FRITZ-Fernzugang umgeht pi-hole

Greta · 11. Juni 2023 um 19:36

Ausgangslage:
Ich habe pi-hole als DNS-Server in der Fritzbox 7530 AX eingerichtet.
Dann habe ich über IPSec eine VPN-Verbindung fürs Handy ins Heimnetz hinzugefügt.
Die VPN-Verbindung zur FB ins Heimnetz funktioniert einwandfrei und die Verbindungen laufen auch über das pi-hole.
So weit, so gut.

Nun meine Frage:
Über den Fritzfernzugang habe ich ein VPN vom Laptop zur FB ins Heimnetz eingerichtet.
In der FB wird mir die VPN-Verbindung zum Laptop angezeigt und sie funktioniert auch.

ABER: Diese VPN-Fritzfernverbindung (Laptop) umgeht pi-hole.

Generell scheinen FB und pi-hole ja richtig konfiguiert zu sein, denn das Handy-VPN über IPSec umgeht das pi-hole nicht.

Hat jemand eine Idee, woran es liegen kann?
Wenn Fritzos 7.51 für 7530 AX verfügbar ist, würde ich auf WireGuard umsteigen, aber im Moment bin ich auf den Fritzfernzugang angwewiesen.

thomasmerz · 14. Juni 2023 um 10:52

Bei mir (WireGuard VPN mit Pi-hole, wo der Pi-hole auch nicht bei „VPN nach Hause“ genutzt wird) liegt das daran, dass der WG Container genau dieselbe `/etc/resolv.conf wie meine Linux-Kiste bekommt, auf der er läuft.

nameserver 127.0.0.1
nameserver 45.90.30.39
nameserver 84.200.69.80

Siehe docker-compose.yml:

# peer names are only supported alphanumeric:
# https://github.com/linuxserver/docker-wireguard/issues/135
docker run -d \
  --name=wireguard \
  --cap-add=NET_ADMIN \
  --cap-add=SYS_MODULE \
  -e PUID=1000 \
  -e PGID=1000 \
  -e TZ=Europe/Berlin \
  -e SERVERURL=wireguard.meinedomain.de \
  -e SERVERPORT=12345 \
  -e PEERS=1 `#optional` \
  -e PEERDNS=auto `#optional` \
  -e INTERNAL_SUBNET=10.13.13.0 `#optional` \
  -p 51820:51820/udp \
  -v ~/temp/etc-wireguard:/config \
  -v /lib/modules:/lib/modules \
  -v /etc/resolv.conf:/etc/resolv.conf \
  --sysctl="net.ipv4.conf.all.src_valid_mark=1" \
  --restart unless-stopped \
  ghcr.io/linuxserver/wireguard

D.h. 127.0.0.1 ist der Container selber (da läuft nix auf Port 53), ergo fragt er die weiteren genannten Upstream DNS Resolver.

Wenn ich stattdessen in meinem WG-Container 172.17.0.2 den benachbarten Pi-hole-Container über die docker-bridge = 172.17.0.1 befrage, funzt es.

TL;DR:
In meinem Setup musste ich in /etc/sysconfig/network/config diese Zeile ändern:

-NETCONFIG_DNS_STATIC_SERVERS="127.0.0.1 45.90.30.39 84.200.69.80"
+NETCONFIG_DNS_STATIC_SERVERS="172.17.0.1 45.90.30.241 127.0.0.1"

Und anschließend sudo netconfig update -f und den WG-Container neustarten, damit er die neue /etc/resolv.conf nutzt/einbindet.

Nun kann ich endlich auch per WG „nach Hause“ meinen Pi-hole nutzen. Danke, dass du mich an mein selbiges Problem nochmal erinnert hast

WilliWinzig · 14. Juni 2023 um 11:08

Ich hatte dasselbe Problem und mir war nicht klar, das ich in den Wireguard Einstellungen den heimischen DNS Server (sprich: Pihole) eintragen muß. Seitdem klappt es. Hilfe kam natürlich hier aus dem Forum!

Nachtrag: Link zu meiner Lösung damals https://www.kuketz-forum.de/t/ueber-fb-wireguard-vpn-ins-heimische-pi-hole-netz-und-werbung-kommt-durch/2579/4

Greta · 16. Juni 2023 um 13:53

Hallo zusammen,
klappt leider nicht mit dem Fernzugang. Das Problem bleibt, wie oben beschrieben.
Werde darauf warten, dass die FB das Update 7.51 bekommt und dann WireGurard benutzen.
Was ich dann beachten soll, weiß ich jetzt ja
Danke für eure Hinweise!