Fragen zu DoH in Browser

[blub4747]

Hallo Forum,

Ich habe letztens die Test/Info Seite gefunden um sich mehr Informationen zu den eigenen Browser anzeigen zu lassen.
dnscheck.tools

Allerdings verwirren mich die Ergebnisse von dieser Seite.
Laut dieser Seite, soll mein DNS resolver, ein resolver aus den gleichen IP Bereich sein, wie von mein ISP zugewiesene IP Adresse.
Obwohl ich hier in meinen Heimnetz ein Pihole habe, durch welches der ganze Verkehr gefiltert wird.

Zusätzlich erzählt mir die Seite, noch etwas über ein Round-robin DNS welches es noch geben soll.
Woher kommen diese Informationen? Kann ich diese Informationen ignorieren, da Ich ja ein Pihole und somit ein vollkommenes anderes setup habe ?
Und was ist mit den DNS Informationen wenn ich meinen Browser auf ein anderes DNS umstelle ?

 

[H3llF15H]

Mach doch mal einen Screenshot und poste ihn Bilder sagen mehr als...

 

[DeusoftheWired]

Obwohl ich hier in meinen Heimnetz ein Pihole habe, durch welches der ganze Verkehr gefiltert wird.

Ohne zusätzliche Einstellungen nutzt Pi-hole erst mal nur den DNS, den es per DHCP vom Router mitgeteilt bekommt. Die aufgelösten Namen filtert es nach seinen Listen, agiert aber nicht als eigener DNS. Als eigenständiger DNS kann Pi-hole aber via unbound arbeiten. Ist das bei dir so konfiguriert?

Und was ist mit den DNS Informationen wenn ich meinen Browser auf ein anderes DNS umstelle ?

Dann ignoriert dein Browser die Einstellungen des Betriebssystems, die auf den DNS des Routers bzw. pi-hole, zeigen, und verwendet den DNS mit DoH, den du im entsprechenden Menü im Browser hinerlegt hast. Den sollte dir die Testseite dann auch anzeigen.

Gleichzeitig Pi-hole mit unbound als eigenem DNS und zusätzlich DoH in einem Browser beißt sich aber bzw. ist nur in wenigen Fällen das, was der Anwender möchte.

 

[blub4747]

Zur Zeit nutzt mein Pihole Quad9 als DNS, aber Ich spiele mit verschiedenen anderen DNS resolvern rum eg stubby, unbound Adguard und Technitium. Auch finde Ich die Protokolle wie DoT,DoQ sehr intersant und möchte in der nahen Zukunft permament auf diese umsteigen.

Zur Zeit ist mein Browser auf 'Increased Protection' eingestellt und verwendet quad9 als DNS
mit Folgender addresse 'https://dns.quad9.net/dns-query'
Und irgenedwie fühlt es sich schon komisch an, wenn den ganzen Aufwandt betreibt und wenn der Browser völlig ignoriert, was man aufgebaut hat.

 

[DeusoftheWired]

Und irgenedwie fühlt es sich schon komisch an, wenn den ganzen Aufwandt betreibt und wenn der Browser völlig ignoriert, was man aufgebaut hat.

Verteilt der Router per DHCP die Info an seine Clients, daß sie die IP des Pi-hole als DNS verwenden sollen?

 

[blub4747]

Ja das Pihole ist in meine FritzBox 7590 8.20 eingehängt und diese sollte nur die gefilterten DNS Antworten ausliefern.
Allerdings hatte in der vergangenheit kleiner Probleme mit IPv6.
Und deshlab die DNS IPv6 auf '::1' zeigen lassen.

 

[DeusoftheWired]

@bl

Ja das Pihole ist in meine FritzBox 7590 8.20 eingehängt und diese sollte nur die gefilterten DNS Antworten ausliefern.

Okay, so soll’s sein! Bitte mal die Ausgabe eines Windows-Geräts in deinem Heimnetz zu nslookup computerbase.de hier in [code][/code]-Tags posten.

 

[blub4747]

Hier kommt die Ausgabe

C:\Users\blub>nslookup computerbase.de
Server:  UnKnown
Address:  fd51:8f8d:fd3d:1:e228:6dff:fe78:e69b

Nicht autorisierende Antwort:
Name:    computerbase.de
Addresses:  2a00:f48:2000:1::137
          212.83.33.137

 

[DeusoftheWired]

Zeile 4 – 8 sind wie erwartet in Ordnung. Mich wundert nur, daß die IPv6 aus Zeile 3 nicht mit fe80: für eine lokale IPv6 beginnt. Da sollte nämlich eigentlich die IP deines Pi-hole stehen. Kannst du die fd51:8f8d:fd3d:1:e228:6dff:fe78:e69b irgendetwas zuordnen? Mit einer fixen Suche konnte ich auf die Schnelle nichts dazu finden, die IPv6 scheint keinem AS zugeordnet zu sein.

Das UnKnown in Zeile 2 verstehe ich auch nicht ganz. Da sollte eigentlich der Hostname deines Pi-hole stehen. Ist aber nicht ganz so wild, darum kümmern wir uns später.

 

[BFF]

UnKnown in Zeile 2 verstehe ich auch nicht ganz.

Das bedeutet nix weiter als das das Gerät welches für die DNS Anfrage angefragt wird kein echter DNS ist sondern nur diese Anfragen weiterleitet.

 

[DeusoftheWired]

@BFF Okay. Nach den Schilderungen OPs hier im Thread sollte das aber nicht so sein, oder? Meinst du »kein echter DNS« in dem Sinne, daß es kein autoritativer sondern nur ein rekursiver ist?

 

[blub4747]

Kannst du die fd51:8f8d:fd3d:1:e228:6dff:fe78:e69b irgendetwas zuordnen?

Das ist die von der FritzBox automatisch generiete ULA Addressse

Wählen Sie aus, wie den Geräten im Heimnetz die Unique Local Addresses (ULA) zugewiesen werden sollen.
Unique Local Addresses (ULAs) immer zuweisen
Unique Local Address Ihrer FRITZ!Box:

Ergänzung (3. September 2025)

So wie Ich den umgang ULA addressen verstehe. So sind die nur für den Heimnetz gebrauch gedacht und werden nicht ins Netz weiter geleitet.
Unique-Local Scope: Unique-Local IPv6 Addresses (ULA)

Ich habe auch mal bei AVM nachgeschaut, um zu sehen was die dazu schreiben

IPv6 in FRITZ!Box einrichten

 

[BFF]

Nach den Schilderungen OPs hier im Thread sollte das aber nicht so sein, oder?

Dazu fehlt fuer mich ob sein Pi auch per unbound DNS macht.

Hier mal von mir. Reine Anfrage zum Router.

Hier frage ich explizit einen DNS an.

Mit unbound und pihole hab ich noch nicht experimentiert.
Aber mit lokalen DNS Servern auf der Basis von Bind damals. Das "unknown" bekommt man weg, wenn der Angefragte beide Richtungen beantworten/aufloesen kann. Also IP zu Name und Name zu IP. Das koennen reine Forwarder nicht.

 

[blub4747]

Also mein Pihole hat bei mir dir IP 33

ig computerbase.de

; <<>> DiG 9.18.33-1~deb12u2-Debian <<>> computerbase.de
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 45746
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 1232
; EDE: 3 (Stale Answer)
;; QUESTION SECTION:
;computerbase.de.        IN    A

;; ANSWER SECTION:
computerbase.de.    0    IN    A    212.83.33.137

;; Query time: 3 msec
;; SERVER: 192.168.178.33#53(192.168.178.33) (UDP)
;; WHEN: Wed Sep 03 17:43:40 CEST 2025
;; MSG SIZE  rcvd: 66

Und Ich denke das alles OK ausschaut

Und ich habe eben den Schritt

Aktivieren Sie im Abschnitt "DHCPv6-Server im Heimnetz" die Optionen "DHCPv6-Server in der FRITZ!Box für das Heimnetz aktivieren" und "Nur DNS-Server zuweisen".

Eben nachgetragen, vorher war das noch auf

DNS-Server und IPv6-Präfix (IA_PD) zuweisen
FRITZ!Box wird als DNS-Server via DHCPv6 bekannt gegeben. Teile des vom Internetanbieter zugewiesenen IPv6-Netzes werden an nachgelagerte Router weitergeben.

 

[norKoeri]

Wie @DeusoftheWired schon in seiner ersten Antwort schrieb, wenn Du Pi-hole hast, dann braucht der Web-Browser nicht mehr einen anderen DNS-Anbieter zu nutzen. Falls der Web-Browser das täte, würde er auch an Deinen (Werbe-) Filter-Lister vorbeigehen. Wenn Du Deine DNS-Anfragen ins Internet verbergen willst, dann setzen Viele zusätzlich einen Unbound als „Upstream DNS“ vor ihren Pi-hole: Anleitung.

Zur Zeit ist mein Browser auf „Increased Protection“ eingestellt und verwendet quad9

Welcher Web-Browser auf welchem Betriebssystem ist das genau? Klingt nach einem aktuellen Mozilla Firefox. Das ist für unterwegs an einem Notebook oder Tablet, wenn kein Zugriff auf Deinen Pi-hole besteht. Daheim mit einem Pi-hole wählst Du hier „off“.

Eben nachgetragen, vorher war das noch auf

Damit hast lediglich die IPv6-Präfix-Delegation für nachgelagerte Router abgeschaltet, bezüglich DNSv6 hat sich nichts geändert. Oder hat das einen Unterschied bei Dir gemacht, es also gelöst?

Allerdings hatte in der vergangenheit kleiner Probleme mit IPv6.
Und deshlab die DNS IPv6 auf '::1' zeigen lassen.

Hast Du in der FRITZ!Box die LLA oder ULA des Pi-hole eintragen? Also bitte keine GUA. Wenn das trotzdem nicht klappt, ist mein Tipp (nur) den DNSv6-Server abzuschalten …

 

[blub4747]

In meiner 7590 steht unter
Heimnetz-Erweiterte Netzwerkeinstellungen - IPv6
Folgendes:
Unique Local Addresses (ULAs) immer zuweisen
eine fd Addresse

Und unter
DNSv6-Server im Heimnetz
eine fe Addresse

Und ja Ich verwende den Aktuellen Firefox und habe die DNS bzw DoH Geschichte nur mal zur Probe eingeschaltet um mal zu sehen, ob sich die Ergebnisse auf der Teste ändern.

 

[norKoeri]

DNSv6-Server im Heimnetz
eine fe Addresse

Hier musst Du den Pi-hole eintragen, also die LLA oder ULA aber bitte keine GUA, weil wir Kunden in Deutschland normalerweise kein statistisches sondern ein dynamisches IPv6-Präfix bekommen. Wenn Du die Adresse des Pi-hole nicht herausbekommst oder das zu kompliziert ist, den Haken hier bei RDNSS wegnehmen und unten den DHCPv6-Server ganz abschalten (siehe verlinkten Thread).

habe die DNS bzw DoH Geschichte nur mal zur Probe eingeschaltet um mal zu sehen, ob sich die Ergebnisse auf der Teste ändern

Das ist eigentlich die falsche Stelle zum Testen, denn Du weißt nicht, was jener DoH-fähige Upstream-DSN-Server genau macht. Stattdessen machst Du das über die Upstream-Server im Pi-hole. Oder Du schaltest im Web-Browser sein DoH aus und verwendest direkt die DNS-Server Deines Internet-Anbieters.

 

[blub4747]

also die LLA oder ULA aber bitte keine GUA,

Bevor wir hier aneinander vorreden.
Will Ich versuchen die Begriffe zu sortieren.
Die Adresse, welche mit fd51: Anfängt und bei der
'64 scope global dynamic mngtmpaddr '
mit wenn Ich das richtig verstehe meine ULA.

Und die Adresse welche mit fe80 Anfängt und bei der '64 scope link '
hinten dran steht kann also ignorieren ?

 

[norKoeri]

• LLA – das ist die fe80, die kannst Du verwenden
• ULA – das ist die fd51, die könntest† Du verwenden
• GUA – das ist die Öffentliche, also irgendwas mit 2 am Anfang; die nicht verwenden

Wenn das bereits Fragezeichen erzeugt, mein Tipp auf DNSv6 ganz verzichten. Nachteile Null. Das ist ein Konzept für große Unternehmensnetze oder riesige WLAN-Hotspots, welche die Endgeräte nur noch per IPv6 und nur in absoluten Ausnahmefällen per IPv4 anbinden wollen. Für uns daheim, völlig für die Tonne und macht nur Probleme.

† FRITZ! scheint von der ULA komplett abzurücken, jedenfalls sehen die neusten FRITZ!OS für mich so aus. Könnte Dir also irgendwann wieder auf die Füße fallen. Mein Tipp, wenn Du DNSv6 verwenden willst: Probiere zuerst die LLA. Gibt es Probleme, auf ULA wechseln und Hersteller der betroffenen App anschreiben.

 

[blub4747]

Habe die LLA eingetragen.
Danke für das Begriffe sortieren.
Nett übrigens von AVM, das jetzt bei den 'Heimnetz-Eigenschaften'
Auch gleich die Bedeutung der Verschiedenen IPv6 Adressen erklärt wird.
Schließlich können manche Texte/Quellen im Netz auch mittlerweile veraltet sein.

Aber was ist mit den DNS-Servern, unter 'Internet - Zugangsdaten - DNS Servern' bzw IPv6 ?
Zur Zeit habe Ich dort '::1' stehen,
Weill in der Vergangenheit manche DNS anfragen in vollkommene komische Richtungen gingen.