Pi-Hole im Gastnetz

[CitroenDsVier]

Hallo zusammen,

aktuell habe ich zu Hause folgendes Setup:
FritzBox mit Internetzugang & als DHCP-Server (192.168.178.1 und 192.168.179.1)
--> Heimnetz (192.168.178.0/24)
------> VM-Host (...)
---------> Pi-Hole VM (192.168.178.10)
---------> Webserver-VM (192.168.178.11)
------> weitere Clients
--> Gastnetz (192.168.179.0/24)
------> weitere Clients

Im Heimnetz läuft ein Pi-Hole Server als VM mit der IP 192.168.178.10. Alle Clients aus dem Gastnetz stellen ihre DNS-Anfragen mangels Konfigurationsmöglichkeiten der Fritzbox (und mangels Erreichbarkeit des anderen Netzes) direkt an die Fritzbox, wodurch sie im Pi-Hole Log auch unter der IP der Fritzbox auftauchen, statt ihrer richtigen IP.
Der Webserver ist im Pihole als custom-DNS-entry eingetragen ("web.server" = "192.168.178.11").

(1) Ich habe mir nun die Frage gestellt: Wäre es möglich, die Pihole-VM über eine zusätzliche Netzwerkkarte auch mit dem Gastnetz zu verbinden, Pihole so zu konfigurieren, dass es auch auf dieser Karte lauscht und DNS-queries beantwortet? Die Pihole-VM würde dann eine zweite IP aus dem Gastnetz bekommen (bspw. 192.168.179.10). Wie könnte man den Gastnetz-Clients dann automatisch den DNS-Server mitteilen? Hier müsste dann ein zweiter / anderer / besser konfigurierbarer DHCP-Server her, richtig?

(2) Außerdem ist mir aufgefallen, dass die Webserver-VM (Ubuntu Server, aktuell sollte die garnichts machen) im Pihole-Log sehr oft unter ihrem alias "web.server" auftaucht und diverse URLs (microsoft, whatsapp, play.google.com, ...) anfragt (untypisch für Ubuntu, würde ich schätzen). Hier werden offensichtlich IPs verwechselt, woher kann das kommen? Könnte es sein, dass ein anderer Client seine DNS-queries an diese VM schickt, die sie dann an Pihole weiterleitet?
Edit: Hat sich gerade geklärt. Aus mir unerklärlichen Gründen hat die FB die statische IP der webserver-VM zusätzlich per DHCP an mein Smartphone vergeben...

Vielen Dank schonmal fürs lesen

MfG

 

[Nilson]

1. Uplink-DNS-Server der Fritzbox auf den Pi-Hole stellen
2. Fritzbox verteilt sich selbst als DNS-Server per DHCP an die Clients (bzw. manuell einstellen)

 

[CitroenDsVier]

1. habe ich schon erledigt, im Heimnetz funktioniert das auch alles. Es geht wie gesagt ums Gastnetz. Aus diesem ist der Pihole logischerweise nicht erreichbar, daher die Frage mit der zweiten Netzwerkkarte für die VM.

2. hat sich gerade geklärt. Aus mir unerklärlichen Gründen hat die FB die statische IP der webserver-VM zusätzlich per DHCP an mein Smartphone vergeben...

 

[AlanK]

Ich würde einen Pi-Hole direkt auf einem Raspberry Pi 3B+/4 Rev 2 laufen lassen.
Dann den Pi direkt in die Firtzbox / DNS auf den Pi-Hole eintragen.
Gar nicht rumärgern mit einer VM.

 

[Raijin]

Ich habe mir nun die Frage gestellt: Wäre es möglich, die Pihole-VM über eine zusätzliche Netzwerkkarte auch mit dem Gastnetz zu verbinden

Kann man machen, aber damit hebelt man das Konzept des Gastnetzwerks aus, wenn man nicht weiß was man tut.
Aktuell ist die Fritzbox das Gateway zwischen Haupt- und Gastnetzwerk und die Firewall der Fritzbox blockiert dem Gast-Gedanken entsprechend gegenseitige Zugriffe vollständig - das ist ja der Sinn der Sache. Wenn du nun eine zweite Verbindung zwischen den beiden Netzwerken herstellst - zB über den PI mit zwei Netzwerkschnittstellen - dann ist nicht mehr sichergestellt, dass das Gastnetzwerk Gastnetzwerk bleibt, weil über ein potentiell ungesichertes Gateway - der PI - plötzlich doch ein Zugriff ins andere Netzwerk möglich ist.

Das ist so als wenn vor einem Club ein Türsteher steht und unerwünschte Gäste draußen hält (Fritzbox-Firewall) und der Clubbesitzer (du) jetzt einfach einen unverschlossenen Hintereingang einbaut. Der beste Türsteher bringt nix, wenn von hinten jeder Hans und Franz in den Club latschen kann. Natürlich kann man dort auch einen Türsteher (Firewall im PI) hinstellen, aber sinnvoll ist das dennoch nicht.


Mach es so wie @Nilson vorschlägt. Dann fragen sowohl die Clients im Haupt- wie auch im Gastnetzwerk jeweils die Fritzbox nach DNS, diese fragt hingegen den PI, der dann entweder direkt antwortet oder eben seinerseits an seinen Upstream-DNS verweist. Letzterer darf dann natürlich nicht die Fritzbox sein, weil sich die Katze sonst in den Schwanz beißt.

 

[Meleager]

Ich würde einen Pi-Hole direkt auf einem Raspberry Pi 3B+/4 Rev 2 laufen lassen.

Muss ja nichtmal son dicker (teurer) raspi sein.
Läuft bei mir mit nem Pi zero und usb auf lan adapter absolut zuverlässig.

Hatte gegen meinen 3b+ getauscht, weil der permanent lt oberfläche nur bei 5% Auslastung war.

 

[Sykehouse]

Ich würde einen Pi-Hole direkt auf einem Raspberry Pi 3B+/4 Rev 2 laufen lassen.
Dann den Pi direkt in die Firtzbox / DNS auf den Pi-Hole eintragen.
Gar nicht rumärgern mit einer VM.

Und was gewinnt man damit im konkreten Szenario?

Ergänzung (28. Oktober 2020)

Muss ja nichtmal son dicker (teurer) raspi sein.

Wenn man den Host eh schon am laufen hat, dann ist die VM quasi gratis. Den DNS per WLAN anbinden würde ich persönlich auch nicht wollen.

 

[Schwabe66]

Justmy4Cents: Wenn ich sowas aufsetzen würde, dann direkt mit was anderem als ner FritzBox. Die wäre mir hier zu limitiert, ich selbst setze Unifi ein und bin extremst zufrieden.

Die Konfigurationsmöglichkeiten sind hier einfach viel besser gegeben.

 

[AlanK]

Was er gewinnt?
Den Traffic von der FB zur VM.
Die VM läuft doch auf einem Produktivsystem?

 

[Nilson]

1. habe ich schon erledigt, im Heimnetz funktioniert das auch alles. Es geht wie gesagt ums Gastnetz. Aus diesem ist der Pihole logischerweise nicht erreichbar, daher die Frage mit der zweiten Netzwerkkarte für die VM.

Bei mir läuft das genau so. Das Gastnetz muss ja den Pi nicht erreichen, weil das DNS ja von der Fritzbox übernommen wird. Die anfrage verläauft so:
PC (Gastnetz) -> Fritzbox -> Pi-Hole -> DNS-Server im Internet

 

[CitroenDsVier]

Was er gewinnt?
Den Traffic von der FB zur VM.
Die VM läuft doch auf einem Produktivsystem?

Der VM-Host läuft für diverse andere Sachen sowieso und hat genug Ressourcen-Reserven. Ich sehe keinen Vorteil darin, mein PiHole auf einen Raspberry umzuziehen. Dann würde der Traffic eben zwischen FB und Raspberry entstehen. Darauf bezogen bin ich zufrieden mit meinem Setup.

Kann man machen, aber damit hebelt man das Konzept des Gastnetzwerks aus, wenn man nicht weiß was man tut.
Aktuell ist die Fritzbox das Gateway zwischen Haupt- und Gastnetzwerk und die Firewall der Fritzbox blockiert dem Gast-Gedanken entsprechend gegenseitige Zugriffe vollständig - das ist ja der Sinn der Sache. Wenn du nun eine zweite Verbindung zwischen den beiden Netzwerken herstellst - zB über den PI mit zwei Netzwerkschnittstellen - dann ist nicht mehr sichergestellt, dass das Gastnetzwerk Gastnetzwerk bleibt, weil über ein potentiell ungesichertes Gateway - der PI - plötzlich doch ein Zugriff ins andere Netzwerk möglich ist.

Das stimmt natürlich... Also doch nicht so einfach umsetzbar.

Mach es so wie @Nilson vorschlägt. Dann fragen sowohl die Clients im Haupt- wie auch im Gastnetzwerk jeweils die Fritzbox nach DNS, diese fragt hingegen den PI, der dann entweder direkt antwortet oder eben seinerseits an seinen Upstream-DNS verweist. Letzterer darf dann natürlich nicht die Fritzbox sein, weil sich die Katze sonst in den Schwanz beißt.

Das Gastnetz muss ja den Pi nicht erreichen, weil das DNS ja von der Fritzbox übernommen wird.

So läuft es ja aktuell auch schon, nur eben mit dem Nachteil, dass im PiHole-Log nicht erkennbar ist, welcher Client aus dem Gastnetz eine Anfrage gestellt hat. Aber dann scheint es das Einfachste zu sein, es so zu belassen.

@Schwabe66 Werde ich mir mal ansehen, danke!

 

[Joshua2go]

Ich frag mich, wo jetzt das Problem ist. Den Pihole in der Virtualmachine als DNS in der Fritzbox eintragen. Im Gastnetzt, die Fritzbox, als DNS Server eintragen. Das läuft dann so.....Rechner im Gastnetz erfragt die IP vom Zielserver bei der Fritzbox....Fritzbox erfragt die IP vom Zielserver bei Pihole.....Pihole erfragt die IP des Zielservers bei einem DNS Server aus dem Internet oder verwirft die Anfage, weil der Zielserver auf der Blacklist steht. Da kann man gar nichts falsch machen oder sich eine Hintertür öffnen. Ich persönlich, habe Pihole auf einem Pi3B, der sich sichtlich langweilt. Auslastung unter 5% oder Verbrauch von ca 1Watt.

 

[Der Trost]

Bevor ich endgültig auf das Unifi System umgestiegen bin, hatte ich eine zweite Fritzbox und ein zweiten Raspberry mit einer Pihole Instanz, um genau dieses Scenario zu lösen. Somit hatte ich auch im Gastnetz ein Logging pro Gerät. DNS bzw DHCP lies sich damals in der Fritzbox 7490 nicht deaktivieren, deshalb das weitere Netz.

 

[CitroenDsVier]

zweite Fritzbox und ein zweiten Raspberry

Das wäre auch eine Option: Die PiHole-VM quasi klonen und den Klon statt ins normale Netz über eine USB-Netzwerkkarte, die zur VM durchgereicht wird, ins Gastnetz einbinden. Dadurch steigt zwar der Verwaltungsaufwand, dafür wäre das Logging wieder transparent.
Aber die zweite Fritzbox (4040) ist in deinem Setup nur als Switch (und eventuell WLAN AP) notwendig, sehe ich das richtig?

 

[Raijin]

mit dem Nachteil, dass im PiHole-Log nicht erkennbar ist, welcher Client aus dem Gastnetz eine Anfrage gestellt hat

Ist das denn erforderlich?


Die Sache ist eben die, dass die Gastfunktion eines 08/15 Routers nicht wirklich für erweiterte Szenarien geeignet ist. Die Intention des Gastnetzwerks ist die Abschottung fremder Geräte gegenüber dem Hauptnetzwerk ohne wenn und aber. Genau so ist das von AVM auch implementiert, nicht mehr und nicht weniger. Weicht man von diesem Weg ab und möchte Ausnahmen schaffen oder vielleicht gar kein echtes Gastnetzwerk haben, sondern sowas wie ein Werkstatt- oder Büronetzwerk, das zumindest in Teilen vom Hauptnetzwerk isoliert bzw. einfach reglementiert wird, dann stößt man bei AVM und Co schlicht und ergreifend an die Grenzen dessen was der Hersteller in den Router eingebaut hat.

Das ist im Prinzip das was @Schwabe66 anspricht: Ein fortgeschrittener Router, der keine Black Box als Gastnetzwerk bietet, sondern individuelle Regeln zum Blockieren bzw. Öffnen der Verbindung zwischen mehreren Netzwerken. Das können mehr oder weniger alle Router, die sich jenseits des Consumer-Markts bewegen, seien es EdgeRouter, MikroTiks und natürlich auch die großen Namen Cisco und Co. Allerdings kann man 08/15 Router mit alternativer Firmware - zB OpenWRT - ebenfalls in die Lage versetzen, differenzierter mit Gastnetzwerken umgehen zu können.


Von wievielen Geräten im Gastnetzwerk reden wir denn überhaupt? Denn ich sag's mal so: Wenn sich da nur 5 Clients tummeln, ist der Aufwand für einen fortgeschrittenen Router nicht wirklich sinnvoll. Da ist es einfacher, sich einen zweiten PI nebst pihole zu besorgen und diesen ins Gastnetzwerk zu hängen. Falls die Fritzbox es zulässt kann man dann im DHCP einstellen, dass die Gastgeräte den Gast-PI als DNS nutzen und wenn das bei der Fritzbox nicht einstellbar ist, gibt man den Gastgeräten mit einer manuellen Einstellung den PI als DNS mit.

*edit
Die Variante von @Der Trost wäre natürlich auch eine Möglichkeit. Wobei ich da erneut die Frage stelle ob das denn überhaupt notwendig ist. Ich hab auch pihole laufen und mich interessiert das Log ungefähr 364 Tage im Jahr einen Sch***, wenn ich das mal so sagen darf und an dem einen Tag schaue ich nur rein, weil ich evtl. eine neue Filterliste einfüge. Man muss Aufwand und Nutzen abwägen.

 

[Der Trost]

Leider nein. Ich habe den DNS bzw DHCP des Gastzugangs in der 7490 nicht geändert bekommen, deswegen eine weitere Fritzbox und kein einfaches Switch.

Edit: @Rajin: Das mit dem Log finde ich wichtig, weil das ein eventuelles whitelisten von Einträgen einfacher macht.

 

[CitroenDsVier]

Ist das denn erforderlich?

Sagen wir es so: Das war der Punkt, der mich genervt hat und dazu veranlasst hat, über Alternativen nachzudenken. Ich habe einen PC im Gastnetz (der da auch bleiben muss und von allem Anderen isoliert sein soll), der aber hin und wieder Probleme hat, die eventuell auf das Netzwerk bzw. Pihole zurückzuführen sind. Und dann fällt die Analyse eher schwer, wenn das gesamte Gastnetz unter "fritz.box" im PiHole-Log steht und hier nicht differenziert wird.

Das ist im Prinzip das was @Schwabe66 anspricht: Ein fortgeschrittener Router, der keine Black Box als Gastnetzwerk bietet, sondern individuelle Regeln zum Blockieren bzw. Öffnen der Verbindung zwischen mehreren Netzwerken. Das können mehr oder weniger alle Router, die sich jenseits des Consumer-Markts bewegen, seien es EdgeRouter, MikroTiks und natürlich auch die großen Namen Cisco und Co. Allerdings kann man 08/15 Router mit alternativer Firmware - zB OpenWRT - ebenfalls in die Lage versetzen, differenzierter mit Gastnetzwerken umgehen zu können.

Das werde ich mir dann langfristig mal ansehen.

Von wievielen Geräten im Gastnetzwerk reden wir denn überhaupt?

In der Regel weniger als 5. Da hast du schon Recht, ein zweiter PiHole wäre die einfachste Lösung. Leider kann die FB kein unterschiedliches DHCP für die verschiedenen Netze, abgesehen von verschiedenen IP-Adressräumen. Also wenn, dann pro Gerät selbst einstellen.

Ich habe den DNS bzw DHCP des Gastzugangs in der 7490 nicht geändert bekommen, deswegen eine weitere Fritzbox und kein einfaches Switch.

Dann muss ich aber nochmal fragen: Dann hast du ja 2 DHCP-Server am laufen? Die 7490 und den PiHole? Gibt das nicht Chaos?[/QUOTE][/QUOTE]

 

[Der Trost]

Nein das ergibt kein Chaos. in der 7490 ist der DHCP im Gastbereich nicht deaktivierbar, deshalb gehe ich von Lan 4 der 7490 zum Wan Port der 4040, beides im Netz 181.0 (Gastnetz der 7490), die 4040 benutzt hierbei "Internet über Lan1 mitbenutzen". Desweiteren macht sie ein eigenes Netz mit dem Bereich .171.0 auf und gibt diese über ihre 4 Lananschlüsse aus. An einem dieser steckt wiederum Pihole für die Gäste im 171 Netz.

 

[Raijin]

In @Der Trost 's Setup läuft das so:

FB7490 DHCP aktiv für Hauptnetzwerk (192.168.178.0/24) und Gastnetzwerk (192.168.181.0/24)
LAN4 @ FB7490 als Gastnetzwerk konfiguriert - das Gastnetzwerk der FB7490 fungiert hier quasi als Zwischennetz

FB4040 via WAN-Port mit LAN4 @ FB7490 verbunden.
FB4040 DHCP aktiv für das Netzwerk der FB4040, das effektiv das Netzwerk für alle Gäste darstellt - 192.168.171.0/24.
Im Netzwerk der FB4040 steht ein pihole, der alle Geräte im Netzwerk der FB4040 bedient.


Prinzipiell spiegelt die FB4040 für sich genommen genau dein jetziges Szenario wider, abzüglich der Gastfunktion. Für die FB4040 sind also alle Geräte, die an ihr angeschlossen sind, "Hauptgeräte", aber die vorgelagerte FB7490 sammelt sie gewissermaßen explizit in ihrem eigenen Gastnetzwerk, was dann letztendlich für die Trennung vom Hauptnetzwerk sorgt..

 

[CitroenDsVier]

Verstehe, alles klar.