IPv6-Einstellungen im Network-Manager für pi-hole

[Richard]

Hallo,

ich habe auf einem Raspberry Pi pi-hole eingerichtet. Alle Guides auf deren Seite beziehen sich darauf die IP-Adresse des Raspi in der Fritzbox als Namensserver einzurichten damit alle Anfragen über den Pi laufen. Ich will das aber erstmal nur an einem meiner Rechner testen und möchte daher lediglich an dem Rechner pi-hole nutzen. Im Network-Manager habe ich schon eine statische IP und statt die FritzBox 1.1.1.1 als Namensserver eingerichtet. Hier würde ich einfach die IP des Pi eintragen. Muss ich dann auch das Gateway ändern? Die IPv6-Einstellungen sind auf "automatisch" gestellt. Es wird i.V.m. pi-hole oft darauf hingewiesen, dass auch IPv6 eingerichtet werden muss weil viele Ads über IPv6 statt IPv4 nutzen. Was muss da jetzt im NM rein? Gibt es für alles in den IPv4-Einstellungen ein "IPv6-Gegenstück"?

Oder ist das überhaupt nötig das einzurichten? Ich sage dem System damit ja nur, dass er mit der Fritzbox kommunizieren soll. Würden die IPv4-Einstellungen ausreichen und den ganzen IPv6-Kram deaktivieren?

[cosinus]

IPv6 deaktivieren würde ich nicht. Und für DNS reicht es, die IPv4-Adresse eines DNS-Servers zu kennen, der löst dann beides auf. Kannst ja mal probieren mit nslookup:

Code: Alles auswählen

$ nslookup
> server 8.8.8.8
Default server: 8.8.8.8
Address: 8.8.8.8#53
> google.de

Server:		8.8.8.8
Address:	8.8.8.8#53

Non-authoritative answer:
Name:	google.de
Address: 142.250.186.99
Name:	google.de
Address: 2a00:1450:4001:829::2003

[Richard]

Wozu sind die IPv6-Einstellungen auf dem Rechner da, wenn die Namensauflösung von der Fritzbox übernommen wird. Ich stelle ja im NetworkManager die IPv4 der Fritzbox (als Gateway und als DNS-Server) ein. Bei IPv6 mache ich nichts dergleichen.

Bei pi-hole muss man sicherstellen, dass sowohl IPv4 als auch IPv6 über pi-hole läuft. Wenn ich jetzt die IP des Pi als Nameserver im NetworkManager als DNS-Server eintrage und einfach mal bild.de aufrufe (wird oft als Test dafür genutzt) mit deaktiviertem Firefox-Adblocker wird nichts geblockt. Die Frage ist also ob ich noch etwas bzgl. IPv6 einstellen muss.

[cosinus]

Wozu sind die IPv6-Einstellungen auf dem Rechner da, wenn die Namensauflösung von der Fritzbox übernommen wird.

Falls es dir noch nicht aufgefallen ist: IPv6 ein ein vollkommen eigenständiges Protokoll, das eigentlich mal dazu gedacht war, IPv4 komplett abzulösen (auch wenn wir noch längere Zeit zweigleisig fahren müssen). Aus diesem Grund kann man IPv6 genauso konfigurieren wie IPv4 und wenn man will auch statisch inkl. IPv6-Adressen von DNS-Servern reinkonfigurieren. Es ist aber bzgl. der Auflösung von Domains in IPs völlig schnurz, ob du einen DNS-Server über v4 oder v6 befragst. Der liefert dir die entsprechenden Adressen sofern vorhanden in v4 und v6 zurück.

Ich stelle ja im NetworkManager die IPv4 der Fritzbox (als Gateway und als DNS-Server) ein. Bei IPv6 mache ich nichts dergleichen.

NM nutze ich nicht sondern ganz klassisch die /etc/resolv.conf
Was sagt denn bei dir ein nslookup debianforum.de?

[QT]

@Richard: haben Deine Netzwerkgeräte (Rechner, pihole etc) überhaupt IPv6 aktiv? Wenn ja, dann haben Sie ja auch IPv6 Adressen. Und dann trägst Du am Rechner als Nameserver zum direkten Test via pihole auch die IPv6 des pihole ein (idealerweise die "fe80" link-local Adresse).

Prüf doch mal ob Dein Rechner und Raspi IPv6 Support aktiv haben mit "ip address show" und poste das Ergebnis. Dann sieht man weiter

[cosinus]

Prüf doch mal ob Dein Rechner und Raspi IPv6 Support aktiv haben mit "ip address show" und poste das Ergebnis. Dann sieht man weiter

Wieso sollten sie das nicht? IPv6 ist schon lange standardmäßig aktiv.

[QT]

Wieso sollten sie das nicht? IPv6 ist schon lange standardmäßig aktiv.

Weil es tatsächlich noch IPv4-only Internetanschlüsse gibt und dann müsste man sich mit diesen Settings gar nicht beschäftigen, da kein Internettraffic per IPv6 laufen kann.

[Richard]

Ich habe mich jetzt dazu durchgerungen doch den Pi erstmal als Namenserver direkt in der Fritzbox einzutragen statt nur im NetworkManager. Im NM steht jetzt die Fritzbox drin.

Ich habe da irgendwie ein Verständnisproblem: Die IPv6-Problematik bei pihole habe ich so verstanden, dass wenn man in der Fritzbox die IPv4 des Pi einträgt wird Werbung durch pihole geblockt. Es kommt aber noch die Werbung durch die über IPv6 aufgelöst werden. Also muss man in der Fritzbox auch die IPv6 des Pi als DNS-Server eintragen. Macht das soweit Sinn?

Was ist anders, wenn ich am Desktop IPv6 ausschalte, an der Fritzbox aber ein DNS-Server für IPv6 eingetragen ist? Bisher erkenne ich keinen Unterschied.

Eine statische IPv6 habe ich am Pi bisher nicht eingerichtet, es ist aber komisch, dass mir für die Netzwerkschnittstellen immer mehrere IPv6-Adressen angezeigt werden.

Hier mal die gewünschten Ausgaben:

Code: Alles auswählen

nslookup debianforum.de
Server:		127.0.0.53
Address:	127.0.0.53#53

Non-authoritative answer:
Name:	debianforum.de
Address: 142.132.203.155
Name:	debianforum.de
Address: 2a01:4f8:261:4fe1::2

ausgeführt am Desktop, hier hatte ich IPv& im NM erstmal komplett deaktiviert:

Code: Alles auswählen

ip address show
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
    inet6 ::1/128 scope host 
       valid_lft forever preferred_lft forever
2: enp5s0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc fq_codel state UP group default qlen 1000
    link/ether b0:6e:bf:c4:68:89 brd ff:ff:ff:ff:ff:ff
    inet 192.168.10.21/24 brd 192.168.10.255 scope global noprefixroute enp5s0
       valid_lft forever preferred_lft forever

ausgeführt am Pi:

Code: Alles auswählen

ip address show
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
    inet6 ::1/128 scope host 
       valid_lft forever preferred_lft forever
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP group default qlen 1000
    link/ether b8:27:eb:a1:d4:b7 brd ff:ff:ff:ff:ff:ff
    inet 192.168.10.23/24 brd 192.168.10.255 scope global noprefixroute eth0
       valid_lft forever preferred_lft forever
    inet6 2003:cf:771a:1b00:ad93:e0b0:e8c9:ac2a/64 scope global dynamic mngtmpaddr noprefixroute 
       valid_lft 7055sec preferred_lft 929sec
    inet6 fe80::4bad:b62:de03:63d6/64 scope link 
       valid_lft forever preferred_lft forever
3: wlan0: <NO-CARRIER,BROADCAST,MULTICAST,UP> mtu 1500 qdisc pfifo_fast state DOWN group default qlen 1000
    link/ether b8:27:eb:f4:81:e2 brd ff:ff:ff:ff:ff:ff

[QT]

Ich habe mich jetzt dazu durchgerungen doch den Pi erstmal als Namenserver direkt in der Fritzbox einzutragen

Dann kannst Du wenn gewünscht für IPv6 noch die raspi IPv6 fe80::4bad:b62:de03:63d6 eintragen und hast dann bei IPv6 quasi das gleiche DNS Setup wie bei IPv4, sprich bei beiden Protokollen wird der pihole angefragt.

[cosinus]

Code: Alles auswählen

nslookup debianforum.de
Server:		127.0.0.53
Address:	127.0.0.53#53

Hm, da sieht man das nicht, welcher DNS-Server nun genau gefragt wird.
Wenn du sichergehen willst, dass ein Client immer den pihole fragt, dann musst du sowohl DNS für v4 als auch für v6 konfigurieren. Gerne auch über die /etc/resolv.conf, dann siehst du das auch über nslookup.

Mehr Sinn macht das aber, das später auch automatisch konfigurierte Clients den pihole bei dir als lokalen DNS-Server verwenden. Also in den Router gehen und so einstellen, dass er selbst zum Auflösen den pihole nimmt und auch via DHCP die DNS-Adresse verteilt.

[QT]

Auch wenn ich es selbst anders habe, so finde ich es - nach einiger leidvoller Erfahrung - gar nicht so verkehrt lieber den DNS Weg LAN Client --> Router (zB Fritzbox) --> pihole zu gehen, denn dann ist es in "pihole Ausfallzeiten" einfacher, für alle Clients ganz schnell den DNS Dienst wieder lauffähig zu bringen, denn man muss nur an 1 Stelle (Router) die DNS IP ändern und es geht wieder. Verteilst Du stattdessen an alle Clients die pihole IP als DNS und pihole hat mal nen Ausfall (warum auch immer), dann gibts etwas Durcheinander bis alles wieder geht

[Richard]

Am pi hab ich die statische IP über die dhcpcd.conf gemacht. Ich finde keine konkreten infos wie ich das da Einträge, nur das hier: https://forums.raspberrypi.com/viewtopic.php?t=139579 (Beitrag 2). Aber auch da habe ich nach einem reboot wieder mehrere ipv6-adressen.

[QT]

Am Pi trägst Du gar nix mehr ein. Alles bleibt wie es ist. In der Fritzbox trägst Du neben der 192.168.10.23 des Raspi noch seine link-local fe80 als v6 DNS Adresse ein und fertig.

Am Pi selbst musst Du nur den/nen passenden DNS im Internet nehmen. Ich empfehle Quad9 https://www.quad9.net/de/service/servic ... tures/#rec

[Richard]

Ich muss doch aber sicher stellen, dass der pi immer die gleiche IP bekommt. Bei pihole empfehlen die daher statische IP. Hab ich aber an allen eh eingerichtet, nur nicht für ip6.

[QT]

Ich muss doch aber sicher stellen, dass der pi immer die gleiche IP bekommt. Bei pihole empfehlen die daher statische IP. Hab ich aber an allen eh eingerichtet, nur nicht für ip6.

Ich will es hier für Dich abkürzen: Diese fe80 Deines raspi wird immer die gleiche sein, solange Du an der Hardware (MAC)) nichts änderst. Also "statisch". Du kannst die ruhig eintragen. Wenn Du genaues wissen willst, dann recherchiere es bitte oder informiere Dich bei "die" da immer sowas empfehlen.

[mat6937]

Hab ich aber an allen eh eingerichtet, nur nicht für ip6.

Dann reboote deinen PI und schau nach, ob nach dem reboot, die IPv6-Adresse "fe80::4bad:b62:de03:63d6/64" noch die identische Interface-ID hat. Wenn nicht, dann konfiguriere in der dhcpcd.conf:

Code: Alles auswählen

slaac hwaddr

Danach sollte die Interface-ID. hardware-basiert sein. BTW: Du solltest auch v4- und v6-DNS-leak-Tests machen bzw. bedenken, dass DNS auch über die TCP-Port 443 und 853 gemacht werden kann:

Code: Alles auswählen

kdig +https bild.de @1.1.1.1
kdig +tls bild.de @1.1.1.1

[Richard]

Du solltest auch v4- und v6-DNS-leak-Tests machen bzw. bedenken, dass DNS auch über die TCP-Port 443 und 853 gemacht werden kann:

Code: Alles auswählen

kdig +https bild.de @1.1.1.1
kdig +tls bild.de @1.1.1.1

In der Fritzbox ist zumindest "Verschlüsselte Namensauflösung im Internet (DNS over TLS)" deaktiviert.

Code: Alles auswählen

kdig +https bild.de @1.1.1.1
;; TLS session (TLS1.3)-(ECDHE-X25519)-(ECDSA-SECP256R1-SHA256)-(AES-256-GCM)
;; HTTP session (HTTP/2-POST)-(1.1.1.1/dns-query)-(status: 200)
;; ->>HEADER<<- opcode: QUERY; status: NOERROR; id: 0
;; Flags: qr rd ra; QUERY: 1; ANSWER: 2; AUTHORITY: 0; ADDITIONAL: 1

;; EDNS PSEUDOSECTION:
;; Version: 0; flags: ; UDP size: 1232 B; ext-rcode: NOERROR
;; PADDING: 396 B

;; QUESTION SECTION:
;; bild.de.            		IN	A

;; ANSWER SECTION:
bild.de.            	45	IN	A	145.243.248.20
bild.de.            	45	IN	A	145.243.240.20

;; Received 468 B
;; Time 2023-02-09 07:52:58 CET
;; From 1.1.1.1@443(TCP) in 78.1 ms

Code: Alles auswählen

kdig +tls bild.de @1.1.1.1
;; TLS session (TLS1.3)-(ECDHE-X25519)-(ECDSA-SECP256R1-SHA256)-(AES-256-GCM)
;; ->>HEADER<<- opcode: QUERY; status: NOERROR; id: 41534
;; Flags: qr rd ra; QUERY: 1; ANSWER: 2; AUTHORITY: 0; ADDITIONAL: 1

;; EDNS PSEUDOSECTION:
;; Version: 0; flags: ; UDP size: 1232 B; ext-rcode: NOERROR
;; PADDING: 396 B

;; QUESTION SECTION:
;; bild.de.            		IN	A

;; ANSWER SECTION:
bild.de.            	229	IN	A	145.243.248.20
bild.de.            	229	IN	A	145.243.240.20

;; Received 468 B
;; Time 2023-02-09 07:53:38 CET
;; From 1.1.1.1@853(TCP) in 88.6 ms

[QT]

In der Fritzbox ist zumindest "Verschlüsselte Namensauflösung im Internet (DNS over TLS)" deaktiviert.

Dann aktiviere es und trag den Host dns.quad9.net ein. Hab ich die Tage erst auch so bei nem Kumpel eintragen lassen. Hatte ja oben den Quad9 für die "recommended Settings" schon verlinkt.

[mat6937]

In der Fritzbox ist zumindest "Verschlüsselte Namensauflösung im Internet (DNS over TLS)" deaktiviert.

Ja bzw. nein, aber das meinte ich nicht. Ich meine DoT und/oder DoH auf deinen Geräten, für die PiHole _zuständig_ sein sollte.
BTW: Ob es schon DNS-leak-Tests gibt, die DoT und DoH "berücksichtigen", weiß ich nicht.

[Richard]

Dann aktiviere es und trag den Host dns.quad9.net ein. Hab ich die Tage erst auch so bei nem Kumpel eintragen lassen. Hatte ja oben den Quad9 für die "recommended Settings" schon verlinkt.

Das ist ja genau was NICHT passieren soll. Da als DNS-Server Quad9 einzutragen heißt ja wieder, dass die Namensauflösung an pihole vorbei geht, auch wenn Quad9 scheinbar eigene Möglichkeiten hat Ads zu blockieren. Ich kann jetzt nicht vergleichen was qualitativ bessere Ergebnisse bringt.

[cosinus]

Das ist ja genau was NICHT passieren soll. Da als DNS-Server Quad9 einzutragen heißt ja wieder, dass die Namensauflösung an pihole vorbei geht, auch wenn Quad9 scheinbar eigene Möglichkeiten hat Ads zu blockieren. Ich kann jetzt nicht vergleichen was qualitativ bessere Ergebnisse bringt.

Wo issen jetzt noch das Problem?
Es ist doch ganz easy mit dme pihole. Der pihole nutzt als DNS sowas wie quad9, googledns oder meinetwegen den DNS von deinem Provider. Und dann trägst du testweise auf deine Kiste für die DNS-Konfig die IPv4 und IPv6 Adresse vom pihole ein...

[QT]

Das ist ja genau was NICHT passieren soll. Da als DNS-Server Quad9 einzutragen heißt ja wieder, dass die Namensauflösung an pihole vorbei geht

Stimmt. Sorry, da war ich noch nicht richtig wach heute morgen und hab Dein Setup nicht mehr richtig in Erinnerung gehabt. Die externen DNS Server musst Du ja bei Dir im pihole eintragen. In der Fritzbox hinterlegst Du IPv4 und IPv6 des Raspi (sofern der Test wie von @mat6937 beschrieben ablief).