Pi 5 mit Home Assistant OS und AdGuard funktioniert nicht als DNS-Server mit Fritzbox

[Oberwaldmeister]

Hallo,

ich habe seit gestern versucht alle Endgeräte in meinem Netzwerk über meinen Pi 5 mit installiertem Home Assistant OS mit AdGuard Addon als lokalen DNS-Server zu verwenden, um Werbung/Websites zu sperren.

In Home Assistant OS habe ich eingestellt, dass der Pi 5 immer eine statische IP haben soll. In AdGuard habe ich nichts weiter eingestellt, als die Filter und Websites/Dienste die gesperrt werden sollen. Ich habe eine Fritzbox mit aktuellem (8.02) OS und dort unter Heimnetz -> Netzwerk -> Netzwerkeinstellungen -> weitere Einstellungen -> IPv4-Einstellungen -> "Lokaler DNS-Server:" die IPv4 des Pis eingegeben. Nun funktioniert das ganze aber nicht wirklich, da ich bspw. Temu als Website gesperrt habe, dies aber auf jedem Gerät bis auf einem aufrufbar ist. Das Gerät, bei dem es funktioniert, ist das einzige, was nach der Einrichtung des Pis in das Netzwerk mit aufgenommen wurde. Ich bin absoluter Laie, was das ganze betrifft und mich durch etliche Forenbeiträge, Videos und ChatGPT gelesen, jedoch ohne Erfolg.
Ich hatte einmal versucht in der Fritzbox bei Internet -> Zugangsdaten -> DNS-Server -> DNSv4 in beide Zeilen die IP des Pis einzugeben, da hat es funktioniert. Ich wollte jedoch aufgrund dieses Beitrags (Link), das so einrichten, wie ich es als erstes beschrieben hatte. Also damit ich sehe, welches Endgerät, welche Anfrage gestellt hat, und nicht nur die IP meines Routers sehe.

Das, was ich vermutet hatte durch meine Recherche, ist dass die zugewiesenen DNS-Server der Endgeräte noch nicht aktualisiert wurden. Dafür hatte ich dann die Fritzbox neugestartet, die Endgeräte getrennt, Vebrindungseinstellungen gelöscht und sogar einmal mein komplettes Mesh auf Werkseinstellungen gestellt und dann als erstes den Pi als lokalen DNS-Server eingestellt, jedoch half bisher nichts. Irgendwas hatte ich gelesen, dass man die DHCP Request erneuern soll, jedoch habe ich keine Ahnung wie das gehen soll.

Ich hatte auch schon die IPv6 des Pis dann unter Heimnetz -> Netzwerk -> Netzwerkeinstellungen -> weitere Einstellungen -> IPv6-Einstellungen -> "Lokaler DNSv6-Server:" eingestellt, jedoch hat das auch nicht geholfen. Da bin ich mir auch nichtmal sicher, ob ich die Richtige IP genommen habe (bei dem AdGuard Einrichtungsassistenten habe ich die genommen, die die größte Übereinstimmung mit der schon vorausgefüllten hatte).

Meine Frage also: wie bekomme ich das ganze zum Laufen?

Vielen Dank schonmal im Voraus, bitte seid gnädig mit mir, befasse mich mit dem Thema erst seit 2-3 Tagen

 

[40l0so]

Die Umstellung sollte an Endgeräte durchgestellt werden, da sie an deiner Fritte hängen.
Kann es sein das du im FritzOS noch das Setting aktiv hast, das alternative DNS Server nimmt, sollte der primär und sekundäre (hier sollten im übrigen die IPs stehen, die dir Adguard gibt / du zugewiesen hast) eingetragene nicht erreichbar sein?

 

[Mu Wupp]

Das ist soweit alles richtig. Jetzt musst du noch unter Settings->DNS als Custom DNS die IPv4 und IPv6 Adresse der Fritzbox, jeweils als eigene Zeile eintragen und weiter unten unter Conditional Forwarding

true,192.168.xx.0/24,192.168.xx.1,Fritz.box

eintragen. Die xx Stellen musst Du mit deinen Fritzbox Netzwerk abgleichen. Standardmäßig wäre das so 192.168.178.0/24 bzw 192.168.178.1. Im Pihole Dashboard bitte.

Nicht vergessen alle Netzwerkgeräte Neustarten nach den Einstellungen

 

[Oberwaldmeister]

Habe das Häkchen bei "Öffentliche DNS-Server" rausgenommen. Habe es aber schon mehrfach vor dem Reset mal rausgenommen, jedoch erfolglos.

@Mu Wupp das muss ich dann aber unter Internet -> Zugangsdaten machen und dann wie im Bild DNsv4 bzw. v6 oder wo? Finde den Reiter Einstellungen -> DNS nicht

Das Conditional Forwarding ist nicht zufällig das Textfeld für DNS-Rebind-Schutz?

 

[Mu Wupp]

Sorry meinte im Pihole Dashboard

https://www.kuketz-blog.de/pi-hole-einrichtung-und-konfiguration-mit-fritzbox-adblocker-teil1/

Hier ist alles super beschrieben

 

[Oberwaldmeister]

Ich habe im Einrichtungsassistenten 3 längere IPs, die aussehen als wären sie eine IPv6. Wie erkenne ich welche ich nehmen muss, um diese dann in die Fritzbox IPv6-Einstellungen zu übertragen?

In den AdGuard DNS-Einstellungen finde ich keine Kategorie mit Conditional Forwarding. Für den Ersten Teil meinst du bestimmt Upstream-DNS-Server?

Ich habe ja garnicht Pi-Hole?

 

[Mu Wupp]

Ich bin ja auch doof 🤪 Sorry. Das gilt und galt alles wenn man Pihole nutzt. Verzeih mir bitte. Ich kann Dir jedoch nur ans Herz legen Pihole zu verwenden. Ist meiner Meinung nach besser.

Wer lesen kann und so …. 🙃

 

[Oberwaldmeister]

Das löst dann leider nicht mein Problem, da ich gerne Home Assistant OS weiter benutzen möchte

 

[Spiczek]

Zusammen auf einem Gerät funktioniert das wohl auch nicht. Zumindest las ich das immer wieder in Verbindung mit PiHole, hatte ich nämlich auch diesen Plan.

Bei mir habe ich die statische IP des PiHole in dem Bereich deines Screenshots als primär IPv4 eingetragen.
Sollte bei dem Adguard Pendant eigentlich auch so funktionieren.

 

[Oberwaldmeister]

Also wenn ich unter DNSv4 und V6 die jeweilig statische IP des Pis angebe funktioniert das. Jedoch geht dann die Information verloren welches Gerät die Anfrage gestellt hat und ich sehe nur noch die IP meines Routers.

So wie ich das verstanden habe ist das über die DNSv4/V6 Variante diese Kette:

Klient -> Router -> AdGuard

wodurch nur noch die IP des Routers in AdGuard zu sehen ist.


Und anders bei einem lokalen DNS-Server,

Klient -> AdGuard -> Router

bei dem die einzelenen Klienten noch aufgelistet werden.


Aber 2. klappt bei mir, warum auch immer nicht und ich konnte bisher nicht rausfinden, woran das liegt bzw. mit welchem Einstellungen das gelingt

 

[Spiczek]

Ich sehe im PiHole, was welches Gerät (hab alle eingetragen) welche Anfragen gestellt hat und was davon erlaubt bzw. verboten wurde.
Vermutlich muss das ebenfalls im Adguard so eingetragen werden. Leider gibt die Fritzbox nicht unbedingt einen klaren Namen an das PiHole/ Adguard weiter, wodurch man das selbst managen muss.

 

[Sykehouse]

Ich habe eine Fritzbox mit aktuellem (8.02) OS und dort unter Heimnetz -> Netzwerk -> Netzwerkeinstellungen -> weitere Einstellungen -> IPv4-Einstellungen -> "Lokaler DNS-Server:" die IPv4 des Pis eingegeben.

Das wäre auch korrekt, wenn du die Kette Client - AdGuard - Router willst. Hast du die Endgeräte neu gestartet? Die bekommen den geänderten DNS Server halt nicht sofort und einfach so mit, sondern erst, wenn sie das nächte Mal per DHCP eine IP und damit auch die DNS bekommen.

 

[Harrdy]

Einfach den DNS nur über IPv4 im LAN Ansprechen. Die Namensauflösung für v6 Adressen funktioniert auch über v4 only. Dafür muss du lediglich die Option DNSv6-Server auch über Router Advertisement bekanntgeben (RFC 5006) in der Fritzbox deaktivieren.

Wenn diese Option aktiviert ist und keine IP hinterlegt ist, gibt die Fritzbox sich selbst als IPv6 DNS Server im Netzwerk bekannt. Unabhängig von den DNS Nameservereinstellungen. Dann brauchst du als Nameserver im DHCP nur noch die IPv4 Adresse deiner Adguard Instanz hinterlegen und schon läuft das ganze.

 

[Mu Wupp]

Schau Dir dennoch mal Pihole an. Was mich von Adguard abhält, ist die Tatsache das Upstream per DoT nur mit Zertifikat in Kombination geht. Bei Pihole kann man den Router als Upstream Server angeben und je nach Router seinen gewünschten DoT Anbieter wählen.

Edit: Oben geschriebenes stimmt nicht ganz. Upstream Server mit sämtlichen Protokollen werden unterstützt, jedoch unter Einstellungen > Verschlüsselungseinstellungen kann man die Verschlüsselung von DNS bzw. https aktivieren, allerdings nur mit Zertifikat. Das ist etwas irreführend.

 

[Spiczek]

Dafür muss du lediglich die Option DNSv6-Server auch über Router Advertisement bekanntgeben (RFC 5006) in der Fritzbox deaktivieren.

Wenn diese Option aktiviert ist und keine IP hinterlegt ist, gibt die Fritzbox sich selbst als IPv6 DNS Server im Netzwerk bekannt.

Ich muss mal zwischenfragen. Was ist denn besser? Deaktivieren oder Aktiv mit keinem Eintrag? Bei mir z.B. ist das aktiv mit einer fd00 Adresse.

 

[Harrdy]

Kommt drauf an: Wenn du die Fritzbox auch als IPv4-DNS-Server per DHCP verteilst und in der Fritzbox deinen AdGuard-Server einträgst, ist das grundsätzlich in Ordnung.

Zu Problemen kommt es nur, wenn du über DHCP deinen AdGuard-DNS Server per IPv4 verteilst und gleichzeitig die entsprechende Option aktiviert hast. Dann kann es passieren, dass ein Teil der DNS-Anfragen über IPv6 direkt an die Fritzbox geht, also an deiner AdGuard-Instanz vorbei ins Netz. Das hängt davon ab, ob der Client DNS-Anfragen über IPv4 oder IPv6 bevorzugt. Viele Clients nutzen inzwischen bevorzugt DNS über IPv6.

 

[Oberwaldmeister]

Das wäre auch korrekt, wenn du die Kette Client - AdGuard - Router willst. Hast du die Endgeräte neu gestartet? Die bekommen den geänderten DNS Server halt nicht sofort und einfach so mit, sondern erst, wenn sie das nächte Mal per DHCP eine IP und damit auch die DNS bekommen.

Ja habe ich alles gemacht. Von ipconfig /release bzw. ipconfig /renew über Neustart der Fritzbox, Pis, Home Assistant, AdGuard, Endgeräte und das ganze Netzwerk auf Werkseinstellung zurückgesetzt. Ich dachte auch, dass es daran liegt, weil wie gesagt das iPad als einziges korrekt funktioniert hat und es vorher nicht im Netzwerk war und somit zwangsweise die neue DNS bekommen haben müsste.

Kommt drauf an: Wenn du die Fritzbox auch als IPv4-DNS-Server per DHCP verteilst und in der Fritzbox deinen AdGuard-Server einträgst, ist das grundsätzlich in Ordnung.

Zu Problemen kommt es nur, wenn du über DHCP deinen AdGuard-DNS Server per IPv4 verteilst und gleichzeitig die entsprechende Option aktiviert hast. Dann kann es passieren, dass ein Teil der DNS-Anfragen über IPv6 direkt an die Fritzbox geht, also an deiner AdGuard-Instanz vorbei ins Netz. Das hängt davon ab, ob der Client DNS-Anfragen über IPv4 oder IPv6 bevorzugt. Viele Clients nutzen inzwischen bevorzugt DNS über IPv6.

Ich denke hier liegt/lag auch die Krux.
Ich habe bei der Fritzbox unter Internet -> Zugangsdaten -> IPv6 generell IPv6 deaktiviert (das Häkchen rausgenommen) und siehe da, es scheint so zu funktionieren wie es soll. Schleierhaft ist mir nur, warum das vorher nur mit meinem iPad ging und mit allen anderen Geräten nicht.

So sieht es nun bei mir aus in der Rubrik Internet:

Und so bei Heimnetz (keine Ahnung, was man blurren sollte/was egal ist, deswegen alles), wobei unter Lokaler DNS-Server die IPv4 des Pis bzw. von AdGuard eingetragen ist und sonst alles unverändert blieb:

Schau Dir dennoch mal Pihole an. Was mich von Adguard abhält, ist die Tatsache das Upstream per DoT nur mit Zertifikat in Kombination geht. Bei Pihole kann man den Router als Upstream Server angeben und je nach Router seinen gewünschten DoT Anbieter wählen.

Ich habe leider nichts verstanden. Ich sehe nur, dass es die Option DNS over TLS (DoT) bei mir gibt, aber nicht angehakt ist in der Fritzbox.

Gibt es sonst noch was, was man einstellen sollte?