Pi Hole - Empfehlenswert oder Spielerei ?

Ghost108

Benutzer
Mitglied seit
27. Jun 2015
Beiträge
1.248
Punkte für Reaktionen
70
Punkte
68
Hallo !

ich spiele mit dem Gedanken, Pi Hole als Docker auf meiner DS718+ laufen zu lassen.
Wenn ich dies richtig verstanden habe, müsste ich in meiner Fritzbox als primären DNS Server den / das pi hole angeben und als Sekundären z.B. Google (8.8.8.8).

Damit wäre dann mein Netz "sauberer".
Ist dies so ?
Würdet Ihr Pi hole empfehlen oder macht es Probleme? Ggf. Performance ?
 

geimist

Benutzer
Sehr erfahren
Maintainer
Mitglied seit
04. Jan 2012
Beiträge
5.541
Punkte für Reaktionen
1.373
Punkte
234
Ich bin damit sehr zufrieden. Die Änderung der Performance würde ich positiv einordnen - es werden ja viele Abfragen geblockt und weniger Daten geladen. Außerdem werden viele DNS-Auflösungen gecached.

Probiere es doch einfach mal aus :)
 
  • Like
Reaktionen: vater

Guckweg

Benutzer
Mitglied seit
27. Okt 2019
Beiträge
214
Punkte für Reaktionen
29
Punkte
28
in meiner Fritzbox als primären DNS Server den / das pi hole angeben und als Sekundären
geht es bei deiner Fritzbox das? ein 2. DNS Eintrag zu machen? bei mir bietet die Fritzbox nur eine DNS Eintrag an. ????
 

Ghost108

Benutzer
Mitglied seit
27. Jun 2015
Beiträge
1.248
Punkte für Reaktionen
70
Punkte
68
ja ;)
 

Anhänge

  • Bildschirmfoto 2021-09-09 um 11.41.17.png
    Bildschirmfoto 2021-09-09 um 11.41.17.png
    340,6 KB · Aufrufe: 58

Puppetmaster

Benutzer
Sehr erfahren
Mitglied seit
03. Feb 2012
Beiträge
18.991
Punkte für Reaktionen
628
Punkte
484
Ich frage mich an der Stelle, was genau die Kriterien sind, dass die Fritz auf den zweiten DNS Eintrag zrückgreift?
Ist es eine Zeitspanne, nach der keine Antwort kommt, oder eine gänzliche Unerreichbarkeit ...
Wo ist das hinterlegt und wie finde ich das heraus?

Bei Android in den WLAN Einstellungen habe ich genau dasselbe Thema.
Ich möchte eben nicht, dass im konkreten Fall auf einen Google Server zurückgegriffen wird, wenn es nicht unbedingt notwendig ist - also z.B. aufgrund von Ausfall des ersten DNS.
 

King3R

Benutzer
Mitglied seit
14. Mrz 2017
Beiträge
361
Punkte für Reaktionen
82
Punkte
28
geht es bei deiner Fritzbox das? ein 2. DNS Eintrag zu machen? bei mir bietet die Fritzbox nur eine DNS Eintrag an. ????
Man kann auch einen zweiten lokalen DNS-Server bei der Fritzbox eingeben. Dazu muss man aber die Konfiguration auslesen, den betroffenen Eintrag ändern und dann die Konfiguration zurückspielen.

Normalerweise werden dort eigentlich die öffentliche DNS-Server eingetragen, wenn man nicht die vom Provider nehmen möchte. Das sind dann die, die man eventuell auch in pihole hinterlegt hat, z. B. OpenDNS ... Die IP der Pihole-Instanz propagiert man wahrscheinlich am besten über Heimnetz > Netzwerk > Netzwerkeinstellungen > IP-Adressen > IPv4-Einstellungen > Lokaler DNS-Server. Deine Variante geht natürlich auch, die Lösung über den lokalen DNS-Server finde ich aber eleganter.

Ich frage mich an der Stelle, was genau die Kriterien sind, dass die Fritz auf den zweiten DNS Eintrag zrückgreift?
Meiner Meinung nach wird der zweite DNS-Server verwendet, wenn der erste nicht schnell genug bzw. gar nicht antwortet. Eine Lastverteilung gibt es glaub ich nicht.
 

Guckweg

Benutzer
Mitglied seit
27. Okt 2019
Beiträge
214
Punkte für Reaktionen
29
Punkte
28
das habe ich auch nicht gemeint.
die Clients fragen den DHCP Server ab, der von der Fritzbox bedient wird, und dort wird dann die IP der Fritzbox als DNS Server mitgegeben.
an dieser Stelle kann man nur ein DNS Server den Clients mitgeben, aber genau hier müsste man ein zweiten Eintrag haben, um bei Probleme mit dem Pi-hole auf den DNS der Fritzbox zu verweisen, sonst melden die Clients "kein Internet"

Screenshot 2021-09-09 123602.png
 

Puppetmaster

Benutzer
Sehr erfahren
Mitglied seit
03. Feb 2012
Beiträge
18.991
Punkte für Reaktionen
628
Punkte
484
Meiner Meinung nach wird der zweite DNS-Server verwendet, wenn der erste nicht schnell genug bzw. gar nicht antwortet. Eine Lastverteilung gibt es glaub ich nicht.
Danke, aber ich habe ja auch nur Vermutungen, die ich gerne durch belastbares Wissen ersetzen würde.
 

Guckweg

Benutzer
Mitglied seit
27. Okt 2019
Beiträge
214
Punkte für Reaktionen
29
Punkte
28
ich habe ja auch nur Vermutungen, die ich gerne durch belastbares Wissen ersetzen würde
ist vom System abhängig, bei Windows läuft es so ab!
Ich zitiere:
Wenn DNS-Server in der TCP/IP-Konfiguration eines Clients konfiguriert sind, der Server jedoch für den Client nicht verfügbar ist, ist dies in der Regel der Fall. Da das TCP/IP-Protokoll von einem unzuverlässigen Netzwerk ausgeht, versucht ein Client wiederholt, eine Verbindung mit einem DNS-Server herzustellen, bevor er die versuchte Abfrage aufgibt. Falls ein zweiter DNS-Server konfiguriert wurde, versucht der Client anschließend, den zweiten DNS-Server abzufragen, wobei die gleiche Zeitdauer bis zum Abbruch benötigt wird. Erst danach fährt der Client mit der oben beschriebenen NetBIOS-Namensauflösung fort.

oder:
Der Client übergibt seinen DNS-Request an seinen zuständigen Resolver (1. DNS Eintrag). Wenn dieser den Domain-Namen nicht auflösen kann, dann würde er bei einer rekursiven Namensauflösung weitere DNS-Server befragen, bis der Domain-Name aufgelöst ist und die Antwort an den Client zurückliefert

also, mit "Schnelligkeit" hat es weniger zu tun. der erste DNS-Eintrag wird immer abgefragt, und darauf gewertet, bist es was liefert, wie kenne ich nicht, oder ich bin offline. Danach kommt der nächste in der Reihe, wenn es einem gibt...
Und da sind wir wieder beim Thema: es wäre gut, wenn ich in der FB einen 2. Eintrag machen könnte, dann würde ich als 1. den Pi-Hole nehmen, und als zweiten den von der FB oder direkt einen externen, wie 8.8.8.8 oder 1.1.1.1
 

Ghost108

Benutzer
Mitglied seit
27. Jun 2015
Beiträge
1.248
Punkte für Reaktionen
70
Punkte
68
auch wenn das jetzt alles nichts mit meinem eigentlich Eintrag zu tun hat ;) aber vielleicht macht es dann Sinn, die Synology als DHCP Server einzusetzen, statt der Fritzbox. Diese kann nämlich den Clients zwei DNS Server mitgeben - in dem Fall dann

DNS 1: Pi Hole
DNS 2: Fritzbox
 

Guckweg

Benutzer
Mitglied seit
27. Okt 2019
Beiträge
214
Punkte für Reaktionen
29
Punkte
28
vielleicht macht es dann Sinn, die Synology als DHCP Server einzusetzen, statt der Fritzbox. Diese kann nämlich den Clients zwei DNS Server mitgeben
das sieht nach einem guten Plan aus ?
wollte ich auch machen, habe mich dann aber für die 3. Lösung entschieden: zusätzlicher Router/DNS/DHCP (mit Raspberry Pi realisierbar ist, oder pfSense)
Dann machst du zwar doppeltes NAT, was für den einen oder anderen ein absolutes No-Go ist, aber das ist halb so schlimm.
Der Vorteil:
  • du bist von der Fritzbox unabhängig
  • du kannst den Outbound (den Verkehr, der von deinem Netz ausgeht, nach Außen) kontrollieren und unterbinden, wenn gewünscht
  • und du braucht die Synology nicht extra mit weitere Dienste zu belasten
 

Guckweg

Benutzer
Mitglied seit
27. Okt 2019
Beiträge
214
Punkte für Reaktionen
29
Punkte
28

Ghost108

Benutzer
Mitglied seit
27. Jun 2015
Beiträge
1.248
Punkte für Reaktionen
70
Punkte
68
Ich habe doch noch mal eine Rückfrage. Das mit der pi hole klappt ganz gut, aber ich bin jetzt doch nicht so begeistert über den fehlenden Fail Over.

Meine Fritzbox hat ja nur die Möglichkeit via DHCP einen DNS Server mitzugeben (pi hole IP)
Wenn pi Hole ausfällt, kommt kein Client mehr ins Internet auf Grund vom fehlenden DNS.

Das ist natürlich nicht schön. Irgendwelche Empfehlungen?
 

Guckweg

Benutzer
Mitglied seit
27. Okt 2019
Beiträge
214
Punkte für Reaktionen
29
Punkte
28
Irgendwelche Empfehlungen?
ja, bereits gegeben:
Lösung entschieden: zusätzlicher Router/DNS/DHCP (mit Raspberry Pi realisierbar ist, oder pfSense)
Dann machst du zwar doppeltes NAT, was für den einen oder anderen ein absolutes No-Go ist, aber das ist halb so schlimm.
Der Vorteil:
  • du bist von der Fritzbox unabhängig
  • du kannst den Outbound (den Verkehr, der von deinem Netz ausgeht, nach Außen) kontrollieren und unterbinden, wenn gewünscht
  • und du braucht die Synology nicht extra mit weitere Dienste zu belasten
 

Ghost108

Benutzer
Mitglied seit
27. Jun 2015
Beiträge
1.248
Punkte für Reaktionen
70
Punkte
68
aber hier ist die Rede vom "doppelten NAT" was mir nichts sagt, aber nicht gut klingt.
 

the other

Benutzer
Sehr erfahren
Mitglied seit
17. Okt 2015
Beiträge
2.104
Punkte für Reaktionen
545
Punkte
154
Moinsen,
zunächst: es wäre alles einfach, wenn man der Fritzbox einfach 2 dns server vorgeben könnte, die dann auch so angeboten werden im Netz (also 1. dns x, 2. dns y). Leider macht die Fritz das aber so nicht (mal 1. , mal 2.).

Also nen Router hinstellen, der das so macht, wie zb die genannten (Raspi mit Router Funktion, pf/opnsense/vernünftiger(er) Router statt fritzbox).
Diesen kannst du HINTER die Fritzbox packen. Dahinter dann der Raspi mit pihole...
Oft hast du dann aber ein doppel-NAT (NetworkAdressTranslation). Viele admins sind auf NAT eh nicht gut zu sprechen, weil es eine doofe Krücke fürs IPv4 System ist (und ne doofe Krücke doppelt ist eben auch doppelt Kacka). Viele andere Menschen haben auch doppel-NAT, merken aber für IHRE Anwendungsszenarien gar keinen Nachteil. Kommt eben mal wieder auf den jeweiligen Fall an.

NAT selber sorgt (Freund google sagt dazu sicher was) mal gaaaanz kurz gesagt dafür, dass der Netzwerkverkehr mit INTERNET IPs übersetzt werden auf den Netzwerkverkehr mit PRIVAT-IPs und andersherum. Da deine IPs für den Privatgebrauch nix im Netz anfangen können (sind ja privat) müssen diese erst "übersetzt" werden in IPs, die auch "da draußen" geroutet werden können. Sehr kurz, sehr laienhaft (und vermutlich gibt es gleich dafür Haue von den Netzwerkprofis hier)...
;)

edit: du kannst aber natürlich auch meist die fritzbox stumpf ERSETZEN durch ein Modem und zb pfsense, dann hast du nur einfach NAT. Oder aber du schaltetst die NAT Funktion im 2. Router aus (geht bei den guten Modellen), dann haste auch nur einmal NAT. Aber NAT haste immer mit IPv4.
 


 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat