenn der erste wieder erreichbar ist.

 

[Geeky26]

Option a: Trag quad9

Geht nicht, es soll ja primär über PiHole gehen.

Option b: Installier dnsmasq, und verteil die IP Konfiguraton vom Debian Rechner aus

Problematisch, wenn der Server aus ist. Selbes Problem. Keiner hat Inteternet.

Aus dem Kopf: Windows-Clients bleiben dann beim zweiten DNS-Server, auch wenn der erste wieder erreichbar ist.

Das ist schlecht.

Gibt es eine andere Idee, wie alle Clients noch Internet haben, wenn der Server mal aus ist?
Die Handys gehen einfach ins Gast-WLAN. Das geht nicht über den PiHole. Aber was machen die kabelgebundenen?
Der war die letzten 2 Tage wegen Tiefbauarbeiten vor dem Haus aus. Die Vibrationen waren mir zu viel (die ganze Bude war am wackeln).

Alle Clients bekommen 192.168.1.99 statt 192.168.1.1

 

[madmax2010]

Problematisch, wenn der Server aus ist. Selbes Problem. Keiner hat Inteternet.

Dann mach das direkt auf pihole

Ergänzung (14. November 2023)

Die Handys gehen einfach ins Gast-WLAN. Das geht nicht über den PiHole. Aber was machen die kabelgebundenen?

Dann mach mit der FB nur im Gastnetz DHCP und trag halt in jedem Fall Quad9 in der Fritzbox ein

 

[kartoffelpü]

Gibt es eine andere Idee, wie alle Clients noch Internet haben, wenn der Server mal aus ist?

Internet haben sie ja trotzdem, können nur keine Namen mehr auflösen

Der Trend geht zum lokalen Zweit-DNS, z.B. mit nem Raspi Zero (2) W.
Wenn beide piholes gleich konfiguriert sind, ist es wieder egal, welcher der beiden antwortet.

 

[Geeky26]

Dann mach das direkt auf pihole

Vielleicht habe ich gerade einen Knoten im Hirn.
PiHole ist auf dem Debian-Rechner. Wenn der aber aus ist, dann hat ja keiner Internet/Zugang/Namensauflösung oder was verstehe ich da gerade falsch?

Wenn beide piholes gleich konfiguriert sind, ist es wieder egal, welcher der beiden antwortet.

Hauptserver/PiHole 1: 192.168.1.99
Zweit-DNS RPi: 192.168.1.100 ?

Wie kommen die Clients dann Info über den Zweit-DNS. Aktuell ist es so, und ich weiß nicht wie ich das ändern kann, dass alle Clients 192.168.1.99 als DNS zugewiesen bekommen. So steht es in der resolv.conf.

 

[deollz]

Pihole so wie es gedacht war, immer an, aufm Raspi (SBC) funktioniert das ganz gut.

 

[Geeky26]

Bevor ich mich zum RPi-Kauf begebe und alles umbaue.

Wie kann es sein, dass meine resolv.conf immer 192.168.1.99 bekommt, egal was ich in /etc/network/interfaces eintrage? (das ist der Debian-Rechner mit PiHole etc, er bekommt also seine eigene statische IP zugewiesen).

Früher war es mal so, dass 192.168.1.1 drin stand (FritzBox) und in der FritzBox dann die DNS-IPs, in diesem Fall der Server und Quad9. Ich meine mich aber zu erinnern, dass die FritzBox willkürlich zwischen beiden DNS' gewechselt hat und somit nicht immer alles durch den PiHole lief.

 

[kartoffelpü]

Wie kommen die Clients dann Info über den Zweit-DNS

Hmm stimmt, im Fritz-DHCP kann man nur einen DNS-Server mitgeben.
Lösung wäre, den DHCP-Server auch woanders laufen zu lassen, allerdings hat man dann wieder einen Single-Point-of-Failure. 2 DHCP-Server will man ja nicht gleichzeitig in einem Netz aktiv haben.

Man könnte sich da bestimmt was mit nem kleinen Script basteln, dass der pihole prüft, ob dein Debian DNS-&DHCP-Anfragen beantwortet. Wenn nicht, muss der raspi die Dienste zur Verfügung stellen. Bedingt aber auch, dass eine recht kurze Leasetime konfiguriert ist.

 

[deollz]

Warum sollt der DNS-Server auf dem Server laufen ?

 

[Hammelkopp]

Grundsätzlich kann man auch 2 DHCP laufen lassen. Musst halt die Vergabebereiche einstellen z.B. 192.168.1.1-.99 und .100-.199. Beide DHCP vergeben dann halt beide DNS und gut ist.
Habe bei mir ein ähnlichen Fall. Habe früher primär den PiHole verteilt und als Fallback 1.1.1.1. PiHole läuft auf'm Nas das ab und an mal ausgestiegen ist. Nachdem die Clients jedoch neu gestartet sind und PiHole wieder lief, haben die auch den primären DNS auch wieder genutzt d.h. es ist maximal ein temporäres Problem. Habe jetzt trotzdem nen AdGuard auf meiner Firewall laufen als primärer DNS und den PiHole als Fallback.

 

[Geeky26]

Wie stellst du denn den zweiten DNS als Fallback ein?

 

[winterblut]

ich würde keine alternativen dns vergeben. dein pi hole oder gar nix. Ist der Pi down merkst das so ziemlich schnell.

Davon ab: Wenn der Pi down ist verschicken deine "call to home" geräte fleißig ihre gesammelten Daten - führt den hole irgendwie ad absurdum - Oder nutzt du den nur als "ad blocker" und hast ne anständig administrierte firewall?

 

[Geeky26]

Nein, eine Firewall habe ich keine weil ich nicht weiß wie man sowas richtig einstellt.
Ich blocke mit dem Pi alles was nicht raus darf.

 

[winterblut]

dann frag dich ob du willst das deine geräte wissen wie sie den quasi umgehen können
ich pers. vergebe via router (dhcp) einfach meinen pihole als dns, nicht mehr und nicht weniger.


statt firewall aber besser als nichts: arbeite mit dhcp reservierungen und blockiere diese dann im router nach draußen - das verhindert rumquarkerei nach hause relativ gut, insofern das Gerät kein Internet zur Funktion benötigt.

 

[Geeky26]

ich pers. vergebe via router (dhcp) einfach meinen pihole als dns, nicht mehr und nicht weniger.

Genau das möchte ich auch. Aber der Debian-Rechner hat in der resolv.conf-Datei nameserver 192.168.1.99 stehen statt 192.168.1.1 und ich weiß nicht wie ich das wegbekomme (die resolv.conf wird ja automatisiert erstellt).

 

[winterblut]

ich mach mal gpt für dich

In Debian-Systemen wird die resolv.conf-Datei, welche die DNS-Server-Konfiguration enthält, oft automatisch von systemd-resolved oder einem Netzwerk-Manager wie NetworkManager generiert. Wenn die IP-Adresse des Nameservers in dieser Datei falsch ist, gibt es mehrere Möglichkeiten, dies zu korrigieren:

1. Änderung über den Netzwerkmanager: Wenn Sie einen grafischen Netzwerkmanager verwenden (wie z.B. in GNOME), können Sie die DNS-Einstellungen in den Netzwerkeinstellungen ändern.
2. Änderung über die Netzwerkkonfigurationsdatei: Bei der Verwendung von systemd-networkd oder einem ähnlichen Dienst können Sie die Netzwerkkonfigurationsdateien bearbeiten, die sich normalerweise im Verzeichnis /etc/systemd/network/ befinden. Hier können Sie den DNS-Server manuell festlegen.
3. Verwendung von resolvconf: Wenn resolvconf installiert ist, können Sie versuchen, die DNS-Server über dieses Tool zu setzen. Sie können z.B. echo "nameserver 192.168.1.1" | sudo resolvconf -a eth0 ausführen, wobei eth0 durch den Namen Ihres Netzwerkinterfaces ersetzt werden sollte.
4. Direkte Änderung der resolv.conf: Dies ist normalerweise nicht empfohlen, da Änderungen überschrieben werden können. Aber als temporäre Lösung können Sie sudo nano /etc/resolv.conf ausführen und die Datei direkt bearbeiten.
5. Deaktivieren der automatischen Erstellung: Wenn Sie die automatische Generierung der resolv.conf-Datei vollständig deaktivieren möchten, können Sie dies tun, indem Sie symbolische Links entfernen oder Konfigurationen in Ihrem Netzwerkmanager ändern.

Es ist wichtig, den korrekten Ansatz basierend auf Ihrer spezifischen Konfiguration und den verwendeten Diensten zu wählen. Es könnte auch hilfreich sein, nach Änderungen den Netzwerk-Dienst neu zu starten oder das System neu zu booten, um sicherzustellen, dass die Änderungen wirksam werden.