Ursprünglich veröffentlicht: https://www.kuketz-blog.de/pi-hole-und-fritzbox-dns-umgehung-bypassing-verhindern/
In modernen Netzwerken mit vielen unterschiedlichen Geräten, darunter auch IoT-Geräte, kommt es häufig vor, dass einige Geräte fest voreingestellte DNS-Server verwenden. Diese können beispielsweise auf Google DNS, Cloudflare oder ähnliche Anbieter eingestellt sein und sind häufig vom Benutzer nicht ohne Weiteres veränderbar. Dies hat zur Folge, dass die DNS-Anfragen dieser Geräte nicht über den zentralen DNS-Server im Netzwerk, wie bspw. das Pi-hole, laufen. Dadurch wird die Filterfunktion des Pi-hole umgangen und der eigentliche Zweck, das Blockieren von Werbung oder Trackern, untergraben. HinweisIn diesem Artikel wird gezeigt, wie ein Pi-hole in das Heimnetzwerk einer Fritz!Box integriert werden kann. Um diese Umgehung…
Macht es nicht noch Sinn Multicast DNS (mDNS) - UDP 5353 in die Liste mit aufzunehmen?
Nachteile sehe ich da jetzt nämlich direkt nicht 
Vielleicht könnte man auch gleich Geräte/Hersteller auflisten, die einen hardcorded DNS-Server nutzen → Garmin macht(e) dies z.b. mit den Fenix-Uhren so…
Vielleicht sollte man noch ergänzen, dass bei Firefox in der Standardeinstellung DoH auf Gütdünken von Mozilla entschieden wird.
Dies sollte man dementsprechend konsequenterweise ausschalten, wenn ich @kuketzblog richtig verstehe?!
Laut RFC 6762 ist Multicast DNS (mDNS) auf die Nutzung innerhalb des lokalen Netzwerks (Link-Local) beschränkt. Anfragen für die TLD „.local“ und spezielle Link-Local-Adressen (z. B. 224.0.0.251) werden nur im lokalen Netzwerksegment versendet. Daher ist mDNS nicht für Anfragen ins Internet gedacht, und die Pakete verlassen in der Regel nicht das lokale Netz.
Das mag ja richtig sein laut RFC, jedoch steht im verlinkten Artikel auch eine andere Möglichkeit…
Welche negativen Folgen hätte man, wenn es zusätzlich geblockt wird?
Vielen Dank für den nützlichen Tipp!
Mir war es schon länger ein Dorn im Auge, dass unser Smart-TV sich am pihole vorbeigemogelt hat, ich aber nichts dagegen tun konnte. Endlich hab ich ihn 
Sofern ich einen Gast-WLAN-Zugang eingerichtet habe, macht es doch ebenfalls Sinn dort ebenfalls ‚DNS‘ als gesperrte Anwendung hinzuzufügen, oder?
Ein Beitrag wurde in ein neues Thema verschoben: OpenWRT: DNS Anfragen an Adblocker (AdGuard Home, pi-hole etc.) umleiten
Muss gestehen, jetzt bin ich ein wenig entsetzt.
Gerade mit Pi-Hole in der Fritzbox hinterlegt, dachte ich alle IoT Geräte zu erwischen.
Dann sind mir diese evtl. Jahre lang abhanden gekommen.
Da verzweifelt man doch langsam.
Danke für den Hinweis.
Aktuell habe ich auf der Fritzbox testweise NextDNS mit erzwungenem DoT als DNS laufen und der Pihole wird dadurch zum Fallback-DNS. Funktioniert soweit zuverlässig, da im Pihole bisher exakt 0 Anfragen angekommen sind.
Mit der beschriebenen Methode von @kuketzblog kann man dann auch alle DNS-Anfragen an einen beliebig konfigurierten DoT-DNS erzwingen, da die Fritzbox nicht gefiltert wird.
Nachtrag: Was man natürlich auch machen kann, ist NextDNS CLI direkt auf dem Raspi (anstatt Pihole) zu installieren. Die DNS-Anfragen laufen dann wie gewohnt zum Raspi als DNS, aber NextDNS CLI führt dann die Abfrage per DoH aus. So kann man die Beschränkung auf DoT über Port 853 auf der Fritzbox umgehen und DNS-Anfragen sind über Port 443 verschleiert.
Hab das jetzt gestern mal wie beschrieben eingerichtet. Jetzt bekomme ich auf meinem Smartphone unter meinem WLAN in den eibstelkungen „keine Datenverbindung“ angezeigt, obwohl ich normal Internet habe. Auf meinem Tablet steht an gleicher Stelle stattdessen „auf den privaten DNS-Server kann nicht zugegriffen werden“. Auch hier kann wieder ich normal ins Internet.
Es scheint als würde versucht werden über einen eigenen DNS Server die Verbindung mit dem dem Internet zu verifizieren, was nun nicht mehr möglich ist, da die Ports ja gesperrt sind.
Gibt’s da Abhilfe, @kuketzblog?
Ja, lesen:
Diese Methode blockiert DNS-Anfragen über die Standard-Ports 53 (unverschlüsseltes DNS) und 853 (DNS over TLS)
Einfach privates DNS auf dem Endgerät deaktivieren…
Und wenn ich außerhalb vom WLAN unterwegs bin? Würde gerne auch mobil einen custom DNS nutzen.
Das könntest du mit nem permanenten VPN Tunnel zu deinem Router lösen.
Grüße
Da es hier um die Fritzbox geht, Wireguard Tunnel und voila - nutzen andere schon lange
Ich nutze das in der oben beschriebenen Konfig auch nicht mehr…
Hintergrund ist der FCF (Frauen Chill Factor).
Wenn du das nur für dich betreibst, absolut kein Problem.
Wenn du mehrere Personen im Haushalt hast, musst du das für alle einrichten. Und wenn dann dein Internet zu Hause mal ausfällt oder die Ladezeiten etwas länger sind, dann wird’s zum Problem. Wenn dann vor der Benutzung des Browsers evtl. noch ein Schalter in Wireguard gedrückt werden muss, etc…
Bei mir zu Hause aber auch unkritisch, betrifft keine Geräte, die sich am PiHole/AdGuard vorbei mogeln.
Grüße
Das heißt, auf dem Handy müsste privates DNS generell ausgeschaltet sein und dann außerhalb des WLANs angeschaltet?
Nein, dauerhaft aus - außerhalb des Heimnetzes baust du dann einen Tunnel zum Heimnetz auf:)
Verstehe.
Gibt es noch einen anderen Weg für die ‚nicht-Techies‘ in der Familie?
WireGuard via Router ala FritzBox - einfacher geht es nicht…
Mit der App: WG-Tunnel lässt sich das sogar automatisieren…
Cool!
Für iOS gibt’s da wahrscheinlich nichts, oder?