Pi-hole: Einrichtung und Konfiguration mit Fritz!Box - AdBlocker Teil1

Vielleicht habe ich nur enorm viel „Glück“, dass keiner meiner Pi-Holes (zuhause, Cloud/VPS für VPN mobile Daten/fremde WLANs) bisher „ausgefallen“ ist. Einzig beim Auto-Update hatte ich in 5 Jahren ein oder auch zweimal ein offizielles Docker-Image erwischt, das wenige Stunden danach vom Pi-Hole Team schon wieder durch ein neues ersetzt worden war, weil es in der Tat so buggy/kaputt war, dass Teile (WebGUI…) oder Pi-Hole als Ganzes nicht mehr funktioniert hatten.

@beamformer
Für solche sehr seltenen Ausfälle habe ich ein GitHub Action basiertes Monitoring (welches eigentlich nur die GUI als Endpunkt monitort und keinen Funktionstest macht, weil ich meinen Pi-Hole definitiv nicht ins Internet als offenen DNS Server exponiert haben möchte!) und einen vom Pi-Hole verwendeten Upstream DNS als Secondary DNS per DHCP zuhause bzw. statisch in der Cloud auf den VPS hinterlegt. :slight_smile:

Wenn man die Anleitung von der Kuketz-Blog Website nimmt, wie genau geht man denn mit den Einstellungen:

Never forward non-FQDN A and AAAA queries
Never forward reverse lookups for private IP ranges
Use DNSSEC

um?

Standardmäßig sind ja nur die oberen beiden aktiviert (mit Haken versehen) und DNSSEC nicht.
Sollte man da nicht DNSSEC aktivieren bzw. bleiben die beiden anderen Settings wie sie sind?

Weitere Frage:
Kann hier evtl. jemand helfen? Ist es nach der Anleitung von Kuketz nun eher richtig, den Schalter bei DNSSEC zu setzen, oder eher nicht? Leider wird darauf in der Anleitung nicht eingegangen bzw. das Thema nicht behandelt.

Vielen Dank für diese super Anleitung.
Hatte die IPV6 Einstellungen nicht richtig gesetzt,aber dank dieser tollen Anleitung funktioniert nun alles perfekt,pihole+unbound.

Gruß Frank

Hallo
Ich bin neu hier und habe von Linux und Programieren absolut keine Ahnung. Die Anleitung ist super hab alles so gemacht hatte aber nicht viele geblockte Seiten. Was ich nicht verstanden habe soll ich das bei 5,1 beschrieben um für Pihole eine IPV6 mit fd00 zu bekommen wieder rückgänig machen oder soll das für alle Geräte die neu ins Netz kommen an bleiben. Bin total verwirrt. Für euch mag das logisch sein für mich ein schwarzes Loch. Grüße

Nein, du sollst die Konfiguration für die ULA, sie immer zuzuweisen, nicht wieder abändern. Ebenso ist das gewählte Prefix dort für gewöhnlich okay.

Die genannte Option ist zwingend erforderlich, damit die ULA auch weiterhin zuverlässig zugeteilt wird, was du möchtest, da mithilfe dieser der Pi als DNS-Server festgelegt wird. :slight_smile:
Dass andere Geräte ebenfalls eine zugewiesen bekommen ist kein Problem.

Ich habe mir heute erneut die Frage gestellt, ob ich doch per Rasperry/PI-Hole mein Netzwerk, wie hier beschrieben, aufsetzen sollte. Hintergrund: auf meinem Tablet bekomme ich immer wieder (und jetzt öfters?) nach dem Einschalten die Meldung von Android, dass Blokada 5 nicht antwortet. Ansonsten war ich mit Blokada auf dem Tablet und Smartphone und mit uBlock im Desktop Browser gut bedient.

Jetzt stellt sich bei der Frage nach PI-Hole allerdings heraus, dass die vorgestellte Konfiguration voraussetzt, dass auch der Desktop-PC mit PI-Hole verbunden werden muss - offensichtlich wireless. Mein PC, ohne Funkmodul, hängt aber per Ethernet-Kabel an der FritzBox, und kann somit nicht mit dem Raspberry verbunden werden.

  • ist das richtig?
  • gibt es eine Alternativkonfiguration?

Nein, du kannst den Pi per Kabel - oder auch per WLAN, würde Ich persönlich jedoch nicht empfehlen - ebenfalls am Router anschließen, alles nach Anleitung einrichten, und deinen Computer und deine WLAN Geräte wie bereits in Verwendung weiter nutzen.
Es sei denn, du hast manuell einen DNS Server im Gerät konfiguriert.

Standardmäßig, wenn du den Rechner mit der Fritzbox verbindest, wird ihm per DHCP unter anderem mitgeteilt welchen DNS Server er verwenden soll. Das wird in der Anleitung geändert.
In Werkseinstellung wird ihm als DNS Server die Fritzbox mitgeteilt, an diese richtet der PC die DNS Anfrage - diese liefert dann z.B. die IP-Adresse für die Domain (ab hier spielt DNS keine Rolle mehr), und der PC baut eine Verbindung zur IP-Adresse auf, was über den Router läuft.

Wenn du die Anleitung umsetzt, wird deinem PC als DNS Server der Raspberry Pi mit Pi-Hole mitgeteilt, anstelle vom Router.
Dann sendet der PC dem Pi-Hole die DNS Anfrage, welche vom Router im eigenen Netz von deinen PC zum RasPi „geroutet“ wird, kriegt die Antwort (z.B. welche IP-Adresse hinter der Domain steckt) auf selbigen Weg umgekehrt zurück (ab hier ist der Raspi mit Pi-Hole komplett aus dem Spiel), und der PC baut eine Verbindung zu dieser IP-Adresse über den Router auf.
Dafür braucht es keine direkte Verbindung zum oder über den RasPi.

Du setzt schließlich keine Firewall auf, dafür müsste die Verbindung des Rechners über die Firewall gehen.
Als DNS Server könnte jeder erreichbare Computer eingerichtet werden, dieser Unterscheidet sich von einen Webserver nur anhand dessen, was er schlussendlich tut, und „dir“ antwortet.
Deswegen kannst du auch einfach einen beliebigen, öffentlichen DNS Server im Internet verwenden, wie z.B. Quad9.nets 9.9.9.9 (der aber keine Tracker filtert).

@ZaphodBeeble

Ich bin nicht mehr auf dem aktuellsten Stand aber ist Blokada nicht eingestellt?
Zumindestens in damaliger Form.
Ist der Grund warum ich vor 1 bis 2 Jahren aufs Pi Hole gewechselt bin.

Nein. Die 6er-Version ist aber an ein Subskriptionsmodell gebunden.

@Astolfo
Ich hoffe, ich habe es richtig verstanden.

PI-Hole ist ein im lokalen Netz erreichbarer, von der Fritzbox konfigurierter Server, der die DNS-Abfrage des Clients (PC, Tablet, Smartphone) beantwortet.
Damit kann der Client dann über die FritzBox auf die externe Zieladresse losgehen. (Bisher dachte ich, dass DNS-lookup und Auslieferung der Antwort des Zielservers immer von der FritzBox gemacht werden: wäre doch effektiver?)

Soweit, so gut. Ich habe momentan in der FritzBox schon einen separaten dns-Server eingetragen. Jetzt aber an die Linuxer die Frage: Warum liefert nslookup nicht diesen Server, sondern 127.0.0.53 und als Non-authorative answer irgendeine externe IP-Adresse?
resolvectl status liefert aber: Current DNS Server: 192.168.178.1, also die Fritzbox,

unattended-upgrades scheint in den Standardeinstellungen nicht auf dem Raspberry zu laufen. Hierzu ist noch eine weitere Anpassung notwendig. Siehe auch:

https://raspberrypi.stackexchange.com/questions/38931/how-do-i-set-my-raspberry-pi-to-automatically-update-upgrade#comment130516_38990


Ergänzung vom 07.04.24:

Hier noch eine detailliertere Ausführung dazu:

ich habe ein aktuelles Raspberry PI OS seit ca. 3 Monaten in Betrieb, und unattended-upgrades nach den vorgestellten Schritten konfiguriert. Bei einem Routinecheck habe ich festgestellt dass Updates seit der Einrichtung nicht eingespielt wurden (sudo apt update zeigt mehr als 30 mögliche Updates an). Dieses Verhalten habe ich dann über einige Wochen beobachtet. Die möglichen Updates werden mehr, aber eingespielt wird nichts.

Der Probelauf mit

sudo unattended-upgrades -v -d

zeigt die Prüfung auf Updates, allerdings kein Einspielen der Updates.

Es scheint mir so, als ob unattended-upgraded die Erlaubnis um Pakete (origins-pattern) aus den Raspberry-Paketquellen automatisch zu installieren, fehlt. Unattended-upgrades ist eben standardmäßig für Debian konfiguriert, aber nicht für den Raspberry angepasst.
Im Blog steht

"origin=Debian,codename=${distro_codename}-updates";

auskommentieren.
Aber das funktioniert nicht. Dadurch werden die Updates zwar angezeigt, aber nicht installiert.
Erst nach Hinzufügen der neuen origins-pattern (siehe vorherige Nachricht) laufen auch die Updates auf dem PI durch.

"origin=Raspbian,codename=${distro_codename},label=Raspbian";
"origin=Raspberry Pi Foundation,codename=${distro_codename},label=Raspberry Pi Foundation";

Hyperlokaler unbound wird nicht mehr präferiert?

Sehr aufmerksam! Vielen Dank. Habe den Artikel entsprechend angepasst, denn die Updates wurden tatsächlich nicht eingespielt.

1 „Gefällt mir“

Hallo,
ich versuche gerade der Anleitung zu folgen, komme aber bereits bei „5.2 Installation“ ins Schleudern.

curl meldet ein SSL Problem und ich kann damit überhaupt nix anfangen. Auch aus den Tips auf sslcerts.html werde ich nicht schlau. Da fehlt mir viel zu viel Vorwissen.

PiHole@PiHole:~ $ sudo curl -sSL https://install.pi-hole.net | bash
curl: (60) SSL certificate problem: certificate is not yet valid
More details here: https://curl.se/docs/sslcerts.html

curl failed to verify the legitimacy of the server and therefore could not
establish a secure connection to it. To learn more about this situation and
how to fix it, please visit the web page mentioned above.

Was läuft da schief und wie kann ich das als Laie beheben?

Grüße
Werner

Nachtrag

Jetzt geht es.
Ich hab zwar keine Ahnung wie das zusammen hängt, aber es scheint an der Fritzbox, bzw. deren Filtern gelegen zu haben.

Im standard Zugangsprofil ist bei mir „alles außen Surfen und Mailen“ gesperrt. Und der Pi war noch diesem Profil zugewiesen. Nach ich dem Pi das Profil „unbeschränkt“ zugewiesen habe klappt es.

Grüße
Werner

1 „Gefällt mir“

Hallo zusammen,
ich war bisher nur stiller Mitleser hier im Forum, habe mir aber Anfang des Monats auch einen Pi-hole (4 Model B, 8GB ) nach Mikes Anleitung (Teil 1, ohne unbound) eingerichtet und grundsätzlich funktioniert auch alles, d.h. Werbung wird gefiltert.
Allerdings bekomme ich in Pi-hole diagnosis folgende Meldung angezeigt:

Diese Meldung habe ich in den letzten 5 Tagen bereits 6 mal erhalten. Ich habe mir die Anleitung zu den IP-Einstellungen noch einmal angesehen, konnte aber nichts finden, daher meine Frage: Übersehe ich irgendwo einen Fehler in der Konfiguration oder ist diese Meldung zu erwarten?

Vielen Dank für eure Hilfe.

Wastl