Fritzbox 7590 Firewall filtern nicht

[polyphase]

Moin,

ich habe aktuell folgendes Problem, an dem Internetanschluss eines Bekannten.
Dieser nutzt ein piHole als DNS Server und das funktioniert auch soweit.

Nun möchte er, das sämtlicher DNS Traffic der am PiHole vorbei geht, von z.B. in Apps hardgecodeten DNS Servern,
blockiert wird.

Ich habe das entsprechend in der Fritzbox eingerichtet, komischerweise wird es aber nicht geblockt.
Die Einstellungen könnt ihr in den Screenshots sehen. Hab ich noch was vergessen oder bin ich einfach zu blöd?

 

[Engaged]

- Hier stand mist ich habe das Wort Apps mit Apple verwechselt -

 

[polyphase]

Hä? Was hat Apple damit zu tun?
Es geht allgemein um diese hard-coded DNS, egal auf welchem Gerät/App.
Und Apple Geräte existieren in diesem Haushalt nicht.

 

[Raijin]

Keine Ahnung wie das in der Fritzbox aussieht - ich hasse diese Wizard-Profil-Sperr-Kacke von 08/15 Routern - aber wie genau testest du das denn?

nslookup computerbase.de 8.8.8.8

Damit kannst du explizit ein DNS-Query an einen DNS schicken.

Das Sperren von herkömmlichem DNS (Port 53) funktioniert jedoch nur, wenn auch wirklich Standard-DNS verwendet wird. Sobald ein Gerät DoH, DoT oder dnscrypt benutzt, guckst du in die Röhre, weil das verschlüsseltes DNS ist.

Abgesehen davon kann es auch sein, dass bestimmte Geräte gar nicht mit DNS arbeiten, sondern sogar direkt mit statischen IPs verbinden.

 

[Crumar]

Warum sollte der quellport gleich dem Zielport sein? Dem DNS Server ist egal, von welchem Port die Anfrage kommt. Aber Vorsicht, dass dein pihole noch an einen DNS Server kommt

Mal abgesehen davon, kann man das überhaupt so sperren? Du scheinst bei Priorisierung zu sein. Und Das, was raijin sagt

Und dann nochmal als letztes
Wenn das Gerät schon einen statischen DNS verwendet, dann wird es nicht unbedingt danach auf den pihole zurückgreifen sondern ggf sagen: nö

 

[tollertyp]

Also ich frage mich: Wofür überhaupt diese Regeln? Was ist die Intension?
Willst du feststellen, ob überall der richtige DNS-Server eingestellt ist?

Und was machst du, wenn ein Gerät einen eigenen DNS-Server haben wollte, und du es gar nicht umkonfigurieren kannst? Gibt es sowas überhaupt? Welchen Sinn hätte das?

Also eigentlich sollte es reichen, die FrtizBox zu veranlassen dein PiHole als DNS-Server im LAN zu propagieren (mir fällt kein besseres Wort ein).

 

[Raijin]

Wenn das Gerät schon einen statischen DNS verwendet, dann wird es nicht unbedingt danach auf den pihole zurückgreifen sondern ggf sagen: nö

Guter Punkt.

Deswegen sollte man anstelle einer DNS-Sperre auch eher eine DNS-Umleitung einrichten. Alles, was nach extern auf Port 53 verbinden will, wird kurzerhand einfach auf die IP des pihole umgeleitet. So ist zumindest sichergestellt, dass Geräte, die einen hart codierten DNS verwenden, nicht vollends den Dienst verweigern, weil sie schlicht und ergreifend gar keine Domains mehr auflösen können.

Allerdings muss man natürlich immer aufpassen, dass man sich nicht selbst den Ast, auf dem man sitzt, absägt. Heißt: Der pihole selbst muss von dieser Regel logischerweise ausgenommen werden, weil pihole letztendlich nur ein DNS-Forwarder mit einer lokalen Datenbank ist. Jede Domain, die pihole nicht in seinen Listen findet, wird an den Upstream-DNS durchgereicht und genau diese Verbindung pihole <> Upstream-DNS darf dementsprechend nicht blockiert oder umgeleitet werden.

Ob das mit einer Fritzbox geht? Keine Ahnung. Consumer-Zeug eben. Wenn, dann wird das aber irgendwo in den (D)NAT-Einstellungen sein, weil eine Umleitung dieser Art als DNAT (Destination NAT) bezeichnet wird.

 

[Raijin]

Nachtrag:

Ein pihole allein hilft sowieso wenig, wenn die DNS-Aufrufkette nicht stimmt. Man muss sich im klaren darüber sein wie genau das Setup funktioniert, weil im Zweifelsfalle lokale Namen (zB "MeinNAS") nicht mehr funktionieren oder der pihole womöglich gar nichts filtert, weil DNS an ihm vorbei direkt zum Router geht.


1)
Wenn zB die Fritzbox weiterhin DHCP-Server ist und sich selbst auch als DNS an die Clients verteilt, muss pihole in der Fritzbox als Upstream-DNS eingetragen werden, während der pihole selbst als Upstream-DNS beispielsweise 8.8.8.8 bekommt.
DNS :
Client -> Fritzbox -> pihole -> Upstream-DNS

2a)
Wird die Fritzbox weiterhin als DHCP betrieben, darüber jedoch die IP des pihole des DNS verteilt, benötigt pihole in den Einstellungen unter conditional forwarding die lokale Domain des Netzwerks (Fritzbox-Standard fritz.box) sowie die IP der Fritzbox. Upstream-DNS wie gehabt zB 8.8.8.8.
DNS :
Client -> pihole -> Fritzbox (für lokale Namen)
Client -> pihole -> Upstream-DNS (für externe Namen)

2b)
Alternativ und ohne conditional forwarding kann man hier auch die Fritzbox im pihole als Upstream-DNS verwenden.
DNS :
Client -> pihole -> Fritzbox -> Upstream-DNS

3)
Zu guter Letzt kann man pihole auch die Aufgabe des DHCP-Servers zuweisen, dann wird pihole direkt als DNS verteilt und braucht kein conditional forwarding, weil er selbst gleichzeitig DHCP ist.
DNS :
Client -> pihole -> Upstream-DNS

 

[polyphase]

Sory hat etwas gedauert, kam gestern nicht mehr dazu.
Ich beantworte eure Antworten in der vorhandenen Reihenfolge.

@Raijin
Ja ich hasse diese "Fritz-*******" auch, aber das ist nicht meine Hardware, da habe ich leider wenig mitzureden.
Ich bin fast verzeifelt überhaupt mal die richtigen Firewall Einstellungen zu finden, da diese ja sehr seltsame (für unbedarfte Anwender umbenannte) Namen haben.
Bei einer pfsense, opnsense oder edgerouter ist das für mich einfacher, da dort normale Bezeichnungen verwendet werden.

Zum Thema DoH, DoT usw., das ist mir bewusst, im piHole gibt es auch eine Liste mit den bekanntesten DoH Servern (Domains) welche gesperrt sind. Das es nicht zu 100% geht, ist mir klar, aber schon ein paar Verhinderte Anfragen, sind besser als nichts!


@Crumar
Ja bei der Fritzbox heißt das alles anders, hat mich auch zuerst ganz schön verwirrt.
Stimmt, das mit dem Quellport, daran habe ich nicht gedacht 🤦‍♂️
Ich frage mich gerade, ob nicht auch dann die Anfrage von einem Client an das piHole blockiert wird, läuft ja auch über Port 53🤔

@tollertyp
Dann hat der jenige pech gehabt. Aber es ist immer noch besser auch nur ein paar der Anfragen zu blocken als gar keine.

@Raijin
DNS Umleitung kann die Fritzbox leider nicht.
Japp das piHole ist in der Gruppe "unbegrenzter Zugriff", dasrf also alles.

zu 1.
Ist schon gemacht!

zu 2a und 2b.
Das ist doch nur notwendig, wenn die Geräte per "Namen" angesprochen werden müssen oder?
Also z.B. eine Nas per "Musstermann-NAS" sonst reicht auch die IP. Oder bringe ich das durcheinander?

zu 3.
Das muss ich abklären. Falls ich was zerschieße, wird das schwierig (weit entfernt).
Denn ich mache alles aktuell per Remote Zugang über VPN.

 

[Raijin]

Das ist doch nur notwendig, wenn die Geräte per "Namen" angesprochen werden müssen oder?
Also z.B. eine Nas per "Musstermann-NAS" sonst reicht auch die IP. Oder bringe ich das durcheinander?

Alle 4 Setups beinhalten lokale Namensauflösung und ich rate dringend dazu, das nicht leichtfertig abzutun. Namen erleichtern den Umgang mit dem Netzwerk und bei DHCP-Clients ohne statische Reservierung ist der Name der einzig sinnvolle Weg, eine Verbindung herzustellen, weil man sonst umständlich im Router nach der IP suchen muss.

Wie dem auch sei, sofern du in der Fritzbox auf der richtigen Seite bist, müsste es ausreichen, die ausgehenden Zielports für DNS zu blocken, während der Quellport jeweils leer bleibt (oder 0, * oder wie auch immer das bei der Fritzbox gedacht ist). Testen mittels nslookup computerbase.de 8.8.8.8

 

[polyphase]

Ok, danke für den Tipp.
Bis jetzt wurden immer die IPs genutzt, da die Fritzbox den Geräten sowieso immer die gleiche IP zuweist.
Trotz DHCP

 

[Raijin]

Das eine schließt das andere nicht aus. Es ist aber einfacher, sich "Datengrab" für das NAS zu merken, als 192.168.1.142 - oder war es die .141? Ach ne, das war ja der Drucker, das NAS hatte doch die .124.

Und vor allem: Spätestens beim Routertausch geht das alles in die Grütze, weil die DHCP-Reservierungen weg sind.

 

[polyphase]

Stimmt, Mal sehen ob ich das einrichten "darf"

 

[Spiczek]

@Raijin eine Frage. Wenn ich meinem PiHole in der FritzBox eine feste IP zuweise und diese IP als Standard für DNS in der FritzBox eingebe, wo sonst 8.8.8.8 steht, welche deiner 4 Varianten habe ich dann?

Ist doch die 1. oder? DHCP macht die Fritzbox und die Geräte behalten ihre IP auch für die nächsten 10 Jahre.

Grüße

 

[Raijin]

Deine Formulierung lässt viel Raum für Interpretationen, deshalb kann ich das so nicht beantworten. "Als Standard für DNS wo sonst 8.8.8.8 steht" kann sowohl als auch bedeuten.


Es gibt in der Fritzbox 2 Stellen, in denen man einen DNS angeben kann. Das eine ist der DNS, den die Fritzbox selbst verwendet, sozusagen der WAN-DNS der Fritzbox. Wird u.a. als Upstream-DNS bezeichnet.
Wird ein DNS-Query an die Fritzbox geschickt, zB mit "nslookup computerbase.de 192.168.178.1", leitet die Fritzbox an eben diesen DNS weiter.
Normalerweise ist das nicht 8.8.8.8, sondern der DNS, den die Fritzbox über WAN vom Provider zugewiesen bekommen hat. In der Regel ist das daher der DNS des Providers. Mir wäre nicht bekannt, dass da jemals 8.8.8.8 als Standard gestanden hätte, aber ich mag mich irren.


Die zweite Stelle für DNS-IPs in der Fritzbox ist der DHCP-Server. Hier wird standardmäßig die Fritzbox selbst als DNS drinstehen, also 192.168.178.1. Dies ist der DNS, den die Fritzbox an PCs, Laptops, Tablet, Smartphones und sonstige Geräte mit "automatischer" IP Adresse verteilt. Auch hier steht normalerweise nicht 8.8.8.8 als Standard. Das wäre sogar problematisch, weil dann die lokale Namensauflösung schon ab Werk nicht funktionieren würde, da 8.8.8.8 schlicht und ergreifend keine Ahnung hat wie dein NAS heißt und welche IP es hat.


Wenn ich dich richtig verstanden habe, meinst du aber ersteres, also den "WAN-DNS" der Fritzbox. Steht hier der pihole anstelle des Provider-DNS drin, leitet die Fritzbox folglich immer an pihole durch, wenn ein DNS-Query an die Fritzbox geschickt wurde und die angefragte Domain ungleich fritz.box ist. Also ja, das wäre Fall 1.

 

[Spiczek]

Hallo @Raijin. Sorry für die etwas unklare Fragestellung.

Dieses Bild zeigt die Stelle, die ich mit 8.8.8.8 meinte. Bei der Einrichtung des PiHole hatte ich bei einer Anleitung dort die Änderung des DNS Server auf die Pi IP gesehen.

In diesem YT Video bei Minute 17.36 wird es allerdings an anderer Stelle, unter Netzwerk -> lokaler DNS Server eingetragen.

Beide Varianten scheinen ja zu funktionieren, aber welche wäre jetzt welche deiner vier Varianten? Und wo wären bei beiden die Vor- bzw. Nachteile?

Bei der Variante vom Bild sehe ich den Vorteil, dass ich bei einem Ausfall des PiHole einen Alternativeintrag habe, bei dem ich nicht das komplette Netzwerk lahmlegen würde, aber halt keinen Werbeblocker mehr habe.

Grüße

 

[Raijin]

Dieses Bild zeigt die Stelle, die ich mit 8.8.8.8 meinte. Bei der Einrichtung des PiHole hatte ich bei einer Anleitung dort die Änderung des DNS Server auf die Pi IP gesehen.

Das ist der DNS-Server, den die Fritzbox selbst benutzt. Hierhin leitet die Fritzbox also alle DNS-Queries weiter, die sie nicht selbst beantworten kann. Trägt man hier also den pihole ein, wird die Fritzbox alle enigehenden Anfragen an pihole weitergeben. Die Einstellungen des DHCP-Servers bleiben dabei unangetastet.

Dieses Setup entspräche Variante 1 aus #8

DNS :
Client -> Fritzbox -> pihole -> Upstream-DNS

In diesem YT Video bei Minute 17.36 wird es allerdings an anderer Stelle, unter Netzwerk -> lokaler DNS Server eingetragen.

Das ist der DNS, den die Fritzbox via DHCP an die Clients verteilt, die ihre IP-Informationen "automatisch beziehen". Trägt man hier zB 8.8.8.8 ein, wird jeder dieser Clients direkt den google-DNS benutzen und weder pihole noch die Fritzbox berücksichtigen. Im Falle von pihole würde man hier demnach die IP des pihole eintragen und alle Clients fragen fortan pihole nach DNS.

Je nachdem ob man in pihole nun entweder conditional forwarding für die lokale Domain der Fritzbox fritz.box einrichtet oder in pihole den Upstream-DNS auf die Fritzbox zeigen lässt, wäre dies Variante 2a bzw. 2b aus #8

DNS (2a):
Client -> pihole -> Fritzbox (für lokale Namen)
Client -> pihole -> Upstream-DNS (für externe Namen)

DNS (2b):
Client -> pihole -> Fritzbox -> Upstream-DNS

Und wo wären bei beiden die Vor- bzw. Nachteile?

Ich sag es mal so: Prinzipiell ist das einerlei. Entscheidend ist, dass man sich auch um die lokale Namensauflösung Gedanken macht und das Setup gemäß einer der genannten Varianten einrichtet.

Zudem ist es durchaus hilfreich, wenn man das Setup auch verstanden hat, also weiß warum und wieso an welcher Stelle nun diese oder jene DNS-Adresse steht. Klar kannst du jetzt einfach ein Youtube-Video nachklicken, aber diesen Thread gäbe es ja gar nicht, wenn du die Einstellungen hättest nachvollziehen können.

Such dir also die Variante aus, die dir am einfachsten erscheint bzw. die du am ehesten verstanden hast. Tendenziell sind 1 und 2b am leichtesten nachzuvollziehen und zu konfigurieren.

 

[Spiczek]

Klar kannst du jetzt einfach ein Youtube-Video nachklicken, aber diesen Thread gäbe es ja gar nicht, wenn du die Einstellungen hättest nachvollziehen können.

Ich danke dir trotzdem, auch wenn der Satz etwas abwertend ankam und dies nicht mein Thread ist

Leider habe ich aber bei meiner Recherche um Verständnis nicht wirklich was einfaches finden können, wo es mir erklärt wird. Daher frage ich auch im mittleren Alter noch sehr gerne nach! Die Jugend bzw die Jüngeren scheinen das aber verlernt zu haben. Aber mir bleibt damit leider nur ein "nachklicken" übrig und ein gewisses Halbwissen. Ich bin beruflich auch in einem komplett anderen Bereich tätig und bin beim Thema Computer nur eher der Hardwarebauer, denn der Softwarespezi.

Grüße

 

[Raijin]

Bei der Variante vom Bild sehe ich den Vorteil, dass ich bei einem Ausfall des PiHole einen Alternativeintrag habe, bei dem ich nicht das komplette Netzwerk lahmlegen würde, aber halt keinen Werbeblocker mehr habe.

Das ist ein Trugschluss. Der sekundäre DNS ist kein Fallback wie du ihn dir vorstellst. Primärer und sekundärer DNS werden in der Regel quasi-parallel befragt. Namensauflösung ist auf kurze Reaktionszeiten ausgelegt und da wäre es fatal, wenn der sekundäre DNS erst dann zum Einsatz kommt, wenn der primäre so richtig ins Timeout läuft, wenn du verstehst was ich meine.
Am Ende führt das dazu, dass sporadisch eben doch Werbung durchrutscht, auch wenn sie eigentlich hätte geblockt werden sollen. In diesem Fall war pihole eben eine Spur zu langsam und es wurde sofort der sekundäre DNS - zB 8.8.8.8 - gefragt, natürlich inkl. Werbung.

Den sekundären DNS sollte man daher nach Möglichkeit entweder leer lassen oder mit einem Clone des primären DNS befüllen, also einem zweiten pihole. Klar, ist daheim ein bischen über's Ziel hinausgeschossen, aber so ist das nun mal konzipiert. Unterscheiden sich primärer und sekundärer DNS voneinander, wird man sporadisch eben auch Antworten vom sekundären bekommen wie beschrieben.

Ich danke dir trotzdem, auch wenn der Satz etwas abwertend ankam.

So war das nicht gemeint. Ich denke es wurde ausreichend klar, dass ich versuche, Dinge recht ausführlich zu erklären anstatt nur eine kommentarlose Lösung hinzuklatschen. Mit diesem Satz wollte ich niemanden abwerten, sondern lediglich ins rechte Licht rücken, dass Netzwerke eben deutlich komplexer sind als Otto Normal es sich vorstellt. Sonst gäbe es das ganze Forum vermutlich gar nicht. Fritzboxxen zeigen vielleicht 5% des Themas und diese auch noch in zahlreiche Wizards verpackt damit Otto Normal auch nix falsches anklickt. Da gibt es noch viel viel mehr als die paar Dinge, die ich hier beschrieben habe.

Leider habe ich aber bei meiner Recherche um Verständnis nicht wirklich was einfaches finden können, wo es mir erklärt wird. Daher frage ich auch im mittleren Alter noch sehr gerne nach!

Das kann ich nachvollziehen und ich finde es löblich, wenn man nachfragt und darüber nachdenkt! Daher spiele ich hier im Forum auch häufig den NetzwErklärbar.

Schon Konfuzius hat gesagt (kein Scherz):

"Gib einem Mann einen Fisch und du ernährst ihn für einen Tag. Lehre einen Mann zu fischen und du ernährst ihn für sein Leben".

 

[h00bi]

NetzwErklärbar

und dann vertippt er sich beim genial gedachten Wortwitz 🐻