Vielleicht habe ich nur enorm viel „Glück“, dass keiner meiner Pi-Holes (zuhause, Cloud/VPS für VPN mobile Daten/fremde WLANs) bisher „ausgefallen“ ist. Einzig beim Auto-Update hatte ich in 5 Jahren ein oder auch zweimal ein offizielles Docker-Image erwischt, das wenige Stunden danach vom Pi-Hole Team schon wieder durch ein neues ersetzt worden war, weil es in der Tat so buggy/kaputt war, dass Teile (WebGUI…) oder Pi-Hole als Ganzes nicht mehr funktioniert hatten.
@beamformer
Für solche sehr seltenen Ausfälle habe ich ein GitHub Action basiertes Monitoring (welches eigentlich nur die GUI als Endpunkt monitort und keinen Funktionstest macht, weil ich meinen Pi-Hole definitiv nicht ins Internet als offenen DNS Server exponiert haben möchte!) und einen vom Pi-Hole verwendeten Upstream DNS als Secondary DNS per DHCP zuhause bzw. statisch in der Cloud auf den VPS hinterlegt.
Wenn man die Anleitung von der Kuketz-Blog Website nimmt, wie genau geht man denn mit den Einstellungen:
Never forward non-FQDN A and AAAA queries
Never forward reverse lookups for private IP ranges
Use DNSSEC
um?
Standardmäßig sind ja nur die oberen beiden aktiviert (mit Haken versehen) und DNSSEC nicht.
Sollte man da nicht DNSSEC aktivieren bzw. bleiben die beiden anderen Settings wie sie sind?
Weitere Frage:
Kann hier evtl. jemand helfen? Ist es nach der Anleitung von Kuketz nun eher richtig, den Schalter bei DNSSEC zu setzen, oder eher nicht? Leider wird darauf in der Anleitung nicht eingegangen bzw. das Thema nicht behandelt.
Vielen Dank für diese super Anleitung.
Hatte die IPV6 Einstellungen nicht richtig gesetzt,aber dank dieser tollen Anleitung funktioniert nun alles perfekt,pihole+unbound.
Hallo
Ich bin neu hier und habe von Linux und Programieren absolut keine Ahnung. Die Anleitung ist super hab alles so gemacht hatte aber nicht viele geblockte Seiten. Was ich nicht verstanden habe soll ich das bei 5,1 beschrieben um für Pihole eine IPV6 mit fd00 zu bekommen wieder rückgänig machen oder soll das für alle Geräte die neu ins Netz kommen an bleiben. Bin total verwirrt. Für euch mag das logisch sein für mich ein schwarzes Loch. Grüße
Nein, du sollst die Konfiguration für die ULA, sie immer zuzuweisen, nicht wieder abändern. Ebenso ist das gewählte Prefix dort für gewöhnlich okay.
Die genannte Option ist zwingend erforderlich, damit die ULA auch weiterhin zuverlässig zugeteilt wird, was du möchtest, da mithilfe dieser der Pi als DNS-Server festgelegt wird.
Dass andere Geräte ebenfalls eine zugewiesen bekommen ist kein Problem.
Ich habe mir heute erneut die Frage gestellt, ob ich doch per Rasperry/PI-Hole mein Netzwerk, wie hier beschrieben, aufsetzen sollte. Hintergrund: auf meinem Tablet bekomme ich immer wieder (und jetzt öfters?) nach dem Einschalten die Meldung von Android, dass Blokada 5 nicht antwortet. Ansonsten war ich mit Blokada auf dem Tablet und Smartphone und mit uBlock im Desktop Browser gut bedient.
Jetzt stellt sich bei der Frage nach PI-Hole allerdings heraus, dass die vorgestellte Konfiguration voraussetzt, dass auch der Desktop-PC mit PI-Hole verbunden werden muss - offensichtlich wireless. Mein PC, ohne Funkmodul, hängt aber per Ethernet-Kabel an der FritzBox, und kann somit nicht mit dem Raspberry verbunden werden.
Nein, du kannst den Pi per Kabel - oder auch per WLAN, würde Ich persönlich jedoch nicht empfehlen - ebenfalls am Router anschließen, alles nach Anleitung einrichten, und deinen Computer und deine WLAN Geräte wie bereits in Verwendung weiter nutzen.
Es sei denn, du hast manuell einen DNS Server im Gerät konfiguriert.
Standardmäßig, wenn du den Rechner mit der Fritzbox verbindest, wird ihm per DHCP unter anderem mitgeteilt welchen DNS Server er verwenden soll. Das wird in der Anleitung geändert.
In Werkseinstellung wird ihm als DNS Server die Fritzbox mitgeteilt, an diese richtet der PC die DNS Anfrage - diese liefert dann z.B. die IP-Adresse für die Domain (ab hier spielt DNS keine Rolle mehr), und der PC baut eine Verbindung zur IP-Adresse auf, was über den Router läuft.
Wenn du die Anleitung umsetzt, wird deinem PC als DNS Server der Raspberry Pi mit Pi-Hole mitgeteilt, anstelle vom Router.
Dann sendet der PC dem Pi-Hole die DNS Anfrage, welche vom Router im eigenen Netz von deinen PC zum RasPi „geroutet“ wird, kriegt die Antwort (z.B. welche IP-Adresse hinter der Domain steckt) auf selbigen Weg umgekehrt zurück (ab hier ist der Raspi mit Pi-Hole komplett aus dem Spiel), und der PC baut eine Verbindung zu dieser IP-Adresse über den Router auf.
Dafür braucht es keine direkte Verbindung zum oder über den RasPi.
Du setzt schließlich keine Firewall auf, dafür müsste die Verbindung des Rechners über die Firewall gehen.
Als DNS Server könnte jeder erreichbare Computer eingerichtet werden, dieser Unterscheidet sich von einen Webserver nur anhand dessen, was er schlussendlich tut, und „dir“ antwortet.
Deswegen kannst du auch einfach einen beliebigen, öffentlichen DNS Server im Internet verwenden, wie z.B. Quad9.nets 9.9.9.9 (der aber keine Tracker filtert).
Ich bin nicht mehr auf dem aktuellsten Stand aber ist Blokada nicht eingestellt?
Zumindestens in damaliger Form.
Ist der Grund warum ich vor 1 bis 2 Jahren aufs Pi Hole gewechselt bin.
Nein. Die 6er-Version ist aber an ein Subskriptionsmodell gebunden.
@Astolfo
Ich hoffe, ich habe es richtig verstanden.
PI-Hole ist ein im lokalen Netz erreichbarer, von der Fritzbox konfigurierter Server, der die DNS-Abfrage des Clients (PC, Tablet, Smartphone) beantwortet.
Damit kann der Client dann über die FritzBox auf die externe Zieladresse losgehen. (Bisher dachte ich, dass DNS-lookup und Auslieferung der Antwort des Zielservers immer von der FritzBox gemacht werden: wäre doch effektiver?)
Soweit, so gut. Ich habe momentan in der FritzBox schon einen separaten dns-Server eingetragen. Jetzt aber an die Linuxer die Frage: Warum liefert nslookup nicht diesen Server, sondern 127.0.0.53 und als Non-authorative answer irgendeine externe IP-Adresse? resolvectl status liefert aber: Current DNS Server: 192.168.178.1, also die Fritzbox,
unattended-upgrades scheint in den Standardeinstellungen nicht auf dem Raspberry zu laufen. Hierzu ist noch eine weitere Anpassung notwendig. Siehe auch:
ich habe ein aktuelles Raspberry PI OS seit ca. 3 Monaten in Betrieb, und unattended-upgrades nach den vorgestellten Schritten konfiguriert. Bei einem Routinecheck habe ich festgestellt dass Updates seit der Einrichtung nicht eingespielt wurden (sudo apt update zeigt mehr als 30 mögliche Updates an). Dieses Verhalten habe ich dann über einige Wochen beobachtet. Die möglichen Updates werden mehr, aber eingespielt wird nichts.
Der Probelauf mit
sudo unattended-upgrades -v -d
zeigt die Prüfung auf Updates, allerdings kein Einspielen der Updates.
Es scheint mir so, als ob unattended-upgraded die Erlaubnis um Pakete (origins-pattern) aus den Raspberry-Paketquellen automatisch zu installieren, fehlt. Unattended-upgrades ist eben standardmäßig für Debian konfiguriert, aber nicht für den Raspberry angepasst.
Im Blog steht
auskommentieren.
Aber das funktioniert nicht. Dadurch werden die Updates zwar angezeigt, aber nicht installiert.
Erst nach Hinzufügen der neuen origins-pattern (siehe vorherige Nachricht) laufen auch die Updates auf dem PI durch.
"origin=Raspbian,codename=${distro_codename},label=Raspbian";
"origin=Raspberry Pi Foundation,codename=${distro_codename},label=Raspberry Pi Foundation";
Hallo,
ich versuche gerade der Anleitung zu folgen, komme aber bereits bei „5.2 Installation“ ins Schleudern.
curl meldet ein SSL Problem und ich kann damit überhaupt nix anfangen. Auch aus den Tips auf sslcerts.html werde ich nicht schlau. Da fehlt mir viel zu viel Vorwissen.
PiHole@PiHole:~ $ sudo curl -sSL https://install.pi-hole.net | bash
curl: (60) SSL certificate problem: certificate is not yet valid
More details here: https://curl.se/docs/sslcerts.html
curl failed to verify the legitimacy of the server and therefore could not
establish a secure connection to it. To learn more about this situation and
how to fix it, please visit the web page mentioned above.
Was läuft da schief und wie kann ich das als Laie beheben?
Grüße
Werner
Nachtrag
Jetzt geht es.
Ich hab zwar keine Ahnung wie das zusammen hängt, aber es scheint an der Fritzbox, bzw. deren Filtern gelegen zu haben.
Im standard Zugangsprofil ist bei mir „alles außen Surfen und Mailen“ gesperrt. Und der Pi war noch diesem Profil zugewiesen. Nach ich dem Pi das Profil „unbeschränkt“ zugewiesen habe klappt es.
Hallo zusammen,
ich war bisher nur stiller Mitleser hier im Forum, habe mir aber Anfang des Monats auch einen Pi-hole (4 Model B, 8GB ) nach Mikes Anleitung (Teil 1, ohne unbound) eingerichtet und grundsätzlich funktioniert auch alles, d.h. Werbung wird gefiltert.
Allerdings bekomme ich in Pi-hole diagnosis folgende Meldung angezeigt:
Diese Meldung habe ich in den letzten 5 Tagen bereits 6 mal erhalten. Ich habe mir die Anleitung zu den IP-Einstellungen noch einmal angesehen, konnte aber nichts finden, daher meine Frage: Übersehe ich irgendwo einen Fehler in der Konfiguration oder ist diese Meldung zu erwarten?
Anleitungen für PI Hole gibt es viele. Deine ist die beste, gerade für Anfänger. Ich habe es genauso gemacht wie es hier steht und seitdem läuft PIhole auf dem Raspi unter Dietpi in Zusammenspiel mit der Fritzbox tadellos. Vorher hatte ich mit anderen Anleitungen immer wieder Probleme im Betrieb. Ich spiele nun mit dem Gedanken Home Assistant OS zu installieren.
Hier wird Adguard Home als Addon angeboten. PiHole läuft da wohl nicht. In deinem Beitrag " [Pi-hole: Einrichtung und Konfiguration mit Fritz!Box - AdBlocker Teil1]" kündigest du gaanz unten eine Anleitung für Adguard Home an. Die habe ich jedoch nicht gefunden. Gibt es diese überhaupt?
Wie gesagt möchte ich ein identisches Setup realisieren. Ich habe im Netz noch diverse Netzwerk Computer, deren Namen aufgelöst werden muss (Use Conditional Forwarding in PiHole). IP6 nutze ich nicht.
Im Grunde benötige ich nur die korrekten Einstellungen in Adguard Home für: „Use Conditional Forwarding“ und „Upstream DNS Servers“ > IP der Fritzbox, also das was in der Anleitung unter 6.3 beschrieben ist.
Das sind in Adguard ja viele Freitextfelder wo man irgendwas eintragen kann, ich steige da in der Konfiguration nicht wirklich durch.
bisher war ich hier stiller Leser und habe von der ausgezeichneten Anleitung profitiert. Eigentlich habe ich pi-hole schon einige Jahre in Betrieb, weil aber die verwendete ältere Version von raspbian os nicht mehr unterstützt wird, habe ich mich zu einer Neuinstallation entschlossen. Nach der Anleitung von Mike hat das sehr gut geklappt - sogar so gut, dass nun viel mehr geblockt wird als vorher. Dabei ist mir aufgefallen, dass die Adresse www.google.com von den Geräten im Heimnetz irrwitzig oft aufgerufen wird, obwohl ich google so gut meide, wie es mit vorinstallierten Androids geht. Das sind regelmäßig mehr als 10.000 Anfragen pro Tag, die sich auf zwei Android-Tablets konzentrieren. Ich habe diese Adresse sofort auf die Blacklist gesetzt, so dass sie nun blockiert wird. Ich würde gerne diese Anfragen an der Quelle abstellen, kann aber keine finden. Auch eine Funktionsbeeinträchtigung habe ich nicht bemerkt. Wie kann ich herausfinden, wer da diese massenhaften Anfrage an www.google.com stellt und das abstellen?
Naja, bei einem Stock-OS wundert mich jetzt nicht, dass Google oft kontaktiert wird. Sicher, dass es www.google.com ist und nicht eine andere Subdomain? Auf einem Google Pixel Stock-OS wird www.google.com bei der Benutzung des Einstellungsmenüs mit Telemetriedaten kontaktiert. Wie das bei anderen Herstellern ist, weiß ich nicht.
Das wundert mich gar nicht, dass ein Google-OS Google kontaktieren will, aber 11.500 Versuche in nicht mal 24 Stunden Betriebszeit zweier Samsung-Tablets ist schon arg viel, zumal ich alle Google-Apps bis auf Maps und Playstore und alles, was sich an Diensten und ‚features‘ abwählen lässt, deaktivert habe. Das pi-hole gibt als ‚blocked‘ exakt die Adresse ‚www.google.com‘ an, die Google-Subdomains sind da gar nicht mitgezählt, weil die zahlenmäßig nicht so auffällig sind. www.google.com war übrigens bei mir trotz etlicher Filterlisten nicht geblockt, erst ich habe es auf die schwarze Liste gesetzt.
