[Pi-Hole] Ervaringen & discussie

Thalamus schreef op maandag 28 oktober 2024 @ 11:06:
[...]


Sorry voor de late reactie

ik heb zoiets als een DNS Director (denk ik), ik forceer dat alle DNS requests naar mijn docker gaat
[Afbeelding]


Maar dan begrijp ik niet dat ' alle' DNS request met unbound werkt behalve transavia

EverLast2002 schreef op maandag 28 oktober 2024 @ 14:50:
Geldt dit ook voor DoH/DoT DNS verkeer dat poort 53 niet gebruikt?

EverLast2002 schreef op maandag 28 oktober 2024 @ 14:50:
[...]


Geldt dit ook voor DoH/DoT DNS verkeer dat poort 53 niet gebruikt?

Yucko schreef op maandag 28 oktober 2024 @ 15:18:
Ik leid zelf niets om (volgens mij kan die niet eens op mijn UDR) maar blokkeer al het uitgaande verkeer voor poorten 53, 853 en 8853 (QUIC) behalve voor PiHole en AGH instance.

Het werd wel een beetje tijd zullen we maar zeggen...

[ Voor 22% gewijzigd door sweetdude op 11-11-2024 11:02 ]

sweetdude schreef op maandag 11 november 2024 @ 11:01:
Alleen het jammere is dat PiVPN niet met PiHole V6 samenwerkt.

PiVPN kijkt namelijk naar een var.conf bestand wat vervallen is in de v6 versie.

Hierdoor krijg je wel het scherm dat hij PiHole ziet.
Maar krijg je bij het aanmaken van een client een melding dat hij die file niet meer kan vinden.

EverLast2002 schreef op dinsdag 12 november 2024 @ 11:31:
offtopic:
ik las iets over PiVPN the end...?
hopelijk wordt het verder opgepakt of een fork ervan want het is wel een handige vpn tool.

Pazo schreef op dinsdag 12 november 2024 @ 11:37:
[...]


Ah, dat verklaard waarschijnlijk waarom ik laatst geen verbinding met thuis kon krijgen...
Doe dat heel af en toe via PiVPN als ik iets nodig heb, maar lukte dus laatst niet. Maar had nog niet de moeite genomen om uit te zoeken wat het probleem was. Waarschijnlijk werkt het nu dus niet meer. Dus moeten we op zoek naar een alternatief. Wel jammer, ik vond het makkelijk te configureren en werkte icm Wireguard altijd heel goed.

EverLast2002 schreef op dinsdag 12 november 2024 @ 11:53:
[...]


Volgens mij kun je PiVPN nog steeds installeren en gebruiken,
alleen wordt er niks meer ontwikkeld, gepatched, geupdate. De repo staat op read-only.

Thalamus schreef op maandag 28 oktober 2024 @ 12:21:


Ik heb het een beetje opgegeven om het probleem te zoeken in de cbcrowe docker

Heb docker van pluim003 geinstalleerd en werkt

Pazo schreef op dinsdag 12 november 2024 @ 12:14:

Ja dat is wel weer waar. Binnenkort maar even induiken, maar misschien wel overstappen naar wat anders, wat PiVPN wordt dus een doodlopende weg.

[ Voor 14% gewijzigd door W1ck1e op 12-11-2024 13:50 ]

Pazo schreef op dinsdag 12 november 2024 @ 12:14:
[...]


Ja dat is wel weer waar. Binnenkort maar even induiken, maar misschien wel overstappen naar wat anders,

[ Voor 10% gewijzigd door Raven op 12-11-2024 15:28 ]

Toet3r schreef op dinsdag 12 november 2024 @ 14:43:
@GG85
Ze hebben geen datum of andere hint gegeven.
de development branch van docker wordt ook niet heel vaak meer geupdate. Laatste update is van 3 dagen geleden. Die daarvoor was dacht iets van een maand geleden. Dit geeft wel aan dat de ontwikkeling nu een stuk minder hard gaat dan een tijdje geleden.
We zullen toch nog even geduld moeten hebben.

Raven schreef op dinsdag 12 november 2024 @ 15:25:
[...]

VPN-server op de oude handmatige manier opzetten , is in mijn geval sowieso nodig daar er geen PiVPN(-achtige) oplossing is die nftables ondersteund of een "do not touch firewall"-optie heeft

EverLast2002 schreef op dinsdag 12 november 2024 @ 11:31:
offtopic:
ik las iets over PiVPN the end...?
hopelijk wordt het verder opgepakt of een fork ervan want het is wel een handige vpn tool.

Raven schreef op dinsdag 12 november 2024 @ 15:25:
VPN-server op de oude handmatige manier opzetten

Is in mijn geval sowieso nodig daar er geen PiVPN(-achtige) oplossing is die nftables ondersteund of een "do not touch firewall"-optie heeft

ed1703 schreef op dinsdag 12 november 2024 @ 17:55:
Van oplossingen zoals PiVPN leer je ook weinig. Makkelijk wel, maar ik vind de leercurve van openvpn ook wat hoger dan wireguard imho.

nero355 schreef op dinsdag 12 november 2024 @ 19:16:
[...]

WebMin + OpneVPN plug-in + Een paar keer clicken = KLAAR!!!

Misschien kan je zoiets ondertussen ook i.c.m. Wireguard doen

nero355 schreef op dinsdag 12 november 2024 @ 19:16:
[...]

Eigenlijk wel gek : Zoveel opties en die optie vervolgens nooit erbij zetten ?!

The standard hash algorithm of the WebMin module is set to md5, but it needs to be changed to sha256. Let’s go to the ssl config file.

sudo nano /etc/openvpn/openvpn-ssl.cnf

Next line default_md = md5 change md5 to sha256

default_md = sha256

Now the official OpenVPN client will not complain about the weak hash algorithm.

[ Voor 19% gewijzigd door Raven op 12-11-2024 19:55 ]

Raven schreef op dinsdag 12 november 2024 @ 19:46:
Nope, die plugin had ik al geprobeerd (error tijdens genereren certificaten), plus een iets meer bijgewerkte fork op Github (deze was het geloof ik), maar alsnog te oud De client klaagde over "certificate is too weak" en "cannot load inline certificate file".

edit:
@nero355
https://amazingrdp.com/se...-a-server-key-for-webmin/

[...]

Zou het zo simpel zijn , later maar eens proberen.

nero355 schreef op woensdag 13 november 2024 @ 15:23:
[...]

Het is dan ook een tijdje geleden dat ik die optie in een VM heb getest dus misschien moet je toch inderdaad het een en ander zelf een beetje uitvogelen

Maar je houdt wel een relaxe webGUI over voor je OpenVPN beheer

[ Voor 13% gewijzigd door Raven op 14-11-2024 10:15 ]

Raven schreef op donderdag 14 november 2024 @ 09:37:

offtopic:
Dat blijkt, er lijkt inmiddels wel wat meer out of date te zijn (buiten die md5 -> sha256 config), ook in de fork van de addon.

- knip -

Kijk later wel weer wat verder.

offtopic:
Dat is echt heel erg jammer dan, want zoveel moeite hoort het niet te kosten...

ed1703 schreef op dinsdag 12 november 2024 @ 17:55:
[...]

Van oplossingen zoals PiVPN leer je ook weinig. Makkelijk wel, maar ik vind de leercurve van openvpn ook wat hoger dan wireguard imho.

• https://github.com/mattwebbio/orbital-sync
• https://github.com/lovelaze/nebula-sync

offtopic:
@_Eend_ heb zelf twee piholes echter zijn ze ook DHCP server. Kun je kiezen om dat niet te syncen? Want anders krijg je ip conflicten natuurlijk

[ Voor 4% gewijzigd door Webgnome op 22-11-2024 09:31 ]

MadMax12 schreef op vrijdag 22 november 2024 @ 12:58:
Sinds Unifi Wireguard ondersteunt heb ik daar ook een VPN over lopen en daar heb ik de DNS servers van mijn Pi-Hole's op staan, werkt als een trein en als er iets mis gaat is het eigenlijk altijd iets met de Raspberry's waar de Pi-Hole's op draaien.

Webgnome schreef op woensdag 11 december 2024 @ 14:38:
@Get!em als je unbound gebruikt moet je in pihle aangeven dat die deze als dns server gebruiken. Anders zit die inderdaad niets te doen.
Welke performance zou je willen bevorderen. Als je dit topic doorneemt dan zul je zien dat DNS erg snel is van zichzelf. En als je problemen hebt met laden van pagina's dat je het eerder ergens anders moet zoeken. Wat je zou kunnen doen is in unbound de config aan te passen zodat er meer gecached word, of je daar blij van word is natuurlijk dan weer de vraag

Get!em schreef op woensdag 11 december 2024 @ 14:28:
[...] Met name duckdns problemen verergerden [...]

Get!em schreef op woensdag 11 december 2024 @ 14:41:
[...]

Uiteraard staat deze als DNS server (custom local) aangegeven. ( 127.0.0.1#5335 ).
Maar dan kan de rest dus uit, of is dat nog een fallback en is er een volgorde?

Ook de DNSMASQ limit 150 max simultaneous requests limiet al ontdekt helaas. Deze net opgehoogd

#### EDIT SETTINGS
dns-forward-max=5096
min-cache-ttl=300
rebind-domain-ok=
#### END EDIT

[ Voor 13% gewijzigd door Webgnome op 11-12-2024 15:08 ]

Room42 schreef op woensdag 11 december 2024 @ 14:57:
[...]

Je bent wat dit betreft wel op de hoogte dat die problemen bij DuckDNS liggen? Zie ook nieuws: DuckDNS werkt niet goed vanwege storing

[ Voor 5% gewijzigd door Get!em op 11-12-2024 17:14 ]

Warning in dnsmasq core:
ignoring query from non-local network 192.168.3.6 (logged only once)

dnsmasq can be configured to only accept queries from at-most-one-hop-away addresses using the option local-service. Other queries are discarded in this case.

This is meant to be a safe default to keep otherwise unconfigured installations safe. Note that local-service is ignored if any access-control config is in place (interface, except-interface, listen-address or auth-server).

Airw0lf schreef op woensdag 11 december 2024 @ 22:03:
@Pazo - Pihole zijn vlan ondersteuning is beperkt tot de dashboards.

Wat ik daarmee wil zeggen is dat je met "settings => DNS => Permit all origins" er wel voor kunt zorgen dat Pihole alle DNS aanvragen voor alle vlans gaat beantwoorden. Maar nog steeds voor slechts één vlan ook DHCP server gaat zijn.

Wil je Pihole (of beter DNSMASQ) ook voor alle vlans DHCP server laten zijn, dan zul je in de config-bestandjes-wereld van DNSMASQ moeten duiken.

In beide gevallen gaan de DNS-dashboards je alles laten zien.
Maar alleen in het tweede geval laten de dashboards ook zien voor welke vlans welke IP's er zijn uitgedeeld via DHCP.

1

nano /etc/dnsmasq.d/02-MAdD.conf

1
2
3
4
5
6

rev-server=VLAN1,gateway
rev-server=VLAN2,gateway

Bijvoorbeeld
rev-server=192.168.1.0/24,192.168.1.1
rev-server=192.168.2.0/24,192.168.2.1

Webgnome schreef op zaterdag 14 december 2024 @ 13:35:
@jubeth ziet er goed uit het eerste wat ik wel als verbeterpuntje zou zien is dat je in de while data gaat chunken en zo meerdere entries tegelijk toevoegd. Nu voeg je voor elke line een entry los toe dat kan beter/sneller

[ Voor 13% gewijzigd door jubeth op 14-12-2024 14:13 ]

Get!em schreef op zondag 15 december 2024 @ 21:35:
Pihole draait hier nu bijna een week. Gaat prima. Redelijk snel, al zie ik queries voorbij komen die >90ms zijn.

Sommige sites zijn daarom wat trager met eerste start.

Ook zie ik elke ochtend rond 10u een piek aan verkeer voorbij komen, waardoor pihole een melding maakt dat er afgelopen 15 min meer verkeer is geweest dan geconfigureerde processors (1.2>1). Nog eens uitzoeken wat dat is.
Ook een client max requests voorbij zien komen, die nu iets opgehoogd.

Vooralsnog zijn de statistieken schokkend. 33,6% van al t verkeer wordt geblockt… terwijl alles nog steeds normaal werkt.

Get!em schreef op zondag 15 december 2024 @ 21:35:
Pihole draait hier nu bijna een week. Gaat prima. Redelijk snel, al zie ik queries voorbij komen die >90ms zijn.

Sommige sites zijn daarom wat trager met eerste start.

Ook zie ik elke ochtend rond 10u een piek aan verkeer voorbij komen, waardoor pihole een melding maakt dat er afgelopen 15 min meer verkeer is geweest dan geconfigureerde processors (1.2>1). Nog eens uitzoeken wat dat is.
Ook een client max requests voorbij zien komen, die nu iets opgehoogd.

Vooralsnog zijn de statistieken schokkend. 33,6% van al t verkeer wordt geblockt… terwijl alles nog steeds normaal werkt.

Airw0lf schreef op maandag 16 december 2024 @ 07:55:
[...]


Welke externe dns server(s) heb je ingesteld?

Get!em schreef op maandag 16 december 2024 @ 08:00:
[...]

Unbound

[ Voor 6% gewijzigd door Airw0lf op 16-12-2024 08:04 ]

dss58 schreef op zondag 15 december 2024 @ 22:47:
[...]

ik weet niet wat voor bloklijst(en) en regex je gebruikt,

Get!em schreef op maandag 16 december 2024 @ 08:07:
[...]

Oisd big
Adguard dns list
Adguard spyware
Steve black (default)
Firebog easy privacy

Altijd geïnteresseerd in aanvullende lijsten.

dss58 schreef op maandag 16 december 2024 @ 09:40:
[...]

zoeken op blocklist pihole en je vind er een hele hoop
met regex kun je veel tegen houden
https://github.com/mmotti/pihole-regex

Get!em schreef op maandag 16 december 2024 @ 10:44:
[...]

Wat is de ervaring daar mee? Zie dat het 4 jaar geleden is dat er wat aan gedaan is. Alleen whitelist is een jaar geleden nog bijgewerkt, en er staan best wat issues daarop open.

Voordat ik zomaar code toevoeg aan de pihole...

dss58 schreef op maandag 16 december 2024 @ 10:55:
[...]

Ik zou zeggen, verdiep je is in regular expression (regex)
als voorbeeld dit:
^stat(s|istics)?[0-9]*[_.-]
alles waar stat, stats, statistics in een URL voor komt wordt geblokt, zo moet je het lezen in dit geval, en ik vertel je, is best ingewikkeld
Wikipedia: Regular expression
Is echt de moete waard om er is wat tijd in te steken, het wiel hoef je niet uit te vinden want dat heeft die mmotti op github al voor je gedaan, en het voordeel is dat dit maar 1 keer hoeft, vandaar dat het kort na introductie van regex in pihole is ontwikkeld, 4 jaar geleden dus

Raymond P schreef op maandag 16 december 2024 @ 11:14:
Imo een prima uitgangspunt. Bij het zien van een curl gevolgd door een pipe en exec gaat het hier ook kietelen als ik de bron niet ken.

_Eend_ schreef op maandag 16 december 2024 @ 11:23:
[...]


Nog spannender wordt het als er ook nog een sudo tussen staat.

Dan doe ik wel even een ouderwetsch wget en -na controle- voer ik het script handmatig uit.

[ Voor 4% gewijzigd door Get!em op 16-12-2024 11:39 ]

[ Voor 12% gewijzigd door Airw0lf op 19-12-2024 15:24 ]

Airw0lf schreef op donderdag 19 december 2024 @ 08:34:
Kort geleden is me wat raars opgevallen - voor mij dan toch...

Stel een apparaat heeft als fqdn tablet.wifi.lan (Android) of pandora.wired.lan (Windows 11). Dan zie ik soms DNS aanvragen voorbij komen als microsoft..com.wired.lan en googleads.g.doubleclick.net.wifi.lan.

Kort daarvoor zie ik diezelfde aanvraag langskomen - alleen dan zonder wired.lan en wifi.lan.
Waarbij de aanvraag met googleads.g.doubleclick.net geblocked wordt - die met microsoft.com niet.

Iemand een idee waart dit vandaan komt? Is dit ergens een pihole/dnsmasq instelling of zo?

EverLast2002 schreef op donderdag 19 december 2024 @ 14:38:
[...]

wellicht omdat microsoft.com niet in een blocklist staat (of begrijp ik je vraag niet goed?)

Airw0lf schreef op donderdag 19 december 2024 @ 15:23:
[...]


Je begrijpt mijn vraag niet - wat wil zeggen dat de vraagstelling niet duidelijk is/was...

Ik zou graag willen weten waar die rare DNS aanvragen vandaan komen.
En dan heb ik het over aanvragen als microsoft.com.wired.lan en googleads.g.doubleclick.net.wifi.lan.

Want de domeinen wired.lan en wifi.lan horen bij een vlan - wat alleen maar lokaal leeft.

EverLast2002 schreef op donderdag 19 december 2024 @ 16:19:
[...]


heb je DNS (Unbound) lokaal draaien icm pi-hole, of laat je alles resolven via een externe DNS server?

Airw0lf schreef op donderdag 19 december 2024 @ 16:30:
[...]


Afgezien van de vlan domeinnamen wordt alles extern geresolved via Cloudflare.
Er is dus geen unbound (of vergelijkbaar).

EverLast2002 schreef op donderdag 19 december 2024 @ 17:15:
[...]

En waar heb je je VLANs geconfigureerd, in een router?
Geeft die router eventueel de extensies wifi.lan en wired.lan mee.

Airw0lf schreef op donderdag 19 december 2024 @ 08:34:
Kort geleden is me wat raars opgevallen - voor mij dan toch...

Stel een apparaat heeft als fqdn tablet.wifi.lan (Android) of pandora.wired.lan (Windows 11).
Waarbij wifi.lan en wired.lan domeinnamen zijn van een vlan en alleen lokaal leven.

Toch zie ik soms rare DNS aanvragen voorbij komen als microsoft.com.wired.lan en googleads.g.doubleclick.net.wifi.lan.

Kort daarvoor zie ik diezelfde aanvraag langskomen - alleen dan zonder wired.lan en wifi.lan.
Waarbij de aanvraag met googleads.g.doubleclick.net geblocked wordt - die met microsoft.com niet.

Iemand een idee waar die rare DNS aanvragen vandaan komen?
Is dit ergens een pihole/dnsmasq instelling of zo?

nero355 schreef op zondag 22 december 2024 @ 18:34:
@Get!em Maar waarom gebeurt het überhaupt precies dan

Wat een rare toestand...

[ Voor 8% gewijzigd door Get!em op 22-12-2024 18:54 ]

Get!em schreef op zondag 22 december 2024 @ 18:52:
Normaal handelt je router/dhcp server dit af en zie je t niet.
Met je pihole heb je een ander apparaat dan je router die de dns requests afhandelt en dat moet met conditional goed gaan.

Het is aantal requests is overigens niet abnormaal, het is gewoon functionaliteit van Home Assistant om op de hoogte te blijven van veranderingen in je netwerk met verbinden slimme apparaten en hun evt dns. Sommige add ons leunen er zelfs geheel op.

nero355 schreef op zondag 22 december 2024 @ 18:57:
[...]

Ja, maar dat is wat anders : Daar gaat het om het voorkomen van IP conflicten


[...]

Maar waarom "pingt" die dan niet gewoon die apparaten i.p.v. je hele netwerk te gaan zitten flooden

Ik ben echt blij dat ik daar niks mee doe in ieder geval, want dat soort dingen vind ik echt totaaaal niet tof !!!

Zo minimaliseer ik ook het Multicast verkeer op mijn netwerk door het een en ander te disablen waar het kan

Get!em schreef op vrijdag 20 december 2024 @ 10:37:
Even een crosspost link:

Als je in je netwerk HomeAssistant en Pi-Hole tegelijk hebt, kun je ontdekken dat er 1000+ PTR requests voorbijkomen vanuit HomeAssistant (local network subnet discovery), steeds in kort tijdsbestek, elk uur herhalend.

Ik heb hier een van de mogelijke oplossingen gepost:
Get!em in "Home Assistant: Open source Python3 home automation - deel 5"

nero355 schreef op zondag 22 december 2024 @ 18:34:
@Get!em Maar waarom gebeurt het überhaupt precies dan

Wat een rare toestand...

[ Voor 3% gewijzigd door Raven op 22-12-2024 19:53 ]

DaRk PoIsOn schreef op zondag 22 december 2024 @ 21:01:
Het gene dat helpt bij de HA requests is zeroconf en ssdp uitschakelen.
Nadeel is dat je dan je configuration.yaml geheel moet aanpassen.

Post 16,17 en 18:

https://community.home-as...uests-from-hass/307352/16

Raven schreef op maandag 23 december 2024 @ 09:16:
@Get!em Maar doet het automatisch detecteren van nieuwe ondersteunde apparaten het dan nog wel? Las ergens dat dat bij het uitschakelen van dhcp niet meer werkt.

[ Voor 11% gewijzigd door Get!em op 23-12-2024 09:28 ]

Raven schreef op maandag 23 december 2024 @ 09:36:
@Get!em Hmm, die heb ik zo nu en dan wel nodig. Las ook in een van de Github-issues dat sommige integraties dit ook gebruiken om wijzigingen (van IP-adres bijv) via die weg oppikken. Gezien er nogal wat dingen aan HASS hangen, is dat wel nodig.

Cloud_VII schreef op maandag 23 december 2024 @ 13:31:
Heb naast mijn pi-hole nog andere DNS server staan voor het geval mijn pi een keer problemen heeft. Nu ging dit altijd goed.
Na een update op mijn iPhone naar iOS 18.2 lijkt iPhone niet meer de eerste DNS server te kiezen.
Beperk IP adres tracking onder WiFi settings maakt geen verschil. Heb nu handmatig DNS ingesteld met enkel IP naar mijn pihole en dat werkt wel. Meer mensen die dit ervaren?

W1ck1e schreef op maandag 23 december 2024 @ 13:40:
[...]

Als je wilt dat jouw internet blijft werken wanneer je pihole (-raspberrypi) niet functioneert, moet je een 2de pihole installeren op een ander device (mag ook weer een raspberrypi zijn). Afhankelijk van keuzes wordt er verschillende omgegaan met meer dan 1 dns server op een device.

W1ck1e schreef op maandag 23 december 2024 @ 13:40:
Gelukkig is een rpi2 voldoende, helaas zijn die niet meer goed verkrijgbaar.

ed1703 schreef op maandag 23 december 2024 @ 14:35:
Hier 2x RPi met PiHole (in docker) en keepalived. Werkt als een zonnetje, kan ook gewoon 1 vd 2 opnieuw installeren of andere werkzaamheden zonder dat het impact heeft. Alleen keepalived even stoppen die ik eruit haal.

Toet3r schreef op maandag 23 december 2024 @ 18:48:
[...]

Ik draai al een aantal jaar pihole icm unbound en heb de ervaring dat raspberry pi OS en pihole zo stabiel zijn dat een backup niet nodig is. Daarnaast als je meerdere piholes hebt moet je ze voor goede werking ook gesynchroniseerd houden met bijv Gravity sync of orbital sync.

[ Voor 11% gewijzigd door W1ck1e op 23-12-2024 19:45 ]

This release is purely a hotfix to fix installing v5 on Fedora 41 - there is nothing relevant to users on other operating systems

code:

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141 142 143 144 145 146 147 148 149 150

server: # The verbosity number, level 0 means no verbosity, only errors. # Level 1 gives operational information. Level 2 gives detailed # operational information. Level 3 gives query level information, # output per query. Level 4 gives algorithm level information. # Level 5 logs client identification for cache misses. Default is # level 1. verbosity: 0 interface: 127.0.0.1 port: 5335 do-ip4: yes do-udp: yes do-tcp: yes # May be set to yes if you have IPv6 connectivity do-ip6: no # You want to leave this to no unless you have *native* IPv6. With 6to4 and # Terredo tunnels your web browser should favor IPv4 for the same reasons prefer-ip6: no # Use this only when you downloaded the list of primary root servers! # Read the root hints from this file. Make sure to # update root.hints evry 5-6 months. root-hints: "/var/lib/unbound/root.hints" # Trust glue only if it is within the servers authority harden-glue: yes # Ignore very large queries. harden-large-queries: yes # Require DNSSEC data for trust-anchored zones, if such data is absent, the zone becomes BOGUS # If you want to disable DNSSEC, set harden-dnssec stripped: no harden-dnssec-stripped: yes # Number of bytes size to advertise as the EDNS reassembly buffer # size. This is the value put into datagrams over UDP towards # peers. The actual buffer size is determined by msg-buffer-size # (both for TCP and UDP). edns-buffer-size: 1232 # Rotates RRSet order in response (the pseudo-random # number is taken from Ensure privacy of local IP # ranges the query ID, for speed and thread safety). # private-address: 192.168.0.0/16 rrset-roundrobin: yes # Time to live minimum for RRsets and messages in the cache. If the minimum # kicks in, the data is cached for longer than the domain owner intended, # and thus less queries are made to look up the data. Zero makes sure the # data in the cache is as the domain owner intended, higher values, # especially more than an hour or so, can lead to trouble as the data in # the cache does not match up with the actual data anymore cache-min-ttl: 300 cache-max-ttl: 86400 # Have unbound attempt to serve old responses from cache with a TTL of 0 in # the response without waiting for the actual resolution to finish. The # actual resolution answer ends up in the cache later on. serve-expired: yes # Harden against algorithm downgrade when multiple algorithms are # advertised in the DS record. harden-algo-downgrade: yes # Ignore very small EDNS buffer sizes from queries. harden-short-bufsize: yes # Refuse id.server and hostname.bind queries hide-identity: yes # Report this identity rather than the hostname of the server. identity: "Server" # Refuse version.server and version.bind queries hide-version: yes # Prevent the unbound server from forking into the background as a daemon do-daemonize: no # Number of bytes size of the aggressive negative cache. neg-cache-size: 4m # Send minimum amount of information to upstream servers to enhance privacy qname-minimisation: yes # Deny queries of type ANY with an empty response. # Works only on version 1.8 and above deny-any: yes # Do no insert authority/additional sections into response messages when # those sections are not required. This reduces response size # significantly, and may avoid TCP fallback for some responses. This may # cause a slight speedup minimal-responses: yes # Perform prefetching of close to expired message cache entries # This only applies to domains that have been frequently queried # This flag updates the cached domains prefetch: yes # Fetch the DNSKEYs earlier in the validation process, when a DS record is # encountered. This lowers the latency of requests at the expense of little # more CPU usage. prefetch-key: yes # One thread should be sufficient, can be increased on beefy machines. In reality for # most users running on small networks or on a single machine, it should be unnecessary # to seek performance enhancement by increasing num-threads above 1. num-threads: 1 # more cache memory. rrset-cache-size should twice what msg-cache-size is. msg-cache-size: 50m rrset-cache-size: 100m # Faster UDP with multithreading (only on Linux). so-reuseport: yes # Ensure kernel buffer is large enough to not lose messages in traffix spikes so-rcvbuf: 4m so-sndbuf: 4m # Set the total number of unwanted replies to keep track of in every thread. # When it reaches the threshold, a defensive action of clearing the rrset # and message caches is taken, hopefully flushing away any poison. # Unbound suggests a value of 10 million. unwanted-reply-threshold: 100000 # Minimize logs # Do not print one line per query to the log log-queries: no # Do not print one line per reply to the log log-replies: no # Do not print log lines that say why queries return SERVFAIL to clients log-servfail: no # Do not print log lines to inform about local zone actions log-local-actions: no # Do not print log lines that say why queries return SERVFAIL to clients logfile: /dev/null # Ensure privacy of local IP ranges private-address: 192.168.0.0/16 private-address: 169.254.0.0/16 private-address: 172.16.0.0/12 private-address: 10.0.0.0/8 private-address: fd00::/8 private-address: fe80::/10

1
2

    # Ignore very large queries.
    harden-large-queries: yes

1
2
3
4
5

    # Rotates RRSet order in response (the pseudo-random 
    # number is taken from Ensure privacy of local IP 
    # ranges the query ID, for speed and thread safety).  
    # private-address: 192.168.0.0/16
    rrset-roundrobin: yes

1
2
3
4
5
6
7
8

    # Time to live minimum for RRsets and messages in the cache. If the minimum
    # kicks in, the data is cached for longer than the domain owner intended,
    # and thus less queries are made to look up the data. Zero makes sure the
    # data in the cache is as the domain owner intended, higher values,
    # especially more than an hour or so, can lead to trouble as the data in
    # the cache does not match up with the actual data anymore
    cache-min-ttl: 300
    cache-max-ttl: 86400

1
2
3
4

    # Have unbound attempt to serve old responses from cache with a TTL of 0 in
    # the response without waiting for the actual resolution to finish. The
    # actual resolution answer ends up in the cache later on. 
    serve-expired: yes

1
2
3

    # Harden against algorithm downgrade when multiple algorithms are
    # advertised in the DS record.
    harden-algo-downgrade: yes

1
2

    # Ignore very small EDNS buffer sizes from queries.
    harden-short-bufsize: yes

1
2

    # Refuse id.server and hostname.bind queries
    hide-identity: yes

1
2

    # Report this identity rather than the hostname of the server.
    identity: "Server"

1
2

    # Refuse version.server and version.bind queries
    hide-version: yes

1
2

    # Prevent the unbound server from forking into the background as a daemon
    do-daemonize: no

1
2

    # Number  of  bytes size of the aggressive negative cache.
    neg-cache-size: 4m

1
2

    # Send minimum amount of information to upstream servers to enhance privacy
    qname-minimisation: yes

1
2
3

    # Deny queries of type ANY with an empty response.
    # Works only on version 1.8 and above
    deny-any: yes

1
2
3
4
5

    # Do no insert authority/additional sections into response messages when
    # those sections are not required. This reduces response size
    # significantly, and may avoid TCP fallback for some responses. This may
    # cause a slight speedup
    minimal-responses: yes

1
2
3
4

    # Fetch the DNSKEYs earlier in the validation process, when a DS record is
    # encountered. This lowers the latency of requests at the expense of little
    # more CPU usage.
    prefetch-key: yes

1
2
3

    # more cache memory. rrset-cache-size should twice what msg-cache-size is.
    msg-cache-size: 50m
    rrset-cache-size: 100m

1
2

    # Faster UDP with multithreading (only on Linux).
    so-reuseport: yes

1
2
3

    # Ensure kernel buffer is large enough to not lose messages in traffix spikes
    so-rcvbuf: 4m
    so-sndbuf: 4m

1
2
3
4
5

    # Set the total number of unwanted replies to keep track of in every thread.
    # When it reaches the threshold, a defensive action of clearing the rrset
    # and message caches is taken, hopefully flushing away any poison.
    # Unbound suggests a value of 10 million.
    unwanted-reply-threshold: 100000

1
2
3
4
5
6
7
8
9
10
11

    # Minimize logs
    # Do not print one line per query to the log
    log-queries: no
    # Do not print one line per reply to the log
    log-replies: no
    # Do not print log lines that say why queries return SERVFAIL to clients
    log-servfail: no
    # Do not print log lines to inform about local zone actions
    log-local-actions: no
    # Do not print log lines that say why queries return SERVFAIL to clients
    logfile: /dev/null

[ Voor 38% gewijzigd door sweetdude op 01-01-2025 11:18 ]

sweetdude schreef op dinsdag 31 december 2024 @ 12:01:
Aangezien er wat extra info en parameters instaan dan de standaard die vaak bij de Pi Hole tutorials staan.
Misschien dat er nog wat mensen zijn die hier aanvullingen/ opmerkingen over hebben?

nero355 schreef op dinsdag 31 december 2024 @ 17:40:
[...]

- Noem dan effe de verschillen op ?!
- Zet lange CODE blokken tussen QUOTE Tags

code:

1

beter?

1

(\.|^)mijndomein\.iets$;reply=192.168.1.1

1

*** pi.hole can't find randomnaam.mijndomein.iets: Non-existent domain

1

pihole-FTL regex-test randomnaam.mijndomein.iets

1
2
3

[i] Checking domain against whitelist...
    (\.|^)mijndomein\.iets$;reply=192.168.1.1 matches (regex whitelist, DB ID 12)
    Hint: This regex forces reply type IP

[ Voor 5% gewijzigd door TheByteBoy op 01-01-2025 17:25 ]

sweetdude schreef op woensdag 1 januari 2025 @ 15:35:

sweetdude schreef op dinsdag 31 december 2024 @ 12:01:

code:

1 2 3 4 5 6 7 8

# Time to live minimum for RRsets and messages in the cache. If the minimum # kicks in, the data is cached for longer than the domain owner intended, # and thus less queries are made to look up the data. Zero makes sure the # data in the cache is as the domain owner intended, higher values, # especially more than an hour or so, can lead to trouble as the data in # the cache does not match up with the actual data anymore cache-min-ttl: 300 cache-max-ttl: 86400

code:

1 2 3 4 5 6 7 8 9 10 11

# Minimize logs # Do not print one line per query to the log log-queries: no # Do not print one line per reply to the log log-replies: no # Do not print log lines that say why queries return SERVFAIL to clients log-servfail: no # Do not print log lines to inform about local zone actions log-local-actions: no # Do not print log lines that say why queries return SERVFAIL to clients logfile: /dev/null

code:

1 2 3 4

# Have unbound attempt to serve old responses from cache with a TTL of 0 in # the response without waiting for the actual resolution to finish. The # actual resolution answer ends up in the cache later on. serve-expired: yes