Pi Hole - Perfekt, wenn Rechner VPN-Tunnel aufgebaut hat, sonst nicht

  • Hallo,


    ich habe folgendes Problem:

    Bei mir läuft hinter der FritzBox 7590 ein Raspberry mit Pi Hole und funktioniert super.

    Da mein Arbeits-Notebook im Home Office sehr viele Anfragen generiert, die aber alle ok sind, habe ich diesem mittels MAC-Adresse einer Client Group zugewiesen; diese client group habe ich dann aus dem group assignment für die adlists genommen. Klappt alles super, solange das Notebook per VPN (Pulse Secure) mit dem Firmennetzwerl verbunden ist, generiert dieser keine queries und verfälscht somit auch nicht meine Statistik. Wenn aber nach knapp 24h die Verbindung getrennt wird und der gleiche Rechner mit der gleichen IP (v4) Adresse ohne VPN im Netz hängt, kommen wieder alle requests an. Hat dafür jemand eine Erklärung?



    1000 Dank und Gruss


    juliett-victor

  • Hat dafür jemand eine Erklärung?

    Baut Pulse Secure denn überhaupt einen Split-Tunnel auf, so dass bei aktivem Tunnel DNS-Anfragen im LAN auflaufen würden?

    Default bei Junos Pulse/Pulse Secure ist meistens, dass alles durch den Tunnel geleitet wird (full-tunnel) und du deswegen auch keine Requests während der Tunnel aktiv ist siehst.

    Menschen die keine Ironie verstehen finde ich super!

    Edited once, last by llutz ().

  • Baut Pulse Secure denn überhaupt einen Split-Tunnel auf, so dass bei aktivem Tunnel DNS-Anfragen im LAN auflaufen würden?

    Default bei Junos Pulse/Pulse Secure ist meistens, dass alles durch den Tunnel geleitet wird und du deswegen auch keine Requests während der Tunnel aktiv ist siehst.

    Danke für die Antwort. Das ist eine gute Frage. Leider habe ich keine Admin-Rechte. Bei Pi Hole sehe ich aber schlagartig ab dem Moment der VPN-Verbindung keine Anfragen mehr. Wenn das zu Deiner Erklärung passt, würde das ja bedeuten, dass mit meiner Clienst / Adlist Groups config etwas nicht stimmt?

  • Wenn das zu Deiner Erklärung passt, würde das ja bedeuten, dass mit meiner Clienst / Adlist Groups config etwas nicht stimmt?

    Warum?

    Der Rechner benutzt den DNS-Server in deinem Netz nur zum Aufbauen des Tunnels, finden des anderen Tunnel-Endpunktes.

    Sobald dein Rechner den Tunnel erfolgreich aufgebaut hat, wird das Routing auf "Host-Routing" umgestellt, damit kennt der Rechner in deinem Netz nur noch sich und den Gateway.

    Da er den DNS-Server in dem Netz nutzt, zu dem er den VPN-Tunnel aufgebaut hat, fragt er bei deinen DNS-Server, also den PI-Hole bei dir, nicht mehr an.


    Was willst du denn erfahren? Der Rechner steht "im" Firmennetz.

    Selber denken,
    wie kann man nur?

  • Erfahren will ich gar nichts. Ich möchte den client einfach nur von Pi Hole ausnehmen, da die vielen Anfragen die Statistik verfälschen. Also mache ich mich mal auf die Suche.


    Danke dennoch und schönen Abend!

  • Ich möchte den client einfach nur von Pi Hole ausnehmen, da die vielen Anfragen die Statistik verfälschen.

    Der Client wird via FritzBox auf PiHole zugreifen, oder? Evtl. kannst Du manuell im Client, andere DNS-Server konfigurieren. Welches OS hat der Client?

    The most popular websites without IPv6 in Germany.  IPv6-Ausreden

  • Der Client wird via FritzBox auf PiHole zugreifen, oder? Evtl. kannst Du manuell im Client, andere DNS-Server konfigurieren. Welches OS hat der Client?

    Windows 10. Und ja, er bekommt seine IP per DHCP in der FritzBox, dort ist der PiHole als DNS Server eingetragen.

  • solange das Notebook per VPN (Pulse Secure) mit dem Firmennetzwerl verbunden ist, generiert dieser keine queries und verfälscht somit auch nicht meine Statistik.


    Ich möchte den client einfach nur von Pi Hole ausnehmen, da die vielen Anfragen die Statistik verfälschen.


    Du willst also, dass der Rechner, wenn er nicht per VPN eingewählt ist, keine DNS-Anfragen an den PI-Hole schickt?

    Warum? Denn dann ist doch interessant, was er so will.

    Denn wenn er per VPN verbunden ist, macht er ja keine Anfragen, wie du geschrieben hast.


    Wenn du ihn dann raus haben willst, scheint die Gruppe, die du eingerichtet hast, die auf dem PI-Hole ihn vom Loggen ausnehmen soll, nicht zu funktionieren.

    Wie gesagt, solange der Tunnel steht, wird der PI-Hole nicht befragt, da ist die Gruppe vollkommen überflüssig.

    Selber denken,
    wie kann man nur?

  • ... ja, er bekommt seine IP per DHCP in der FritzBox, dort ist der PiHole als DNS Server eingetragen.

    Blockiere mal temporär im PI mit iptables, den Zugriff von dieser IP-Adresse auf den lauschenden Port des PiHole.

    The most popular websites without IPv6 in Germany.  IPv6-Ausreden

  • Danke für die vielen Antworten. Die Anfragen sehen alle ok aus und gehen auf irgendwelche Firmen Server, werden auch nicht geblockt. Es sind aber sehr, sehr viele, wodurch sich die Statistik total verschiebt. Das ist alles. Danke dennoch.

    Blockiere mal temporär im PI mit iptables, den Zugriff von dieser IP-Adresse auf den lauschenden Port des PiHole.

    Mache ich und werde dann berichten.

  • Die Anfragen sehen alle ok aus und gehen auf irgendwelche Firmen Server, werden auch nicht geblockt

    Dann ist der Firmenlaptop falsch konfiguriert.

    Wenn der VPN-Tunnel nicht da ist, dürfen die Firmen-Programme nicht laufen.

    Bei uns kann man nichts mit der firmeninternen Software machen, wenn der Tunnel nicht aufgebaut ist, außer eben den Tunnel aufbauen.

    Wenn man per WiFi ins Netz will, kann man noch diese Verbindung herstellen, doch das war es.


    Bei euch sollte "die Firmen-IT" da doch mal etwas machen.

    Selber denken,
    wie kann man nur?

  • Habe den Fehler gefunden.

    Was war der Fehler?

    The most popular websites without IPv6 in Germany.  IPv6-Ausreden