Da ich diesen Fall nun selbst habe: Dein Hinweis funktioniert auch nur dann, wenn du lokal im Netzwerk bist?
Bei mir ist nun der Pi ausgefallen, deshalb (so nehme ich an) komme ich nun auch nicht mehr per WireGuard (direkt auf der FritzBox) oder MyFRITZ! auf die FritzBox. Nun muss ich warten, bis ich Zuhause bin, um den Pi neuzustarten.
Mein Fehler wird wohl sein, dass ich in den DNS-Einstellungen auch auf den Pi verweise. Wäre das nicht, käme ich vermutlich zumindest ins Netzwerk daheim und könnte dem Pi evtl. einen Schubs geben oder notfalls die Optionen, die du darstellst, anpassen.
Ist die Anleitung von Tschaeggaer/Bummelstein jetzt überholt?
2.
Was macht die Anleitung von Mike besser als die von Tschaeggaer?
3.
Denn - wenn ich das richtig vermute? - wird doch im 2. von Mike angekündigten Schritt - die Installation von Unbound - die Absicherung durch DoH hinfällig, oder?
Die funktioniert doch nicht bei direkter Anfrage an die Rootserver (s. Einleitung/FAQ von Tachaeggers Anleitung).
4.
Gibt es Unterschiede in der Sicherheit, je nachdem welche Betriebssystem ich für die Installation verwende?
5.
Im Moment läuft auf meinem Pi noch Bullseye, das ja noch ein paar Jahre - bis 2026 wohl - supportiert wird.
Sollte man unbedingt upgraden - z.B. auf Bookworm?
Könnt ihr zu diesen Fragen bitte mal Stellung nehmen?
Bei mir läuft seit Jahren pihole auf einem sehr abgespektem https://dietpi.com/. Die Leute dort leisten wirklich kontinuierlich systematisch gute Arbeit. – Man kann das nur loben, Danke und Weiter-sagen.
Kombiniert mit den Details von Mike wird es demnächst hier noch besser sein. Vielen Dank auch an Dich Mike!
Man muss nicht auf JEDEM Endgerät und in JEDEM Browser ein Extra Plugin installieren und ggf. konfigurieren/anpassen.
Man kann auch das Betriebssystem (Windows, MacOS, iOS, Android, ChromeOS) oder IoT-Geräte oder Smart-TVs oder alles was nicht im Browser stattfindet damit deutlich weniger viel „nach Hause“ telefonieren lassen.
Wenn die Anbindung zuhause zu schmalbrüstig ist, kann man das auch auf (s)einer eigenen Linux-VM „in der Cloud“ laufen lassen:
Dazu reicht i.d.R. schon das kleines Linux-Serverchen und kostet bei den meisten Anbietern wenige bis vielleicht 5€ pro Monat, was ein kostenpflichtiger VPN-Dienst für „ein paar Geräte“ auch kosten würde - aber auf seinem eigenen VPN-Dienst hat man ja noch den Pi-hole (oder AdGuard) als Mehrwert und kann quasi beliebig viele Geräte damit versorgen. Bei mir sind das zu Spitzenzeiten im Urlaub bis zu 10 Geräte für die Familie plus ein paar weitere Geräte von Freunden und sehr geschätzten Bekannten.
Find ich gut! Manche gute VPN-Anbieter wie Proton bieten zwar optional auch Blocklisten an, aber die sind dann oft intransparent und/oder nicht konfigurierbar.
Der taucht wirklich ständig auf. Kann mir jemand mitteilen, was es genau damit auf sich hat? Mich schaudert es ja immer, sobald ich etwas mit google in den Freigaben sehe.
Danke, im Home-Office gezwungener Maßen ja, mich wundert nur der Client dahinter „pi-hole“.
Ich hätte erwartet, dass mir als Client mein Firmenlaptop angezeigt wird (wie z.B. bei der Domain outlook.office365
Kann ich das irgendwie weiter eingrenzen, welches Programm/welche App diese Stun-Server aktuell/jetzt nutzt? Und kann ich das ändern?
EDIT: könnte es mit meinem Snowflake Proxy zusammenhängen, der ja ebenfalls neben dem Pi-Hole auf dem Raspberry Pi 400 läuft? Würde den Client „Pi-Hole“ doch erklären, oder? Ich habe die Domain vor 3 Stunden einfach mal auf die Blacklist gesetzt und seit genau dieser Zeit habe ich jetzt auch keine Connections mehr. Kann natürlich Zufall sein, werde es weiter beobachten.
ich hab mir damals (vor ca 4 Jahren) eine IPFire nach Anleitung von Herrn Kuketz eingerichtet. Zusätzlich erstellt ein regelmäßiger Task (asn_ipfire.sh) meine IP-Blocking-Dateien für die afwall auf dem Android-Handy und aktualisiert automatisch die IP-basierten-Firewallregeln (nach ASN-Nummer). Des Weiteren kann diese auch per DNS, wie die Pi-Hole, regelmäßig Blocklists (siehe dns_blocklist.sh) aktualisieren und per DNS (unbound) blocken.
Sprich die IPFire kann mit dem Skript asn_ipfire.sh ganze IP-Adressräume per ASN-Nummer blocken (Nebenbei macht sie auch DNS-Blocking mti unbound) Kann das die IP-Hole auch? Wäre gut wenn Herr Kuketz da ein bisschen in seinen bevorstehenden Artikel-Serie der Pi-Hole vergleicht und Wege aufzeigt, wie das auch die PI-Hole in dem Umfang machen könnte.
Das sehe ich anders und @Wurzelsepp hat das ja auch geschrieben: Man kann - wie auch von Mike gezeigt (Link) - die ipfire um DNS Adblocker Skripte erweitern und dann deckt eine ipfire mehr ab als ein pi-hole.
Ein pi-hole ist lediglich ein DNS-Blocker. Vor unbefugtem Zugriff von außen oder innen schützt er nicht. Er kann lediglich diese eine Sache. Eine IPFire ist eine Firewall, welche ein Netz vor unbefugtem Zugriff schützt. Diese kann neben ihrer Funktion als Firewall auch Dinge, die pi-hole kann. Dennoch sind es zwei verschiedene Dinge.
dann stimmt wahrscheinlich was mit den Filterregeln in der Fritz Box nicht. Ich hab das damals auch so eingestellt und bei mir funktioniert das einwandfrei.
vermutlich ein bisschen overkill für einen Pi, der von aussen nicht erreichbar ist wenn er hinter der Fritzbox hängt und man dem eigenen Haushalt vertrauen kann
Naja, du hast vielleicht keine Kinder, die das WLAN-Passwort einfach so an ihre Freunde und Kumpels weitergeben… und man weiss ja nie, welch verseuchten Geräte damit so ins Heimnetzwerk gelangen oder wer von denen technisch etwas versiert ist und mal schaut, was so abgeht…
Klaro kann man fremde MAC Adressen erstmal sperren, so dass die Kids dann ihre Geräte bei mir freischalten lassen müssen und stattdessen ins Gäste-WLAN angemeldet werden. Aber macht ihr alle das zuhause auch so?
Vielen Dank für das aktualisierte Tutorial
Pihole selbst empfehlen auch einen unique identifier für die ULA Adressen zu verwenden.
Es wird empfohlen, das ULA-Präfix zu ändern, um Kollisionen mit anderen Netzen zu vermeiden. Die ersten 40 Bits sollten gemäß RFC4193 oder durch einen einfachen Online-Generator, wie unique-local-ipv6.com, erzeugt werden. Die restlichen 16 Bits sind die Subnetz-ID und können frei gewählt werden. Nach dem Auswählen von „ULA-Präfix manuell festlegen“ kann man sein eigenes Präfix einstellen.