Ich habe nun längere Zeit Pihole „bare metal“ auf einem Raspberry Pi 5 betrieben. Da ich mittelfristig auch noch andere Dienste auf dem Gerät betreiben möchte und mich zudem ein wenig in Docker einarbeiten wollte, habe ich heute mal Docker installiert und mittels des offiziellen Docker-Images Pihole in Betrieb genommen.
Hinsichtlich der Einrichtung des Netzwerks bzw. der FritzBox habe ich mich an die Anleitung von Mike gehalten. In den Einstellungen von Pihole habe ich im Experten-Modus unter Conditional Forwarding folgendes eingetragen: true,192.168.178.0/24,192.168.178.1,fritz.box (wobei ich mir nicht sicher bin, was ich hier genau tue ).
Grundsätzlich scheint auch alles zu funktioniere, d.h. die Anfragen der einzelnen Geräte in meinem Haushalt werden durchgeleitet bzw. geblockt. Allerdings werden mir keine unterschiedlichen Clients angezeigt. Alle Anfragen kommen laut PiHole von 172.18.0.1. Wahrscheinlich muss ich hier irgendwas an der Netzwerkkonfiguration meines Docker-Containers ändern. Ich bin aber ratlos. Könnt ihr mir helfen?
Falls es euch hilft - mir werden darüberhinaus in Pihole auch immer die zwei folgenden Fehler angezeigt:
ignoring query from non-local network 192.168.178.3 (logged only once) (192.168.178.3 ist die IP des Raspberry Pi auf dem das läuft)
und
Connection error (fd00::4a5d:35ff:fe24:3e3#53): failed to send UDP request (Network unreachable)
Schau mal in admin/settings/dns - bei meinen Cloudservern habe ich dort " Allow only local requests" aktiv und sehe auch nur die Docker-IP, pi.hole und Localhost; zuhause " Permit all origins" und dort sehe ich jeden Client im Netzwerk.
Super, danke. Das hat geholfen. Jetzt bleibt nur noch diese eine Fehlermeldung: Connection error (fd00::4a5d:35ff:fe24:3e3#53): failed to send UDP request (Network unreachable)
Geht denn mit dieser Einstellung ein Sicherheitsrisiko einher? Ich benutze PiHole in meinem heimischen WLAN, auf das (per WireGuard über die Fritzbox) aber auch zwei unserer Mobilgeräte zugreifen, wenn sie nicht im WLAN sind. Muss/sollte ich hier noch etwas zur Absicherung konfigurieren?
Die konkrete Einstellung sagt mir nichts, aber ein offener rekursiver DNS-Resolver insbesondere auf UDP 53 gilt als Sicherheitsrisiko, weil er Angreifern erlaubt eine Flut von Anfragen und damit Denial-of-Services zu generieren. Den Resolver auf das eigene LAN oder VPN zu begrenzen ist sinnvoll. Bei DoT und DoH ist es für den Angreifer nicht ganz so trivial, da kannst Du es vermutlich eher verschmerzen (meiner ist noch nicht zusammengebrochen ).
Geht deine Fehlermeldung so in diese Richtung? Kommt diese Meldung nur beim/kurz nach dem Starten oder immer wieder? Was hast du als DNS-Upstream-Server eingetragen? Oder ist das deine Fritzbox, die beim „Conditional Forwarding“ nicht gescheit antwortet (ich nutze das bei mir nicht), weil das nicht die richtige IP und Netzwerk bei dir ist? true,192.168.0.0/24,192.168.0.1,fritz.box
Nein. Dein Pihole ist nur in deinem (W)LAN zuhause und über dein WireGuard-VPN für deine Geräte erreichbar und nicht „für alle im Internet“.
).
).
