pihole als DNS-Server in den Android-Netzwerkeinstellungen

[FatManStanding]

Hi,

ich habe auf meinem alten Handy (Android 12) in den Netzwerkeinstellungen für die WLAN-Verbindung die IP meines Raspberry Pi auf dem pihole läuft als DNS-Server eingetragen. In pihole sehe ich, dass Sachen geblockt oder durchgelassen werden. Es kommt aber vor, dass Apps online gehen, ohne dass etwas im Log von pihole steht. Zusätzlich zur pihole-IP stehen in den Netzwerkeinstellungen aber noch 2 IPv6-Adressen drin. Kann es sein, dass die DNS-Anfragen dadurch an pihole vorbei geleitet werden? Ich sehe keine Möglichkeit die IPv6-Adressen zu ändern oder ebenfalls auf den Pi umzuleiten.

Wie bekomme ich die IPv6-Server raus oder umgeleitet?

 

[chris_2401]

Musst auf der firewall deines Routers andere DNS anfragen blocken oder umleiten.

Nur weil du einen DNS im lokalen Netz hast, heißt das nicht, dass den auch alle Netzwerkgeräte/Apps den auch benutzen.

mal ein paar Beispiele, was es da noch so anderes gibt.
https://blog.dbuglife.com/locking-down-dns-on-your-home-network/

 

[norKoeri]

@FatManStanding welchen Router nutzt Du, also Hersteller und Modell?

 

[Chriz]

die DNS-Einstellung solltest Du nicht im Handy machen sondern in deinem Internetrouter. Bei der FritzBox trägst du dann einfach die lokale IP Deines PiHoles ein anstelle der ISP-DNS.

Hat den Vorteil, dass alle Geräte in einem Heimnetzwerk über den PiHole geleitet werden.


Ausserdem gibt es ja auch durchaus Apps, die gar keine DNS-Anfrage auslösen - die haben dann die Server-IP fest hinterlegt. wenn die App direkt auf die Server-IP des Beteibers / Anbieter zugreift, gibt es auch keinen Log-Eintrag an deinem DNS-Server / PiHole - die Windows-Netflix-App macht z.B. sowas....

 

[DeusoftheWired]

Manche Apps haben hartkodierte DNS-Server, die sie zur Namensauflösung verwenden, und delegieren diese Aufgabe nicht an das Betriebssystem weiter, das die Anfrage an den DNS leitet, der in den Einstellungen hinterlegt ist. Beliebt sind dafür z. B. die 8.8.8.8 und 8.8.4.4 von Google und 1.1.1.1 von Cloudflare. Du kannst einige dieser Anfragen mit der Methode umbiegen, die chris_2401 in #2 verlinkt hat, allerdings nicht alle.

 

[FatManStanding]

Ich blockiere aber z. B. in meinem SmartTV die Updateprüfung, weil ich entscheiden will wann ich ein Update installiere (dauert ewig). Da habe ich den DNS-Server nur in den Einstellungen des TV eingestellt (der nutzt aber scheinbar kein IPv6). Den DNS-Server im Router (Fritzbox 7530) zu ändern bedeutet ja, dass man jeden Datenverkehr des gesamten Netzwerkes über pihole leitet, was nicht unbedingt immer gewollt ist.

Wieso habe ich 2 IPv6-Adressen als DNS-Server unter Android? Kann es sein, dass über IPv6 dennoch eine DNS Anfrage an der Fritzbox vorbei direkt gesendet wird?

Ich weiß, dass es solche Apps gibt. Ist hier aber definitiv nicht der Fall (das konnte ich mit AdAway testen indem ich dort eine URL manuell eingetragen habe). AdAway scheint auch IPv6-Anfragen abzufangen.

 

[norKoeri]

Wenn Du eine FRITZ!Box hast, dann schalte deren DNSv6-Server ab … und ja, FRITZ!OS bewirbt neuerdings zwei DNSv6-Server, sich selbst als LLA und GUA. Früher war das eine ULA.

 

[FatManStanding]

Das teste ich mal. Es wundert mich etwas, dass trotz manueller Konfiguration mit statischer IP dennoch die IPv6 der Fritzbox als DNS-Server eingetragen wird. Habe jetzt erst gesehen, dass die beiden Adressen ähnlich sind. Die hintere Hälfte ist gleich.

 

[Chriz]

etwas OT:

... bedeutet ja, dass man jeden Datenverkehr des gesamten Netzwerkes über pihole leitet, was nicht unbedingt immer gewollt ist.

Nein, natürlich nur die DNS-Anfrage. Das sind wenige Datenbytes die da an den Pi gehen und es dürfte immer noch schneller als ein externer DNS sein.

Der komplette Datenverkehr geht nicht über den Pi, das würde er mit seiner USB2.0 Netzwerkanbindung gar nicht packen...


und man hat i.d.r. immer 2 DNS-adressen, eine eben als Fallback, das ist nichts ungewöhliches. Dein Handy versucht immer zuerst den primären DNS-Server und wechselt auf den sekundären, wenn vom ersten Server keine Antwort kommt.


Edit: ich würde "generell" einen privaten / sicheren DNS verwenden und diesen daher in der FritzBox hinterlegen. Auch wenn zwischenzeitlich alles über https läuft, weiß Dein ISP sehr genau wann Du wo im Netz unterwegs bist. Das gibt ein schönes profiling.


saubere DNS-Server gibt es z.B. bei Digitalcourage, dismail, DNSforge oder ADguard

https://www.kuketz-blog.de/empfehlungsecke/#dns/

https://www.kuketz-forum.de/t/tabelle-dns-server-vergleichstabelle/9643

 

[FatManStanding]

Mit "kompletten Datenverkehr" meinte ich "alle DNS-Anfragen". War blöde formuliert. Es ist schlicht nicht gewollt, dass jedes Netzwerkgerät über pihole seine DNS-Anfragen macht.

Ich habe jetzt IPv6 auf der Fritzbox deaktiviert (habe gelernt, dass es auch einen IPv6-DHCP-Server gibt), jetzt sehe ich (nach einer Neuverbindung und etwas warten) nur noch die IPv4 als DNS-Server und jetzt sehe ich auch deutlich mehr Einträge in pihole vom Handy.