Pihole vs DNS Werbeblocker

[Skywalker27]

Hi Leute ,

Mann kann Mittel pihole oder adblock ja Werbung blocken. Man trägt anschließend die vom Blocker im dhcp des dsl Routers ein.

Doch warum so aufwändig wenn man auch gleich den DNS Blocker DNS im Router eintragen kann.

Oder habe ich da was missverstanden?

 

[Drewkev]

Du hast halt keine Kontrolle drüber. Wenn ein Anbieter meint computerbase.de rauf setzen zu müssen, hast du Pech. Mit nem Pihole hast du die volle Kontrolle was geblockt wird und wenn du Probleme in einer Anwendung hast, kannst du die Domain immer noch whitelisten oder die entsprechende Liste deaktivieren.

 

[Augen1337]

Ob du das DHCP von deinem Router oder vom Raspi(+Pihole) übernehmen lässt, ist dir freigestellt.

 

[Pako1997]

Du kannst
a) Pihole als DHCP und dann DNS eintragen
b) Pihole nur als DNS eintragen,
je nachdem was dir besser gefällt.

 

[Raijin]

Der Teufel steckt im Detail. Auch lokale Namen werden via DNS aufgelöst. Heißt dein NAS zB "MeinNAS", dann wissen erstmal nur das NAS selbst und DHCP-Server darüber bescheid. Laufen DHCP und DNS auf demselben Gerät wie zB dem Router, wird das synchronisiert. Laufen sie getrennt, ist es eine Frage der Konfiguration. Stichwort wären "Aufrufkette" und "conditional forwarding"

Weil ich das mittlerweile in fast jeden Thread rund um pihole schreibe, zitiere ich mich mal selbst:

Es gibt verschiedene Möglichkeiten, pihole in ein Netzwerk einzubinden:

1)

• DHCP-Server = Fritzbox (192.168.178.1)
• DNS via DHCP = Fritzbox (192.168.178.1)
• Upstream-DNS in der Fritzbox = pihole (192.168.178.23)
• Upstream-DNS in pihole = zB 8.8.8.8

DNS-Aufrufkette: Client --> Fritzbox --> pihole --> 8.8.8.8

2)

• DHCP-Server = Fritzbox (192.168.178.1)
• DNS via DHCP = pihole (192.168.178.23)
• Upstream-DNS in der Fritzbox = Provider oder zB 8.8.8.8
• Upstream-DNS in pihole = 192.168.178.1 oder = 8.8.8.8 + conditional forwarding "fritz.box" @ 192.168.178.1

DNS-Aufrufkette: Client --> pihole --> Fritzbox --> Provider/8.8.8.8
bzw
DNS-Aufrufkette: Client --> pihole --> 8.8.8.8

3)

• DHCP-Server = pihole (192.168.178.23) <-- DHCP in Fritzbox abschalten
• DNS via DHCP = pihole (192.168.178.23)
• Upstream-DNS in der Fritzbox = irrelevant
• Upstream-DNS in pihole = zB 8.8.8.8

DNS-Aufrufkette: Client --> pihole --> 8.8.8.8


Allen 3 Setups ist gemein, dass die lokale Namensauflösung ebenfalls sichergestellt ist. Das heißt, dass nicht nur computerbase.de korrekt aufgelöst wird, sondern auch "meinNAS.fritz.box", also ein lokaler Hostname.

Das Standardgateway bleibt immer 192.168.178.1, weil die Fritzbox nun mal das Standardgateway oder anders genannt das Internetgateway ist.

 

[Spiczek]

Hallo,

ich möchte noch hinzufügen, dass z.B. eine Fritzbox nur eine bestimmte Anzahl an Einträgen akzeptiert. Wenn die Liste voll ist, kann trotzdem noch Werbung durchkommen. Ich meine es sind 100 Einträge, da muss man schon sehr genau aussuchen.

Zumindest verstehe ich den zweiten Absatz des TO so.

Grüße

 

[Raijin]

So wie ich es verstehe geht es dem TE nur darum was der Unterschied ist zwischen

• pihole-IP als DNS in den DHCP-Einstellungen des Routers
• pihole-IP als DNS in den Internet-Einstellungen des Routers (=Upstream-/Forward-DNS)

Ob eine Fritzbox im Spiel ist, wissen wir nicht. Mein Zitat stammt eben aus einem Thread mit Fritzbox, weil ich keine Lust habe, das immer wieder neu zu tippen

Wie auch immer, der Router ist so oder so nur ein forwarder. Das heißt, dass er maximal lokale Namen auflöst sowie gegebenenfalls temporär gecachte Namen - unabhängig davon wie groß der Cache nun sein mag. Entscheidend ist primär, dass das Gerät, das als DHCP-Server fungiert - in der Regel der Router - irgendwo in der DNS-Aufrufkette vorhanden ist, weil sonst die lokale Namensauflösung fehlschlägt. Deswegen ist es beispielsweise auch eher suboptimal, wenn man an einem Client zB direkt die 8.8.8.8 als DNS einstellt oder diese via DHCP verteilt. Es gibt zwar noch andere Mechanismen zur Namensauflösung, aber DNS ist nun mal das Mittel der Wahl.

 

[Skywalker27]

ich wollte wissen warum ich mir das gefummel mit pihole antuen soll, wenn ich doch die gleichen dns server vom pihole auf dem dsl router eintragen kann.

Zusammengefasst:
es gibt keinen ausser man möchte statistiken oder detalierte einstellungsmöglichkeiten

 

[Raijin]

ich wollte wissen warum ich mir das gefummel mit pihole antuen soll, wenn ich doch die gleichen dns server vom pihole auf dem dsl router eintragen kann.

Hä?!? Welche "gleichen dns server" ?

pihole ist ein DNS-Filter. Alle DNS-Queries, die beim pihole eingehen, werden zunächst mit der Blockliste abgeglichen. Taucht die angefragte Domain in der Liste auf, beantwortet pihole den DNS-Query direkt mit "0.0.0.0", ergo kann der Client, der diese Domain (zB ad.irgendwas.nerviges) angefragt hat, keine Verbindung dahin herstellen, weil 0.0.0.0 nicht existiert, das Werbebanner bleibt leer. Wenn die angefragte Domain (zB computerbase.de) aber nicht in der Blockliste auftaucht, reicht pihole den DNS-Query an den Upstream-DNS weiter (zB 8.8.8.8). Dort wird die Domain korrekt aufgelöst und der Client bekommt seine gewünschte IP-Adresse und kann die Webseite öffnen.

Ohne pihole würde bei der direkten Verwendung von zB 8.8.8.8 als DNS keinerlei Webung blockiert, weil 8.8.8.8 jede ad.irgendwas.nerviges Domain auf diesem Planeten gnadenlos auflösen würde und du hättest die Werbebanner, die du mit pihole (und entsprechender Blockliste) nicht hättest.


Client ------DNS-Query ad.irgendwas------> pihole
Client <----------------0.0.0.0---------------- pihole

Client ---DNS-Query computerbase.de---> pihole -----> 8.8.8.8
Client <------------87.230.75.2-------------- pihole <----- 8.8.8.8

Client ------------DNS-Query ad.irgendwas--------------> 8.8.8.8
Client <----------------a.b.c.d------------------------------- 8.8.8.8

 

[Skywalker27]

ich habe es ungünstig formuliert aber wir meinen glaube ich das gleiche.

beim werbeblocker kann man beispielsweise sagen nutze "dnsforge.de" als DNS Server. Dieser DNS Server filtert ja nach dem gleichen prinzip.
Quasi ist dnsforge.de ein abgespeckter ausgelagerter pihole.

 

[Engaged]

ich wollte wissen warum ich mir das gefummel mit pihole antuen soll, wenn ich doch die gleichen dns server vom pihole auf dem dsl router eintragen kann.

Zusammengefasst:
es gibt keinen ausser man möchte statistiken oder detalierte einstellungsmöglichkeiten

Ein DNS adblocker im Router kannst du nicht konfigurieren, sprich du weißt nicht was geblockt wird, und kannst auch nichts auf die whitelist setzen, und bist du auf die Performance dieses Dienstes angewiesen.

Bei pihole kannst du ganz normal z.b. Google DNS verwenden um hohe Performance zu haben, sogar mehrere DNS-Server um Redundant zu bleiben, dazu kannst du dir die blocklisten aussuchen, nicht nur Werbung, sondern auch Malware, Phishing, und so weiter, dazu kannst du bei overblocking Sachen auf die whitelist setzen, oder Adresse die dich stören auf die Blacklist setzen.

PS: es gibt kein "DNS Server von PI hole", da pihole normale DNS Server benutzt!

Edit: wenn man Erbsen zählen möchte dann gehen die DNS anfragen bei einem AdBlock DNS trotzdem an den Server und werden dort geblockt, bei pi hole wird ja schon im eigenen Netzwerk aussortiert, und die geblockten werbeanfragen berühren nicht mal die eigene Internet Leitung!

 

[Raijin]

Klar, es gibt auch öffentliche gefilterte DNS, selbst öffentlich gehostete pihole-Instanzen, wenn man danach sucht. Das funktioniert natürlich auch. Man hat allerdings keinerlei Einfluss darauf was geblockt wird, weder in die eine noch in die andere Richtung.

Zeigt dein Smart-TV nervige Werbebanner? => pihole --> Domain blocken

Möchtest du irgendeine Webseite aufrufen, die geblockt wird[*}? => pihole --> Domain freigeben

Pihole ist mitnichten alternativlos, keine Frage. Es kommt darauf an was man will. pihole ist allerdings auch keine so große Fummelei wie man meinen könnte. Mit einem Raspberry PI lässt sich ein pihole binnen 10 Minuten aufsetzen, weil es fertige Images gibt. Auf die SD spielen, starten, Filterlisten auswählen oder auf Standard belassen, Router DNS/DHCP konfigurieren, fertig.

[*] was weiß ich, Pornos, Filesharing, what ever

 

[Engaged]

Ich betreibe pihole auch als quasi grundschutz für mein Netzwerk, so hat jedes Gerät out-of-the-box ein mindest Schutz, Handys und Tablets muss man nicht rooten oder mit VPN adblocker Tricks schützen, auf allen Geräten läuft dadurch das Internet schneller, und wenn weniger durch die Leitung geht dann ist es auch so gesehen besser für Gaming, werden ja nicht nur die Anfragen vor der internetleitung geblockt, sondern das was unnötig geladen würde vor allem.
In Desktop Browsern nutze ich trotzdem uBlock origin, und da man bei YouTube sehr schwer die Werbung entfernen kann, ublock origin und sponsoreblock im browser, Smart tube next auf fire TV Sticks, und YouTube vanced für Handys und Tablets.

Und als nebeneffekt bekomme ich von DNS Störungen oder überlastete DNS Servern bei Providern gar nichts mit, zweimal IP V4 Google DNS und zweimal IP V6 Google DNS, das ganze dann noch mal von Open DNS, da muss schon viel passieren um das down zu bekommen!

 

[Raijin]

Genau genommen muss man sogar zusätzlich mit Browser-Plugins wie uBlock arbeiten, wenn man weitestgehenden Schutz vor Werbung haben möchte. Ein DNS-Blocker wie pihole kann stets nur auf Basis der Domain blocken. Liefert eine Webseite ihre Werbung unter der eigenen Domain aus, also sowohl Inhalte als auch Werbebanner, kann pihole demnach nur ganz oder gar nicht blocken. Ein Beispiel dafür wäre spiegel.de und Youtube macht das soweit ich weiß auch.
In diesem Moment schlägt die Stunde der Browser-Plugins, weil diese im Gegensatz zum DNS-Blocker die vollständige URL sehen können und somit auch "domain.irgendwas/werbebanner/*" blocken.

Warum also überhaupt pihole oder einen anderen DNS-Blocker nutzen? Aus den von @Engaged genannten Gründen. Einerseits hat man mittels gefiltertem DNS einen gewissen Grundschutz vor Werbung, andererseits kann man aber zB am SmartTV keine derartigen Plugins installieren. Und vor allem: Geräte-/Browser-spezifische Plugins müssen dann auch einzeln gewartet werden (benutzerdefinierte Filter).

Ob man nun pihole selbst hostet oder auf einen öffentlichen DNS mit Filterung setzt, ist letztendlich nur eine Frage der Anpassungsmöglichkeit an die persönlichen Anforderungen. Wenn einem dnsforge.de ausreicht, dann ist das eben so.

 

[pvcf]

gibt es eigentlich einen Unterschied darin ob man mit 127.0.0.1 oder 0.0.0.0 blockt ?

 

[Engaged]

gibt es eigentlich einen Unterschied darin ob man mit 127.0.0.1 oder 0.0.0.0 blockt ?

Meinst du die Host Datei editieren, macht man sowas noch? 🤔

 

[Drewkev]

gibt es eigentlich einen Unterschied darin ob man mit 127.0.0.1 oder 0.0.0.0 blockt ?

127.0.0.1 ist die Loopback-Adresse (auch als localhost bezeichnet).
0.0.0.0 ist eine nicht routbare Meta-Adresse, mit der ein ungültiges, unbekanntes oder nicht zutreffendes Ziel angegeben wird (ein nicht bestimmter Adressplatzhalter).

Im Kontext eines Routeneintrags ist dies normalerweise die Standardroute.

Im Kontext von Servern bedeutet 0.0.0.0 "alle IPv4-Adressen auf dem lokalen Computer". Wenn ein Host zwei IP-Adressen hat, 192.168.1.1 und 10.1.2.1, und ein Server, der auf dem Host ausgeführt wird, 0.0.0.0 überwacht, ist er unter diesen beiden IP-Adressen erreichbar.

 

[pvcf]

Meinst du die Host Datei editieren, macht man sowas noch? 🤔

Yup, ich mach das
Mein aktueller Router hat leider keine Möglichkeit dafür

127.0.0.1 ist die Loopback-Adresse (auch als localhost bezeichnet).

Ja, das weiss ich, trotzdem Danke für die Antwort. Die interessente Frage wäre jetzt, was ist beim verwerfen der Anfrage schneller bzw effektiver, 127.0.0.1 oder 0.0.0.0. , sprich: gibts bei beiden eine Anfrage mit Timeout oder wird die Anfrage bei beiden gleich schnell als unauflösbar verworfen ?