Fritzbox Wireguard VPN + Pihole

[Ghost108]

Hi zusammen!

ich habe einen Fehler, welchen ich aktuell nicht verstehe.

ALTE SITUATION:

• Syno DS718 als openVPN Server
• Syno unter Docker läuft pihole + unbound
• Fritzbox verteilt via DHCP die Information, das der DNS Server die IP meiner Syno ist (pi hole)
• Fritzbox openVPN Port zur Syno geöffnet
• Ergebnis: ALLES OK!

NEUE SITUATION:

• Fritzbox als Wireguard VPN Server
• Syno unter Docker läuft pihole + unbound
• Fritzbox verteilt via DHCP die Information, das der DNS Server die IP meiner Syno ist (pi hole)
• Fritzbox keine Portöffnung mehr notwendig
• Ergebnis: Keine Namensauflösung möglich

Wireguard Config für Client wird von der Fritzbox wie folgt generiert (.250 => pihole, .1 = fritbox):

[Interface]
PrivateKey = XXX
Address = 192.168.108.201/32
DNS = 192.168.108.250, 192.168.108.1, fritz.box

[Peer]
PublicKey = XXX
PresharedKey = XXX
AllowedIPs = 192.168.108.0/24, 0.0.0.0/24
Endpoint = vpn.meinDDNS.de:MEIN_PORT
PersistentKeepalive = 0

Die Config habe ich etwas angepasst:

[Interface]
PrivateKey = XXX
Address = 192.168.108.201/32
DNS = 192.168.108.250

[Peer]
PublicKey = XXX
PresharedKey = XXX
AllowedIPs = 192.168.108.0/24
Endpoint = vpn.meinDDNS.de:MEIN_PORT
PersistentKeepalive = 0

Ich möchte ja nur meinen pihole als DNS Server haben und auch nur das Netz tunneln, welches mein LAN ist - alles andere darf am tunnel vorbei.

Problem:
Namensauflösung funktioniert so nicht mehr.

Ich kann zwar google anpingen


nslookup geht nicht


ebenso bekomme ich keinen ping an meine lokalen Geräte (IP Fritzbox)


Wenn ich die Config so einstelle, dass DNS Server wieder nur Fritzbox ist, klappt alles. Das möchte ich aber so natürlich nicht

Hatte auch testweise mal einen Wireguard VPN Server auf der Syno aufgesetzt, nach diesem Schema:

• Syno DS718 als Wireguard Server
• Syno unter Docker läuft pihole + unbound
• Fritzbox verteilt via DHCP die Information, das der DNS Server die IP meiner Syno ist (pi hole)
• Fritzbox Wireguard Port zur Syno geöffnet

Damit hat es auch in Kombination mit dem pihole perfekt funktioniert.
Habt Ihr noch eine Idee, wo das Problem liegen kann, sobald die Fritzbox VPN Server spielt?

Ich scheine hier ja irgendwo ein Config Fehler auf Fritzbox und / oder Pihole Seite zu haben.
Danke!!



Hier noch meine PiHole Config (192.168.108.250#6153 => unbound):

 

[EDvonSchleck]

Mit Namensauflösung meinst du Geräte im Netzwerk?
Wo hast du den DNS.Server in der Fritzbox angegeben?
DNS-Rebind probiert?

Bedenke das FB mit Wireguard noch beta ist! Ruhig auch ein Feedback an AVM senden.

 

[Ghost108]

Mit Namensauflösung meine ich auch Internetseiten auflösen.
DNS Server Einstellungen in der Fritzbox:

Internet > Zugangsdaten > DNS Server > IP der Pihole
und
Heimnetz > Netzwerk > Netzwerkeinstellungen > IPv4 Einstellungen

Könnte ja verstehen, das es ein Problem mit Wireguard ist weil Beta.
Aber es macht ja nur Probleme, wenn ich pi hole als DNS Server angebe.

 

[EDvonSchleck]

Mach mal die Einstellungen unter Internet auf Standard und nur in den Netzwerkeinstellungen den Eintrag.

 

[Ghost108]

hatte ich auch schon. selbes Ergebnis.
Was ich mich gerade allerdings frage: Sind die pihole dns settings so korrekt?

Aktuell ist es ja so, dass der client pi hole als dns anfragt und pihole wiederrum als upstream server unbound nutzt.
Reicht das? sollte hier eventuell als weitere upstream die Fritzbox hinterlegt sein?


**UPDATE**
Nein, bringt nichts die fritzbox als upstream zu hinterlegen. selber Fehler.

Hatte auch gerade mal in der WG DNS Config einfach 1.1.1.1 als DNS Server angegeben.
Auch hier ist das Problem dann aufgetreten.

Man kann also zusammenfassen:
Wireguard mit der Fritzbox nur mit Firtzbox als DNS. Sonst klappts anscheinend nicht (Stand jetzt)

 

[EDvonSchleck]

Ich nutze ja Adguard - kann dir also zu PIhole nicht wirklich was sagen, wenn sie auch das gleiche machen.
ABER um meine FB wieder mit fritz.box erreichen konnte musste ich eine Weiterleitung anlegen.
Pi-Hole und und Adguard solltest du nur intern nutzen - nicht auf der WAN-Seite. Das heißt nicht das es nicht geht aber dadurch können Fehler entstehen.
Unbound "merkt" sich ja nur die Serverantworten und verbindet bei einer neuen Anfrage am gleichen Server die Adresse und connectet diesen direkt. Das erkennst du an der hohen Latenz beim ersten aufrufen einer Seite.

 

[Ghost108]

ja aber warum klappt denn pihole + unbound mit syno als wg server und mit fritzbox dann nicht?
Verstehe einfach die Logik nicht dahinter

 

[EDvonSchleck]

Es kommt doch immer darauf an ob es noch ein Fehler von AVM sein kann.
So wie du es aktuell eingestellt hast macht es keinen Sinn.

Wofür willst du die VPN Verbindung haben? Mobilgerät? Fritzbox Kopplung?
Testest du die Verbindung auch von "draußen" also nicht von intern auf die externe Adresse?

Du hast das ganze auch ohne PiHole getestet ob das surfen funktioniert? Es gab einmal eine Einstellung das das Surfen über das VPN erlaubt werden muss, anderen Falls wurde die Internetverbindung vom Client genutzt. Es wurde also nur eine Verbindung zum Internen Netzwerk aufgebaut - nicht wieder nach draußen wie ein Proxy.

 

[Ghost108]

Wieso macht es keinen Sinn?
Für Mobilgeräte
Ja teste von draußen via Hotspot

 

[EDvonSchleck]

weil die DNS anfragen an den DNS-Server gehen und danach noch einmal über WAN das gleiche.
viel macht ja nicht viel

 

[Ghost108]

War ja nur ein Versuch
Die Frage bleibt dennoch : wo ist der Fehler ? :/

 

[EDvonSchleck]

Und ohne Pi-Hole? die IP Adresse ist ja schnell unter Netzwerk in der PB auf FB-IP zu wechseln.

 

[Ghost108]

Ja das sagte ich ja bereits. Stelle ich die fritzbox als DNS Server ein klappt es

 

[EDvonSchleck]

Scheint ja nicht an Wireguard und AVM zu liegen wenn das funktioniert.
Da der DNS-Server von der Fritzbox über die IP angesprochen wird. solltest du auch mit der IP auf das Gerät gelangen.
Was du noch testen kannst ist die Eingabe einer Webseite-IP ob du da auch raus kommst. z.B Heise.de
Was passiert wenn du die IP für Unbound heraus nimmst?

 

[Ghost108]

Sorry, bin eingeschlafen
Du meinst, ich soll pihole als dns angeben in der WG Config, aber unboudn als upstream rausnehmen?

 

[Ghost108]

Falls ja:
Habe den unbound als upstream rausgenommen - klappt dennoch nicht.

Aber noch mal zur Erinnerung.
Wenn ich an der pihole config nichts ändere und meine syno wg server spielen lasse, klappt es ja tadellos.
Probleme gibt es nur, sobald die FB WG Server spielt.

 

[EDvonSchleck]

Das könnte daran liegen das WG-Docker den PH-Docker auf der Synology findet durch den Name im gleichen Netzwerk.
Wie betreibst du dein PiHole? Nutzt du ein Bridge, Host oder Mcvlan Netzwerk?

Auf jeden Fall solltest du es erst einmal als Host ohne Unbound probieren!

 

[Ghost108]

pihole läuft im host modus.
als host ohne unbound habe ich es bereits erfolgos getestet

 

[EDvonSchleck]

von außen kannst du auch auf das PiHole-If zugreifen?

Würde gerne mittesten, aber ich lade seit Jahren keine Labor mehr auf meine Fb. Die waren einmal sehr stabil. Heute ist mir das zu riskant, da die Fb wegen so etwas hier nicht ausfallen darf. Auch die Cal/Carddav funktion wurde von AVM nur schlecht eingebaut, worauf es danach einen Fix gab das es überhaupt richtig auch einigen Servern läuft. Trotzdem wurden teile nicht richtig umgesetzt was erst mit der neuen Version/Labor behoben wird. Das alles hätte auch nicht sein dürfen und wurde bis jetzt eher schlecht umgesetzt. Es ist nur ein Beispiel das der Softwaresupport schlechter geworden ist.

Du kannst aber noch testen ob Ipsec als VPN in der Fritzbox läuft um WG auszuschließen.

 

[Ghost108]

ich glaube das Problem ist mittlerweile ein ganz anderes.
ich meine erkannt zu haben, dass das Problem die App Wireguard selbst ist.

Die OnDemand Funktion scheint nicht zufunktionieren.
Die App zeigt mir zwar nach einer Gewissenzeit immer noch an, das die VPN Verbindung steht - aber auf der Fritzbox wir der Client als getrennt angezeigt. Das würde auch erklären, warum ein "Reconnect" das Problem löst.

Habe für openVPN immer die App Passepartout gehabt (für macos und ios) - die hat das immer hervorragend mit wireguard geregelt.