Neues Gerät sendet keine Anfragen ans Pihole

[Boimler]

Hallo,

Ich habe eine Frage zur Funktion des Pihole als DNS-Server im Heimnetz. Folgende Situation: Ich schaue routinemäßig einmal am Tag ins Log, um zu sehen, ob es was auffälliges gab. Tatsächlich musste ich vor ein paar Tagen etwas genauer hinsehen, weil ein Gerät die ganze Nacht vergeblich nach Mama Google gerufen hat. Dabei fiel mir auf, dass am Abend vorher (20-23 Uhr) keine einzige Anfrage ans Pihole geschickt wurde, obwohl ein iPhone im Heimnetz eingewählt war. Ich weiß das einfach deshalb so genau, weil niemand im Haus war außer der Babysitterin, der ich die Zugangsdaten noch gegeben hatte. Im Router ist das Gerät (ein iPhone) mit IP-Adresse auch zu finden, die zugehörige IPv4 bzw v6 ist aber nie übers Pihole gelaufen, obwohl es der DNS-Server ist. Weiß jemand, ob es da eine Möglichkeit gibt, das Pihole zu umgehen?

Um das auch klarzustellen: Ich möchte keine DNS-Anfragen von irgendjemand überprüfen, die Logs lösche ich regelmäßig. Als IT-affiner Mensch fiel mir einfach nur auf, dass im genannten Zeitraum und unter den Umständen (Übergabe der Zugangsdaten) es eigentlich eine Anfrage ans Pihole gegeben haben MUSS. Nun suche ich nach dem Schlupfloch, wenn man so will.

Folgende Konfiguration liegt vor:
Router: FritzBox 7430 (Firmware 7.29)
DNS: Pihole auf einem Raspberry 1B+

Danke für eure Ideen!

 

[DarkAngel2401]

Wie es mit diesem Endgerät im Speziellen aussieht, kann ich dir nicht sagen, aber der per DHCP verteilte DNS-Server muss ja erstmal nicht verwendet werden.
Wenn an einen Gerät ein anderer DNS-Server konfiguriert ist und dein Router Anfragen an Port 53 UDP nach außen nicht unterbindet (außer für den PiHole), dann kann man da jeden x-beliebigen DNS-Server im Internet verwenden und den per DHCP erhaltenen einfach ignorieren.

 

[Cordesh]

Bin grade verwirrt... Man kann doch auf jedem Gerät einen x-beliebigen DNS Server eintragen.

Edit: Darkangel2401 war schneller

 

[0x8100]

Port 53 UDP

wenn ein client DoH verwendet, dann ist auch das egal.

 

[Raijin]

Wie hast du pihole denn eingebunden? Steht er in den Interneteinstellungen der Fritzbox und die Fritzbox verteilt via DHCP weiterhin sich selbst als DNS oder steht pihole in den DHCP-Einstellungen als DNS?

Im ersten Fall sehen die DNS-Aufrufe so aus:
Endgerät --> Fritzbox --> pihole

Pihole sieht nur einen einzigen Client, die Fritzbox, hinter der sich alle Endgeräte verbergen


Im zweiten Fall so:
Endgerät --> pihole

Pihole sieht alle Clients, weil sie sich direkt melden.


Grundsätzlich ist es auch so, dass DHCP zwar einen DNS verteilen kann, das Endgerät kann aber eine manuelle Einstellung für den DNS haben und ignoriert den DNS vom DHCP-Server. Es ist sogar so, dass einzelne Anwendung ihrerseits explizit einen anderen DNS verwendet und die Einstellungen des Geräts komplett ignoriert. Zu allem Überfluss gibt es noch IPv4 vs IPv6. Letzteres wird in der Regel priorisiert und wenn pihole nur für IPv4 konfiguriert wurde, kann es sein, dass DNS-Queries via IPv6 eben noch den Standardweg gehen, über den Router.
Hinzu kommen erweiterte DNS Methoden wie DNS over TLS oder DoH, die ebenfalls an normalen DNS-Einstellungen vorbeigehen können. Ebenso etwaige privacy Funktionen in Browsern, etc.


Überprüfe also zunächst welchen Konfigurationsweg du im Router gewählt hast (s.o.), sieh dir anschließend die IP-Einstellungen des fraglichen Geräts an und schau nach dem dort verwendeten DNS.

 

[Helge01]

Wie schon geschrieben liegt es am DoH. Apple verwendet in IOS bevorzugt die DoH Server:

doh.dns.apple.com
mask.icloud.com
mask-h2.icloud.com

Kannst die Domains in deinem Pi-hole sperren und es sollte wieder normal funktionieren.

Keine Ahnung ob folgende Listen auch im Pi-hole funktionieren, diese würden weitere DoH DNS Server sperren. Das ist mittlerweile notwendig da Anwendungen zunehmend darauf ausweichen sollte die normale DNS-Auflösung z.B. durch einen Pi-hole/pfBlocker nicht funktionieren.

https://raw.githubusercontent.com/oneoffdallas/dohservers/master/list.txt
https://raw.githubusercontent.com/Sekhan/TheGreatWall/master/TheGreatWall.txt

 

[Boimler]

Überprüfe also zunächst welchen Konfigurationsweg du im Router gewählt hast (s.o.), sieh dir anschließend die IP-Einstellungen des fraglichen Geräts an und schau nach dem dort verwendeten DNS.

Im Router ist der Pihole als DNS-Server eingetragen, sprich die Endgeräte kommunizieren direkt mit dem Pihole. Ich kann auch alle Endgeräte im Pihole anhand ihrer IPv6 identifizieren. IPv4 und v6 laufen bei mir beide über Pihole.

Wie schon geschrieben liegt es am DoH. Apple verwendet in IOS bevorzugt die DoH Server:

doh.dns.apple.com
mask.icloud.com
mask-h2.icloud.com

Kannst die Domains in deinem Pi-hole sperren und es sollte wieder normal funktionieren.

Danke für den Hinweis. Das könnte es natürlich sein. Ich probiere das morgen mal mit einem Apple-Gerät von der Arbeit aus. Im Haushalt gibt es sonst keine, daher ist mir das wahrscheinlich auch nie in den Sinn gekommen.

Wie es mit diesem Endgerät im Speziellen aussieht, kann ich dir nicht sagen, aber der per DHCP verteilte DNS-Server muss ja erstmal nicht verwendet werden.

Wie schon geschrieben, vermute ich auch eine DoH-Anfrage. Port 53 oder andere Anfragen landen in meiner Konfiguration alle beim Pihole. Es gibt im Router auch keinen alternativen DNS-Server im Eintrag oder ähnliches.

 

[Engaged]

Weiß jemand, ob es da eine Möglichkeit gibt, das Pihole zu umgehen?

1) falls jemand im Gäste WLAN ist muss das auch richtig konfiguriert sein.

2) Geräte mit hardcoded DNS wie z.b die alten chromecast und chromecast Audio Geräte ohne Android usw kannst du nicht dazu überreden pihole benutzen.

3) eigene WLAN-Einstellungen in den verbindungseinstellungen eines jeweiligen Gerätes wo man sich dann selber ein DNS Server setzt.

4) verschlüsselte DNS Server welche Android Geräte und Co heutzutage onboard unterstützen.

5) sonstige sicherheitsfeatures wie VPN, oder Browser Funktionen wie sicheres Surfen und wie sich der ganze Quatsch nicht schimpft, was alles quasi eine Art VPN ist im Endeffekt aber meistens den lokalen DNS Server umgehen kann.

 

[Boimler]

Hab jetzt mal das dienstliche IPad im Heimnetz angemacht und tatsächlich den gleichen Effekt. Dann muss ich da wohl ein paar Löcher hinsichtlich DoT und DoH stopfen. War mir bisher gar nicht so bewusst, weil ich dachte, dass das von Nutzern höchstens manuell eingestellt wird, aber nicht vom Anbieter schon so vorgesehen ist.

 

[Helge01]

Ist mittlerweile eine Seuche. Vor kurzem wurde bei mir versehentlich in einer Filterliste etwas von Amazon geblockt. Die Prime Video App hat es dann über Google DNS und danach Cloudflare DNS versucht, funktioniert bei mir nicht. Anschließen hat sie es per DoH probiert, geht bei mir aber auch nicht. Dadurch ist mir der Fehler in der Filterliste erst aufgefallen, da durch das blockieren kein Streaming ging. Ohne dem hätte ich es nicht bemerkt, da sie durch DoH einfach mein eigenen DNS mit Filterlisten umgangen hätten.

 

[Boimler]

@Helge01 : Das beunruhigt mich an der Konstruktion solcher Sicherheitsfunktionen besonders, weil die Umgehung der Funktionen nirgendwo protokolliert wird. Wie blockierst du DoH bei dir?

 

[Raijin]

DNS-over-HTTPS alias DoH kann man mehr oder weniger nur über die IP-Adresse des Servers blocken. Für Router/Firewall ist der Traffic nämlich nichts anderes als ein Aufruf einer normalen Webseite mit https. Entweder man blockt also TCP 443 und blockt damit nahezu sämtliche Surfaktivitäten gleich mit oder aber man blockt die IP-Adressen bekannter DoH-Server. Das wiederum läuft mittel- und langfristig auf einen Wettlauf gegen wechselnde und neu aufkommende DoH-Server hinaus.

DNS-over-TLS alias DoT lässt sich da leichter blockieren, da es über TCP 853 läuft.

 

[Helge01]

@Boimler Wie @Raijin schrieb geht das nur durch Blocken der IP-Adressen bzw. Domains. Ich nutze dafür eine pfSense mit DNS-Resolver und pfBlocker. Dieser bringt von Haus aus eine Einstellung mit, wo eine große Anzahl von DoH geblockt wird. Zusätzlich habe ich noch Listen mit IP-Adressen und Domains.

 

[Raijin]

DoH ist für Admins tatsächlich ein Graus, genau aus diesen Gründen. Geblockte Domains dienen ja nicht allein dem Schutz vor Werbung und Trackern, sondern auch vor Malware und anderen unerwünschten Inhalten wie P0rnos oder dergleichen. Mit DoH hat man den IT-Admins dieser Welt daher wirklich ein Ei gelegt.

Wirklich schützen kann man sich und sein Netzwerk gegen DoH kaum, weil schon beim nächsten Firmware-Update - sei es manuell oder auch als kleines automatisches Daten-Update im laufenden Betrieb - ehemalig geblockte DoH-Server gegen neue ungeblockte Server ausgetauscht bzw ergänzt werden können.