wusa88
Goto Top

Welcher DNS Server wird im Internet verwendet?

Hallo Zusammen,

ich habe mir Pi Hole eingerichtet.
Jetzt stellt sich mir aber die Frage, wohin die DNS Anfragen geschickt werden.

Aufmerksam bin ich wie folgt geworden:

Auf meinen Clients, trage ich als DNS die IP des Pi Hole ein (IP Pi Hole: 192.168.10.20).
Somit werden alle Anfragen an den Pi Hole geschickt.

Im Pi Hole habe ich 2 DNS Konfiguriert.
1. DNS: 77.109.148.137
2. DNS: 85.214.20.141

Wenn ich jetzt auf einem der Clients ein
nslookup google.de

mache, kommt folgende Ausgabe:
C:\Users\wusa>nslookup google.de
Server:  ab34be448747
Address:  192.168.10.20

Nicht autorisierende Antwort:
Name:    google.de
Addresses:  2a00:1450:4001:817::2003
          172.217.19.195

Somit wird die DNS Anfrage zum Pi Hole geschickt. Soweit alles richtig.
Gehe ich jetzt auf den Rechner, auf dem Pi Hole installiert ist und mache die selbe Abfrage:
nslookup google.de
Kommt folgende Ausgabe:
wusa@ubuntu-nb:~$ nslookup google.de
Server:         192.168.10.1
Address:        192.168.10.1#53

Non-authoritative answer:
Name:   google.de
Address: 172.217.22.195
Name:   google.de
Address: 2a00:1450:4016:80b::2003
Hier wird die DNS Anfrage dann zum Router (192.168.10.1) geschickt.

Ich kann mir jetzt nur erklären, da ich den Rechner auf dem ich Pi Hole installiert habe, erstmal "normal" eingerichtet habe, mit dem DNS vom Router, dass dieser jetzt Standardmäßig immer noch den Router hinterlegt hab.
Die Frage ist jetzt nur, wo werden die Anfragen der Clients "hin geschickt"?
Zum Pi Hole und dann? Hier habe ich ja eigentlich die 2 DNS im Pi Hole hinterlegt.

Kann ich irgendwie einen Schritt weiter gehen, damit ich die Anfrage sehe, wohin der Pi Hole die Anfrage schickt?

Heißt
Client -> Pi Hole -> wohin wird es jetzt geschickt?

Was ich natürlich nicht will, da es Kontraproduktiv wäre:
Client -> Pi Hole -> Router
In diesem Fall, wird die DNS Anfrage normal zum ISP geschickt.

Vielen Dank!

Content-ID: 380004

Url: https://administrator.de/forum/welcher-dns-server-wird-im-internet-verwendet-380004.html

Ausgedruckt am: 23.12.2024 um 05:12 Uhr

SlainteMhath
SlainteMhath 12.07.2018 um 09:21:01 Uhr
Goto Top
Moin,

du musst unterscheiden zwischen DNS Forwardern and die der DNS Server (bind9?) die Anfragen die er nicht selbst "kennt" weiterschickt, und das was im Linux als DNS Server (in /etc/resolv.conf) eingetragen ist.

Wie sieht hier die Konfig aus?

lg,
Slainte
certifiedit.net
certifiedit.net 12.07.2018 um 09:22:13 Uhr
Goto Top
und genau das tust du, nur, weil du es auf deiner Seite verkompliziert hast, hast du absolut 0 Mehrwert, solange davor alles beim alten ist.

Du hättest auch einfach nur den Router umkonfigurieren können. Aber das wäre wohl zu einfach und zielführend gewesen?
Vision2015
Vision2015 12.07.2018 um 09:34:52 Uhr
Goto Top
Moin...

In diesem Fall, wird die DNS Anfrage normal zum ISP geschickt.
wäre das schlimm? was hast du zu verbergen?
dein vertrauen in xiala.net ist ja sehr hoch......

Frank
wusa88
wusa88 12.07.2018 aktualisiert um 09:37:54 Uhr
Goto Top
Zitat von @SlainteMhath:

Moin,

du musst unterscheiden zwischen DNS Forwardern and die der DNS Server (bind9?) die Anfragen die er nicht selbst "kennt" weiterschickt, und das was im Linux als DNS Server (in /etc/resolv.conf) eingetragen ist.
Hier weiß ich leider nicht genau was du meinst.
Die Anfragen die er selbst nicht kennt, sollen ja an den DNS des in Pi Hole eingetragenen DNS geschickt werden.
Wie sieht hier die Konfig aus?
wusa@ubuntu-nb:~$ cat /etc/resolv.conf
# Generated by NetworkManager
nameserver 192.168.10.1


Zitat von @certifiedit.net:
und genau das tust du, nur, weil du es auf deiner Seite verkompliziert hast, hast du absolut 0 Mehrwert, solange davor alles beim alten ist.
Warum?
Du hättest auch einfach nur den Router umkonfigurieren können. Aber das wäre wohl zu einfach und zielführend gewesen?
Da bei mir der Router eigentlich nur "dumm" als Internetzugang verwendet wird, mach der Router bei mir auch nichts anderes.
Bei mir verwaltet das ganze Netzwerk ein Mikrotik. Im MT habe ich für alle Clients als DNS Server den Pi Hole eingetragen.
wusa88
wusa88 12.07.2018 aktualisiert um 09:55:05 Uhr
Goto Top
Ich habe nichts zu verbergen, möchte aber einfach mal testen und nicht den DNS von Google und Co verwenden.
Xiala habe ich eigentlich nur als Testzwecke verwendet. Habe mich mal umgesehen, wegen unzensierten DNS Servern im Internet. Drum will ich das einfach mal testen.


Habe noch eine Frage hierzu:
wusa@ubuntu-nb:~$ cat /etc/resolv.conf
# Generated by NetworkManager
nameserver 192.168.10.1


Das würde heißen, wenn ich mit den Gerät auf dem auch Pi Hole installiert ist, surfe, dann wird nicht der DNS des Pi Hole verwendet, sondern der des eingetragenen DNS in der resolv.conf.

Wie kann ich aber testen, wohin die DNS Anfrage von einem Client geschickt wird, in dem Pi Hole als DNS eingetragen ist?
Pedant
Pedant 12.07.2018, aktualisiert am 13.07.2018 um 11:17:33 Uhr
Goto Top
Hallo wusa88,

wie Du prüfen kannst, welche öffentliche DNS tatsächlich angefragt werden und von welchem die Antwort kam, weiß ich auch nicht. Eventuell gibt es im Pi-hole entsprechende Logs für alle Anfragen.

Letztendlich möchtest Du doch nur, dass ausschließlich die von Dir festgelegent DNS verwendet werden, also trag nirgend einen anderen DNS ein und dann hast Du was Du möchtest.

Der Pi-hole fungiert als DNS-Proxy und verhält sich den Clients gegenüber wie ein normaler DNS-Server.
Trag bei allen Clients und auch beim Router den Pi-hole als DNS ein.

Alle DNS-Anfragen können dann nur über den Pi-hole laufen und damit über die beiden DNS-Server, die Du im Pi-hole hinterlegt hast.
Alternativ könntest Du im Pi-hole den Router als DNS hinterlegen (192.168.10.1) und Deine beiden DNS (77.109.148.137 und 85.214.20.141) im Router als DNS eintragen.
So oder so können dann nur diese Beiden verwendet werden, da keine Anderen bekannt gemacht wurden.

Warum Du den DNS Deines ISP nicht verwenden möchtest ist allerdings unklar.

Gruß Frank
wusa88
wusa88 12.07.2018 um 10:39:30 Uhr
Goto Top
Hauptsächlich würde mich nur interessieren, wie ich rausfinde, an welchen DNS, in meiner Konstellation, die Anfrage geschickt wird.

Dein Lösungsansatz wäre gar nicht so schlecht. Da bei mir das ganze aber noch in einer Testphase ist, möchte ich vorerst auch wenn es nur Kleinigkeiten sind, nicht allzuviel umstellen.
Es würde zwar zur Lösung führen, aber dann kann ich wieder nicht nachvollziehen, wohin die Anfrage geschickt wird.


Zitat von @Pedant:
Warum Du den DNS Deines ISP nicht verwenden möchtest ist allerdings unklar.

Im Pi Hole sind standardmäßig ein paar DNS eingetragen. Google, Cloud9 und wie sie alle heißen. Diese würde ich ungern nutzen, drum habe ich mich mal umgesehen was es alles gibt und bin auf unzensierte DNS gestoßen. Drum will ich jetzt nur mal testen, ob ich Unterschiede merke.
Gegen den DNS des ISP habe ich nichts. Ist quasi nur zum testen.
certifiedit.net
certifiedit.net 12.07.2018 um 10:42:18 Uhr
Goto Top
auf unzensierte DNS gestoßen

was macht dich glauben, dass andere DNS zensiert sind?

Siehst du anhand des Routers.
wusa88
wusa88 12.07.2018 aktualisiert um 10:45:17 Uhr
Goto Top
Zitat von @certifiedit.net:
was macht dich glauben, dass andere DNS zensiert sind?
Das weiß ich nicht. Aber ich habe auch dies geschrieben:
Zitat von @wusa88:
Drum will ich jetzt nur mal testen, ob ich Unterschiede merke.

Zitat von @certifiedit.net:
Siehst du anhand des Routers.
Was sehe ich anhand des Routers?
Pedant
Pedant 12.07.2018 um 11:08:27 Uhr
Goto Top
Hallo wusa88,

Zitat von @wusa88:
Im Pi Hole sind standardmäßig ein paar DNS eingetragen. Google, Cloud9 und wie sie alle heißen. Diese würde ich ungern nutzen...
...dann wirf alle Einträge raus, die Du nicht nutzen möchtest.

...aber dann kann ich wieder nicht nachvollziehen, wohin die Anfrage geschickt wird.
Wenn Du im Pi-hole lediglich einen einzigen DNS hinterlegst, wird auch genau nur dieser eine genutzt werden.

Gruß Frank
wusa88
wusa88 12.07.2018 um 11:14:37 Uhr
Goto Top
Zitat von @Pedant:
...dann wirf alle Einträge raus, die Du nicht nutzen möchtest.
Die Einträge habe ich nicht markiert. Sondern 2 eigene von mir eingetragen.
...aber dann kann ich wieder nicht nachvollziehen, wohin die Anfrage geschickt wird.
Wenn Du im Pi-hole lediglich einen einzigen DNS hinterlegst, wird auch genau nur dieser eine genutzt werden.
Genau das will ich irgendwie nochvollziehen.
Pi Hole hat die 2 von eingetragenen DNS hinterlegt.

Der Rechner auf dem Pi Hole installiert ist, hat aber in der
resolve.conf
192.168.10.1
drin stehen.
Brauch ich die resolv.conf oder kann ich diese auskommentieren?

Wenn ich es auskommentiere, habe ich die Befürchtung, dass ich mit dem Rechner selbst nicht mehr surfen kann.
aqui
aqui 12.07.2018 aktualisiert um 11:36:01 Uhr
Goto Top
Hier wird die DNS Anfrage dann zum Router (192.168.10.1) geschickt.
Ist ja auch richtig, der Router leitet das dann als DNS Proxy an den jeweiligen DNS deine Providers weiter. Den Provider DNS bekommt dein Router üblicherweise per PPPoE dynamisch mitgeteilt, wie jeder netzwerker weiss. Kannst du dort auch sehen wenn du dir die PPPoE Daten ansiehst !
Alles gut also.
Wo ist denn nun dein wirkliches Problem ?

Du kannst natürlich auch einen anderen DNS-Dienst ausprobieren, wenn du dem DNS-Dienst deines Providers nicht trauen solltest, was aber unbegründet ist wenn du nicht in China oder Iran wohnst. Oder wenn du dir einen Geschwindigkeitsvorteil erhoffst.
Dann kannst du in den Einstellungen deines Routers einen anderen wie z.B. Quad9 (9.9.9.9) eintragen.
https://www.heise.de/newsticker/meldung/Quad9-Datenschutzfreundliche-Alt ...
Auf gar keinen Fall solltest du hier Google nehmen, denn der erstellt von deinen Surf und Internet Gewohnheiten ein Profil und vermarktet das mit Dritten.
Wenn dir deine Privatsphäre also was wert ist, dann ist der Google DNS ein absolutes NoGo.
Pedant
Pedant 12.07.2018 um 11:53:59 Uhr
Goto Top
Hallo wusa88,

Zitat von @wusa88:
Wenn ich es auskommentiere, habe ich die Befürchtung, dass ich mit dem Rechner selbst nicht mehr surfen kann.
... und wenn, wovor hast Du Angst. Mach die Änderung wieder rückgängig und gut ist.

Zitat von @wusa88:
Der Rechner auf dem Pi Hole installiert ist, hat aber in der
resolve.conf
192.168.10.1
drin stehen.
Brauch ich die resolv.conf oder kann ich diese auskommentieren?

Auch dieser Rechner muss wissen, wen er für Namensauflösung fragen soll.
Trag auch dort die 192.168.10.20 (Pi-hole) ein, damit der Pi-hole von ihm genutzt wird und nicht der Router (192.168.10.1) und trag auch im Router den Pi-Hole als DNS ein.
Das sind zwei kleine Änderungen und schon hast Du was Du willst,
abgesehen von der gesuchten Möglichkeit das zusätzlich nochmal zu verifizieren.

Nochmal die beiden Varianten:

entweder
Alle Clients bekommen als einzigen DNS den Pi-Hole eingetragen.
Im Router trägst Du ebenfalls den Pi-hole als einzigen DNS ein.
Im Pi-hole trägst Du die externen DNS ein, die Du nutzen möchtest.

oder
Alle Clients bekommen als einzigen DNS den Pi-Hole eingetragen.
Im Pi-hole trägst Du als DNS lediglich den Router ein.
Im Router trägst Du die externen DNS ein, die Du nutzen möchtest.

Ergebnis
Es werden nur die DNS genutzt, die Du entweder im Pi-hole oder im Router eingetragen hast.
So oder so laufen alle DNS-Anfragen über den Pi-hole und werden dort wie vorgesehen gefiltert.
(Bei der "oder-Variante" würden lediglich DNS-Anfragen, die der Router in eigener Sache stellt, nicht über den Pi-hole laufen, also wenn er beispielsweise den Namen seines Zeitservers auflösen lassen möchte.)
Eine Verifizierung ist nicht notwendig, weil kein anderer DNS bekannt gemacht wurde, der genutzt werden könnte und die Clients sich keine DNS ausdenken, sondern nutzen was ihnen gesagt wurde.

Gruß Frank
aqui
aqui 12.07.2018 um 12:00:47 Uhr
Goto Top
Alle Clients bekommen als einzigen DNS den Pi-Hole eingetragen.
Ist ja das einzig Sinnvolle wenn man schon ebenfalls sowas Sinnvolles wie den PiHole einsetzt.
wusa88
wusa88 12.07.2018 aktualisiert um 12:06:53 Uhr
Goto Top
Mein DHCP Server verteilt an die Clients, den DNS von Pi Hole.

Wenn ich jetzt auf einem Client ein
nslookup google.de
ausführe, dann kommt Richtigerweiß auch die Antwort vom Pi Hole.
C:\Users\wusa>nslookup google.de
Server:  ab34be448747
Address:  192.168.10.20

Nicht autorisierende Antwort:
Name:    google.de
Addresses:  2a00:1450:4001:817::2003
          172.217.19.195

192.168.10.20 ist mein Pi Hole.

Logge ich mich allerdings auf den Rechner auf dem Pi Hole läuft per SSH ein, und führe hier auch eine
nslookup google.de
aus, kommt folgende Antwort:
wusa@ubuntu-nb:~$ nslookup google.de 
Server:         192.168.10.1 
Address:        192.168.10.1#53 
Non-authoritative answer: 
Name:   google.de 
Address: 172.217.22.195 
Name:   google.de 
Address: 2a00:1450:4016:80b::2003

192.168.10.1 ist meine Fritzbox.

Ich möchte jetzt eigentlich nur wissen, wenn eine Client der den DNS vom Pi Hole eingetragen hat, welchen DNS dann der Pi Hole im Internet befragt.

Ich möchte quasi einen Schritt von nslookup mehr wissen. Ich hoffe ihr wisst was ich meine.
aqui
aqui 12.07.2018 aktualisiert um 12:23:24 Uhr
Goto Top
Mein DHCP Server verteilt an die Clients, den DNS von Pi Hole.
Was ja auch richtig ist !
Logge ich mich allerdings auf den Rechner auf dem Pi Hole läuft per SSH ein...
Ist ja auch klar, denn als DNS Weiterleitungsserver hat der PiHole ja die FB eingetragen vermutlich.
Oder wenn du fälschlicherweise auch dem PiHole die IP per DHCP von der FB vergeben hast bekommt der PiHole die FB IP Adresse logischerweise auch als DNS Server von der FB via DHCP sofern du die DNS IP in der FB nicht statisch geändert hast.
Die FB selber bekommt den Provider DNS per PPPoE automatisch. Wenn du sie statisch überschreibst z.B. mit der 9.9.9.9 übergeht er damit die per PPPoE übermittelte DNS IP deines Providers.
Alles alles wie es sein soll...ist oben ja auch schon mehrfach dir beschrieben worden.
Der PiHole sollte natürlich IMMER eine feste statische IP bekommen oder über die Mac Adress Funktion im DHCP der FritzBox eine immer fest zugewiesene IP aus dem lokalen Netz.

Der PiHole befragt also die FritzBox die ihrerseits wieder den DNS des Providers befragt der ihr selber ja als DNS eingetragen ist per PPPoE. Die FB ist nur DNS Proxy zum Provider DNS deines Internet Providers.
Willst du NICHT den Provider DNS nutzen, dann konfigurierst du in der FritzBox unter "Internet/Zugangsdaten/ DNS-Server" eben z.B. die 9.9.9.9.
Dann fragt der Client den PiHole, der fragt den Router, und der fragt dann die 9.9.9.9 (statt des Provider DNS)
Groschen endlich gefallen ??
wusa88
wusa88 12.07.2018 um 12:47:28 Uhr
Goto Top
Zitat von @aqui:
Groschen endlich gefallen ??
Gute Frage....

denn als DNS Weiterleitungsserver hat der PiHole ja die FB eingetragen vermutlich
Umgehe ich das nicht mit den Einstellungen innerhalb der Konfig von Pi Hole?

Etwas stehe ich schon noch auf dem Schlauch.
Aber ich versuche das ganze jetzt mal mit meine Worten zusammen zu fassen.
Pi Hole hat natürlich eine Feste IP im Netzwerk von mir bekommen.

Es ist so, dass der DHCP in meinem Fall der MT die DNS Adresse vom Pi Hole verteilt.
Im Pi Hole selbst habe ich die 2 Konfigurierten DNS mit IP eingetragen.

Heißt, dass jeder Client die DNS Anfrage an den Pi Hole schickt.
Da der Pi Hole allerdings die öffentlichen DNS als IP konfiguriert hat, braucht er die FB nicht befragen sondern reicht die DNS Anfrage direkt auf den konfigurierten DNS im Internet weiter?

Jetzt ist nur die Frage muss ich in der Konstellation noch etwas an der FB ändern? Normalerweise nicht? Da ja die IP bereits im PiHole eingetragen ist.Somit sollte ich die FB umgehen?
aqui
aqui 12.07.2018 aktualisiert um 15:05:25 Uhr
Goto Top
Umgehe ich das nicht mit den Einstellungen innerhalb der Konfig von Pi Hole?
Ja, aber nur wenn du dem PiHole explizit eine andere DNS Server IP angibst.
Gibst du da direkt die 9.9.9.9 an, dann fragt der PiHole logischerweise NICHT mehr die FB sondern geht direkt zu 9.9.9.9.
Genau DAS siehst du ja wenn du dich direkt auf die PiHole Shell einloggst und dort mal dig www.heise.de eingibst oder auch nslookup www.heise.de
Etwas stehe ich schon noch auf dem Schlauch.
Warum ? Das ist doch eigentlich alles ganz einfach ! face-wink
Pi Hole hat natürlich eine Feste IP im Netzwerk von mir bekommen.
Sehr vernünftig !
Was hast du ihm dann statisch als DNS Server eingetragen ?? Wenn alles statisch ist dann ist nur der dort konfigurierte DNS Server natürlich für den PiHole bindend, klar.
dass der DHCP in meinem Fall der MT die DNS Adresse vom Pi Hole verteilt.
Wer oder was ist "MT" ?? Ist das dein Internet Router ? Oben redest du doch von einer FritzBüx...?? Was denn nun ??
die DNS Adresse vom Pi Hole verteilt.
Das kann ja gar nicht sein ! Oben hast du uns doch eben erzählt das du die IP Adressen des PiHole statisch konfiguriert hast ?!? Logischerweise gehört dann auch eine statische DNS IP dazu ! Was denn nun...??
Im Pi Hole selbst habe ich die 2 Konfigurierten DNS mit IP eingetragen.
Bahnhof, Ägypten...???
Du machst ne statische Konfig, dann aber doch nicht da DHCP vom "MT" ? Und dann aber doch wieder statisch mit 2 DNS.
Da hilft leider nichtmal mehr unsere Glaskugel.... face-sad

Vielleicht solltest du DAS hier nochmal genau lesen:
https://www.heise.de/ct/ausgabe/2018-11-Schadcode-und-Werbung-mit-Raspbe ...
...und verstehen natürlich !
Heißt, dass jeder Client die DNS Anfrage an den Pi Hole schickt.
Wenn du an jeden Client diese lokale PiHole IP als DNS IP per DHCP verschickst dann JA !
Würdest du nur mal ipconfig -all auf einer Winblows Möhre eingeben dann kannst du das auch mit eigenen Augen sehen. Winblows kann auch nslookup da kannst du das dann zusätzlich noch verifizieren.
Ist oben ja auch schon mehrfach gesagt worden...
Da der Pi Hole allerdings die öffentlichen DNS als IP konfiguriert hat, braucht er die FB nicht befragen sondern reicht die DNS Anfrage direkt auf den konfigurierten DNS im Internet weiter?
Genau so ist es !
Mit einem tcpdump Trace auf dem PiHole kannst du das auch schwarz auf weiss sehen. Oder eben auch mit dig oder nslookup auf der PiHole Shell selber.
muss ich in der Konstellation noch etwas an der FB ändern? Normalerweise nicht?
Nöö. Der Router (welcher das auch immer ist bei dir ?!) ist ja DNS seitig jetzt vollkommen ausgebootet und keiner fragt ihn mehr von den Clients.
In so fern dümpelt der in puncto DNS ungenutzt herum. Was dann da letztlich steht als DNS ist dann "Latte".
So....nun aber mit dem Groschen ?! Oder ?
wusa88
wusa88 12.07.2018 um 16:24:16 Uhr
Goto Top
Zitat von @aqui:

Umgehe ich das nicht mit den Einstellungen innerhalb der Konfig von Pi Hole?
Ja, aber nur wenn du dem PiHole explizit eine andere DNS Server IP angibst.
Gibst du da direkt die 9.9.9.9 an, dann fragt der PiHole logischerweise NICHT mehr die FB sondern geht direkt zu 9.9.9.9.
Genau DAS siehst du ja wenn du dich direkt auf die PiHole Shell einloggst und dort mal dig www.heise.de eingibst oder auch nslookup www.heise.de
Ich vermute,dass wir hier komplett aneinander vorbei reden.
Ich versuche jetzt nochmal das ganze von Anfang an zu erklären, wie ich vorgegangen bin.

Etwas stehe ich schon noch auf dem Schlauch.
Warum ? Das ist doch eigentlich alles ganz einfach ! face-wink
Sagst jetzt du... bei mir merkst du, dass es nciht so leicht ist...
Pi Hole hat natürlich eine Feste IP im Netzwerk von mir bekommen.
Sehr vernünftig !
Was hast du ihm dann statisch als DNS Server eingetragen ?? Wenn alles statisch ist dann ist nur der dort konfigurierte DNS Server natürlich für den PiHole bindend, klar.
Bei der Ersteinrichtung habe ich eine Feste IP und den DNS der Fritzbox eingetragen. (FB: 192.168.10.1)
Nachdem habe ich dann erst Pi Hole installiert.
Innerhalb von Pi Hole vergibt man dann die DNS die verwendet werden sollen.
pihole
dass der DHCP in meinem Fall der MT die DNS Adresse vom Pi Hole verteilt.
Wer oder was ist "MT" ?? Ist das dein Internet Router ? Oben redest du doch von einer FritzBüx...?? Was denn nun ??
MT = MikroTik
die DNS Adresse vom Pi Hole verteilt.
Das kann ja gar nicht sein ! Oben hast du uns doch eben erzählt das du die IP Adressen des PiHole statisch konfiguriert hast ?!? Logischerweise gehört dann auch eine statische DNS IP dazu ! Was denn nun...??
Du darfst hier nicht einen Teil von meinem Text abschneiden, so ergibt es keinen Sinn.... "dass der DHCP in meinem Fall der MT die DNS Adresse vom Pi Hole verteilt." Heißt, dass der MikroTik an alle im Netz die eine Adresse beziehen, als DNS den Pi Hole vergibt:
Im Mikrotik unter DHCP Server -> Network wurde der DNS vom Pi Hole eingetragen.
Im Pi Hole selbst habe ich die 2 Konfigurierten DNS mit IP eingetragen.
Bahnhof, Ägypten...???
Du machst ne statische Konfig, dann aber doch nicht da DHCP vom "MT" ? Und dann aber doch wieder statisch mit 2 DNS.
Da hilft leider nichtmal mehr unsere Glaskugel.... face-sad
Ich denke nachdem ich das oben erklärt haben, sollte es jetzt klar sein.

Heißt, dass jeder Client die DNS Anfrage an den Pi Hole schickt.
Wenn du an jeden Client diese lokale PiHole IP als DNS IP per DHCP verschickst dann JA !
Würdest du nur mal ipconfig -all auf einer Winblows Möhre eingeben dann kannst du das auch mit eigenen Augen sehen. Winblows kann auch nslookup da kannst du das dann zusätzlich noch verifizieren.
Das habe ich natürlich schon gemacht. Und auch schon gepostet.
C:\Users\wusa>nslookup google.de 
Server:  ab34be448747 
Address:  192.168.10.20 
Nicht autorisierende Antwort: 
Name:    google.de 
Addresses:  2a00:1450:4001:817::2003 
          172.217.19.195
Hier ist zu sehen, dass die Windows Maschine, die vom DHCP eine Adresse bekommen hat, direkt die DNS Anfragen auf den Pi Hole schickt (192.168.10.20)

Da der Pi Hole allerdings die öffentlichen DNS als IP konfiguriert hat, braucht er die FB nicht befragen sondern reicht die DNS Anfrage direkt auf den konfigurierten DNS im Internet weiter?
Genau so ist es !

So....nun aber mit dem Groschen ?! Oder ?
Die Frage war eigentlich wie ich es sicher sehen kann, ob Pi Hole auch die IP von der mir eingetragenen nutzt oder weiter zu meinem Router geht.
SlainteMhath
SlainteMhath 13.07.2018 um 08:24:02 Uhr
Goto Top
Ok, nochmal:

Wenn du im OS auf dem PI ein nslookup machst, dann greift der in /etc/resolv.conf eingetragene DNS
Wenn ein Client den am PI installieren DNS Server abfrägt, dann greift was dort im Webinterface eingetragen ist.

Und wenn du's genau überwachen willst, dann leg dir eine iptables Regel an, die ausgehende DNS Verbindungen logt
aqui
aqui 13.07.2018 aktualisiert um 09:39:33 Uhr
Goto Top
Der TO macht alles nur noch komplizierter mit dem Verwirrspiel.
WIE sieht denn die Infrastruktur aus ?? Mikrotik und FritzBox und kein Wort wie die verschaltet sind face-sad
Vermutlich eine Kaskade (geraten) ?!
Na ja zu dem Thema ist ja nun alles gesagt.
Wie Kollege @SlainteMhath schon sagt:
auf dem PI ein nslookup machst, dann greift der in /etc/resolv.conf eingetragene DNS
Und wenn du's genau überwachen willst,
...dann hilft auch dein bester Freund der Wireshark, der dir genau sagt WOHIN der PiHole die Anfrage stellt. Da gibts dann keine Diskussion mehr.
MrNightfloor
MrNightfloor 13.07.2018 um 09:41:51 Uhr
Goto Top
Um zu sehen an welchen DNS Server pihole weiterleitet kannst du in der Konsole den Befehl 'pihole -t' eingeben.
Warum die Maschine auf der pihole selbst läuft nicht pihole als DNS verwendet (nur für eigene Anfragen) liegt daran, dass die Installation von pihole den DNS Server des Systems nicht ändert.
Anfragen die auf Port 53 bei der Maschine ankommen werden jedoch von pihole beantwortet und nicht vom im System eingestellten DNS Server. Wenn du möchtest, dass die Maschine als DNS Server sich selbst auf dem DNS Port 53 anfragt musst du in der resolv.conf die lokalhost Adresse eingeben. Der Inhalt der Datei sollte dann folgender sein: 'nameserver 127.0.0.1' und wenn du IPv6 verwendest ebenfalls 'nameserver ::1'
Andere Einträge kannst du entweder löschen oder auskommentieren.

Anfragen von den Clienten sollten wie folgt aussehen:
Client -> 192.168.10.20:53 -> Port 53 hört pihole -> Vergleich mit Blacklist und Forward zum konfigurierten DNS Server
Dabei musst du beachten, dass die Maschine auf der pihole läuft selbst ein Client in deinem Netzwerk ist.
Aktuell ist dort die Vorgehensweise:
Client -> 192.168.10.1:53 -> Router leitet auf den eingestellten DNS Server weiter
Du musst also auch die Maschine auf der pihole läuft ganz normal konfigurieren wie andere im Netzwerk auch.

Wenn du selbst die Kontrolle über die DNS Anfragen haben willst kann ich dir empfehlen zusätzlich zu dnsmasq (DNS Forwarder von pihole) bind9 zu installieren. Das gibt dir die Möglichkeit komplett auf dritte DNS Server zu verzichten. Du würdest quasi selbst bei den Root DNS Servern auf der Welt nachfragen und müsstest dir keine Gedanken um Zensierung machen.
Solltest du dich dafür interessieren kannst du selbst einmal im Internet suchen oder dich ggf bei mir melden. Ich selbst habe so eine Konfiguration auf einem Server laufen.

Mit freundlichen Grüßen
MrNightfloor
Pedant
Pedant 13.07.2018 um 11:44:28 Uhr
Goto Top
Hallo wusa88,

Zitat von @MrNightfloor:
Warum die Maschine auf der pihole selbst läuft nicht pihole als DNS verwendet (nur für eigene Anfragen) liegt daran, dass die Installation von pihole den DNS Server des Systems nicht ändert.
...
Wenn du möchtest, dass die Maschine als DNS Server sich selbst auf dem DNS Port 53 anfragt musst du in der resolv.conf die lokalhost Adresse eingeben. Der Inhalt der Datei sollte dann folgender sein: 'nameserver 127.0.0.1'...
Andere Einträge kannst du entweder löschen oder auskommentieren.
... oder statt der 127.0.0.1 die 192.168.10.20, wie Dir schon zuvor gesagt wurde.

Zitat von @MrNightfloor:
Du musst also auch die Maschine auf der pihole läuft ganz normal konfigurieren wie andere im Netzwerk auch.
Vielleicht war das der Punkt an dem der Groschen klemmte?

Nochmal mit anderen Worten:
Pi-hole ist nur eine Software, die sich wie ein DNS-Server verhält.
Der Rechner auf dem diese Software installiert ist, ist ein Netzwerk-Client, wie jeder andere Client in Deinem Netzwerk auch.
Auch dieser Rechner ist zu behandeln, wie jeder andere Client in Deinem Netz.
Sein DNS-Server muss der Pi-hole sein.

Zitat von @Pedant
entweder
Alle Clients bekommen als einzigen DNS den Pi-Hole eingetragen.
Im Router trägst Du ebenfalls den Pi-hole als einzigen DNS ein.
Im Pi-hole trägst Du die externen DNS ein, die Du nutzen möchtest.
Wenn Du es so konfigurierst, dann werden alle DNS-Anfragen von allen Geräten in Deinem Netz über den Pi-hole geleitet und gefiltert.
Tatsächlich genutzt werden dann nur die DNS-Server, die im Webinterface des Pi-hole eingetragen sind und sie werden nicht direkt von den Clients genutzt, sondern eben nur indirekt über den Umweg "Pi-hole" und unter Berücksichtigung dessen Filter, der entsprechend auch einige Anfragen wunschgemäß blockiert.

Gruß Frank