Verständnisfrage Fritzbox Gerätesperre und Pihole

[JustOne]

Hallo,

ich komme nicht so recht weiter, vielleicht kann mich ja jemand erleuchten:

Ich habe in der Fritzbox die Gerätesperre (Internet) für ein paar ältere D-Link IP Kameras aktiv

Jetzt ist ein pihole dazu gekommen, der als lokaler DNS-Server in der Fritzbox konfiguriert ist. Die Fritzbox selbst behält aber ihre DNS-Einträge.
Ich habe es nach Kuketz blog aufgesetzt.
Link

Nun sehe ich Anfragen im 30s Takt einer Kamera an signal.auto.mydlink.com, was gleich auf die Blacklist kam.

Ich habe es so verstanden, dass Pihole die Anfrage zunächst weiterleitet an die Fritzbox, bzw. an den dort hinterlegten DNS-Server, da die Anfrage ja bisher durchgegangen ist.

Könnte somit die Gerätesperre der Fritzbox ausgehebelt worden sein? Oder bleibt der Datenverkehr zu dem Gerät über die Fritzbox gesperrt?
Kann ich das irgendwie testen? Ich kann auf der Kamera ja keine Abfrage ins Internet starten...

Danke für eure Ideen!

 

[JennyCB]

Dein DNS-Request auf Port 53 läuft über dein Pihole direkt ins Internet.
Der DNS-Server fragt nicht nochmal bei der Fritzbox an.

 

[Engaged]

Wahrscheinlich gehen DNS Fragen immer durch, Verbindung sollte aber gesperrt sein.

Man kann mit einer App auch per DNS port im WLAN von Einrichtungen surfen die eigentlich eine Authentifizierung brauchen, ist zwar Elend lahm, aber man kann trotzdem ohne Berichtigung in deren Netz surfen.

Also denke ich dass DNS Anfragen leicht anders behandelt werden als der normale internetzugriff.

Ergänzung (3. März 2024)

Dein DNS-Request auf Port 53 läuft über dein Pihole direkt ins Internet.
Der DNS-Server fragt nicht nochmal bei der Fritzbox an.

Kommt drauf an wie man es aufgesetzt hat.

 

[Raijin]

Jetzt ist ein pihole dazu gekommen, der als lokaler DNS-Server in der Fritzbox konfiguriert ist. Die Fritzbox selbst behält aber ihre DNS-Einträge.
Ich habe es nach Kuketz blog aufgesetzt.

Du kannst nicht erwarten, dass jetzt jeder das x-seitige Tutorial durchliest nur um nachvollziehen zu können was du wie konfiguriert hast.

Es gibt effektiv drei Wege wie man pihole in ein Netzwerk integrieren kann.

1)
Fritzbox - Internet-DNS = Provider/public DNS
Fritzbox - DHCP-DNS = pihole
pihole - Upstream-DNS = Fritzbox
DNS-Kette: Client --> pihole --> Fritzbox --> provider/public

2)
Fritzbox - Internet-DNS = pihole
Fritzbox - DHCP-DNS = Fritzbox
pihole - Upstream-DNS = public dns
DNS-Kette: Client --> Fritzbox --> pihole --> public

3)
pihole fungiert auch als DHCP-Server
Diesen Fall lasse ich außen vor.

Ich vermute du meinst mit deiner Beschreibung Variante 1)
Es gibt noch weitere Konfigurationsmuster, zB wie 1 aber pihole-upstream-dns = public. Von solchen Konfigurationen ist jedoch abzuraten, da eine hohe Wahrscheinlichkeit besteht, dass die lokale Namensauflösung (zB "MeinNAS") dann nicht mehr funktioniert. pihole kennt die Namen der Clients nämlich nicht und der ein public upstream-dns erst recht nicht. Der DHCP-Server - meistens der Router - sollte daher immer irgendwo in der DNS-Kette auftauchen.

Ich habe es so verstanden, dass Pihole die Anfrage zunächst weiterleitet an die Fritzbox, bzw. an den dort hinterlegten DNS-Server, da die Anfrage ja bisher durchgegangen ist.

Bei Variante 1 ist das so, ja. Ist nur die Frage ob das bei dir so auch konfiguriert ist.

Nun sehe ich Anfragen im 30s Takt einer Kamera an signal.auto.mydlink.com, was gleich auf die Blacklist kam.

WO siehst du das? Wenn du aus dem Fenster guckst? Unterm Tisch? Hinter der Couch? Im Kühlschrank? Im pihole log? Im Fritzbox log? Es ist immer hilfreich, konkrete Fehlermeldungen, o.ä. per Screenshot oder Copy&Paste zu posten, weil es manchmal einfach auf die Details ankommt...

Könnte somit die Gerätesperre der Fritzbox ausgehebelt worden sein? Oder bleibt der Datenverkehr zu dem Gerät über die Fritzbox gesperrt?

Die Fritzbox sperrt soweit ich weiß den Internetzugriff anhand der MAC-Adresse des gesperrten Geräts. Das hieße also, dass jedes Paket, das an der Fritzbox ankommt und von dieser Absender-MAC ins Internet soll, geblockt wird. Je nachdem wo du nun diese DNS Meldungen gelesen hast muss das aber noch lange nicht heißen, dass das Gerät plötzlich Internetzugriff hat. Wenn die Fritzbox der Kamera das Internet abdreht, hindert das die Kamera noch lange nicht daran, trotzdem per DNS nach eben dieser Domain zu fragen. Nur dann, wenn die Kamera zB direkt 8.8.8.8 per DNS ansteuert, würde die Fritzbox das blocken. Ein DNS-Query an die Fritzbox oder pihole hat damit aber nichts zu tun, weil lokal und nix Internet = nix Sperre.

 

[Engaged]

Er meint sicher die logfiles von Pihole, in der Fritzbox kann man sowas gar nicht sehen, da wird nur das nötigste aufgezeichnet.

 

[Raijin]

Vermutlich ist dem so. Ich weiß nur nicht inwiefern man aus clientspezifischen Log-Einträgen im pihole Rückschlüsse auf die Fritzbox ziehen will. Das ist ja nichts anderes als wenn jemand Telefonverbot hat, aber trotzdem ins Telefonbuch schaut. Da darf er reingucken soviel er möchte, aber telefonieren darf er nicht


Wenn ein Client pihole nach DNS fragt, bekommt die Fritzbox das nicht mal mit - auch dann nicht, wenn die Verbindung über den Switch oder das WLAN der Fritzbox geht. pihole weiß auch nichts von der Sperre in der Fritzbox und beantwortet einfach den DNS-Query des Clients.

Spoiler: Geblockte Domain

• Client fragt pihole nach einer Domain
• pihole findet die Domain in der Blockliste
• pihole antwortet dem Client mit der gefilterten IP (in der Regel 0.0.0.0)
• Client versucht sich mit 0.0.0.0 zu verbinden --> Fehlschlag, da falsche/fehlerhafte IP
• Fritzbox bekommt davon nichts mit und hat nichts zu blocken, weil nix passiert

Spoiler: Nicht-geblockte Domain

• Client fragt pihole nach einer Domain
• pihole findet die Domain nicht in der Blockliste
• pihole reicht die Anfrage an seinen Upstream-DNS
• Upstream-DNS antwortet mit der korrekten IP an pihole
• pihole reicht die Antwort mit der korrekten IP an den Client zurück
• Client versucht sich mit der korrekten IP zu verbinden
• Fritzbox sieht Verbindungsversuch vom Client ins Internet
• Fritzbox findet den Client in der Sperrliste --> Nix Internet für den Client

In beiden Fällen sieht man im pihole log einen DNS-Query, einmal geblockt, einmal gültig.
In beiden Fällen findet keine Verbindung statt, einmal wegen falscher IP, einmal wegen Internetsperre.

 

[JustOne]

Vielen Dank für eure Antworten, die haben mir weitergeholfen!

Du kannst nicht erwarten, dass jetzt jeder das x-seitige Tutorial durchliest nur um nachvollziehen zu können was du wie konfiguriert hast.

Nix für ungut, das erwarte ich nicht, aber hätte ich nichts weiter geschrieben, wäre die Frage sicher auch aufgekommen.
Zusammengefasst hatte ich die Konfiguration ja und nach Deiner Beschreibung wäre es Variante 1.

Mittlerweile konnte ich das selbst testen, indem meine Windows8.1VM begonnen hat massiv Anfragen zu stellen, (win8.ipv6.microsoft.com und wpad.fritz.box), die zwar erst mal von Pi-Hole nicht geblockt wurden, aber in den "TOP Permitted Domains" aufgetaucht sind.

Die Win8.1VM ist ebenfalls in der Fritzbox gesperrt, dafür konnte ich dort aber die Internetverbindung nach draußen testen. Und die ist mit den o.g. Einträgen, egal ob in PI-hole geblockt oder nicht geblockt, nicht erreichbar.

Mein Gedanke war, dass so eine Art "Lebenszeichen" der Kamera an einen Server durch eine entsprechende Abfrage eben dadurch an der Gerätesperre vorbeilaufen könnte.

 

[Raijin]

Mein Gedanke war, dass so eine Art "Lebenszeichen" der Kamera an einen Server durch eine entsprechende Abfrage eben dadurch an der Gerätesperre vorbeilaufen könnte.

Der Gedanke ist nachvollziehbar, aber wie beschrieben falsch
Sind zwei verschiedene Paar Schuhe.

Ins Telefonbuch gucken
vs
Telefon in die Hand nehmen und anrufen

Bei ersterem blockt ggfs pihole, bei letzterem greift die Sperre der Fritzbox. Umgehen kann man die Fritzboxsperre nur, wenn man die MAC-Adresse des Geräts ändert, da die Fritzbox das Gerät darüber identifiziert. Bei einer Kamera ist das höchst unwahrscheinlich, aber wenn's zB um Kinder ginge, wäre das etwas anderes - RandomMAC machen's möglich. Dem würde man damit beikommen, dass man die Sperre auf das Standard-Profil anwendet und alle freigegebenen Geräte explizit in ein freigeschaltetes Profil packt - gewissermaßen genau umgedreht, also nicht "alle dürfen bis auf ...", sondern "alle dürfen nicht bis auf ...". Das aber nur als Randnotiz, Kinder stehen hier ja nicht zur Debatte