Hallo Norman!

Danke für deinen Post hier im Forum.

Wenn ich mir dein PDF anschaue fallen mir erstmal folgende Dinge auf:

Im oberen Bild solltest du die Port-Weiterleitung für SSH rausnehmen, da sonnst der Zugriff via SSH auf dem Raspberry Pi aus dem Internet erfolgen kann.

Wenn du auch IPv6 intern nutzt, dann muss in den DHCP-Einstellungen vom Pihole auch der IPv6-DHCP-Service aktiviert werden.

Was für einen genauen Vodafone-Anschluss hast du genau (Dual-Stack, Dual-Stack Lite)?

Wegen deinem Handy tippe ich mal darauf, dass dieses über IPv6 die DNS-Anfragen auflöst und da IPv6 am Pihole nicht konfiguriert ist, diese Anfragen auch nicht von Pihole aufgelöst werden können.

Viele Grüße 

Marcel

Hi Marcel,

sorry für die späte Rückmeldung. Danke für Deine Tipps.

Wo sehe, ob ich Dual Stack oder DS Lite habe. 

Den Port 22 brauche ich, da ich mit DynDNS auf den Raspi zugreife um den PC aus der Ferne zu starten,

Oder gibt es da eine andere Möglichkeit?

Habe jetzt eine Fritzbox:-) DHCP im PiHole habe ich deaktiviert. Und die Einstellungen nach diesem Post vorgenommen:

Link entfernt

Das Blocking auf den Geräten funktioniert soweit.

Weißt Du ob es für Sky (IPTV-Box) eine funktionierende Blockliste gibt. Ich verstehe da halt nur nicht, das mal die Werbung geblockt wird und mal nicht. Mit den selben Einstellungen.

Vielleicht strahlt Sky auch nur manchmal nicht aus? 

schönen Sonntag

Norman

@norman Hallo Norman!

Wo sehe, ob ich Dual Stack oder DS Lite habe?

Dual-Stack ist der Begriff für einen Internet-Anschluss mit einer externen IPv4- und einer externen IPv6-Adresse. Dual-Stack Lite, kurz DS-Lite, bedeutet, dass für einen Internet-Anschluss nur eine externe IPv6-Adresse vorliegt und keine externe IPv4-Adresse.

Den Port 22 brauche ich, da ich mit DynDNS auf den Raspi zugreife um den PC aus der Ferne zu starten,

Würde ich eher über eine VPN-Verbindung machen über die du dann im VPN-Tunnel via SSH zugreifst. Kannst hier zum Beispiel die WireGuard-Verbindung über PiVPN auf deiner Pihole-Instanz machen (Vorteil hier - So nutzt du auch gleich den Pi-Hole von unterwegs aus).

Dazu habe ich auch mal ein Video gemacht:

Kannst natürlich auch das WireGuard von der Fritzbox nutzen.

Weißt Du ob es für Sky (IPTV-Box) eine funktionierende Blockliste gibt. Ich verstehe da halt nur nicht, das mal die Werbung geblockt wird und mal nicht. Mit den selben Einstellungen.

Eine Blockliste wüsste ich jetzt auf anhieb leider nicht. Ich würde einfach mal den 'Query Log' im Pihole boebachten und dann den Eintrag sperren.

Das mal Werbung geblockt wird oder auch nicht, kann daran liegen, wie die Werbung ausgeliefert wird.

Hintergrund ist hier, dass pihole nur die Werbung filtern kann, die über die DNS-Einträge (TLD) ausgeliefert wird. Das heißt z.B, wenn wie auf YouTube, die Werbung über eine Subdomain von werbung.youtube.com ausgeliefert wird, kann diese Werbung nicht blockiert werden, da sonst youtube.com als TLD auch gesperrt werden würde.

Ich hoffe, du kannst mit den Antworten etwas anfangen?!

Dir auch einen schönen Sonntag und lieben Gruß

Marcel

Hi Marcel, 

nochmal Danke für deinen super Support. 

Habe mir Hilfe feines Videos VPN installiert. Freigabe für Port 22 habe ich gelöscht.  Aber sind die anderen Ports dann nicht auch Sicherheitsrisiken? 

Habe den PiHole in der Fritzbox im Bereich Netzwerkeinstellungen als DNS 4 & 6 Server eingestellt. 

Im Bereich Internet/Zugangsart bei DNS Server habe ich die Einstellungen so wie in deinem Video:

Fritzbox Privatsphäre sichern - DNS Server ändern

vorgenommen.

LG Norman 

@norman Hallo Norman,

das passt dann so von den offenen Ports her, da diese nur im lokalen sowie im VPN-Netzwek freigegeben sind.

Das sollte dann alles soweit gut funktionieren.

Lieben Gruß

Marcel

Hi nochmal, 

sorry, ich hätte noch eine Frage. Für Unbound habe ich in der config do ipv6 auf yes gestellt und im PiHole bei custom ipv6 die ::1#5335 eingetragen. Passt das so? Gibt es da auch einen dig Befehl zum Testen von ipv6.

LG Norman 

@norman Hallo Norman,

du musst auch in der Config von unbound IPv6-Adressen für die Upstream-DNS-Server eintragen.

Beispiel:

forward-addr: 2a07:a8c1::ID@853#ID.dns.nextdns.io

Für den privaten IP-Adressbereich IPv6 musst du noch den Bereich festlegen (wie bei IPv4)

Beispiel:

private-address: fd00::/8
private-address: fe80::/10

Danach unbound neustarten

Überprüfung für DIG und IPv6:

Hallo Marcel,

sobald ich unten

forward-addr: 2a07:a8c1::ID@853#ID.dns.nextdns.io

eingebe, kommt bei sudo systemctl restart unbound.service eine rote Fehlermeldung:

Job for unbound.service failed because the control process exited with error code.
See "systemctl status unbound.service" and "journalctl -xeu unbound.service" for details.

das ist der letzte Eintrag:

# Ensure privacy of local IP ranges
private-address: 192.168.178.0/24
private-address: 169.254.0.0/16
private-address: 172.16.0.0/12
private-address: 10.0.0.0/8
private-address: fd00::/8
private-address: fe80::/10

private-address: 192.168.178.0/24 habe ich geändert. Da stand vorher 192.168.0.0/16

@norman Hi Norman,

das war mein Fehler. Die DNS-Adresse für den Upstream-DNS-Server muss wie folgt heißen:

forward-addr: 2a07:a8c1::ID@853#dns.nextdns.io (ID ist nur wenn du einen eigenen Server bei denen nutzt)

Generell solltest du aber für IPv6 die gleichen DNS-Provider nutzen, die du auch für IPv4 nutzt.

Die private-address: 192.168.0.0/16 würde ich so belassen.

Bezüglich der Ula (Unique local address) musst du in deinen Fritzbox-Einstellungen, welche hier angegeben ist, beziehungsweise den Präfix selbst angeben (siehe unteren Screenshot).

Dort musst du dann auch die dann vergebene IPv6-Adresse vom Pihole- / Unbound-Device eingeben, damit diese dann im Netzwerk anderen Teilnehmern via DHCP bekanntgegeben werden kann.

Beste Grüße Marcel

Hi Marcel,

ich kriege unbound mit IPV6 einfach nicht zum laufen.

forward-addr: 2a07:a8c1::ID@853#dns.nextdns.io (gebe ich in die config ein)

Starte den  Unboundserver neu und bekomme eine Fehlermeldung - dann geht auch kein Internet mehr.

Mache ich es rückgängig geht es wieder.

Muss ich die Adresse irgendwie anpassen?

z.bsp so: fd6f:95dc:3a80:e91b@5335#dns.nextdns.io

"Das wäre die Adresse, die ich in der Fritzbox bei ULA-Präfix manuell festlegen" hinterlegt habe.

LG

Norman

@norman Hi Norman,

die IPv6-Adresse für NextDNS lautet:

2a07:a8c1::@853#dns.nextdns.io (ohne ID)

Für Quad9 z.B:

9.9.9.9@853#dns.quad9.net

In der Fritzbox nimmst du einfach den fd00-Präfix wie in meinem Screenshot und trägst dann wie im nächsten Screenshot die IPv6-Adresse vom Raspi nach einem Neustart als internen IPv6-DNS-Server in der Fritzbox ein.

Viele Grüße

Marcel

@marci Hi Marcel,

nochmal vielen Dank für alles! Dass mit Unbound krieg ich einfach nicht sauber hin. 

Hab jetzt wieder die Standard upstream Server eingestellt und alles funktioniert super. Auch bei Sky wird die Werbung geblockt😁

VPN (Wireguard) funzt auch👍

Jetzt habe ich nur noch ein Problem 🙈

Irgendwann nach irgendeiner Zeit verliert der Raspberry anscheinend die Internetverbindung. 

Wenn ich ihn reboote geht wieder alles. 🤷

LG Norman 

@norman Guten Morgen Norman!

Welchen Raspberry Pi hast du denn und was ist da alles angeschlossen?

Was ich öfter schon gelesen habe, wenn das Netzteil keine ausreichende Spannungsversorgung / Leistung bereitstellt, dass dann nach einer gewissen Zeit, der Bus vom Netzwerkport abgeschaltet wird. 

Natürlich kann es auch sein, dass der Raspberry Pi ein Hitzeproblem hat.

Leider kann ich beides nicht replizieren, da ich diesen Fehler bei meinen Raspberry Pi´s noch nicht hatte.

Lieben Gruß Marcel

Hi Marcel, 

Ich habe den raspi 4b mit dietpi.

Temperatur zeigt er 31 Grad an. Gehäuse mit Netzteil habe ich dieses hier: 

Miuzei Gehäuse für Raspberry Pi 4 mit Lüfter, 5.1V 3A 15.3W USB-C Netzteil,1.8M Micro-HDMI Kabel,Adapterkabel, 4 Aluminium Kühlkörper, USB Kartenleser Case für Raspberry Pi 4 Modell B Rasp Pi 8 4 2GB https://amzn.eu/d/cLZGWP6

Der Strom sollte reichen, hoffe ich. 

Ich kann aus der Ferne via VPN darauf zugreifen und rebooten, für den Zugriff müsste der Netzwerkbus funktionieren? 

Könnte es vielleicht an der Fritzbox liegen? 

LG Norman