Verschlüsselte Kommunikation zwischen PiHole und Endgeräten?

  • Hi,


    ich habe mal eine Frage zur "Position" des PiHoles bzw. Pi mit AdGuard Home im Netzwerk, und zur Kommunikation zwischen PiHole und Endgeräten, die sicherlich auch meine Unwissenheit in diesem Bereich preisgibt. :)


    Ich nutze eine Routerkaskade. RouterA ist mit dem Internet verbunden und bietet den IoT-Geräten ein Wlan. RouterB hängt per Wan mit eigenem Netzwerk hinter RouterA.

    Den Pi würde ich jetzt eigentlich gerne an RouterA anschließen, damit PiHole für RouterB und auch für die IoT-Geräte als DNS-Server zur Verfügung steht.


    Die DNS Anfragen von RouterB ans PiHole würden dann ja über das Netzwerk von RouterA laufen. Meine Frage ist, inwieweit die DNS-Anfragen von RouterA dann von den anderen Geräten im Netz von RouterB (also von den IoT-Geräten) "mitgelesen" werden können. Oder ist die netzwerkinterne Kommunikation zwischen Endgerät und PiHole bzw. AdGuard auch irgendwie verschlüsselt?


    Über Antworten würde ich mich freuen.


    Vvielen Dank und viele Grüße!

  • Wie immer: es kommt darauf an.

    Standardmäßig, und so ist es auch mit dem PI-Hole, sind DNS-Anfragen unverschlüsselt, so auch die Antworten.


    Man kann über DoH oder DoT verschlüsselte DNS-Anfragen stellen und bekommt diese auch verschlüsselt zurück, doch dafür muss der DNS-Server DoH/DoT können.


    Wenn die IoT-Geräte keine 'bösen' Funktion ausüben können sie den verkehr von Systemen, die über Router B DNS-Anfragen an den PI-Hole stellen, nicht mitlesen, denn das Netz A ist ja sicher ein Kabel-Lan mit einem Switch. Oder?

    In einem geswitchten Netz stellt der Switch nur Verbindungen zwischen dem Quell- und Zielsystem her, die anderen Systeme im Netz bekommen vom dem Verkehr zwischen diesen beiden Systemen nicht mit.

    Außer, eines der anderen Geräte ist 'Böse ' und flutet den Switch mit gefälschten MAC-Adressen, so das dessen MAC-Table überläuft und der Switch nicht mehr weiß an welchem Anschluss welches gerät hängt.

    denn dann wird das Netz von einem geswitchten Netz zu einem Broadcast-Netz.

    Gute Switche erkennen dieses, gute Switche sperren den Anschluss, über den diese Flut vo gefäscjten MAC-Adresen ins Netz geblasen werden einige Zeit aus und melden dieses.


    (Geräte aus einem anderen Netz, sind mit ihrer IP und der MAC des Routers bekannt.

    Selber denken,
    wie kann man nur?

  • Hallo,


    erstmal vielen Dank für die umfangreiche Antwort!


    Leider kann ich nicht bei allem folgen, glaube ich, was aber sicherlich nicht an deiner Antwort liegt, sondern an meinem mangelnden Verständnis. :)

    Also der PiHole sendet via DoH bzw. DoT zum DNS-Server. Aber mir geht es ja eher um die Anfrage von RouterB zum PiHole.


    Ein Switch ist hierbei nicht vorhanden. RouterA ist ein Kabelrouter. Dieser spannt ein Netzwerk auf (Gast-Netz geht leider nicht). In dem Netzwerk sind per Lan-Kabel der Pi, per Lan-Kabel eine FritzBox (RouterB) und per Wlan die IoT-Geräte. Die Fritzbox spannt abgeschottet ihr eigenes Netzwerk auf. Ob das Netz vom Kabelroutet "geswitcht" ist, weiß ich nicht. Es ist das standardmäßige Netz des Routers, da kann man nicht viel einstellen.


    Bei der FritzBox ist als DNS-Server der Pi (PiHole) hinterlegt. Wenn ich dich richtig verstehe, sind die DNS-Anfragen, die die FritzBox an den Pi sendet, also zwar nicht verschlüsselt, können von den IoT Geräten aber "eigentlich" nicht gelesen werden, oder?

    Würden die IoT-Geräte den Kabelrouter aber mit Mac-Adressen fluten, wie du es beschreibst, würde der Kabelrouter sie ggf. sperren?


    Kurzum, die DNS-Anfragen von der Fritzbox an den Pi brauchen nicht verschlüsselt zu werden? Bzw. können gar nicht?


    Nochmals vielen Dank und viele Grüße!

  • In dem Netzwerk sind per Lan-Kabel der Pi, per Lan-Kabel eine FritzBox (RouterB) und per Wlan die IoT-Geräte. ...


    . Wenn ich dich richtig verstehe, sind die DNS-Anfragen, die die FritzBox an den Pi sendet, also zwar nicht verschlüsselt, können von den IoT Geräten aber "eigentlich" nicht gelesen werden, oder?

    Das ist von den IoT-Geräten abhängig. Was möglich wäre, ist eine Umleitung der Antwort (auf die DNS-Anfrage der FB) des PI, mit MiTM über ein IoT-Gerät zur FB.

    The most popular websites without IPv6 in Germany.  IPv6-Ausreden

  • Hallo,


    auch dir vielen Dank!


    Wenn die FritzBox (oder PiHole, wenn er an der FritzBox angeschlossen wäre) die Anfrage direkt per DoT oder DoH an einen DNS-Sever schicken würde, wäre das aber nicht möglich, oder? Weil die Antwort dann verschlüsselt zurückkommt?


    Danke! und viele Grüße

  • Wenn die FritzBox (oder PiHole, wenn er an der FritzBox angeschlossen wäre) die Anfrage direkt per DoT oder DoH an einen DNS-Sever schicken würde, wäre das aber nicht möglich, oder? Weil die Antwort dann verschlüsselt zurückkommt?

    Es geht ja um den DNS-Traffic zwischen der FritzBox und dem Pihole oder um den DNS-Traffic zwischen einem Client der FritzBox und der der FritzBox (oder Pihole), der ja nicht verschlüsselt ist. DoT oder DoH bringt bzgl. Verschlüsselung nur dann was, wenn der Client die Anfrage per DoT/DoH macht (d. h. ohne Pihole und ohne FritzBox).

    BTW: Hast Du schon mal versucht Pihole via VPN (z. B. mit Wireguard) zu benutzen?

    The most popular websites without IPv6 in Germany.  IPv6-Ausreden

  • Hi,


    danke dir! Deswegen ja meine Überlegung, den Pi doch an die FritzBox anzuschließen. Wenn die FritzBox dann eine DNS-Anfrage an den Pi weitergitb, müsste diese nicht durch das Netzwerk des Kabelrouters, in dem die IoT-Geräte sind. Vom Pi geht es dann verschlüsselt über das Kabelmodem zum DNS-Server und zurück und die IoT-Geräte könnten sich nicht zwischenschalten. So zumindest meine Überlegung, oder liege ich falsch?


    Die IoT-Geräte könnten den PiHole dann aber nicht nutzen... Wenn ich das alles will, bräuchte ich wohl einen Kabelrouter, der ein Gast
    Wlan für die IoT-Geräte aufspannen kann.


    VPN habe ich am Pi nicht.


    Viele Grüße und einen schönen Abend!