Fritzbox: ping und nslookup liefern zwei unterschiedliche IP Adressen

[tocotronaut]

Naja... Dann muss Apple das Private Relay mal etwas aufbohren...

Private Relay ist zwar gut gedacht aber halt schon sehr beschänkt in den Möglichkeiten.
Deshalb würde ich es auch nicht unbedingt empfehlen.

Im grunde Müsste man das Private Relay vom Pihole aus nutzen können.
Aber Fremdgeräte passen - trotz kostenpflichtigem DNS Dienst - nicht in Apples Marketingkonzept...

 

[lisanet]

Naja... Dann muss Apple das Private Relay mal etwas aufbohren...

Private Relay ist zwar gut gedacht aber halt schon sehr beschänkt in den Möglichkeiten.
Deshalb würde ich es auch nicht unbedingt empfehlen.

Im grunde Müsste man das Private Relay vom Pihole aus nutzen können.
Aber Fremdgeräte passen - trotz kostenpflichtigem DNS Dienst - nicht in Apples Marketingkonzept...

???

Kann es eventuell sein, dass die Funktionsweise von Private Relay nicht ganz bekannt ist und du das mit einem "DNS-Server" verwechselst?

Welche konkreten Dinge sind es, die dich veranlassen, PR nicht zu empfehlen?

Ich persönlich sehe PR hinsichtlich des Datenschutzes und Trackingschutzes als deutlich besser an, als Werbeblocker oder VPN oder DoH oder DoT alleine.

 

[tocotronaut]

Was ist denn Private Relay anderes als ein [kostenpflichtiger] DNS Server?
Apple teilt die Anfragen lediglich auf und vermischt sie mit anderen Anfragen um den Datenschutz zu erhöhen.
Das ist Toll.

Aber dafür kann es nix anderes
Werbung/Pornoseiten filtern und vor allem - das ist meine eigentliche Kritik - kann es nicht explizit getriggert werden.

Sollen sie es in das AppleTV oder den Homepod einbauen.
Dann kann ich mein gesamtes Heimnetz* darüber leiten und bin glücklich.

(*nachdem ich mittels Adguard/Pihole alles herausgefiltert habe was erst gar nicht ins internet muss.)

 

[kos]

was soll das denn bezwecken? Wer löst dann DNS-Anfragen auch? PiHole oder Private Relay?

Wenn PR die DNS-Anfragen beantwortet kann der Pi die Werbung nicht mehr blocken. Oder wie erklärst du das?

Genau das schrieb ich doch:

Die lokale Namensauflösung wie von mir vorgeschlagen funktioniert dann natürlich trotzdem nicht, eben weil dann wieder alles über Apple-Server läuft.

Solange Private Relay in Verwendung ist wird Pi-Hole umgangen.

sehe PR hinsichtlich des Datenschutzes und Trackingschutzes als deutlich besser an, als Werbeblocker oder VPN oder DoH oder DoT alleine.

Da gibt es durchaus andere Meinungen. Hier auch ein netter Bericht, das Resumee mal als Zitat dazu:

"If you want basic protection, then iCloud Private Relay is sufficient enough. But for a more complete, device-wide protection, a VPN service makes more sense."
https://www.slashgear.com/1205792/icloud-private-relay-vs-vpn-the-key-differences-explained/

 

[tocotronaut]

Es fehlt die möglichkeit, die Datenschutzkomponente "Private Relay" direkt anzuprechen indem man Apples Private Relay DNS-Server manuell in den Geräten eintragen kann.

Das Private Relay wär sofort als Upstream DNS in meinem Pihole gesetzt.

 

[lisanet]

Was ist denn Private Relay anderes als ein [kostenpflichtiger] DNS Server?
Apple teilt die Anfragen lediglich auf und vermischt sie mit anderen Anfragen um den Datenschutz zu erhöhen.

Nein, das ist es eben nicht.

PR:

Die DNS-Anfrag wird verschlüsselt an ein Apple-Relay gesendet. Folge: Der ISP weiß schon mal nicht, welche Seiten du per DNS anfragst.

Das Apple-Relay teilt diese DNS-Anfragen auf auf zwei Anbieter. Der eine kennt deine IP-Adresse aber nicht die DNS-Anfrage, der andere erhält die DNS-Anfrage und gibt die Antwort zurück. Kennt aber nicht deine IP-Adresse.

Anschließend "wählt" dein Mac/Safari die erhaltene webseiten-Adresse an und verwendet dabei nicht deine eigentliche IP-Adresse, sondern eben eine generierte durch PR.

Folgen:

- der ISP kennt deine DNS-Anfragen nicht
- der DNS-Anbieter kennt deine IP-Adresse nicht
- der "IP-Leiferant" kennt deine DNS-Anfragen nicht
- die webseite kennt deine IP-Adresse nicht.
- die Werbetreibenden kennen deine IP-Adresse nicht.

Damit du nach wie vor die Möglichkeit hast, lokale Umgebungssuchen zu erledigen, kannst du den mit der generierten IP-Adresse verknüpften Standort weiter oder enger fassen lassen.

Dein Gedanke, dass du mittels PiHole oder sonst was erst mal irgendwas rausfilterst wird nicht funktionieren, da alle auf DNS basierenden Dienste mit PR prinzipbedingt nicht zusammen arbeiten können. Wenn der PiHole DNS-Anfragen beantwortet (was er tun muss um Werbung heraus zu filtern) kann PR nicht mehr DNS-Anfragen beantworten. Wenn PR DNS-Anfragen beantwortet, kann der PiHole dies nicht mehr tun.

Daher äußere ich auch oft die Kritigk, dass viele User oft nur über das Ausblenden von Werbung nachdenken, aber IP-Tracking vollkommen vergessen. Sei es durch ISP, DNS-Betreiber oder die angesurften webseiten.

 

[tocotronaut]

Okay. In der Tat habe ich die "VPN Komponente" bei Privat Relay unterschätzt.
Also eine Mischung aus DNS und VPN.

 

[lisanet]

"If you want basic protection, then iCloud Private Relay is sufficient enough. But for a more complete, device-wide protection, a VPN service makes more sense."

gewagte Aussage, wenn man lediglich darauf abstellt, dass ein VPN geoblocking umgehen kann und "allen Datenverkehr" verschlüsselt.

Warum gewagt?

Weil behauptet wird, das der "Schutz" (protection) durch VPN besser sei.

Umgehen von Geoblocking hat aber erst mal nichts mit Schutz zu tun. Was mit "Schutz" zu tun hat, ist die veränderte IP-Adresse. Das machen beide, VPN und PR

Ein VPN zu nutzen um _ausgehenden_ Datenverkehr zu verschlüsseln ist ein toller Marketingbegriff, aber bringt nichts relevant Neues oder ein mehr an "Schutz".

Nahezu alle wesentlichen Internet-Dienste sind heutzutage TLS verschlüsselt. Mails, Webseiten, Foren. Messenger-Dieste sind e2e verschlüsselt. Da bringt der Einsatz eines VPN nichts.

Im Grunde hat ein VPN sogar 1 potentielle Schwachstelle hinsichtlich des Datenschutzes mehr, als PR. Und zwar den VPN-Anbieter selbst. Der weiß prinziptbedingt beides von dir. Dein IP-Adresse und alle deine angesurften Seiten / Dienste.

Was man den VPN-Anbietern zugute halten muss: sie haben ein gutes Marketing und verstehen es blendend, mit der Angst der Menschen zu spielen. Das wars dann aber auch schon.

 

[Johanna K]

Wenn du auf der Kommandozeile firm bist, kannst du dir einen Eintrag in die /etc/hosts Datei machen.

Mach das, und gut ist's. Es ist nicht schwer, den Eintrag zu setzen.

 

[Blain]

Hallo zusammen, ich meld mich hier mal wieder: Also ich hab jetzt mal meine FritzBox auf Werkseinstellungen zurückgesetzt und fang von vorne an. Prompt kommt dann auch schon das erste Problem: Ich hab 3 Geräte, die unbedingt eine feste IP brauchen. Diese kann ich aber irgendwie nicht mehr einstellen: FritzBox --> Netzwerk --> Netzwerkverbindungen --> Bleistift neben dem Gerät --> Adressen im Heimnetz.

Nach dem zurücksetzen auf Werkseinstellungen hat das Gerät zwar noch die alte IP aber ich würde natürlich gerne die IP Adresse fest mit der Mac Adresse verbinden. Leider kann ich hier nichts editieren....

 

[MrChad]

Nach dem zurücksetzen auf Werkseinstellungen hat das Gerät zwar noch die alte IP aber ich würde natürlich gerne die IP Adresse fest mit der Mac Adresse verbinden. Leider kann ich hier nichts editieren....

Fehlt dir da evtl. die "Erweiterte Ansicht" ??

https://avm.de/service/wissensdatenbank/dok/FRITZ-Box-7590/1652_Erweiterte-Ansicht-der-Benutzeroberflache-aktivieren/

 

[Blain]

Den Schalter gibts bei mir beim ... Menü gar nicht

Ab FRITZ!OS 7.50 gibt es die erweiterte Ansicht nicht mehr und zusätzliche Einstellmöglichkeiten für fortgeschrittene Anwender werden in der Standardansicht angezeigt.

 

[Blain]

und bei einem anderen Gerät hingegen kann ich es einstellen:

 

[Blain]

Ich habe eine Idee: Vielleicht haben sich diese Geräte nach dem Werkseinstellungen der Fritzbox keine IP-Adresse per DHCP abgeholt und so kann dann auch in der Oberfläche nichts geändert werden... ?! Beim wichtigsten gerät konnte ich es jetzt seltsamerweise fest einstellen... d.h. aktiviert die Fritzbox dieses Eingabefeld nur für Geräte, die sich vorher vom DHCP Server Adressen abgeholt haben - Das würde dann sinn machen (und ich wär wieder mal schlauer...)

 

[Blain]

Hallo zusammen,

ich hatte heute wieder mal die Zeit, um weiter das Problem zu analysieren. Mittlerweile habe ich den Mac selbst als Verdächtigen.

Ich hab noch einen dienstlichen Mac, hier zeigen ping BigBrother.fritz.box und der nslookup BigBrother.fritz.box auf die 192.168.178.2 Adresse... Auch ein verbinden von smb://BigBrother funktioniert tadellos. Auf meinem iPad habe ich eine Shell installiert, auch hier liefert der ping und der nslookup das richtige Ergebnis..

Auf dem Problem-Mac habe ich mal versucht, so gut es geht die Netzwerkeinstellungen zu löschen (mit der nachfolgenden Anleitung):
https://de.wikihow.com/Auf-einem-PC-oder-Mac-die-Netzwerkeinstellungen-zur%C3%BCcksetzen?amp=1

Auch ein Entfernen des Ethernet-Anschlusses in den Systemeinstellungen --> Netzwerk und ein erneutes Hinzufügen hat nichts gebracht. Wo kann / soll ich noch was bereinigen?

Danke und Grüße
Blain

 

[MrChad]

Wie früher schonmal gesagt, waren hier mit irgendeinem Update auch ganz ähnliche Phänomene entstanden.

Die blödsinnigen Referenzen auf fritz.box, falsche Auflösung von hostname zu hostname.fritz.box usw.
Im MacOS haben sie wohl irgendwas an der DNS-Suchreihenfolge / Priorität geändert. Die genaue Ursache habe ich nicht rausgefummelt.

Das Eliminieren von fritz.box aus dem ganzen Netzwerk war mir zu mühsam.

Stattdessen habe ich mich entschlossen, mich systemkonform zu verhalten, habe überall Referenzen auf den nackten hostname entfernt und verwende grundsätzlich nur noch die mDNS-Namen hostname.local .

Das klappt wunderbar zwischen Mac, Windows und Linux. Problem solved, case closed.

 

[Blain]

Ja das verrückte bei mir ist, dass hostname.local auch nicht geht…

 

[MrChad]

zum Einen: Wenn Bonjour/mDNS bei dir nicht funktioniert, dann wäre das mein erster Ansatzpunkt.

zum Anderen musst du dafür sorgen, dass deine Maschinen garantiert nur den DNS-Server deiner Fritzbox befragen. Alle anderen Referenzen auf andere DNS-Server müssen weg. Dann ist Fritzbox dafür verantwortlich, dir bei nackten Hostnamen die Referenzen auf das lokale Netzwerk zurückzugeben.

--------------

Mein Setup: Ich habe das hier so aufgesetzt, dass die Fritzbox mit DHCP die DNS-Info an alle Clients schickt.
Für DNS benutze ich (a) einen lokalen PiHole und (b) als zweiten Eintrag einen von den Quad9-Systemen. Details habe ich wieder mal vergessen.
Der lokale PiHole holt sich seinerseits seine DNS-Daten von der Fritzbox. Im Endeffekt sollte also die DNS-Antwort bevorzugt über den PiHole von der Fritzbox kommen und nicht von extern. Tut sie aber nicht.

(Und alles auf .local-Namen wird sowieso von mDNS abgewickelt, landet also bei gar keinem DNS-Server)

Meine Arbeits-Hypothese geht in die Richtung, dass der Mac früher nur den PIHole befragt hat und nur im Fehler/Backup-Fall den Quad9. Es ist gut möglich, dass der Mac neuerdings beide Systeme (a) und (b) gleichzeitig befragt und dann die schnellere Antwort nimmt.
Wenn die Quad9-Server schneller als mein PiHole sind, würde das erklären, warum xyz.fritz.box seltsamerweise immer auf die falsche externe Adresse aufgelöst wird.

Es könnte auch sein, dass in dem Mac zusätzlich zu konventionellem DNS irgendein DoH-Mechanismus drinsteckt und dadurch meine lokale Infrastruktur ganz außer Gefecht gesetzt wird. Weiß ich aber nicht. Sowas in der Art machen nämlich neuere Windows-Kisten.