Surfen am iPhone über PiVPN (Wireguard) + PiHole nicht möglich

  • Moin.


    Ich habe hier das gleiche(?) Problem. D. h. VPN Verbindung wird hergestellt aber ich komme nicht ins Internet.


    Bei mir laufen pihole + unbound allerdings im docker und pivpn ganz normal ohne docker auf dem pi.

    Ist dies bei dir auch so? Denn ich meine gelesen zu haben, dass die docker programme nicht mit dem host kommunizieren können.


    Gruss & Danke.

    Thomas

  • Denn ich meine gelesen zu haben, dass die docker programme nicht mit dem host kommunizieren können.

    Das sollte man auf deinem PI, doch testen können.

    Wie sind auf deinem PI die Ausgaben von:

    Code
    ip a
    route -n
    sudo netstat -tulpena

    ?

    The most popular websites without IPv6 in Germany.  IPv6-Ausreden

  • Die Ausgabe gibt folgendes:


    ip a

    1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000

    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00

    inet 127.0.0.1/8 scope host lo

    valid_lft forever preferred_lft forever

    inet6 ::1/128 scope host

    valid_lft forever preferred_lft forever

    2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc mq state UP group default qlen 1000

    link/ether e4:5f:01:11:34:b7 brd ff:ff:ff:ff:ff:ff

    inet 192.168.1.170/24 brd 192.168.1.255 scope global dynamic noprefixroute eth0

    valid_lft 813432sec preferred_lft 705432sec

    inet6 2003:f0:7f0e:600:c7bc:9be8:408b:3b79/64 scope global dynamic mngtmpaddr noprefixroute

    valid_lft 7197sec preferred_lft 1797sec

    inet6 fe80::d2da:d122:1155:2ea3/64 scope link

    valid_lft forever preferred_lft forever

    3: wlan0: <BROADCAST,MULTICAST> mtu 1500 qdisc noop state DOWN group default qlen 1000

    link/ether e4:5f:01:11:34:b9 brd ff:ff:ff:ff:ff:ff

    4: docker0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP group default

    link/ether 02:42:1c:ff:f1:84 brd ff:ff:ff:ff:ff:ff

    inet 172.17.0.1/16 brd 172.17.255.255 scope global docker0

    valid_lft forever preferred_lft forever

    inet6 fe80::42:1cff:feff:f184/64 scope link

    valid_lft forever preferred_lft forever

    6: vethb042460@if5: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue master docker0 state UP group default

    link/ether 6e:bf:ff:a7:08:6c brd ff:ff:ff:ff:ff:ff link-netnsid 0

    inet 169.254.133.97/16 brd 169.254.255.255 scope global noprefixroute vethb042460

    valid_lft forever preferred_lft forever

    inet6 fe80::6cbf:ffff:fea7:86c/64 scope link

    valid_lft forever preferred_lft forever

    _________________________


    route -n

    Kernel-IP-Routentabelle

    Ziel Router Genmask Flags Metric Ref Use Iface

    0.0.0.0 192.168.1.1 0.0.0.0 UG 202 0 0 eth0

    169.254.0.0 0.0.0.0 255.255.0.0 U 206 0 0 vethb042460

    172.17.0.0 0.0.0.0 255.255.0.0 U 0 0 0 docker0

    192.168.1.0 0.0.0.0 255.255.255.0 U 202 0 0 eth0

    _________________________


    sudo netstat -tulpena

    Aktive Internetverbindungen (Server und stehende Verbindungen)

    Proto Recv-Q Send-Q Local Address Foreign Address State Benutzer Inode PID/Program name

    tcp 0 0 0.0.0.0:9000 0.0.0.0:* LISTEN 0 17211 931/docker-proxy

    tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN 0 15198 616/sshd

    tcp 0 264 192.168.1.170:22 192.168.1.100:53614 VERBUNDEN 0 718034 9217/sshd: Moppel [

    tcp6 0 0 :::22 :::* LISTEN 0 15200 616/sshd

    udp 0 0 192.168.1.170:50385 192.168.1.225:53 VERBUNDEN 100 720502 339/systemd-timesyn

    udp 0 0 0.0.0.0:5353 0.0.0.0:* 108 14995 385/avahi-daemon: r

    udp 0 0 0.0.0.0:54601 0.0.0.0:* 108 14997 385/avahi-daemon: r

    udp 0 0 0.0.0.0:68 0.0.0.0:* 0 13911 605/dhcpcd

    udp6 0 0 :::5353 :::* 108 14996 385/avahi-daemon: r

    udp6 0 0 :::36265 :::* 108 14998 385/avahi-daemon: r

    ______________________


    192.168.1.170 = raspi

    192.168.1.225 = pihole ( im docker container )

    192.168.1.226 = unbound ( im docker container )

  • Und:

    in der "/etc/resolv.conf" ist die IP des piholes eingetragen


    Ein "ping google.de" läuft ins Leere


    Habe noch nicht probiert ob ich per VPN ins Internet gelange, wenn ich in der "/etc/resolv.conf" mal händisch einen anderen ( z. B. 8.8.8.8 ) DNS eintrage.

    Ein "ping google.de" klappt aber dann, das habe ich probiert.


    Laut einem YT Video, in dem die Inst. von pihole/unbound im docker container einer Synology erklärt wird, kann der docker nicht mit dem host kommunizieren. Ein workaround scheint zu sein, auf dem Pi ebenfalls ein mcvlan anzulegen ( was ich auch im docker nutze ) und die beiden per routing zu verbinden. Da muss ich aber aufgrund mangelnder Kenntnisse passen.

  • in der "/etc/resolv.conf" ist die IP des piholes eingetragen

    Quote

    192.168.1.225 = pihole ( im docker container )

    und diese IP-Adresse (192.168.1.225) ist von außerhalb nicht erreichbar?

    Wie ist auf dem PI die Ausgabe von:

    Code
    host -t A heise.de 192.168.1.225

    ? Was nutzt dir PiHole im container, wenn Du PiHole von außerhalb nicht erreichen kannst?

    The most popular websites without IPv6 in Germany.  IPv6-Ausreden

  • Wie ist auf dem PI die Ausgabe von:

    Code
    host -t A heise.de 192.168.1.225

    ? Was nutzt dir PiHole im container, wenn Du PiHole von außerhalb nicht erreichen kannst?

    Der Befehl läuft ins leere.....



    Pihole kann ich von außerhalb durchaus erreichen, halt nur nicht über eine VPN-Verbindung, welche der pi selber bereit stellt.


    Mal ander ausgedrückt:

    Wenn ich meine Fritzbox als VPN-Server einrichte und von ausserhalb eine VPN-Verbindung über eben die Fritzbox herstelle, kann ich werbefrei surfen und "sehe" auch alle Geräte im Netz.


    Wenn nun aber der PI den VPN-Server bereitstellt, auf dem nun auch im docker der pihole läuft, komme ich von ausserhalb über den VPN nicht ins Internet.

    Wie gesagt, es scheint ein feature zu sein, dass der docker nicht mit dem host kommunizieren kann/darf.


    Und dass pihole & unbound im docker laufen finde ich ansich recht angenehm. Hat einige Vorteile inkl. der ganzen Portverteilung.


    Ich werde mal versuchen wireguard im docker zu installieren. Wenn das auch nicht geht, bleibt der VPN auf der Fritzbox. Ist evtl. eh etwas sinniger, da ich dann 1 Port weniger weiterleiten muss.

  • Pihole kann ich von außerhalb durchaus erreichen, ...

    OK, dann zeige mal wie Du den PiHole von außerhalb erreichst.


    EDIT:


    Quote

    Wenn nun aber der PI den VPN-Server bereitstellt, auf dem nun auch im docker der pihole läuft, komme ich von ausserhalb über den VPN nicht ins Internet.

    ...


    Ich werde mal versuchen wireguard im docker zu installieren. Wenn das auch nicht geht, bleibt der VPN auf der Fritzbox. Ist evtl. eh etwas sinniger, da ich dann 1 Port weniger weiterleiten muss.

    Ja, ... Du kannst WireGuard im docker _und_ WireGuard außerhalb vom docker installieren/benutzen. Zugang via WireGuard zum docker/PiHole für die für die Namensauflösung (DNS) und den PI mit WireGuard (VPN) als "default gateway" für den Zugang ins Internet.

    The most popular websites without IPv6 in Germany.  IPv6-Ausreden

    Edited once, last by rpi444 ().