pihole: Clients des Gast WLAN im Log sehen

  • Hallo Liebe Community,

    ich habe einen RaspberryPI3 B+ auf dem pihole in der aktuellen Version (v5.1.2) läuft.

    In meiner Fritzbox 7580 habe ich unter Heimnetz--> Netzwerk --> netzwerkeinstellungen -->ipv4 Konfiguration

    Den RaspberryPi mit piHole habe ich dort als lokalen DNS Server eingetragen.

    Seit dem sehe ich auch die Clients im pihole Dashboard und Log. Allerdings habe ich auch ein Gastnetzwerk und hier verwendet die Fritzbox automatisch und soweit mir bekannt nicht änderbar einen leicht anderen IP Bereich.

    Mein normales Netz hat 10.33.56.xx und das Gäste WLAN hat dann automatisch 110.33.57.xx

    Nun konnte ich im pihole admin Bereich unter Settings --> DNS --> Conditional forwarding

    nicht 10.33.56.0/23 eingeben, es erscheint die Fehlermeldung: Please use only subnets /8, /16, /24, and /32.

    Daher ist die FritzBox in meiner Statistik weiterhin ein TOP Client (dahinter vermute ich die Geräte des Gäste WLANs)

    hat das damit zu tun, oder muss ich noch eine andere Einstellung ändern?

    PS: ich habe auch die Themen angeschaut:

    PiHole 5 Status in der Console

    PiHole blockt keine Werbung und hat nur 1 Clienten (localhost)

    Meine Raspis

    RPi 2 B Rev 1.1 mit Raspbian 10.7 (buster): pihole

    RPi 3 B Rev 1.2 mit Raspbian 10.1 (buster): Logging Machine

    RPi 3 B Rev 1.2 mit Raspbian 9.13 (stretch): RetroPie

    RPi 3 B+ Rev 1.3 mit Raspbian 10.1 (buster): Logging Machine 2

    RPi 4 B Rev. 1.1 (4GB): noch offen

  • In meiner Fritzbox 7580 habe ich unter Heimnetz--> Netzwerk --> netzwerkeinstellungen -->ipv4 Konfiguration

    Den RaspberryPi mit piHole habe ich dort als lokalen DNS Server eingetragen.

    ::::

    hat das damit zu tun, oder muss ich noch eine andere Einstellung ändern?

    Dann würde ich die DNS-Server nicht als lokale DNS eintragen, sondern unter Internet->Zugangsdaten-DNS-Server.

  • Dann würde ich die DNS-Server nicht als lokale DNS eintragen, sondern unter Internet->Zugangsdaten-DNS-Server.

    Dann sehe ich nur noch einen Client, nämlich die FritzBox.

    Meine Raspis

    RPi 2 B Rev 1.1 mit Raspbian 10.7 (buster): pihole

    RPi 3 B Rev 1.2 mit Raspbian 10.1 (buster): Logging Machine

    RPi 3 B Rev 1.2 mit Raspbian 9.13 (stretch): RetroPie

    RPi 3 B+ Rev 1.3 mit Raspbian 10.1 (buster): Logging Machine 2

    RPi 4 B Rev. 1.1 (4GB): noch offen

  • Dann sehe ich nur noch einen Client, nämlich die FritzBox.

    Ja, sicher... aber mehr zu sehen ist doch sowieso völlig uninteressant. Welche sinnvolle Information soll denn da enthalten sein? Du siehst doch eh nie andere Geräte, als die, die sowieso eine Erlaubnis haben, die Fritzbox zu verwenden. Wo sollen denn da andere sinnvolle Informationen herkommen?

    Ganz nebenbei bemerkt, PIhole ist kein Tool zur Herstellung oder Kontrolle von Sicherheitsmaßnahmen, das ist nur ein simpler Werbeblocker....... und die Informationen, die da geliefert werden, habe mit Sicherheit gar nichts zu tun und sind in keinster Weise einer Kontrolle würdig. Wenn Du durch eine fadenscheinige Kontrolle der Pihole-Logs sehen willst, ob Pihole von unberechtigten Geräten verwendet wird, solltest Du besser die Fritte so konfigurieren, dass sich keine unberechtigten Geräte anmelden können.... dann sparst Du Dir diese sinnlose und nichtssagende Kontrolle in Pihole. Das ganz Pihole-GUI ist nur ein bunter Comic unbedeutender Informationen und liefert faktisch aber nur an einer einzigen Stelle eine einzige sinnvolle Zahl: Prozent geblockter Domains. Steht da Null, ist was faul, steht da eine Zahl > 10% arbeitet Pihole perfekt.

    Wenn Du was kontrollieren und beeinflussen willst, ist Pihole ganz sicher der falsche Ansatz. Und andere Familienmitglieder zu stalken halte ich jedenfalls für 'ne eher unschöne Sache. Wenn ich so etwas bemerken würde, würde ich das auf meinem Gerät sofort unterbinden und direkt verwendete eigene DNS eintragen.

    Einmal editiert, zuletzt von WinterUnit16246 (3. September 2020 um 12:09)

  • Es geht nicht darum jemanden zu kontrollieren, sondern es geht mir darum festzustellen welche Geräte ständige Anfragen senden, die geblockt werden und dadurch den Akku / Energieverbrauch der Geräte in die Höhe geht.

    Wenn ich nur einen Client sehe, dann ist es deutlich schwerer das Gerät zu identifizieren, das hier total getrackt wird.

    device-metrics-us-2.amazon.com

    ist so ein Beispiel. Hierzu gibt es auch entsprechende Beiträge ;)

    https://discourse.pi-hole.net/t/device-metri…like-crazy/5731

    Dann kann ich die Einstellungen der Geräte besser anpassen.

    Welche Geräte mein WLAN nutzen dürfen und mit welchen Zugangsprofilen habe ich alles in der FritzBox eingestellt. Dort sind auch schon gewisse Filesharing, Pornoseiten und andere schädliche Seiten für alle Standardprofile gesperrt (um u.a. meine Kinder zu schützen).

    MEin Pihole blockiert aktuell 31% - das ist schon viel, aber noch nicht genug. Das merke ich zB daran, dass es einen Unterschied macht ob ich ublock aktiviert oder deaktiviert habe. Ich denke, dass ich durch weitere Blacklists das noch optimieren kann. Bei meinen bisher erfolgten Einstellungen ist es schon sehr hilfreich gewesen, dass ich die Clients sehen kann.

    Meine Raspis

    RPi 2 B Rev 1.1 mit Raspbian 10.7 (buster): pihole

    RPi 3 B Rev 1.2 mit Raspbian 10.1 (buster): Logging Machine

    RPi 3 B Rev 1.2 mit Raspbian 9.13 (stretch): RetroPie

    RPi 3 B+ Rev 1.3 mit Raspbian 10.1 (buster): Logging Machine 2

    RPi 4 B Rev. 1.1 (4GB): noch offen

  • Mein normales Netz hat 10.33.56.xx und das Gäste WLAN hat dann automatisch 110.33.57.xx

    Nun konnte ich im pihole admin Bereich unter Settings --> DNS --> Conditional forwarding

    nicht 10.33.56.0/23 eingeben, es erscheint die Fehlermeldung: Please use only subnets /8, /16, /24, and /32.

    Daher ist die FritzBox in meiner Statistik weiterhin ein TOP Client (dahinter vermute ich die Geräte des Gäste WLANs)

    Versuch mal mit 10.33.0.0/16, statt mit 10.33.56.0/23.

    The most popular websites without IPv6 in Germany.  IPv6-Ausreden

    Meine PIs

    PI4B/8GB (border device) OpenBSD 7.4 (64bit): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server

    PI3B+ FreeBSD 14.0-R-p6 (arm64): SSH-Serv., WireGuard-Serv., ircd-hybrid-Serv., stunnel-Proxy, Mumble-Serv., ddclient

    PI4B/4GB Bullseye-lite (64bit; modifiziert): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server, botamusique, ample

  • Versuch mal mit 10.33.0.0/16, statt mit 10.33.56.0/23.

    OK, ich habe das mal eingetragen und beobachte das...

    Darf ich eine Frage ergänzen?

    Ich versuche gerade über Regex Domains zu blocken:

    Und zwar Domains mit dem folgenden Schema:

    r6---sn-a5mekn7y.googlevideo.com

    r4---sn-4g5edned.googlevideo.com

    r2---sn-4g5ednsl.googlevideo.com

    dazu habe ich die folgende regular expression erstellt:

    ^r[0-9].[a-z]+-[:alnum:]+.googlevideo.com

    Leider klappt das nicht. Sieht jemand den Fehler?

    Meine Raspis

    RPi 2 B Rev 1.1 mit Raspbian 10.7 (buster): pihole

    RPi 3 B Rev 1.2 mit Raspbian 10.1 (buster): Logging Machine

    RPi 3 B Rev 1.2 mit Raspbian 9.13 (stretch): RetroPie

    RPi 3 B+ Rev 1.3 mit Raspbian 10.1 (buster): Logging Machine 2

    RPi 4 B Rev. 1.1 (4GB): noch offen

  • Mit

    ^r[0-9]+---[a-z]+-[a-za-z0-9]+.googlevideo.com

    klappt es.

    Meine Raspis

    RPi 2 B Rev 1.1 mit Raspbian 10.7 (buster): pihole

    RPi 3 B Rev 1.2 mit Raspbian 10.1 (buster): Logging Machine

    RPi 3 B Rev 1.2 mit Raspbian 9.13 (stretch): RetroPie

    RPi 3 B+ Rev 1.3 mit Raspbian 10.1 (buster): Logging Machine 2

    RPi 4 B Rev. 1.1 (4GB): noch offen

  • sondern es geht mir darum festzustellen welche Geräte ständige Anfragen senden, die geblockt werden und dadurch den Akku / Energieverbrauch der Geräte in die Höhe geht.

    Wenn ich nur einen Client sehe, dann ist es deutlich schwerer das Gerät zu identifizieren, das hier total getrackt wird.

    An der Stelle ist festzustellen, dass die Geräte in dem verlinkten Thread NICHT getrackt werden, sondern im Sinne ihres OEM-Konzerns zweifelsfrei bestimmungsgemäß arbeiten. Und ob Pihole Anfragen blockt oder nicht hat auch keinen Einfluss darauf, dass das Gerät nicht weiterhin Anfragen stellt. Infolgedessen kann Pihole auch keinen Einfluss auf den Akku eines Gerätes habe.

    Wenn man nicht will, dass ein Gerät bei der normalen bestimmungsgemäßen Verwendung unerlaubte Informationen raushaut, dann sollte man entweder ein Gerät wählen, was das nicht tut, oder ein Betriebssystem installieren, was das nicht tut, oder die betroffene Software entfernen, die so etwas unerlaubt tut. Eine NoTracking-Verantwortung aufgrund irgendwelcher Nonsens-Ausgaben auf Pihole zu delegieren, hat sehr wenig mit No-Tracking-Maßnahmen zu tun, zumal man noch nicht mal die tatsächliche Web-Quelle der Anfrage sehen kann.

    Also, nicht angeblich fehlende Angaben in der bunten Pihole-Sicht sind das Problem, sondern Geräte mit quasi kompromittierten Betriebssystemen... und so etwas kann Pihole am Ende gar nicht lösen. Du befasst Dich mit Symptomen und versuchst mit zweifelhaften Maßnahmen Symptome zu beschränken. Beseitige die Ursachen, dann sind auch die Symptome weg. Ich betrachte so etwas jedenfalls als Don-Quichotterie. Und ich gehe sogar noch einen Schritt weiter und halte Pihole selber für ein so signifikantes Sicherheitsrisiko, das es bei mir nur in einer VM unter Quarantäne-Bedingungen ohne jeglichen Zugang zu erweiterten Rechten läuft und auch keinerlei Zugang zu irgendeiner Ressource im lokalen Netzwerk hat. Wenn Pihole bei Dir Zugriff auf sudo-Rechte hat und weiterhin auch noch ungehindert Zugang zu LAN-Ressourcen hat, dann brauchst Du Dir meiner Meinung nach wirklich keine Gedanken mehr über Tracking oder mögliche Fremdzugriffe aufs LAN machen.... denn die abschließende Kontrolle darüber liegt nicht mehr in Deinen Händen.

    Ich freue mich für jeden Menschen, der über die Phantasie verfügt, auf einer weißen gekälkten Wand einen Regenbogen zu sehen. Merkwürdig finde ich nur, wenn sie sich aufgrund solcher Imagination für Regenkleidung und einen Regenschirm entscheiden.

  • Dir ist anscheindend die unterschiedliche Wirkungsweise von pihole und ublock nicht klar:

    pihole kann nur und ausschließlich Domains blocken, egal, ob nativ oder nachgeladen, aber keine Codeschnipsel, keinen Javacode etc. pihole arbeitet in deinem Netz, nicht jedoch auf dem jeweiligen Endgerät.

    Dafür ist ublock o.ä. zuständig, der in den ausgelieferten Seiten genau diese Schnipsel und Codes blockieren kann.

    pihole arbeitet quasi im Eingang deines Netzwerks/Rechners, ublock o.ä. räumt drinnen den Kram auf, der in den Seiten steckt und so an pihole vorbei auf das Endgerät kommt.

    Ob und wieviel pihole blockt, hängt nicht von Prozentzahlen ab, sondern davon, wie gut deine Blocklists sind und vor allem, wieviel Anfragen von den Endgeräten kommen und den davon zu blockenden Domains. Möglichst viele Blocklists sind dabei häufig kontraproduktiv, da dann auch Sachen geblockt werden, die du brauchst.

    Spoiler anzeigen

    Pi4 V1.1, 4 GB, USB3-Hub, 250 GB SSD, Bullseye 64, Mate-Desktop, SD-Card Extender (ruht)
    Pi3b Pihole (Buster)
    Pi3b, 128-GB-SSD, Buster, mit 10,1" Monitor als MM (ohne Spiegel ;) )
    orangepi zero, ohne Beschäftigung
    Pi 5 4 GB im GeekPi-Gehäuse mit externer SSD (Bookworm)


    Warnung: Raspi und Co. machen süchtig! :)

  • An der Stelle ist festzustellen, dass die Geräte in dem verlinkten Thread NICHT getrackt werden, sondern im Sinne ihres OEM-Konzerns zweifelsfrei bestimmungsgemäß arbeiten. Und ob Pihole Anfragen blockt oder nicht hat auch keinen Einfluss darauf, dass das Gerät nicht weiterhin Anfragen stellt. Infolgedessen kann Pihole auch keinen Einfluss auf den Akku eines Gerätes habe.

    Mir geht es nicht um Tracking der Geräte in dem verlinkten Thread, sondern Tracking unseres Nutzungsverhaltens durch große Unternehmen. pihole kann sehr wohl einen Einfluss auf den Akku eines Gerätes haben: dann zum Beispiel, wenn pihole Anfragen eines Gerätes blockt und dieses daraufhin häufiger versucht diesen geblockten Server zu erreichen.

    Auf den Rest will ich gar nicht erst eingehen, denn das geht völlig an der Fragestellung vorbei.

    Dir ist anscheindend die unterschiedliche Wirkungsweise von pihole und ublock nicht klar:

    Doch, das ist mir klar. Aber der Code den der Browser ausführt, führt dazu, dass Dinge geladen werden und diese kommen teilweise von anderen Domains (zB Werbung) und die kann pihole blocken. Dafür müssen aber die korrekten Domains eingetragen sein.

    Meine Raspis

    RPi 2 B Rev 1.1 mit Raspbian 10.7 (buster): pihole

    RPi 3 B Rev 1.2 mit Raspbian 10.1 (buster): Logging Machine

    RPi 3 B Rev 1.2 mit Raspbian 9.13 (stretch): RetroPie

    RPi 3 B+ Rev 1.3 mit Raspbian 10.1 (buster): Logging Machine 2

    RPi 4 B Rev. 1.1 (4GB): noch offen

  • halte Pihole selber für ein so signifikantes Sicherheitsrisiko, das es bei mir nur in einer VM unter Quarantäne-Bedingungen ohne jeglichen Zugang zu erweiterten Rechten läuft und auch keinerlei Zugang zu irgendeiner Ressource im lokalen Netzwerk hat. Wenn Pihole bei Dir Zugriff auf sudo-Rechte hat und weiterhin auch noch ungehindert Zugang zu LAN-Ressourcen hat, dann brauchst Du Dir meiner Meinung nach wirklich keine Gedanken mehr über Tracking oder mögliche Fremdzugriffe aufs LAN machen

    Ich finde dein Statement interessant. Kannst du bitte erläutern wieso du das so siehst?

    Hast du die VM auf einem RasPi laufen, bzw. wie hast du das umgesetzt?

  • Und ich gehe sogar noch einen Schritt weiter und halte Pihole selber für ein so signifikantes Sicherheitsrisiko, das es bei mir nur in einer VM unter Quarantäne-Bedingungen ohne jeglichen Zugang zu erweiterten Rechten läuft und auch keinerlei Zugang zu irgendeiner Ressource im lokalen Netzwerk hat.

    Für was hast du dann Pi-Hole, denn die Systeme aus dem lokalen Netz müssen ja, damit Pi-Hole benutzt werden kann, auf diesen Dienst zugreifen. Doch wenn sie keine Ressourcen aus dem lokalen Netz (also auch keine IP-Adresse und DNS-Port) verwenden können, ist dieser Dienst recht Sinnlos.

    Computer ..... grrrrrr

  • Zur Anfangsfrage: Das GästeWLAN ist von regulären Netz der FB völlig isoliert. Das PiHole greift da nicht.

    Aufgrund der sehr eingeschränkten Möglichkeiten, das GästeWLAN zu konfigurieren, lässt sich dafür m.W. auch kein PiHole installieren.

    Wenn es darum geht, dass die Kids nicht darüber die Netzsperren umgehen, gibt es eine einfache Lösung: Abschalten. Nur aktivieren, wenn Gäste da sind und sie ein WLAN benötigen,

Jetzt mitmachen!

Du hast noch kein Benutzerkonto auf unserer Seite? Registriere dich kostenlos und nimm an unserer Community teil!