Ich benutze einen Pi-hole-Server, um unerwünschtes Tracking zu unterbinden. Das Prinzip ist ganz einfach: Wenn eine Website die Adresse von Trackern auflösen will, sagt mein eigener DNS-Server “gibt es nicht”.
Das hatte ich bisher so gelöst, dass ich allen Clients in meinem Netz per DHCP die Adresse des Pi-hole mitgeteilt habe. Das hat einen Nachteil: Fällt der Pi-hole aus, gibt es keine Namensauflösung mehr. “Das Internet ist kaputt.”
Seit ich letztes Jahr auf einmal sehr krank war, mache ich mir etwas mehr Gedanken darum, nur noch Dinge zu bauen, die auch ohne mich weiterleben. Ich mag kein Smarthome haben, das nur mit Klebeband zusammengehalten wird. Also habe ich heute diese Schwachstelle behoben.
Nun ist wieder die Fritzbox für die Namensauflösung zuständig. Der Fritzbox selbst habe ich die Adressen des Pi-hole als DNS-Upstream beigebracht, sodass die Filterung weiter funktioniert. Fällt nun dieser lokale Server aus, dann greift die Regel “Bei DNS-Störungen auf öffentliche DNS-Server zugreifen”.
In Pi-hole selbst kann man sehr einfach Upstream-Server auswählen, hier einfach die von Google. Eigene Server lassen sich ebenfalls spezifizieren, wenn einem die Auswahl nicht gefällt.
Ich habe es ausprobiert, indem ich einfach den Pi-hole komplett runtergefahren habe, und zack, auf einmal taucht wieder der ungewollte Müll auf allen Webseiten auf. Ohne Pi-hole ist also alles so wie in Haushalten ohne diesen Schutz. Und vor allem, ohne dass ich gebraucht werde.
Jetzt kann es mal sein, dass ich selbst den Server warten möchte, auf dem Pi-hole läuft. Darum habe ich einfach ein zweites Pi-hole auf einem anderen Maschinchen installiert, auf das die Fritzbox auch zugreifen kann.
Jetzt gilt: Client fragt Fritzbox, Fritzbox fragt einen der beiden Pi-hole, dieser fragt Google. Fallen tatsächlich beide aus, fragt Fritzbox direkt Google.
Noch nicht kompliziert genug? Die Fritzbox ist auch das andere Ende meines VPN-Tunnels. Möchte ich unterwegs diesen Schutz habe, öffne ich den VPN-Tunnel von meinem Mobilgerät, dieses fragt die Fritzbox, diese den Pi-hole etc. pp.
- Pi-hole
- Bring your own Raspi or NUC
Ein bisschen Unix- und Netzwerk-Knowhow hilft.
Ich mag als Alternative zum pihole nextdns. Lässt sich in die Fritzbox einbinden, aber auch als dns im Handy. Kostet 20€ im Jahr, aber ohne Bastelei.
Es gibt viele Alternativen. Ich beschreibe nur eine.
PiHole gibt es auch als Container, das funktioniert auf vielen NAS prima ohne zusätzliche Hardware.
Ein NAS ist zusätzliche Hardware.
Oops, ich war wohl davon ausgegangen, dass es für die Leute hier keine zusätzliche Hardware ist 🙂
NAS habe ich schon sehr lange stillgelegt. Das braucht ebenfalls einen Verwalter.
In der neuen Konfiguration geht aber kein DNS over TLS mehr. Alle DNS-Anfragen können also mitgelesen werden.
Wenn du DNS Traffic verschlüsseln willst, dann kannst du mehrere Optionen:
https://docs.pi-hole.net/guides/dns/unbound/
https://docs.pi-hole.net/guides/dns/cloudflared/
https://docs.pi-hole.net/guides/dns/dnscrypt-proxy/
Ich habs noch nicht verstanden.
Ich hab aktuell DHCP aktiv und dort dann “Lokalen DNS Server” eingetragen – das sort dafür, dass die Clients die IP adresse bekommen und dann den pi-hole zur Namensauflösung nutzen, genau so wie es bei dir “vorher” war – dadurch kann ich auch “tracken” welcher client welche domains auflöst.
Mit der von dir implementierten Änderung, geht das dann immer noch genau so?
Oder sehe ich dann in pi-hole nurnoch die fritz.box als “source” der DNS abfrage?
Aktuell sehe ich nur die FB als Client. Das lässt sich vielleicht lösen, wenn ich an den Einstellungen drehe.
Geht dann nicht die Möglichkeit verloren Gruppen zu nutzen – zB bestimmte Domains für Kinder und jugendliche im Haus zu verbieten?
Das war so, ist es aber nicht mehr. Ich habe jetzt in der Fritzbox noch die Übermittlung der MAC und des Hostnamens an die Pi-holes eingeschaltet und jetzt sehe ich die anfragenden Clients wieder. (EDNS0)