- EURoBa-Wiki

Benutzer-Werkzeuge

Webseiten-Werkzeuge

Du befindest dich hier: start » projekt-offen » software » pihole
projekt-offen:software:pihole

Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen der Seite angezeigt.

Link zu der Vergleichsansicht

Beide Seiten, vorherige ÜberarbeitungVorherige Überarbeitung
projekt-offen:software:pihole [15-05-2025 21:12] – [Projekt: PiHole] rolandprojekt-offen:software:pihole [26-05-2025 13:05] (aktuell) – [Pi-hole: Einrichtung und Konfiguration mit Fritz!Box – AdBlocker Teil1] roland
Zeile 60: Zeile 60:
 ====== Pi-hole: Einrichtung und Konfiguration mit Fritz!Box – AdBlocker Teil1 ====== ====== Pi-hole: Einrichtung und Konfiguration mit Fritz!Box – AdBlocker Teil1 ======
  
-https://www.kuketz-blog.de/pi-hole-einrichtung-und-konfiguration-mit-fritzbox-adblocker-teil1/ \\ https://www.kuketz-blog.de/pi-hole-einrichtung-und-konfiguration-mit-unbound-adblocker-teil2/+[[https://www.kuketz-blog.de/pi-hole-einrichtung-und-konfiguration-mit-fritzbox-adblocker-teil1/|https://www.kuketz-blog.de/pi-hole-einrichtung-und-konfiguration-mit-fritzbox-adblocker-teil1/]]\\ 
 +[[https://www.kuketz-blog.de/pi-hole-einrichtung-und-konfiguration-mit-unbound-adblocker-teil2/|https://www.kuketz-blog.de/pi-hole-einrichtung-und-konfiguration-mit-unbound-adblocker-teil2/]]
  
 ===== 1. Werbe- und trackerfrei Pi-hole mit Fritz!Box ===== ===== 1. Werbe- und trackerfrei Pi-hole mit Fritz!Box =====
Zeile 83: Zeile 84:
 </code> </code>
  
-Dieser Domainname muss jedoch zunächst in eine IP-Adresse übersetzt werden, damit die Werbung von dort aus geladen werden kann. Diese Aufgabe übernimmt das [[https://de.wikipedia.org/wiki/Domain_Name_System|Domain Name System]] (DNS) – einer der **wichtigsten**  Dienste im Internet, der für genau diese Übersetzung zuständig ist. Das Prinzip dahinter kennt jeder: Ihr gebt im Browser eine URI (also den Domainnamen) ein, dieser wird dann von einem DNS-Server in die zugehörige IP-Adresse übersetzt. Namen sind eben leichter zu merken als IP-Adressen. In eurem Router sind daher üblicherweise DNS-Server von eurem Provider hinterlegt oder ihr habt **manuell**  eigene eingetragen, die dann anschließend die Adresse »werbung.server1.de« in eine IP-Adresse übersetzen.+Dieser Domainname muss jedoch zunächst in eine IP-Adresse übersetzt werden, damit die Werbung von dort aus geladen werden kann. Diese Aufgabe übernimmt das [[https://de.wikipedia.org/wiki/Domain_Name_System|Domain Name System]] (DNS) – einer der **wichtigsten** Dienste im Internet, der für genau diese Übersetzung zuständig ist. Das Prinzip dahinter kennt jeder: Ihr gebt im Browser eine URI (also den Domainnamen) ein, dieser wird dann von einem DNS-Server in die zugehörige IP-Adresse übersetzt. Namen sind eben leichter zu merken als IP-Adressen. In eurem Router sind daher üblicherweise DNS-Server von eurem Provider hinterlegt oder ihr habt **manuell** eigene eingetragen, die dann anschließend die Adresse »werbung.server1.de« in eine IP-Adresse übersetzen.
  
 Dieses DNS-Prinzip macht sich Pi-hole zunutze. In seinem Speicher verwaltet Pi-hole eine Liste mit Domainnamen, die entweder Werbung ausliefern, den Nutzer tracken/verfolgen oder sich anderweitig negativ auf Sicherheit und Privatsphäre auswirken können. Habt ihr Pi-hole installiert, wird die DNS-Abfrage zunächst mit der intern hinterlegten Liste abgeglichen. Befindet sich die Adresse Dieses DNS-Prinzip macht sich Pi-hole zunutze. In seinem Speicher verwaltet Pi-hole eine Liste mit Domainnamen, die entweder Werbung ausliefern, den Nutzer tracken/verfolgen oder sich anderweitig negativ auf Sicherheit und Privatsphäre auswirken können. Habt ihr Pi-hole installiert, wird die DNS-Abfrage zunächst mit der intern hinterlegten Liste abgeglichen. Befindet sich die Adresse
Zeile 92: Zeile 93:
 </code> </code>
  
-in der Liste bzw. bei einem Treffer, wird die IP-Adresse nicht wie üblich aufgelöst, sondern euer Gerät bzw. die App erhält sinngemäß die Antwort: »Nicht erreichbar« – die Übersetzung in die korrekte IP-Adresse wird also von Pi-hole unterdrückt. Die Folge: Die Werbung kann nicht von der tatsächlichen Quelle bzw. IP-Adresse **nachgeladen**  werden. Statt der Werbung sieht der User einen Platzhalter oder schlicht nichts. Ein einfaches Prinzip, das die Werbung schon vor der Auslieferung blockiert – sogar noch vor der Übersetzung in die IP-Adresse:+in der Liste bzw. bei einem Treffer, wird die IP-Adresse nicht wie üblich aufgelöst, sondern euer Gerät bzw. die App erhält sinngemäß die Antwort: »Nicht erreichbar« – die Übersetzung in die korrekte IP-Adresse wird also von Pi-hole unterdrückt. Die Folge: Die Werbung kann nicht von der tatsächlichen Quelle bzw. IP-Adresse **nachgeladen** werden. Statt der Werbung sieht der User einen Platzhalter oder schlicht nichts. Ein einfaches Prinzip, das die Werbung schon vor der Auslieferung blockiert – sogar noch vor der Übersetzung in die IP-Adresse:
  
 {{https://media.kuketz.de/blog/artikel/2023/pi-hole-fritzbox/dns-ad-blocking.png?nolink&704x532|DNS-Ad-Blocking}} {{https://media.kuketz.de/blog/artikel/2023/pi-hole-fritzbox/dns-ad-blocking.png?nolink&704x532|DNS-Ad-Blocking}}
Zeile 102: Zeile 103:
 Im folgenden Netzwerkaufbau sehen wir, dass der Pi-hole seine DNS-Anfragen nicht direkt an einen DNS-Server eines Anbieters sendet, sondern an die lokale Fritz!Box. Diese wiederum leitet die Anfrage an einen Upstream-DNS-Server weiter. Im Gegensatz zu einem Standard-Pi-hole ist die Fritz!Box nämlich in der Lage, die DNS-Anfragen via [[https://de.wikipedia.org/wiki/DNS_over_TLS|DNS over TLS (DoT)]] zu verschlüsseln. Dies erschwert das Mitlesen bzw. Auswerten des Surfverhaltens – bietet aber natürlich auch keinen hundertprozentigen Schutz (Stichwort: [[https://de.wikipedia.org/wiki/Server_Name_Indication|SNI]], [[https://de.wikipedia.org/wiki/Online_Certificate_Status_Protocol|OCSP]]). Wer sein Surfverhalten »geheim« halten möchte, muss dann auf den [[https://de.wikipedia.org/wiki/Tor_(Netzwerk)#Tor_Browser|Tor-Browser]] zurückgreifen und sich an bestimmte Verhaltensregeln halten. Im folgenden Netzwerkaufbau sehen wir, dass der Pi-hole seine DNS-Anfragen nicht direkt an einen DNS-Server eines Anbieters sendet, sondern an die lokale Fritz!Box. Diese wiederum leitet die Anfrage an einen Upstream-DNS-Server weiter. Im Gegensatz zu einem Standard-Pi-hole ist die Fritz!Box nämlich in der Lage, die DNS-Anfragen via [[https://de.wikipedia.org/wiki/DNS_over_TLS|DNS over TLS (DoT)]] zu verschlüsseln. Dies erschwert das Mitlesen bzw. Auswerten des Surfverhaltens – bietet aber natürlich auch keinen hundertprozentigen Schutz (Stichwort: [[https://de.wikipedia.org/wiki/Server_Name_Indication|SNI]], [[https://de.wikipedia.org/wiki/Online_Certificate_Status_Protocol|OCSP]]). Wer sein Surfverhalten »geheim« halten möchte, muss dann auf den [[https://de.wikipedia.org/wiki/Tor_(Netzwerk)#Tor_Browser|Tor-Browser]] zurückgreifen und sich an bestimmte Verhaltensregeln halten.
  
-Nachfolgend möchte ich kurz erläutern, was im Netz passiert, wenn ein Smartphone eine Website ([[http://www.kuketz-blog.de|www.kuketz-blog.de]]) aufrufen möchte. Zunächst gibt der Nutzer die Adresse ''[[http://www.kuketz-blog.de|www.kuketz-blog.de]]''in die Adresszeile des Browsers ein. Damit der Browser die Seite anzeigen kann, muss die Domain zunächst in die zugehörige IP-Adresse umgewandelt werden. Dazu stellt das Smartphone zunächst eine DNS-Anfrage **[1]**  an den Pi-hole. Der Pi-hole prüft nun lokal in seinen Filterlisten, ob es sich bei der Domain um eine Werbe- oder Tracking-Domain handelt. Ist dies nicht der Fall, wird die DNS-Anfrage **[2]**  an die Fritz!Box im lokalen Netzwerk weitergeleitet. Die Fritz!Box wiederum sendet die DNS-Anfrage **[3]**  nun per [[https://de.wikipedia.org/wiki/DNS_over_TLS|DoT]] verschlüsselt an den hinterlegten (primären) DNS-Server. Nach Erhalt der zugehörigen IP-Adresse vom DNS-Server, wird die Fritz!Box diese Information nun an den Pi-hole **[4]**  weiterreichen und dieser wiederum an das Smartphone. Anschließend kennt der Browser die zugehörige IP-Adresse der Domain ''[[http://www.kuketz-blog.de|www.kuketz-blog.de]]'' (46.38.242.112) und sendet die HTTP-Anfrage **[5]**  zunächst an die lokale Fritz!Box. Diese wiederum leitet die HTTP-Anfrage [6] an den für die IP-Adresse 46.38.242.112 zuständigen Webserver weiter. Anschließend kann die Website an das Smartphone ausgeliefert werden.+Nachfolgend möchte ich kurz erläutern, was im Netz passiert, wenn ein Smartphone eine Website ([[http://www.kuketz-blog.de|www.kuketz-blog.de]]) aufrufen möchte. Zunächst gibt der Nutzer die Adresse ''[[http://www.kuketz-blog.de|www.kuketz-blog.de]]'' in die Adresszeile des Browsers ein. Damit der Browser die Seite anzeigen kann, muss die Domain zunächst in die zugehörige IP-Adresse umgewandelt werden. Dazu stellt das Smartphone zunächst eine DNS-Anfrage **[1]** an den Pi-hole. Der Pi-hole prüft nun lokal in seinen Filterlisten, ob es sich bei der Domain um eine Werbe- oder Tracking-Domain handelt. Ist dies nicht der Fall, wird die DNS-Anfrage **[2]** an die Fritz!Box im lokalen Netzwerk weitergeleitet. Die Fritz!Box wiederum sendet die DNS-Anfrage **[3]** nun per [[https://de.wikipedia.org/wiki/DNS_over_TLS|DoT]] verschlüsselt an den hinterlegten (primären) DNS-Server. Nach Erhalt der zugehörigen IP-Adresse vom DNS-Server, wird die Fritz!Box diese Information nun an den Pi-hole **[4]** weiterreichen und dieser wiederum an das Smartphone. Anschließend kennt der Browser die zugehörige IP-Adresse der Domain ''[[http://www.kuketz-blog.de|www.kuketz-blog.de]]'' (46.38.242.112) und sendet die HTTP-Anfrage **[5]** zunächst an die lokale Fritz!Box. Diese wiederum leitet die HTTP-Anfrage [6] an den für die IP-Adresse 46.38.242.112 zuständigen Webserver weiter. Anschließend kann die Website an das Smartphone ausgeliefert werden.
  
 {{https://media.kuketz.de/blog/artikel/2023/pi-hole-fritzbox/netzwerkaufbau.png?nolink&1094x395|Netzwerkaufbau}} {{https://media.kuketz.de/blog/artikel/2023/pi-hole-fritzbox/netzwerkaufbau.png?nolink&1094x395|Netzwerkaufbau}}
Zeile 737: Zeile 738:
     # possible to spoof parts of a fragmented DNS message, without easy     # possible to spoof parts of a fragmented DNS message, without easy
     # detection at the receiving end. Recently, there was an excellent study     # detection at the receiving end. Recently, there was an excellent study
-    #>>> Defragmenting DNS - Determining the optimal maximum UDP response size for DNS <<<  # by Axel Koolhaas, and Tjeerd Slokker (https://indico.dns-oarc.net/event/36/contributions/776/)+    #>>> Defragmenting DNS - Determining the optimal maximum UDP response size for DNS <<< # by Axel Koolhaas, and Tjeerd Slokker (https://indico.dns-oarc.net/event/36/contributions/776/)
     # in collaboration with NLnet Labs explored DNS using real world data from the     # in collaboration with NLnet Labs explored DNS using real world data from the
     # the RIPE Atlas probes and the researchers suggested different values for     # the RIPE Atlas probes and the researchers suggested different values for
Zeile 1060: Zeile 1061:
 ---- ----
  
-{{tag>[Projekt PiHole "Tipps & Tricks"]}}+{{tag>[Projekt PiHole] }}
  
  
projekt-offen/software/pihole.txt · Zuletzt geändert: von roland
Donate Powered by PHP Valid HTML5 Valid CSS Driven by DokuWiki