Pi Hole Hosts Namensauflösung + weitere Fragen

XShocker22

Commodore
Dabei seit
Jan. 2006
Beiträge
4.807
Heyho,

ich habe gestern auf meinem RSP 4B Pi Hole installiert, dabei ist mir aufgefallen, dass im Query Log die Host Namen der einzelnen Endgeräte fast nie aufgelöst werden.

1593563333780.png


1593568169792.png



Oben sieht man, dass ein Nokia 6.1 auch richtig erkannt wurde, denn in der Fritz Box, wurde auch der Name für das Gerät auf nokia61 festgelegt

1593563484485.png


Auf reddit und discourse.pi-hole.net findet immer der Hinweis, dass "Conditional Forwarding" aktivert sein solle. Habe ich in meinem Fall auch getan.

Alternativ gäbe es auch noch die Möglichkeit in /etc/hosts die IP mit Namen zu versehen, aber gibt es keine konrete Automatisierung für mein Vorhaben? Ich meine: ich sehe im Quey Log nicht einmal die IPs, sondern z. B. Android-Geräte von 1 bis 6.

Aufbau: FritzBox (DHCP-Server) -(LAN)> Raspberry/Pi-Hole (DNS-Server) -(WiFi/LAN)> Clients

Mein nächstes Anliegen betrifft das eigentliche Blockierverhalten von Pi Hole:

Ich habe es mal testweise ohne uBlock Origin ausprobiert und musste feststellen, dass Google Ads immer noch komplett durchkommen, gibt da eine bestimmte Einstellung?

1593564363798.png


Wenn ich noch etwas vergessen haben sollte, dann schreibt bescheid. ^^

Vielen Dank!
 
Zuletzt bearbeitet:

/dev/tty0

Cadet 4th Year
Dabei seit
Okt. 2011
Beiträge
78
Du solltest prinzipiell .box nicht verwenden, weil es sich um eine Top-Level Domain handelt.
https://www.heise.de/newsticker/mel...ringt-manche-Netze-durcheinander-3491185.html

Alternativ könntest du .lan verwenden, diese ist und sollte frei bleiben. Du könntest auch PiHole als DHCP Server verwenden, dabei diesen auf der Fritzbox deaktivieren. In PiHole kannst du dann unter "Local DNS Records" gewünschte Hostnamen vergeben.
 

6666david

Cadet 1st Year
Dabei seit
Mai 2020
Beiträge
15
Da du Conditional Forwarding aktiviert hast werden dir nur die Namen angezeigt den das ist der Sinn von Conditional Forwarding=keine IP nur Namenvon der fritzbox
 

cgs

Ensign
Dabei seit
Juni 2020
Beiträge
214
Ich hab das anders aufgesetzt. Ist aber etwas komplizierter:
  • Der DHCP Server läuft auf dem PiHole, Der DHCP im Router ist aus.
  • dnsmasq arbeitet als der interne DNS Server und filtert und leitet alles andere weiter
  • Entweder zum Router, oder zum eigenen DNS Server
Das löst auch das Problem mit Chromium, das mit 3 zufalls DNS Anfragen Probiert ob der DNS funktioniert. Das Zufallsword wird als localer Host interpretiert, da er keine TLD hat. DHCP sagt, den gibt es nicht.
 

Raijin

Fleet Admiral
Dabei seit
Nov. 2007
Beiträge
11.349
Wenn man pihole einsetzt, würde ich eigentlich immer auch den DHCP-Server dahin umziehen. Wozu den DHCP auf dem Router lassen?
 

Joshua2go

Lieutenant
Dabei seit
Nov. 2009
Beiträge
779
Das würde mich interessieren....kann man mit Pi-hole noch anständig im Internet surfen oder merkt man doch Beeinträchtigungen?
 

Raijin

Fleet Admiral
Dabei seit
Nov. 2007
Beiträge
11.349
Vorweg: Sorry für den langen Text, aber das ist ein kompexes Thema. Lest es oder lasst es bleiben ;)


@Joshua2go : Beeinträchtigungen? Welcher Art? pihole ist ein DNS. Ohne Filterlisten tut er im Prinzip gar nichts außer DNS-Anfragen an den Upstream-DNS weiterzuleiten (zB 1.1.1.1), so als hätte man diesen DNS direkt eingestellt, oder sie ordnungsgemäß zu beantworten (Cache, lokale Namen, etc). Mit Filterlisten tut pihole das auch, beantwortet aber alle Anfragen zu den Domains in den Filterlisten mit 0.0.0.0, lässt sie also ins Leere laufen.

Das Surferlebnis steht und fällt daher mit den Filterlisten. Hat man zu viele bzw. surft regelmäßig auf Seiten, die sich auf eben diesen Listen befinden, kann es nervig werden, weil man ständig die Whitelist erweitern muss. Hat man hingegen zu wenig Filterlisten, rutschen eben einige Dinge trotzdem durch. Man darf also nicht einfach blind jede Filterliste, die einem über den Weg läuft, abonnieren, sondern muss sich schon entscheiden und ggfs auch die eine oder andere Liste entfernen/hinzufügen, wenn man auf Probleme stößt. Einigen reichen die Standardlisten aus, andere basteln mehr oder weniger viel daran rum.





Mein nächstes Anliegen betrifft das eigentliche Blockierverhalten von Pi Hole:

Ich habe es mal testweise ohne uBlock Origin ausprobiert und musste feststellen, dass Google Ads immer noch komplett durchkommen, gibt da eine bestimmte Einstellung?
Wie eben schon erläutert ist pihole ein DNS. D.h. pihole kann nur die komplette Domain blocken oder freigeben (zB seitemitvielwerbung.xy). Wenn eine Webseite ihre eigene Werbung unter derselben Domain wie der eigentliche Content, dann blockt man entweder die komplette Seite weg oder sieht massenhaft Werbung, weil bei einer DNS-Anfrage schlicht und ergreifend nur die Domain, nicht aber die URL übergeben wird.

Adblocker im Browser arbeiten anders, weil sie eben die besagte URL blocken, mit Wildcards. Ergo kann man gezielt Inhalte in Unterordnern der Domain blocken, ohne den erwünschten Content zu blocken (zB seitemitvielwerbung.xy/ads/*).

Fazit: pihole ist nur ein Schraubenzieher im Werkzeugkasten, reicht aber nicht zwinged aus, um alle Schrauben zu schrauben ;) Deswegen ist es durchaus sinnvoll, trotz pihole weiterhin Adblocker im Browser zu verwenden.


Und noch etwas: pihole kann nur dann blocken, wenn es auch als DNS verwendet wird. Das bezieht sich nicht nur auf die IP-Einstellungen der Endgeräte, sondern auch auf die verwendete Software. Wenn aus dem Netzwerk heraus direkt ein anderer DNS angesprochen wird (simples Beispiel: "nslookup geblockteseite.xy 1.1.1.1"), bekommt pihole das gar nicht mit. Um dies zu verhindern, müsste man im Router eine DNAT-Regel einrichten, die allen ausgehenden DNS-Traffic (53) von den Endgeräten auf den pihole umleitet.

Erschwerend kommt hinzu, dass es neben klassischem DNS auch noch weitere Techniken gibt, sei es DNSsec, DNS-over-https oder auch DNS-over-tls. Einige Browser(-Plugins) nutzen das und können sich so auch an pihole vorbeischummeln.

Zu guter Letzt gibt es auch Werbung, die gar nicht via Domain abgerufen wird, sondern direkt via IP. Auch da ist pihole außen vor und kann nichts tun.




Lange Rede, kurzer Sinn: Adblocking ist kompliziert und die Werbetreibenden tun einiges, um Adblocker jedweder Art zu umgehen.
 

XShocker22

Commodore
Ersteller dieses Themas
Dabei seit
Jan. 2006
Beiträge
4.807
Trifft das auch auf das Intranet/Heimnetz zu?

Da du Conditional Forwarding aktiviert hast werden dir nur die Namen angezeigt den das ist der Sinn von Conditional Forwarding=keine IP nur Namenvon der fritzbox
Das kommt dann aber bei mir auch nicht hin - unabhängig davon, ob Conditional Forwarding aktiviert ist oder nicht..

1593592747287.png


Ich hab das anders aufgesetzt. Ist aber etwas komplizierter:
  • Der DHCP Server läuft auf dem PiHole, Der DHCP im Router ist aus.
  • dnsmasq arbeitet als der interne DNS Server und filtert und leitet alles andere weiter
  • Entweder zum Router, oder zum eigenen DNS Server
Erstmal zum Verständnis: Worin unterscheidet sich in Deinem Fall der interne DNS-Server und der "eigene" DNS-Server voneinander und warum das "oder"?

Zunächst einmal: Ist das bei mir erstmal aus Vorsicht geschuldet. Ich wollte erstmal langsam wieder in die Linux-Welt mit seinen Paketen eintauchen und auch zunächst einmal Pi Hole "ausprobieren", ohne dass ich mir das Netzwerk bzw. den DHCP-Server zerschieße.

Du hattets mir in meinem letzten Thread schon geschrieben, dass FritzBoxen für solche Vorhaben bzw. durch ihre mangelnden Konfiguartionsmöglichkeiten nicht dafür geeignet sind. Dafür habe ich mittlerweile die Wahl ihn entweder auf dem Pi oder dem Synology-NAS laufen zu lassen.

Ich muss mich da wohl auch noch etwas mehr in die Materie einarbeiten.

Ich habe übrigens den Fehler gefunden, weshalb der Google Ad Service durchkam. Tatsächlich hatte ich das nur an einem Tablet und Smartphone getestet, auf denen aber auch immer noch zeitgleich Blokada lief. Damit standen sich beide DNS-Server im Weg. 🤦‍♂️

Fazit: pihole ist nur ein Schraubenzieher im Werkzeugkasten, reicht aber nicht zwinged aus, um alle Schrauben zu schrauben ;) Deswegen ist es durchaus sinnvoll, trotz pihole weiterhin Adblocker im Browser zu verwenden.
Definitiv. Wie geschrieben, das war erstmal nur ein Test.
 

cgs

Ensign
Dabei seit
Juni 2020
Beiträge
214
Erstmal zum Verständnis: Worin unterscheidet sich in Deinem Fall der interne DNS-Server und der "eigene" DNS-Server voneinander und warum das "oder"?
Ja da hab ich mich mißverständlich ausgedrückt. Ich verwende dnsmasq um die DHCP hostnamen aufzulösen und die Anfragen zu filtern. Das meine ich mit "interne" DNS.

Die resultierenden Anfragen "externe" Domains werden dann weitergeleitet.

Das kann der DNS server vom ISP sein, oder irgend ein anderer. In meinem Fall habe ich einen weiteren "unbound" DNS Server, der die Anfragen recursiv und mit caching auflöst, und DNSSEC checkt, falls vorhanden.
 

Raijin

Fleet Admiral
Dabei seit
Nov. 2007
Beiträge
11.349
Ich habe gerade weder pihole verfügbar noch nutze ich enie Fritzbox, aber nur soviel sei gesagt: Es gibt mehrere Methoden zur Namensauflösung, unabhängig von DNS jedweder Art. Beispiel: NetBIOS.

Die Ansicht der Fritzbox kann daher den DNS-Hostnamen des Geräts anzeigen, den NetBIOS-Namen oder gar einen benutzerdefinierten Namen, wenn ich mir den Button mit dem Stift daneben so anschaue. Eine Diskrepanz mit den dargestellten Namen im pihole kann daher mehrere Gründe haben.

Um das conditional forwarding zu überprüfen, kann man sich auch via ssh in pihole einloggen und mittels tcpdump den DNS-Traffic überwachen. Dort müssten dann auch die Queries, die bei *.fritz.box an die Fritzbox weitergeleitet werden, sichtbar sein. Ich meine sogar zu wissen, dass die Fritzbox selbst tcpdump in der erweiterten Ansicht mit an Bord hat und dann könnte man das sogar direkt an der Fritzbox cappen.

Aber wie gesagt, wenn man dnsmasq in pihole auch DHCP spielen lässt, erübrigt sich das. "Zerschießen" kann man sich da eigentlich wenig, weil DHCP ja nur IP-Adressen vergibt. Sofern die DHCP-Reservierungen in der Fritzbox nicht sofort gelöscht werden, wenn man den DHCP abschaltet, sollte das kein Problem sein. Und selbst wenn das der Fall sein sollte, hat man ja in der Regel nur einige wenige statische Reservierungen, die man binnen 2 Minuten wieder eingepflegt hat.
 
Top