eigener DNS im Netzwerk mit pihole und VPN und und und

[dmant]

Hallo,

ich habe an meinem Router einen Raspberry per LAN angebunden. Nun möchte ich, das der gesamte Traffic über den Raspberry läuft, und auch generell die Router funktionen, was benötige ich da alles?

Also ich dachte mir, das ich im Router den DNS abschalte, auf dem Raspberry eine feste IP einrichte, sodass der RPi eine Internetverbindung hat.

Dann dachte ich, ich installiere auf dem RPi einen DNS Server der dann die IPs im Netzwerk vergibt. Dann soll aber der gesamte Netzwerkverkehr über den RPi laufen,

Ich weiss nicht so recht wie ich das erklären sol, auf dem RPi läuft auch ein VPN.

Also ich möchte, das wenn man sich mit dem LAN / WLAN bei mir verbindet, man nicht mit dem Router ins Netz geht sondern über den RPi, auf dem RPi widerrum soll PIHole laufen, und das Internet widerrum für alle verbunden Clients im Netzwerk über den VPN vom RPi.

Wie macht man sowas? Also der RPi soll alles mit PiHole filtern, und es dann eben nochmal durch den VPN ins Internet schicken.

Ich danke euch.

[Lord_Carlos]

PiHole hat ein DNS server dabei, den kann man dann ganz einfach uebers webinterface steuern. Da stellst du auch ein das der gateway die IP von deinem RPi ist, dann wird alles an den RPi gesendet.
Ja, DHCP beim router aus, dann brauchst du eine feste IP auf dem Pi. Dies kann hilfreich sein. https://www.raspberrypi.org/learning/ne ... p-address/

Und auf dem RPi soll ein VPN Klient der sich mit einem VPN Server außerhalb des Netzwerkes verbindet?
Geht auch, da kenne ich mich aber nicht aus.

[dmant]

Ja der vpn Client läuft schon. Also der rpi soll dann als Router fungieren der dann alles durch den VPN anstatt über den Router ins bringt.

Also nen Router mit vpn Client.

[MSfree]

Wie macht man sowas?

Du mußt den Raspi selbst als NAT-Router einrichten, sonst könnte jeder Client im Netz auch wahlweise über deinen "normalen" Internetrouter ins Internet. Das WLAN an dem Router muß natürlich auch abgeschaltet werden, damit niemand diesen Bypass verwenden kann.

Am sinnvollsten macht man das dann mit zwei Netzwerkschnittstellen am Raspi. Du brauchst dann einen LAN-Port, der mit dem Internetrouter verbuden wird, einen LAN-Port für das interne Netz und optional kannst du das WLAN des Raspis als WLAN-Accesspoint konfigurieren.

Du kannst natürlich PiHole auch auf irgendeinen Raspi im Netz betrieben, aber das hindert keinen, 8.8.8.8 als DNS-Server bei seinen Client einzutragen und am PiHole vorbei zu gehen.

[BenutzerGa4gooPh]

Nun möchte ich, das der gesamte Traffic über den Raspberry läuft ...

Das ist ungünstig mit nur einer Schnittstelle und noch dazu 100BaseT. Gib dem Raspi eine fixe IP und verklickere allen Hosts diese IP (z.B. per DHCP-Server, dieser evtl. auch auf Raspi mit dnsmasq - oder isc-dhcp-server, falls ersteres sich mit piHole nicht verträgt) als DNS-Server.
Vielleicht hilfreich: https://www.administrator.de/wissen/net ... 91718.html
Dein VPN nach wie vor per vorhandenem (oder besseren) Router, z. B. Mikrotik hex für 65 Euro.

[dmant]

Nunja es sollen halt eben alle clients - > pihole - > vpn - > internet

Es sind fast alles wlan clients. Ich denke ich werde wohl auf dem pi einen dnsserver laufen lassen und diesen als wlan accesspoint konfigurieren. Und dann alles durch den VPN raus. Irgendwie so.

Wenn ich am Router den DHCP ausschalte dann wird garkein IP mehr gefunden und zugeteilt.

[BenutzerGa4gooPh]

Wenn ich am Router den DHCP ausschalte dann wird garkein IP mehr gefunden und zugeteilt.

Kann man auf Raspi einrichten, 2 DHCP-Server oben beschrieben. dnsmasq kann es ebenso - hoffentlich auch in Verbindung mit piHole: https://www.linux.com/learn/intro-to-li ... cp-dnsmasq
Wenn du den DHCP-Server auf dem Router belässt, dort einfach die feste IP des Raspis (außerhalb DHCP-Pool) als DNS-Server in den DHCP-Optionen des Routers angeben.
2 gleichzeitig aktive DHCP-Server sind jedoch sehr "ungut", entscheide dich für 1 Möglichkeit!

[Lord_Carlos]

Willst du dich auch dagegen schuetzten das Klienten mutwillig den VPN umgehen?
Oder einfach nur default ist vpn, und wenn sich jemand sehr gut auskennt, kommt er da halt drumrum?

[dmant]

Profis können ruhig ausenrum.

Also ich habe jetzt pihole am laufen. Auch der DHCP klappt jetzt. Allerdings nur wenn die clients die Router IP als gateway bekommen und den pihole als dns.

Wie mache ich jetzt weiter das der IP hole als gateway fungiert?

Danach muss ich dann alles durch den VPN schicken.

[Lord_Carlos]

Profis können ruhig ausenrum.
Also ich habe jetzt pihole am laufen. Auch der DHCP klappt jetzt. Allerdings nur wenn die clients die Router IP als gateway bekommen und den pihole als dns.
Wie mache ich jetzt weiter das der IP hole als gateway fungiert?
Danach muss ich dann alles durch den VPN schicken.

Guck mal hier: https://www.raspberrypi.org/documentati ... s-point.md
Aber nur der "ADD ROUTING AND MASQUERADE" teil, nicht den rest.

Also eigentlich nur:
Edit /etc/sysctl.conf and uncomment this line:
net.ipv4.ip_forward=1
und
sudo iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

Dann sollten alle die dein Pi als gateware haben schonmal wieder internet bekommen.
Ich vermute der naechste Schritt ist dein VPN als Standart Rute zu setzten. Bin mir gerade nicht sicher wie das geht. Oder vielleicht geht es schon?

Was sagen:
ip route show
und
ip route list

[dmant]

Ne, geht leider noch nicht, aber jep, genau das, also eben so das der pi als standardgateway angegeben wird.

[Lord_Carlos]

eth0 muss mit deinem ethernet dings bums ersetzt werden.

[dmant]

Ich komme einfach nicht weiter.

Also.

Router IP : 192.168.2.1

Raspberry:

eth0: 192.168.2.99 (feste IP) gateway etc Router ip
wlan0: nicht konfiguriert
tun0: 10.8.0.10 (vpn IP, (vpn Server 10.8.0.1))

Auf dem Raspberry habe ich Internet.

Pihole installiert und auf eth0 lauschen lassen. Wenn ich nun den DHCP Server im Router ausschalte, und beim Pihole einschalte, dann bekommen die clients die IPs vom Raspberry DHCP. Ok. Aber als Standardgateway die IP des Routers.

Wenn als Gateway die IP Adresse des Raspberry eintrage, dann haben die clients kein Internetzugriff.

Also ich muss nun irgendwie den Raspberry konfigurieren das dieser als Standardgateway bei den Clients eingetragen werden kann.

Dann muss ich nur noch schauen wie ich das dann alles durch den Tunnel schicke.

[MSfree]

Also ich muss nun irgendwie den Raspberry konfigurieren das dieser als Standardgateway bei den Clients eingetragen werden kann.

Ein Gateway ist nur eine andere Bezeichnung für Router.

Du mußt aus deinem Raspi also zuerst mal einen Router machen, bevor du ihn als Gateway einsetzen kannst.

[Lord_Carlos]

Wenn als Gateway die IP Adresse des Raspberry eintrage, dann haben die clients kein Internetzugriff.

Ja, das war zu erwarten.
Du musst Debian auch sagen das er die Daten weiterleiten soll:

Edit /etc/sysctl.conf and uncomment this line:
net.ipv4.ip_forward=1
und
sudo iptables -t nat -A POSTROUTING -o <DEIN ETHERNET INTERFACE> -j MASQUERADE

[dmant]

Hallo,

das habe ich alles schon durch. Funktioniert alles nicht.

[dmant]

ich habe auch nur ein lan interface nicht wie ich überall sehe zwei

[BenutzerGa4gooPh]

Du benötigst eine Rückroute, konfiguriert im ROUTER (welcher Typ eigentlich?) auf das Netz der Hosts hinter dem nun auch routenden Raspi (*). Ist wohl dessen WLAN-Netz bei dir. Hast du das gemacht?
(*) Anleitung von LordCarlos
route -n, ip route show, traceroute 1.1.1.1 und pings (der Reihe nach von innen nach aussen) sind hilfreich. Zuletzt pings und traceroute auf externe (und interne) Hostnamen.

[Lord_Carlos]

Du benötigst eine Rückroute, konfiguriert im ROUTER (welcher Typ eigentlich?) auf das Netz der Hosts hinter dem nun auch routenden Raspi (*).

Wie? Wiso?
Sein Router sollte doch nichts damit zu tun haben. Es wird ja schon alles an den Pi gesendet, jetzt muss der das nur noch weiter senden.
Default route sollte aufs VPN interface zeigen, und alles was via ethernet rein kommt dahin schiffen.

Und ja. Die ganzen Ausgaben von Janas post waeren hilfreich.

[BenutzerGa4gooPh]

Wie? Wiso?
Sein Router sollte doch nichts damit zu tun haben. Es wird ja schon alles an den Pi gesendet, jetzt muss der das nur noch weiter senden.
Default route sollte aufs VPN interface zeigen, und alles was via ethernet rein kommt dahin schiffen.

Bei VPN-Terminierung auf dem Raspi hast du Recht. Ich hätte das Netz erst mal ohne VPN gebaut und getestet. Wenn alles klappt, dann VPN aufgesetzt. Immer vom Einfachen zum Komplexen "netzwerken".
Übrigens: Nicht jeder Router tunnelt VPN ohne Weiteres / "standardmäßig". Würde ich mal nachschauen. Von der Performance her könnte es durchaus sein, dass eine VPN-Terminierung auf dem Router sinnvoller als auf einem Raspi ist. Kommt auch auf den Durchsatz des Internetzugangs an. Geringen Durchsatz schafft der Raspi. Im Netz findet man sicher Benchmarks des Raspis.

[MSfree]

Och Leute, das was ihr hier vorschlagt, kann nicht funktionieren.
Rückroute ist Blödsinn, wenn man mit NAT arbeitet.

Der Raspi muß aber zwingend erstmal zum Router umgebaut werden, aber das scheint ihr hier alle zu übersehen.

Ein Router ist ein Rechner mit mindestens zwei Netzwerkschnittstellen und auch mindestens zwei unterschiedlichen Subnetzen. Solange das hier alles über eth0 und über 192.168.2.00/24 abgewickelt wird, kann das nicht funktionieren.

Da der Rapi nur eine Ethernetschnittstelle hat, kann man als zweite Netzwerkschnittstelle wlan0 nehmen und für dieses ein Subnetz z.B. 192.168.3.00/24 konfigurieren, es muß auf jeden Fall ein anderes Subnetz sein als das des Internetrouters. Alternativ kann man auch eine USB-Ethernetschnittstelle dranhängen, aber hier hilt das gleich, die muß ein anderes Subnetz bekommen.

Dann kann man mal anfangen, DHCP und DNS z.B. über dnsmasq auf dem zweiten Subnetz auszuliefern. PI-Hole ist Luxus, den man später anhängen kann.

Erst, wenn darüber dann auch die Client ins Inetrnet bringt, kann man über VPN oder anderen Luxus nachdenken.

[BenutzerGa4gooPh]

Rückroute ist Blödsinn, wenn man mit NAT arbeitet.

Stimmt. NAT wird der TO wohl haben. Dann müsste für "normalen" Internetzugang aber auf dem Raspi nochmals "genattet" oder der Raspi im Router als Exposed Host (Weiterleitung aller Ports) deklariert werden. VPN würde ich zuletzt aufsetzen, wenn alles läuft.

Der Raspi muß aber zwingend erstmal zum Router umgebaut werden, aber das scheint ihr hier alle zu übersehen.

Hat LordCarlos dem TO beschrieben - mit Doppel-NAT.
viewtopic.php?f=32&t=170246#p1178632

Da der Rapi nur eine Ethernetschnittstelle hat, kann man als zweite Netzwerkschnittstelle wlan0 nehmen und für dieses ein Subnetz z.B. 192.168.3.00/24 konfigurieren, es muß auf jeden Fall ein anderes Subnetz sein als das des Internetrouters.

So will es doch der TO. Nur WLAN-Clients. Aber so richtig sagt der TO nicht, was er macht, z. B. IP-Adressplan.
(Aber ich bin heute auch etwas unkonzentriert.)

[Lord_Carlos]

Muss man zwei Hardware NICs haben? Gehen virtuelle interfaces nicht?

[BenutzerGa4gooPh]

Muss man zwei Hardware NICs haben? Gehen virtuelle interfaces nicht?

2 VLANs (LAN und WAN getrennt - aber über über 1 IF) am Raspi und ein VLAN-fähiger Switch würden es tun. Mit shared bandwith bei 100MBit/s des Raspi-Ethernet. So ein Ethernet-USB-Adapter ist da wohl besser. Am Ende ist der Raspi auch ein schlechter WLAN-Accesspoint. Günstiger für das Projekt wäre ein billiger OpenWRT-/LEDE-Router für 30 Euro. Bei schnellem Internetzugang und Notwendigkeit/Möglichkeit von schnellem VPN ist der aber nicht mehr so billig (Netgear R7800 mit leistungsfähiger CPU für 150 Euro).

[MSfree]

Muss man zwei Hardware NICs haben?

Es ist auf alle Fälle einfacher beherrschbar.

Gehen virtuelle interfaces nicht?

Zwei Subnetze auf einer NIC, die man auf zwei virtuelle NICs aufteilt, sorgt auf jeden Fall für Stimmung. Da kommen sich dann unter Umständen zwei DHCP-Server in die Quere, zwei DNS-Server (mit Pi-Hole sogar drei) sind auch eine nette Fehlerquelle.

Ich würde es ausdrücklich nicht empfehlen. Man kann es zwar zum Laufen bekommen, aber ein falsch konfigurierter Client im Netz und du hast Probleme, die du nicht debuggen kannst. Aber im Moment scheitert es bei dmant ja schon an den zwei notwendigen Subnetzen.