Hallo zusammen,

ich habe die FritzBox 7590 und dort zwei Dinge beobachtet, die ich mir nicht ganz erklären kann und frage mich, ob ich da falsche Einstellungen vorgenommen habe:

• 1. In der FritzBox habe ich „google.com“ unter „Gesperrte Internetseiten“ eingetragen. Dem Zugangsprofil „Standard“ habe ich den Filter „Internetseiten gesperrt“ hinzugefügt und meinem PC das Zugangsprofil „Standard“ zugewiesen.
     Frage: Warum macht die FritzBox eine DNS-Anfrage „google.com“, wie ich aus dem pihole-Log ersehen kann und warum bekomme ich keine entsprechende „Sperrseite“ von der FritzBox, sondern die Firefox-Info „Fehler: Verbindung fehlgeschlagen“?
• 2. „Aufrufe über IP-Adressen sind ebenfalls gesperrt“ sind ja zwangsweise mit dabei, wenn ich unter „Filter für Internetseiten“ den Punkt „Internetseiten sperren“ anklicke. Trage ich dann die IP „http://a.b.c.d“ in meinen Browser ein, bekomme ich die FritzBox-Seite angezeigt, dass diese IP gesperrt ist. Die IP taucht dann auch auf unter „Listen“ => „Erlaubte IP-Adressen“, in der ich diese IP freigeben kann. Wenn ich allerdings "httpS://a.b.c.d eingebe, funktioniert das nicht. Ich komme problemlos auf die entsprechende Seite - keine Anzeige unter „Erlaubte IP-Adressen“.
     Frage: Warum ist das so und ist das so korrekt?

Vielleicht habt Ihr einen Hinweis für mich. Danke vorab.

Läuft denn Dein PC im Zugangsprofil „Standard“?
Wenn man mehrere Profile hat, kann man da schon mal durcheinander kommen.

1. Ansonsten habe ich eine ältere Fritzi und auch die Filterliste dem gültigen Zugangsprofil hinzugefügt und das Profil wird LAN-weit fast ausschließlich angewendet.
   Der Filtereintrag ist bei mir der gleiche.
   Das Ergebnis auch:

• bei Opera:

Diese Website kann keine sichere Verbindung bereitstellen
google.com hat eine ungültige Antwort gesendet.

• beim Firefox:

2. Aufrufe über IP-Adressen sind bei mir auch gesperrt (bis auf bestimmte lokale Ausnahmen).
   Die sind auch nicht erreichbar – weder unter http, noch unter https.
   Allerdings wird die „IP“ „http://a.b.c.d “ nicht als IP erkannt, sondern der Standardsuchmaschine übergeben. Das erscheint mir nach RFC 791 logisch.
   Jedoch führt httpS://a.b.c.d als DNS-Auflösung zu keiner Fundstelle.
   Im Firefox führt beides zu keinem Fund aber auch zu keiner FRITZ!Box-Fehlerseite.

Das finde ich soweit normal. Was ist bei Dir anders?
Was ist denn bei Dir die „entsprechende Seite“?

Ja, das ist bei mir anders - leider. Daher die Anfrage hier

Mein Rechner hat das Profil „Standard“ => siehe Screenshot.

100_Standardprofil1311×136 13.6 KB

Im Profile „Standard“ ist „Aufrufe über IP-Adressen sind ebenfalls gesperrt“ angeklickt, „Ausnahmen anzeigen“ ist leer.

101_Zugangsprofil_Standard839×450 61.4 KB

Die „entsprechende Seite“ ist diejenige Webseite, die sich hinter der IP verbirgt. Also funktioniert dieses „Blocken über IP-Adresse“ in der FritzBox nicht, sobald ich httpS://a.b.c.d eingebe.

Zudem weiterhin die Frage, warum die FritzBox DNS-Anfragen Richtung pihole startet, wenn die entsprechende Domain unter „Gesperrte Internetseiten“ gelistet ist.

Mal einen frischen Chromium-Browser installiert und mit http://45.9.61.217 (kuketz-forum.de getestet:

102_kuketz-forum.de733×459 29.4 KB

Die IP taucht unter „Liste erlaubter IP Adressen auf“ => so soll es sein. Ich lasse die IP drin stehen und klicke sie NICHT als „erlaubt“ an.

Danach wieder in den Chromium und einfach ein „https://“ vor die IP gesetz. Resultat: Sofort wird die IP in der Browser-Leiste in „https://www.kuketz-forum.de/“ aufgelöst und die Seite wird problemlos aufgerufen.

Das darf doch so nicht sein, oder? Das ist bei Dir nicht so, wenn Du es genauso machst?

Deine Bilder sehen bei mir soweit auch so aus, nur daß mein Rechner anders heißt und mein Profil in dem Fall ebenfalls. Alle Optionen sind bei mir gleich gesetzt, der Text im entsprechenden Abschnitt ist der gleiche.

Dein Beispiel unten hinkt, weil eben IPs in Version 4 als vier Gruppen mit 1 bis 3 Ziffern sein müssen.
Mit Buchstaben kommt man eben auf die zuvor von mir beschriebenen Ergebnisse.

Mir ist nicht klar, wieso der discobot hier zulässt, daß Du zwei Artikel direkt hintereinander einstellst, ich werde sie also zusammennähen. Bitte: Sei ordentlich …

Die Sperrmitteilung (im Firefox) habe ich ja oben auch abgebildet. Hier nochmal mit dieser IP:

Genau: so soll es sein. Aber sie taucht nicht in der Liste erlaubter IP-Adressen auf.

Zuerst mit http://:
Chromium habe ich nicht, aber Opera. Da beschwert sich das AddOn https://Everywhere darüber, daß es eine unverschlüsselte Adresse ist.
Im (jungfräulichen) Firefox ohne dieses AddOn bleibt es bei der abgebildeten Fehlermeldung.

Nun mit https://:
Das führt bei beiden zur sinngleichen Fehlermeldung:
Opera:

Ihre Verbindung ist nicht privat

Angreifer könnten versuchen, Ihre Daten von 45.9.61.217 zu stehlen (beispielsweise Passwörter, Nachrichten oder Kreditkartennummern).

NET::ERR_CERT_COMMON_NAME_INVALID

Help me understand

Firefox:

Warnung: Mögliches Sicherheitsrisiko erkannt

Firefox hat ein mögliches Sicherheitsrisiko erkannt und 45.9.61.217 nicht geladen. Falls Sie die Website besuchen, könnten Angreifer versuchen, Passwörter, E-Mails oder Kreditkartendaten zu stehlen.

Was können Sie dagegen tun?

Am wahrscheinlichsten wird das Problem durch die Website verursacht und Sie können nichts dagegen tun. Sie können den Website-Administrator über das Problem benachrichtigen.

Weitere Informationen…

Es kommt also gar nicht erst bis zur DNS-Auflösung.

Ok - „http://a.b.c.d“ war ein Beispiel für eine IP. Also wir sprechen hier nicht von Buchstaben, sondern von wirklichen IP-Adressen. Hätte ich genauer beschreiben können.

Nehmen wir also weiter als Beispiel die IP von kuketz-forum.de: 45.9.61.217. Dein Browser macht mit „http://45.9.61.217“ das, was in der FritzBox eingstellt und zu erwarten ist: der Zugriff auf eine Webseite über eine IP wird geblocked. Warum sie in Deiner Liste nicht angezeigt wird, erschließt sich mir allerdings nicht.

Wenn Du aber https://45.9.61.217 eingibst, merkt dein Browser ja offensichtlich, dass das Zertifikat von kuketz-forum.de nicht zu eingegebenen „Domain“ (hier die IP-Adresse) passt und meckert daher mit der Meldung „Err_CERT_COMMON_NAME_INVALID“. Daher kommt Dein Browser ja schon zum WebServer, oder nicht?

Aber so weit darf er doch gar nicht kommen. Du hast eine IP eingegeben und in der FritzBox gesagt, dass IPs gesperrt sind.

Oder denke ich hier falsch? Meine Erwartungshaltung wäre, dass die Sperrmeldung der FritzBox kommt, sobald ich eine IP in der Browser-Adressleiste eingebe. Völlig egal, ob davor „http://“ oder „https://“ steht.

Eine IP hat nichts mit der Domain zu tun. Domänen sind im DNS definiert.
Eine IP ist eine Adresse der Netzstruktur. Domänen sind eine menschliche Ordnungsstruktur.

Die Fehlermeldungen verhindern die weitere Verarbeitung.
Wenn der Browser (wegen eines AddOn oder selbst) einen Fehler entdeckt, erreicht die Verarbeitung noch nicht einmal Deine Netzkonfiguration im Rechner, die FRITZ!Box schon gar nicht.

Der Fritzi ist egal, was man am Browser eingibt.
Ihre Aufgabe ist das LAN zum WAN (vice versa) zu übergeben und da wendet sie dann die Regeln an.
Also interessiert sie der Vorgang erst, wenn Du Deine Eingabe abgeschickt hast. Dann sendet sie Dir eine Fehlermeldung zurück.

Die Kindersicherung der FRITZ!Box hat noch nie zuverlässig funktioniert. Das Problem HTTP/HTTPS bei IP und Domainsperren ist bekannt. Im alten Forum gibt es dazu den ein oder anderen Thread. Inzwischen wird neben TCP auch UDP blockiert, aber das Problem mit HTTP und HTTPS gibt es immer noch.

Ok - da hätten wir die Erklärung zu meiner Frage 2 aus meinem ersten Post - vielen Dank für die klare Aussage. Also kann man sich darauf leider gar nicht verlassen. Sehr schade.

Nun zur Frage 1 aus meinem ersten Post: Warum fragt die FritzBox den DNS (also meinen pihole) für eine Domain an, die in der FritzBox als gesperrt definiert wurde? Ist das das selbe, wie mit den IP-Adressen? Man kann sich darauf nicht verlassen?

@Bit: Wir sprechen aneinander vorbei. Und zwar deswegen, weil Du mein Post 2 und Post 3 zusammengeführt hast. Daher steht die Frage Zudem weiterhin die Frage, warum die FritzBox DNS-Anfragen Richtung pihole startet, wenn die entsprechende Domain unter „Gesperrte Internetseiten“ gelistet ist." nun völlig ohne Zusammenhang „mitten im Post“. Das ist für Mitleser nicht ganz nachvollziehbar und ergibt so auch keinen inhaltlichen Sinn mehr. Und für Dich was es wohl auch nicht nachvollziehbar, was ich aus Deinen Antworten heraus lesen kann.

Ich bin auch irritiert. Wieso startet die Fritzbox DNS-Abfragen Richtung pihole? Sollte das nicht Dein Browser tun? Oder hängt pihole HINTER der Fritte? Also aus Sicht des Browsers …
Normal hängt pihole doch VOR der Fritte (sofern deren Modem die Provider-Verbindung herstellt). Und wenn Du was sperren willst, warum machst Du das nicht im pihole sondern in der Fritte?

Das Zusammenwirken mehrerer „intelligenter“ Komponenten zu debuggen, ist immer problematisch. Besser ist es, wenn man nur eine Komponente alles regeln läßt und die andere Komponente auf den „dummen“ Part beschränkt.

Wir wollen hier keine aufeinanderfolgenden Mehrfachpostings haben (das war übrigens schon immer so) und es ist daher meine Aufgabe, das jedes Mal zu „reparieren“.

Zur Abtrennung verschiedener Antworten oder Themendetails bietet sich die Trennlinie an:

Bitte lies dazu den Hinweis in der Richtlinie:

Sei ordentlich

Mach dir die Mühe, alles an den richtigen Platz zu packen, sodass wir mehr Zeit mit dem Diskutieren und weniger mit dem Aufräumen verbringen können:

• Poste keine aufeinanderfolgenden Beiträge bzw. Antworten, sondern nutze die Zitat-Funktion, wenn du dich auf unterschiedliche Inhalte/Beiträge anderer Teilnehmer beziehen möchtest. Alternativ kannst du andere Teilnehmer auch mittels @nutzername ansprechen.

@ Bit: Ok - ich werde zukünftig darauf achten.

Und @ ilu: Ja, korrekt - mein Browser startet natürlich die Anfrage. Falsch geschrieben. Und er tut es offensichtlich deswegen, weil die blöde Fritte ihre angebotenen Funktionalitäten nicht so umsetzt, wie sie das vorgibt. Das habe ich nun gelernt, finde es doof und muss andere Lösungen dafür finden. pihole blockiert halt keine IP Adressen

Danke Euch.

Naja, man sollte es eher wörtlich nehmen: Kindersicherung

Das liegt daran, dass Pi-hole ein DNS-Server ist und kein Client wird den DNS-Server kontaktieren, wenn der Client die IP-Adresse bereits kennt.

Wenn du etwas wirklich zuverlässiges suchst, dann wäre vermutlich sowas wie IPFire, pfSense oder OPNSense eher geeignet.

Ja, das ist mir schon klar. Daher die Überlegung, für das Sperren von IPs die FritzBox zu benutzen.

Ich habe eine zweite FritzBox mit OpenWRT geflashed und versuche im Moment (vollkommen verzweifelt), diese an meine FritzBox anzuschließen, um alles, was nicht rausfunken soll, an diese anzuschließen. Aber für OpenWRT muss man studiert haben…

1. a) Die Fritzbox blockt sinnvollerweise nur basierend auf Metadaten. Sie blockt daher keine DNS-Anfragen. Diese haben lediglich im Inhalt google.com stehen. Den Metadaten sieht man das nicht an, dort steht nur: „Paket von PC an Raspberry Pi über Port 53.“ Wie schon geklärt, kommt die DNS-Anfrage von deinem Endgerät, nicht von der Fritzbox. Erst die (eigentliche) http(s)-Verbindung, die an google.com gerichtet ist, wird geblockt, weil dort die entsprechende Domain in den Metadaten zu finden ist („Paket an Google“).
   b) Weil das (vermutlich) httpS ist. Für eine Umleitung müsste erst mal ein gültiges Zertifikat der ursprünglichen Zieldomain vorliegen. Da die Fritzbox das nicht hat, kann sie nicht umleiten, sondern blockt die Verbindung einfach.

Ich kann ilu nur zustimmen. Das Sperren von Adressen auf Fritz-Box Ebene macht die Sache unnötig kompliziert (und ist aus meiner Sicht nur sinnvoll, wenn Du keinen pi-hole betreibst), wie die ganze Diskussion zeigt. Wenn Du sowieso einen pi-hole im Einsatz hast, trägst Du diesen unter „Netzwerk-IP4 Adressen“ mit dessen IP als lokalen DNS-Server und zusätzlich unter „Zugangsdaten-DNS-Server“ als bevorzugten DNS-Server ein. Anschließend „blacklistest“ Du im Pi-hole, was immer du willst, facebook, google etc. und die ganze Diskussion ist vom Tisch. Wenn Du dann noch den „unbound“-Server als lokalen Upstream-Server installierst, ist aus Datenschutz-Perspektive viel gewonnen.

Wenn ich den TE richtig verstanden habe, dann möchte er nicht nur Domains sperren, sondern auch die dazugehörigen IP-Adressen. Das geht mit Pi-hole nicht.

Ja, vielleicht habe ich das nicht gründlich gelesen. Aber die Frage bleibt für mich, wenn dem so ist, warum er spezielle IP-Adressen sperren will. Wenn es um google geht, kann er im pihole als wildcard google eintippen und alle möglichen google-Verbindungen werden geblockt.

Ich bin mir nicht sicher, ob das (bei ihm) so ist.
Ich sperre in der FRITZ!Box die Navigation mittels direkter Eingabe von IPs – mit wenigen lokalen Ausnahmen – grundsätzlich.

Spezielle IP-Adressen, die ja mehr oder weniger häufig ausgetauscht werden (können), zu sperren, halte ich für wenig sinnvoll. Deswegen sperrt man eben URLs auf DNS-Ebene.

Habe ich genau so umgesetzt und funktioniert auch prima.

Nein - nicht „die dazugehörigen“. Sondern einfach „IP-Adressen“. In der FritzBox ist unter „Zugangsprofil“ => „Internetseiten sperren“ der Punkt angeklickt: Aufrufe über IP-Adressen sind ebenfalls gesperrt. Meine naive Vorstellung: Wenn jemand den pihole umgehen möchte und direkt eine IP-Adresse eingibt, funktioniert das nicht.

Dort sollte die Einschränkung stehen, dass das bei https-Aufrufen nicht angewendet wird und ich hätte das akzeptiert.

Das erschließt sich mir nicht. Es wurde doch eine IP-Adresse eingegeben. Könnte die FritzBox (rein technisch) nicht auch einen httpS://1.2.3.4 auf eine FritzBox-lokale Sperr-Seite umleiten?

Tut sie eben nicht. Das ist da das ganze Problem. Der Firefox blockiert die Anfrage mit der Info, dass die eingegebene Domain nicht mit der im Zertifikat übereinstimmt. Wenn man diese Fehlermeldung im Firefox „wegklickt“ (Risiko akzeptiert), dann kommt man auf die entsprechende Seite. Gesperrt wird nix.

Technisch gesehen sind das unterschiedliche Adressen und Domains. www.beispiel.de ist was anderes als beispiel.de und http://192.168.2.10 ist was anderes als https://192.168.2.10

Im Internet findet man diverse Forenbeiträge, in denen Nutzer über dieses Verhalten der Kindersicherung (verständlicherweise) verwundert sind. Ich weiß nicht, ob das jemals an AVM herangetragen wurde, aber falls doch, hat das keine keine Priorität. Technisch sollte das jedenfalls möglich sein.

Andererseits lässt sich diese Kindersicherung extrem leicht umgehen, z.B. auf dem Client einen anderen DNS-Server konfigurieren oder die MAC-Adresse ändern. Jeder der eine Suchmaschine bedienen kann, findet diese Informationen in ein paar Minuten als Textform oder Video-Tutorial.

Vielleicht wurde dieses Problem in Freetz-NG behoben. Auf die schnelle hab ich dazu keine Informationen gefunden, aber vielleicht stellst du die Frage einfach mal dort (GitHub).