Hallo zusammen,
vielleicht kann mir jemand helfen.
Ausgangslage:
Ich habe Pi-hole in der Fritzbox eingerichtet, sodass Anfragen mit Hilfe von Pi-hole gefiltert werden.
Das funktioniert für PC, Laptop und Handy im Heimnetz sehr gut.
Ich habe jetzt eine VPN-Verbindung (IPSec Xauth PSK) über die Fritzbox am Handy eingerichtet.
Das VPN funktioniert einwandfrei.
Das Problem:
Pi-hole wird bei der VPN-Verbindung vom Handy zur Fritzbox umgangen.
Was muss ich tun, damit die VPN-Verbindung vom Handy zur Fritzbox das Pi-hole nicht umgeht?
Kann ich da an der Fritzbox etwas einstellen?
Über Antworten freue ich mich.
Hier bei mir funktioniert es mit einer FB7590AX und VPN über IPSec bzw auch mit Wireguard. Wie hast Du denn in Deiner FB den Pihole als DNS Server eingerichtet?
Es gibt „zwei“ Stellen, an denen du einen DNS Server für die Geräte festlegen kannst.
Wo hast du das getan?
1. „Heimnetz“ → „Netzwerk“ (und jeweils einzelne Menüs für IPv4 & v6)
oder 2. „Internet“ → „Zugangsdaten“ → „DNS-Server“?
Ich kenne nicht die Details, wie die Fritzbox DNS bezüglich der VPN Funktion verwaltet, aber Ich glaube, du hast an Stelle 1. dein Pi-Hole eingetragen, aber nicht an 2.?
Ich gehe nämlich davon aus, dass die Fritzbox für VPN Verbindungen die DNS-Anfragen über sich auflösen lässt, dafür ist dann die Konfiguration unter 2. da.
Problem ist nur, das die Heimnetz-Einstellungen nur für DHCP gelten.
Und WireGuard macht kein DHCP.
Dazu musst du im WG-Profil des Endgerätes den DNS-Server anpassen…
Wie steht hier …
Wie schon gesagt läuft bei mir auf der FB und auf meinem Smartphone auch Wireguard (so wie AVM es implementiert hat) ohne irgendwelche Anpassungen. Der gesamte Traffic des Smartphones wird trotzdem über meinen Pihole-Server geführt.
Ich denke mal bevor hier irgendwelche Wireguard Anpassungen gemacht werden, sollte der Hinweis von @D299 -sofern nicht schon erfolgt - umgesetzt werden.
PS: Da fällt mir noch ein… @Greta …prüf bitte auch noch ob Dein Handy (mit der aktiven VPN Verbindung) im Pihole unter „Clients“ aufgeführt ist ?
Da hast Du natürlich recht. Das was ich zu Wireguard VPN in Verbindung mit Pihole geschrieben habe gilt aber auch gleichermaßen für eine IPSec VPN Verbindung in Verbindung mit der Pihole Nutzung. Ich nutze beide VPN Verbindungen…
Danke für die Antworten.
Habe seit kurzem FB 7530 AX (WG noch nicht verfügbar, weil OS 7.31.), muss also IPSec nehmen.
Zu 1. bei „Heimnetz“ → „Netzwerk“ (und jeweils einzelne Menüs für IPv4 & v6) stehen tatsächlich IPv4- und IPv6-Adressen. Das passt also.
Unter Pv6-Adressen sind drei Adressen zu finden, die mir zugewiesen wurden:
fe80::XXXXXX
2001:XXXXXXXX
fd00::XXXXXX
Welche der drei IPv6-Adressen trage ich bei Punkt 2. „Internet“ → „Zugangsdaten“ → „DNS-Server“ ein?
Nein, das Handy mit aktiver VPN-Verbindung wird im Pi-hole nicht unter Clients aufgeführt. Wie kann ich das ändern? Offenbar übergeht die FB das Pi-hole ja.
Um zu vermeiden dass wir hier nicht aneinander vorbeireden:
In meinem Netzwerk hat der Pihole die IP 192.168.178.85 bzw. fe80::11:32ff:fe28:1026.
Nachfolgend meine Einstellungen in der FB7590AX.
Und ,um Deine letzte Frage zu beantworten bleibst Du im Pihole und wechselst zum Auswahlpunkt „Clients“. In dem Auswahlmenü „Add a new client“ sollte dann (nachdem eine VPN Verbindung zu Deinem Smartphone aufgebaut ist bzw. wurde) , Dein Smartphone auftauchen. Der Name des Clients - wenn er dann auftaucht - kann verwirren.
Bei mir stand dann z.B. nur die IP des Devices bzw. bei anderen Smartphones im Haushalt stand auch einfach nur „fritz.box“. Warum, Wieso ?..keine Ahnung.
Auf jeden Fall kannst Du alle Clients die an dieser Stelle auftauchen der Liste ggf. mit einem Kommentar hinzufügen.
Bin jetzt wirklich kein Netzwerkspezialist. Da Du den Pihole als DNS Server einträgst, kannst Du nach meiner Meinung die beiden Optionen „Verschlüsselte Namensauflösung…“ und „Zertifikatsprüfung…“ wegklicken. Jedenfalls habe ich das so bei mir gemacht. Die Option „Fallback…“ musst Du aber haben, da bei einer Störung der im Pihole angeklickten DNS Server ansonsten keine Namensauflösung mehr stattfinden kann.
Genau, DoT in der FrittBox aus, das könntest du am Pi-hole eintragen…
Zusätzlich könntest du in der FritzBox noch Zugangsprofile anlegen wo DNS (Port53 UDP) gesperrt ist - dann noch ein Profil wo alles erlaubt ist und dort trägst du als Gerät den Pi-hole ein:)
Wenn ich DoT wegklicke, verschwinden auch die beiden Häkchen bei:
„Zertifikatsprüfung für verschlüsselte Namensauflösung im Internet erzwingen“
und
„Fallback auf unverschlüsselte Namensauflösung im Internet zulassen/Bei Ausfall aller verschlüsselten Server einen Rückfall auf unverschlüsselten DNS-Verkehr erlauben./Achtung: Wenn diese Einstellung deaktiviert wird, kann es zu einem vollständigen DNS-Ausfall kommen.“
In der Tat, es ist genau so, wie du schreibst bzw. wie ihr schreibt:
Der Tipp mit dem Deaktivieren von DoT in der Fritzbox funktioniert!
Danke für die vielen Tipps und eure Geduld!
