[Problem] FritzBox: Zweiten internen DNS-Server per DHCP verteilen - unmöglich?

[jule32]

Hallo zusammen,

ich habe hier eine FritzBox 7490 im Einsatz und habe einen zusätzlichen DNS-Server im Netz laufen (feste IP: 192.168.178.5 - ein Pi-hole Werbeblocker), dessen Adresse vom DHCP-Server der Fritz!Box automatisch an alle Clients im LAN verteilt wird.

Also wenn ein Client eine IP-Adresse von der Fritz!Box anfordert, bekommt er automatisch als DNS die 192.168.178.5 mitgeliefert und weiß dann, dass er alle DNS-Anfragen direkt an den Pi-hole stellen soll. So weit, so gut.

Das Problem ist nun, dass wenn der DNS-Server down ist (Updates, Neustart, etc.), alle Clients den Internetzugang verlieren (weil sie keine DNS-Antworten mehr bekommen). Für diesen Zweck gibt man daher ja normal einen zweiten DNS-Server heraus, falls der erste nicht verfügbar ist. Das könnte sogar die Fritzbox selber sein (was sie ja in der Standardeinstellung eh ist), dann ginge zwar die Werbeblockfunktion nicht mehr, aber immerhin ginge "das Internet" noch.

Leider erlaubt es nun die Weboberfläche der Fritzbox NICHT, einen sekundären DNS zu hinterlegen, der per DHCP verteilt werden soll (es gibt einfach nur ein einziges Eingabefeld für den internen DNS-Server, siehe [1], warum auch immer). An anderer Stelle kann man zwar vorbildlich zwei DNS-Server hinterlegen, dabei handelt es sich aber um die externen DNS-Server, die in diesem Fall gar nichts bringen und irrelevant sind.

Da es also nicht möglich ist, einen zweiten DNS-Server fürs LAN auf der Weboberfläche einzutragen, habe ich mal versucht, direkt in die Konfig der Fritzbox zu schauen und diese ggf. direkt zu editieren (kann man ja schön, in dem man ein Backup der Einstellungen von der Weboberfläche herunterlädt und dieses dann z.B. mit Notepad++ aufmacht. Nach dem Ändern kann man's dann mit dem FritzBoxJSTool wieder "signieren" und hochladen).

Hier ist die Stelle, wo in der Konfig der lokale DNS-Server hinterlegt ist:
dhcpserver {
saveinterval = 1h;
generic {
default_lease_time = 10d;
max_lease_time = 13d;
}
lan_dns4_server = 192.168.178.5;
}

Meine Frage nun: Wie kann man da einen zweiten DNS-Server hinterlegen? Ist leider nicht offensichtlich und googlen von "lan_dns4_server" bringt leider auch keine Ergebnisse.
Ich bin mittlerweile ziemlich verzweifelt, aber der Fritz!Box die ganze DHCP-Geschichte einfach komplett wegzunehmen und an einen eigenen DHCP-Server auszulagern, der dann auch standardgerecht einen sekundären DNS-Server an die Clients verteilen kann, ist leider keine Option, weil das Deaktivieren des FritzBox-DHCP unter anderem die eingebaute VPN-Funktion und LAN-LAN-Kopplung der Fritzbox zerstört (da gibt es leider auch keine annähernd so bequeme Alternativlösung für, die in einer Minute eingerichtet ist).

Ich hoffe, ihr könnt helfen - am besten natürlich mit dem richtigen Config-Eintrag für einen zweiten LAN-DNS.
Vielen Dank!

[1] Die Einstellung für den internen DNS-Server (wo eben ein zweites Eingabefeld fehlt) findet man auf der Weboberfläche unter Heimnetz > Heimnetzübersicht > Registerreiter "Netzwerkeinstellungen" > Schaltfläche "IPv4-Adressen".

 

[HabNeFritzbox]

Mit normaler FW geht es nicht, bzw. kannst zwei DNS angeben, dann aber einen für IPv4 und einen für IPv6.

 

[TSMusik]

Vielleicht als Alternativvorschlag:
Warum nicht einfach die Fritzbox selbst als DNS-Server über DHCP verteilen und dann die Fritzbox über zwei lokale Pis auflösen lassen? (Internet > Zugangsdaten > DNS-Server)

So handhabe ich das hier ohne Probleme, einer der beiden Pis ist dann immer erreichbar.

 

[sf3978]

... kannst zwei DNS angeben, dann aber einen für IPv4 und einen für IPv6.

Ja und mit dem (2.) v6-DNS-Server kann man auch v4-Namensauflösung für das LAN machen. Die Clients im LAN müssen dann aber v6-fähig sein.

 

[Theo Tintensich]

Soooo lange sollte das PI-Hole-System auch bei einem Update nicht weg sein.
Und die Clients merken sich DNS-Auflösungen eine gewisse zeit auch, ohne neu zu fragen, also einen notwenidgen Neustart dann nicht durchführen, wenn alle grade wild surfen ;-)

 

[johnripper]

Hast du dafür eine Lösung?

Dass man bei der FB keinen zweiten DNS per DHCP zuweisen kann stört mich schon lange.

Ich löse es über die Internet DNS wobei ich ebenfalls das LAN-LAN Problem habe. Dazu habe ich am Hauptstandort einen gesonderten DHCP Server aufgesetzt und der FB die öffentlichen DNS gelassen sodass mindestens eine Seite die Auflösung tur Verbindungsaufnahme machen kann.

Alle DNS Anfrage durch die FB zu leiten ist aber ohnehin Schrott, weil das Failover echt lahmarschig ist.


Naja wenn man so Lösungen nicht in einem professionellen RZ betreibt, dann sind die Ausfallzeiten idR > 1% (Verfügbarkeit <99%), einfach auch weil mal "jemand den Stecker zieht".

Edit: Vollkommen unnötige Kommentatorenhinweise entfernt & Beitrag wieder lesbar gemacht ))

 

[stoney]

[OT]
Die Kommentare sind nicht unnötig, da es Dich auf die Gepflogenheiten hier im Forum aufmerksam machen soll.
Denn Vollzitate und Doppelpost sind nicht erwünscht, les doch mal hier rein

Neu im IP-Phone-Forum?

IP Phone Forum Regeln

[/OT]

 

[custodis-intastina]

Hallo erstmal.

Wollte mal nachfragen ob es hierzu eine Lösung gibt. Würde gern dieselbe Aktion wie der Thread-ersteller durchführen.

Hab mich jetzt eine ganze Weile belesen, auch zur Thematik modfs, davor schrecke ich aber eigentlich zurück, da ja auch die Familien Telefonie mit über diesen Route geht.
Ist es den unter Umständen möglich mit dem SIAB Image zu starten und den Dementsprechenden Eintrag zu setzen,
Aber dazu: Wo müsste ich das ändern und vor allem Wie?

MfG Steve

 

[targa]

Hallo,
hier gibt's wahrscheinlich nach wie vor keine Loesung, oder ?
Aufgrund der eh eher schlechten WLAN Leistung der FBF wuerde ich einen OpenWRT AP danebenstellen, der dann auch das DHCP uebernehmen wird. (und dann ohne Probleme 2 DNS Eintraege weitergeben kann).
Gruss./T

 

[HabNeFritzbox]

Zumindest nicht ohne Modifizierung.

 

[targa]

Du meinst Freetz ? Gibt's das noch ? Bin eine Weile raus aus dem Thema...

 

[NDiIPP]

Gibt's das noch ?

Klar:

Freetz

Freetz has 2 repositories available. Follow their code on GitHub.

github.com

 

[janosch74]

Auch wenn das Thema schon bissl älter ist, das Problem ist bei mir gerade auch aktuell.
Ich habe das im Moment so gelöst, dass ich als lokalen DNS die Fritte belasse (Standart) und als ersten externen DNS den Pi-Hole eintrage.
Zweiter ext. DNS ist dann 1.1.1.1 (oder 8.8.8.8...)

Funktioniert prima. Wenn der Pi-Hole down ist, wird als Failover der 1.1.1.1 genommen.
Nachteil: Im Querylog des Pi-Hole kommen dann natürlich alla Anfragen von der Fritte und es wird nicht mehr zw. den Clients unterschieden.
Eine Clientspezifische Behandlung (so wie es in AdGuard möglich wäre) macht Pi-Hole aber eh nicht und auf die Statistik muss ich dann eben verzichten.

Zwar nicht so schön und eine Sackgasse wenn man in Richtung Client-spezifische Parental-Control nachdenkt, aber es ist einfach gelöst und funzt!

Mal sehen ob AVM hier demnächst nachbessert...

 

[Christoph_]

Auch wenn das Thema schon bissl älter ist, das Problem ist bei mir gerade auch aktuell.
Ich habe das im Moment so gelöst, dass ich als lokalen DNS die Fritte belasse (Standart) und als ersten externen DNS den Pi-Hole eintrage.
Zweiter ext. DNS ist dann 1.1.1.1 (oder 8.8.8.8...)

Hi, ich habe den Thread gefunden weil ich genau damit ein Problem habe. Meine FB 7580 wechselt zwischen den beiden DNS ("bevorzugt" und "alternativ", richtig ?). Das ist mir lange Zeit nicht aufgefallen - oder es hat erst nach einiger Zeit angefangen. Deswegen - bist du dir sicher, dass der Pi-Hole über den Tag hinweg auch der DNS ist den die FB nimmt? Das erkennt man ganz schön im Dashboard bei den Queries der letzten 24h.

 

[janosch74]

...bist du dir sicher, dass der Pi-Hole über den Tag hinweg auch der DNS ist den die FB nimmt?

Also wenn ich 2 externe DNS in der Fritz angebe sehe ich im Online-Monitor auch den Wechsel.
Wenn der erste Eintrag mein lokaler PiHole ist, konnte ich keinen Wechsel mehr erkennen.
Die Query-Liste bestätigt das. Aber 100% sicher bin ich mir dennoch nicht - sorry!

Mit meinem dem Ergebnis bin ich aber zufrieden. Konnte keine zu blockenden Inhalte mehr feststellen.
Läuft nun seit 8 Tagen ohne Probleme...

 

[jack380]

Habe mir auch gedacht, mein alter Raspberry könnte den Job als PiHole übernehmen

Installiert ist PiHole über das Installationsskript, dieser nutzt nutzt OpenDNS.

Fritzbox 7490
-> Internet -> Zugangsdaten -> DNS-Server
- Lokale IP zum Raspberry + 8.8.8.8
-> Heimnetz -> Netzwerk -> Netzwerkeinstellungen -> IPv4-Adressen
- Ist als lokaler DNS-Server auch die IP vom PI

Jetzt möchte ich die Geräte vom Gastzugang natürlich auch mit am PiHole haben. Das würde ja nur über den Fritzbox DNS direkt laufen?

Bisher werden mir aber nur ein Gerät unter Netzwerk im PI angezeigt und das ist die Fritzbox. Da unter lokaler DNS die PI-IP eingetragen ist, müssten diese auftauchen?
Oder gibt es einen Konflikt mit der DNS Einstellung von der Fritzbox?

 

[HabNeFritzbox]

In deinem Fall ist der DNS im Heimnetz unnötig, doppelt, und nicht sinnvoll, da Hostnamen wie fritz.box usw. nicht aufgelöst werden.

Trage diesen einfach als externen DNS ein bei Zugangsdaten, dann gilt es für Heim- und Gastnetz und kannst noch mit fritz.box usw arbeiten.

OpenDNS ist nicht sehr schnell, und man muss sich ggf. anmelden usw.

Wenn man unbedingt eigenen DNS Nutzen möchte, dann macht direkt einen Unbound mit auf den Pi und nutzt keine Resolver von anderen, sondern befragt direkt die Root Server.

Habe nen Unbound im Docker laufen Testweise, liegt beim DNS Test bei etwa 0,5-3ms, Google und co bei min. 8ms. Ist also noch schneller und Abfragen werden nicht verändert wie bei openDNS, die ja sogar mit Sperren als Schutzfunktion werben.

 

[jack380]

In deinem Fall ist der DNS im Heimnetz unnötig, doppelt, und nicht sinnvoll, da Hostnamen wie fritz.box usw. nicht aufgelöst werden.

Allerdings kommen jetzt doch ein paar Clients dazu, es dauert anscheinend etwas. Wenn ich den DNS Eintrag aus HomeNetz wieder raus nehme und die Fritzbox eintrage (192.168.178.1), dann würde ich bei den Blocklisten nicht mehr differenziert werden? Um zu sehen was und bei welchem Gerät geblockt wird, ist eigentlich ganz interessant. zumindest bei den Geräten, die nicht im Gast Netz sind, funktioniert es jetzt.

Hat es sonst noch einen Nachteil, außer das fritz.box geblockt wird? Andere interne Adressen habe ich auch soweit ich weiß nicht.

Ja, bei openDNS hatte ich auch gelesen, dass dies als Schutzfunktion angepriesen wird. Vielleicht sollte ich das noch ändern.

 

[HabNeFritzbox]

Nutze Pi Hole nicht, daher brauche ich auch keine Auswertung oder Spezielle Regel pro Gerät.

Wenn dieses haben möchtest, bleibt wohl nur dieser doppelte Eintrag.

Ich nutze meinen NAS, Drucker usw. über Hostnamen, da eben so auch IPv6 verwendet wird.

 

[jack380]

@HabNeFritzbox
Es wäre jedenfalls ganz praktisch eine separate Auswertung zu haben.
Habe aber die Einstellung für den lokalen DNS wieder zur FritzBox (7490) IP wie von dir vorgeschlagen geändert, das ist erst mal unkomplizierter.

Was mir aufgefallen ist, der HP OfficeJet bei mir, war immer unter:
HPACE2D3DD****.local erreichbar

Jetzt nach Umstellung des lokalen DNS in der Fritzbox zu 192.168.178.1, sollte sich daran ja nichts geändert haben?
Am 07. (ohne piHole) hatte ich den Drucker zuletzt an gehabt, da hatte es noch funktioniert über die alte .local Adresse.

Aber der Host Name ist auch im Web Interface des Druckers geändert auf HPDD**** .
Außerdem ist die Adresse mit .local nicht mehr erreichbar, nach avahi-resolve-address ist es jetzt HPDD****.fritz.box

Deswegen hat meine device uri auch nicht mehr zum Drucken funktioniert: hp:/net/OfficeJet_6950?hostname=HPACE2D3DD****.local
HPDD****.fritz.box wird zum Beispiel von xsane nicht mehr automatisch gefunden.

Der Zugriff über die direkte IP funktioniert weiterhin, allerdings finde ich es seltsam das .local nicht mehr über die fritzbox erreichbar ist. War das nicht äquivalent zu .fritz.box ?