:strip_exif()/i/2002897482.png?f=thumbmini)
:strip_exif()/u/45096/Jumpman.gif?f=community)
Nintendo Network ID: Oo_Morris_oO | PSN: Oo_Morris_oO.
:strip_icc():strip_exif()/u/144633/crop643e593ea432f_cropped.jpg?f=community)
@nero355 - hieronder mijn 0,500 Euro... 
Ik heb een L3 switch ingezet als vlan router en default gateway voor alle vlans. De connectivity tussen de vlans wordt bepaald door een ACL in de L3 switch.
De achterliggende Internet router doet alleen mee in het tech-vlan en de DMZ. Die DMZ is tevens de fall-back naar de Fritzbox of de KPN router (Box12) – mocht het ooit nodig zijn. Dit wil zeggen dat ik de huidige router altijd kan vervangen door een van die twee; de rest blijft dan doorlopen.
Schematisch: internet <==> omada router (en dmz) <==> L3-switch (en vlan router) <==> alle andere apparaten
De nat-ing vindt enkel plaats in de omada router. Deze is tevens dhcp- en dns-server voor de dmz.
Een apparaat/systeem/server wat voor meerdere vlans ontsloten moet zijn krijgt in elk van die vlans een “pootje”. De ACL in de L3 switch bepaald welke vlans met elkaar kunnen babbelen. Vraag: waarom zou ik dit *niet* moeten willen?
Alles op het gebied van dhcp, dns en vlans wordt “bestuurd” door de lxc container genaamd morpheus. Daarbinnen draaien een paar docker containers; waaronder pihole en omada. De meeste docker containers maken gebruik van het docker “host”-netwerk; sommige van het docker “bridge”-netwerk. In combinatie met de ACL in de switch kan ik op deze manier per applicatie/container bepalen langs welk vlan deze ontsloten moet worden.
In pihole zie ik inderdaad alleen de interfaces met op het eind 235. Daarnaast is er een lijst met de dns namen van alle apparaten/systemen/servers; waaronder ook die voor morpheus voor elk vlan. Het genoemde probleem speelt alleen bij pihole v6 – niet bij pihole v5. Beiden maken gebruik van dezelfde lijst en zijn “gevoed” met dezelfde dnsmasq config bestandjes.
Om bij een nieuwe v6 versie snel heen-en-weer te kunnen schakelen voor testen heb ik een pihole v5 en een pihole v6 docker container aangemaakt. Uiteraard is er steeds maar een daadwerkelijk actief – ook na een reboot van de lxc.
Eerder vanmorgen nog wat testen gedaan met de nieuwste v6 versie - nog geen verschil/verbetering gezien - problemen blijven - weer terug naar v5.
Voor de volledigheid (enigszins off-topic en wellicht niet relevant): de lxc container morpheus draait op een proxmox server met twee ethernet poorten in bonding mode 6 (d.w.z. balance-alb).
Ik heb een L3 switch ingezet als vlan router en default gateway voor alle vlans. De connectivity tussen de vlans wordt bepaald door een ACL in de L3 switch.
De achterliggende Internet router doet alleen mee in het tech-vlan en de DMZ. Die DMZ is tevens de fall-back naar de Fritzbox of de KPN router (Box12) – mocht het ooit nodig zijn. Dit wil zeggen dat ik de huidige router altijd kan vervangen door een van die twee; de rest blijft dan doorlopen.
Schematisch: internet <==> omada router (en dmz) <==> L3-switch (en vlan router) <==> alle andere apparaten
De nat-ing vindt enkel plaats in de omada router. Deze is tevens dhcp- en dns-server voor de dmz.
Een apparaat/systeem/server wat voor meerdere vlans ontsloten moet zijn krijgt in elk van die vlans een “pootje”. De ACL in de L3 switch bepaald welke vlans met elkaar kunnen babbelen. Vraag: waarom zou ik dit *niet* moeten willen?
Alles op het gebied van dhcp, dns en vlans wordt “bestuurd” door de lxc container genaamd morpheus. Daarbinnen draaien een paar docker containers; waaronder pihole en omada. De meeste docker containers maken gebruik van het docker “host”-netwerk; sommige van het docker “bridge”-netwerk. In combinatie met de ACL in de switch kan ik op deze manier per applicatie/container bepalen langs welk vlan deze ontsloten moet worden.
In pihole zie ik inderdaad alleen de interfaces met op het eind 235. Daarnaast is er een lijst met de dns namen van alle apparaten/systemen/servers; waaronder ook die voor morpheus voor elk vlan. Het genoemde probleem speelt alleen bij pihole v6 – niet bij pihole v5. Beiden maken gebruik van dezelfde lijst en zijn “gevoed” met dezelfde dnsmasq config bestandjes.
Om bij een nieuwe v6 versie snel heen-en-weer te kunnen schakelen voor testen heb ik een pihole v5 en een pihole v6 docker container aangemaakt. Uiteraard is er steeds maar een daadwerkelijk actief – ook na een reboot van de lxc.
Eerder vanmorgen nog wat testen gedaan met de nieuwste v6 versie - nog geen verschil/verbetering gezien - problemen blijven - weer terug naar v5.
Voor de volledigheid (enigszins off-topic en wellicht niet relevant): de lxc container morpheus draait op een proxmox server met twee ethernet poorten in bonding mode 6 (d.w.z. balance-alb).
[ Voor 3% gewijzigd door Airw0lf op 25-02-2025 16:29 ]
makes it run like clockwork
ph34r my [WCG] Cows :P
:strip_exif()/u/49248/DPCkoeienUD.gif?f=community)
Dat gaat niet werken denk ik : Frtizje dan wel ExperiaBoxje gaan die extra netwerken niet voor je NAT-ten
Ehh... beetje verwarrend stukje tekst... :
- Wil je weten waarom je het zo opgezet moet laten ?!
- Of wil je weten waarom je een Pi-Hole zou moeten willen met meerdere VLAN Interfaces naast de Main Interface zelf ?!
IMHO is het laatste gewoon beter/makkelijker en vooral vanuit Pi-Hole zelf veel simpeler, vooral nu met Pi-Hole v6
Volgens mij hadden Host en Bridge Docker Networks een of andere beperking die je niet hebt bij MACVLAN of zeg ik nou wat raars
Verder heb ik eigenlijk nooit de behoefte gehad om Pi-Hole de DHCP te laten doen : Dat kan prima de Router zelf doen IMHO en vooral als je iets hebt staan dat niet van een ISP is zeg maar
Post die ook eens voor de grap tussen Quote en Code tags
"Problemen" of echt serieuze problemen ?!
Vanwaar die keuze voor Mode 6
|| Stem op mooiere Topic Search linkjes! :) " || Pi-Hole : Geen advertenties meer voor je hele netwerk! >:) ||
:strip_icc():strip_exif()/u/88058/strandballengifts1032_200.jpg?f=community)
Nou, ik draaide dus 6.0.3 met de settings die niet werden overgenomen handmatig opnieuw geconfigureerd... Update naar 6.0.4, is 'ie alsnog allerlei oude settings gaan mergen, staat de NTP server ineens weer aan, en is de interface naar poort 8080 geswitcht terwijl ik lighttpd al had opgeruimd
Poort 80 is dus niet in gebruik, hoe krijg ik 'm weer terug? Reboot van de container helpt iig niet.
edit: Gevonden in pihole.toml config file.
Poort 80 is dus niet in gebruik, hoe krijg ik 'm weer terug? Reboot van de container helpt iig niet.
edit: Gevonden in pihole.toml config file.
[ Voor 5% gewijzigd door strandbal op 25-02-2025 20:36 ]
Hier stond een dode link.
:strip_exif()/u/172393/crop671a552786579_cropped.gif?f=community)
:strip_icc():strip_exif()/u/65598/Sothpark-Erwin-Sm2.jpg?f=community)
Ah sad, ik zit het net te googlen.
ChatGPT zegt dat ik dit moet doen:
port = "80,[::]:80,[::]:"
In /etc/pihole/pihole.toml
Dus dat moet ik zo ff proberen.
Edit: Mm de webinterface geeft nu 403 forbidden. Maar ik kan wel weer bij de rest, dus mij wel ff best zo
[ Voor 13% gewijzigd door Donstil op 25-02-2025 22:48 ]
My thirsty wanted whiskey. But my hunger needed beans
Heeft iemand nog een oplossing, dat sinds de update al mijn clients 172.17.0.1 (Bridge?) zijn, voorheen zag ik hier gewoon 192.168.178.1 (clien 1), 192.168.178.5 (client 2) etc. Nu kan ik niet goed zien welk device de meest foute URL's probeert te benaderen (Nu weet ik al dat dit de Google Chromecast With Google TV is ).
Dit
).Dit
code:
toevoegen aan mijn installatie, zorgt voor een onbenaderbare Pi-Hole, denk ik. Want in Docker zie ik dan wel een gezonde service die op is, maar kan ik Pi-Hole niet benaderen.
1
| --network=host |
[ Voor 25% gewijzigd door Jumpman op 25-02-2025 22:57 ]
Nintendo Network ID: Oo_Morris_oO | PSN: Oo_Morris_oO.
:strip_icc():strip_exif()/u/72351/Toon_en_Len%25202015-02-02%252070x69.jpg?f=community)
Ik heb mijn Pi-Holes in een macvlan draaien.:
Heeft iemand nog een oplossing, dat sinds de update al mijn clients 172.17.0.1 (Bridge?) zijn, voorheen zag ik hier gewoon 192.168.178.1 (clien 1), 192.168.178.5 (client 2) etc. Nu kan ik niet goed zien welk device de meest foute URL's probeert te benaderen (Nu weet ik al dat dit de Google Chromecast With Google TV is
Ditcode:toevoegen aan mijn installatie, zorgt voor een onbenaderbare Pi-Hole, denk ik. Want in Docker zie ik dan wel een gezonde service die op is, maar kan ik Pi-Hole niet benaderen.
The problem with common sense is that sense never ain't common - From the notebooks of Lazarus Long
GoT voor Behoud der Nederlandschen Taal [GvBdNT
Paar vragen::
Heeft iemand nog een oplossing, dat sinds de update al mijn clients 172.17.0.1 (Bridge?) zijn, voorheen zag ik hier gewoon 192.168.178.1 (clien 1), 192.168.178.5 (client 2) etc. Nu kan ik niet goed zien welk device de meest foute URL's probeert te benaderen (Nu weet ik al dat dit de Google Chromecast With Google TV is
Ditcode:toevoegen aan mijn installatie, zorgt voor een onbenaderbare Pi-Hole, denk ik. Want in Docker zie ik dan wel een gezonde service die op is, maar kan ik Pi-Hole niet benaderen.
(1) - Hoe start je pihole op? Als het Docker cli of compose is: hoe ziet het script eruit?
(2) - Wat voor systeem? Als het Linux is: wat is de output van ss -tulpn?
(3) - Wat bedoel je met "clients"? Waar "zie" je die 172.17.0.1 dan precies?
makes it run like clockwork
:strip_icc():strip_exif()/u/340735/crop6448f8f93e3de.jpg?f=community)
Een host network driver gebruiken in docker zorgt dat een container alleen gebruik maakt van de softwareomgeving in docker, maar qua netwerk zal het zich gedragen alsof de PiHole software rechtstreeks op de host is geinstalleerd. Dus is je host 10.0.0.1 dan worden alle poorten van je Pihole Docker ook rechtstreeks 1 op 1 gemapped en kan je ook niet veranderen.:
Heeft iemand nog een oplossing, dat sinds de update al mijn clients 172.17.0.1 (Bridge?) zijn, voorheen zag ik hier gewoon 192.168.178.1 (clien 1), 192.168.178.5 (client 2) etc. Nu kan ik niet goed zien welk device de meest foute URL's probeert te benaderen (Nu weet ik al dat dit de Google Chromecast With Google TV is
Ditcode:toevoegen aan mijn installatie, zorgt voor een onbenaderbare Pi-Hole, denk ik. Want in Docker zie ik dan wel een gezonde service die op is, maar kan ik Pi-Hole niet benaderen.
:strip_icc():strip_exif()/u/269321/crop60dec0d47c918_cropped.jpg?f=community)
Ja dat had ik dus ook na de update naar 6.0.4 dat er een andere poort werd gebruikt. Had ik even niet zo snel in de gaten, dus een half uur lopen zoeken. Poorten stonden bij mij van 80 naar 8080 en van 443 naar 8443. Beide aangepast naar 80 en 443 en het werkte weer.:
Nou, ik draaide dus 6.0.3 met de settings die niet werden overgenomen handmatig opnieuw geconfigureerd... Update naar 6.0.4, is 'ie alsnog allerlei oude settings gaan mergen, staat de NTP server ineens weer aan, en is de interface naar poort 8080 geswitcht terwijl ik lighttpd al had opgeruimd
Poort 80 is dus niet in gebruik, hoe krijg ik 'm weer terug? Reboot van de container helpt iig niet.
edit: Gevonden in pihole.toml config file.
Lighttpd had ik ook al verwijderd, dus vond het vreemd waarom de poorten worden aangepast. Er draait verder niks op mijn pihole, ja wireguard maar die heeft geen webinterface.
XBL: MRE Inc
ph34r my [WCG] Cows :P
Ik heb het idee dat jij de Pi-Hole webGUI vanuit elke VLAN wilt kunnen benaderen op de Host+Domein uit dat VLAN manier en dat is dus naar mijn mening nergens voor nodig en levert je alleen maar gedoe op dus laat die lekker in je Management VLAN
Als @Freee!! zegt dat het de beste Docker optie is dan is dat gewoon zo !!!
Die twee bestaan in principe niet meer en zijn dus pihole.toml geworden
Het kan best zo zijn dat ze iets zijn vergeten hoor... Dat moeten we natuurlijk niet uitsluiten!
Als je het echt 100% zeker weet dan moet je effe via Discourse of GitHub een Bug Report dan wel Feature Request aanmaken
Enkele vragen van mijn kant :
- Waarom heeft elke Interface ook een Gateway/DNS Server/Search Domain ingesteld staan in /etc/network/interfaces
Ik zou verwachten dat je eth0 dat alleen heeft en de rest "domme takjes" zijn so to speak
Dit kan namelijk ook invloed hebben op je eerdere DNS Resolving problemen waarbij je in feite een ongewenst resultaat kreeg !!
Ik zou eigenlijk voor willen stellen om die weg te halen en dan weer te gaan testen
Wel een kleine sidenote vanwege iets wat ik onlangs heb ontdekt :
Dankzij de switch van Ubiquiti UniFi USG Router naar OPNsense als mijn Router ben ik erachter gekomen dat ik last had van A-Symmetric Routing op mijn Pi-Hole met meerdere VLAN Interfaces en kreeg ik last van een SSH sessie die na 30 seconden of zo bevroor !!
Dit is te fixen en hoe precies kan je in mijn eerdere reacties lezen met het stukje over Policy Based Routing op basis van Source ingevoerd in een SystemD-NetworkD netwerk configuratie
Deze voert in feite enkele ip rule & ip route regeltjes uit als die wordt ingelezen...
- Waarom is je "Local DNS Records" file niet gewoon de file die Pi-Hole v5 altijd al gebruikte : custom.list
(Zeg ik zo effe uit het blote hoofd...)
- Verder is zo'n bestand IIRC in theorie onderhevig aan dezelfde syntax als een hosts bestand en zou die zo eruit moeten zien :
code:
1
| 192.168.1.234 host.domein.lan host |
Zie : https://www.man7.org/linux/man-pages/man5/hosts.5.html
Is geen ramp of zo, maar wel officiëel de standaard
- Is het echt de bedoeling dat meerdere hosts in alle 3 VLANs actief zijn
Ik zie dit :
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
| # tech.lan - vlan 1 192.168.139.201 osiris.tech.lan 192.168.139.234 cypher.tech.lan 192.168.139.235 morpheus.tech.lan ###### # wired.lan - vlan 210 192.168.210.201 osiris.wired.lan 192.168.210.234 cypher.wired.lan 192.168.210.235 morpheus.wired.lan ###### # wifi.lan - vlan 220 192.168.220.201 osiris.wifi.lan 192.168.220.234 cypher.wifi.lan 192.168.220.235 morpheus.wifi.lan |
Morpheus begrijp ik, want daar hebben we het over (Pi-Hole Server) maar waarom die andere twee dan ?!
/Vragen, vragen, zoveel vragen !!!
Dit is een bug en degene die daar verantwoordelijk voor is heeft er heel veel spijt van : https://discourse.pi-hole...ate-broke-pihole/76891/10:
Nou, ik draaide dus 6.0.3 met de settings die niet werden overgenomen handmatig opnieuw geconfigureerd... Update naar 6.0.4, is 'ie alsnog allerlei oude settings gaan mergen, staat de NTP server ineens weer aan, en is de interface naar poort 8080 geswitcht terwijl ik lighttpd al had opgeruimd
Poort 80 is dus niet in gebruik, hoe krijg ik 'm weer terug? Reboot van de container helpt iig niet.
edit: Gevonden in pihole.toml config file.
Dan doe je nu niet dit :
Maar dan zoek je gewoon op hoe je dat met 1 commando verandert of speel je effe in een SSH sessie met het pihole-FTL commando en dan zie je dit :
code:
1
| pihole-FTL --config webserver.port '80o,443os,[::]:80o,[::]:443os' |
Als je poort 81 wilt hebben dan doe je dit :
code:
1
| pihole-FTL --config webserver.port '81' |
En dat zou weer in /etc/pihole/pihole.toml weggeschreven moeten worden als het goed is
|| Stem op mooiere Topic Search linkjes! :) " || Pi-Hole : Geen advertenties meer voor je hele netwerk! >:) ||
:
Maar dan zoek je gewoon op hoe je dat met 1 commando verandert of speel je effe in een SSH sessie met het pihole-FTL commando en dan zie je dit :
code:
Als je poort 81 wilt hebben dan doe je dit :
code:
En dat zou weer in /etc/pihole/pihole.toml weggeschreven moeten worden als het goed is
< Nah met deze emoji ben ik het niet eens , chatGPT heeft mij prima de oplossing gegeven en ik welke file ik het moest aanpassen. Neemt niet weg dat PiHole zich gewoon niet met de andere poorten moet bemoeien natuurlijk, dat gaat ze helemaal niets aan
My thirsty wanted whiskey. But my hunger needed beans
ph34r my [WCG] Cows :P
- https://pi-hole.net/blog/2025/02/18/introducing-pi-hole-v6/:
Neemt niet weg dat PiHole zich gewoon niet met de andere poorten moet bemoeien natuurlijk, dat gaat ze helemaal niets aan
- https://pi-hole.net/blog/...lease-fixes-and-findings/
Had je kunnen weten...
|| Stem op mooiere Topic Search linkjes! :) " || Pi-Hole : Geen advertenties meer voor je hele netwerk! >:) ||
Ja ik heb wel wat beters te doen natuurlijk:
[...]
- https://pi-hole.net/blog/2025/02/18/introducing-pi-hole-v6/
- https://pi-hole.net/blog/...lease-fixes-and-findings/
Had je kunnen weten...
My thirsty wanted whiskey. But my hunger needed beans
ph34r my [WCG] Cows :P
Als je het had gelezen dan had je meer tijd voor die andere dingen gehad uiteindelijk:
Ja ik heb wel wat beters te doen natuurlijk
|| Stem op mooiere Topic Search linkjes! :) " || Pi-Hole : Geen advertenties meer voor je hele netwerk! >:) ||
Haha ja misschien wel.:
[...]
Als je het had gelezen dan had je meer tijd voor die andere dingen gehad uiteindelijk
Neemt het punt niet weg dat ze gewoon van de andere poorten moeten afblijven in een bestaande situatie, of het nou in de release notes staat of niet
My thirsty wanted whiskey. But my hunger needed beans
Volgens mij is dat een kwestie van lighttpd ja of nee disabled. (bij nee gaat men naar 8080):
[...]
Haha ja misschien wel.
Neemt het punt niet weg dat ze gewoon van de andere poorten moeten afblijven in een bestaande situatie, of het nou in de release notes staat of niet
Pihole met versie 5 en lighttpd installeren, lighttpd ook voor andere toepassingen gebruiken en dan vervolgens gaan upgraden naar 6 met lighttpd disabled gaan je andere toepassingen stuk natuurlijk.
Er is daar al lezende geen rekening mee gehouden.
Dat laatste lijkt het op inderdaad, ik denk dat ik vanavond even een backup terugzet en dan handmatig de update doen met de huidige resultaten in het achterhoofd
My thirsty wanted whiskey. But my hunger needed beans
Nee - dat is niet zo - alleen de dhcp en dns zijn in elk vlan beschikbaar.:
[...]
Ik heb het idee dat jij de Pi-Hole webGUI vanuit elke VLAN wilt kunnen benaderen op de Host+Domein uit dat VLAN manier en dat is dus naar mijn mening nergens voor nodig en levert je alleen maar gedoe op dus laat die lekker in je Management VLAN
De webgui is alleen in het management vlan beschikbaar.
Alleen... als ik vanuit een willekeurig vlan de webui wil aanspreken via de url van het management vlan (d.w.z. morpheus.tech.lan), dan geeft pihole het verkeerde ip adres terug. Namelijk het ip adres van de dns server van het betreffende vlan.
Ja - ga ik doen.[...]
Als je het echt 100% zeker weet dan moet je effe via Discourse of GitHub een Bug Report dan wel Feature Request aanmaken
Ga ik doen - bedankt voor de tip[...]
Enkele vragen van mijn kant :
- Waarom heeft elke Interface ook een Gateway/DNS Server/Search Domain ingesteld staan in /etc/network/interfaces
Ik zou verwachten dat je eth0 dat alleen heeft en de rest "domme takjes" zijn so to speak
Dit kan namelijk ook invloed hebben op je eerdere DNS Resolving problemen waarbij je in feite een ongewenst resultaat kreeg !!
Ik zou eigenlijk voor willen stellen om die weg te halen en dan weer te gaan testen
Linkje met dat stukje policy based routing?Wel een kleine sidenote vanwege iets wat ik onlangs heb ontdekt :
Dankzij de switch van Ubiquiti UniFi USG Router naar OPNsense als mijn Router ben ik erachter gekomen dat ik last had van A-Symmetric Routing op mijn Pi-Hole met meerdere VLAN Interfaces en kreeg ik last van een SSH sessie die na 30 seconden of zo bevroor !!
Dit is te fixen en hoe precies kan je in mijn eerdere reacties lezen met het stukje over Policy Based Routing op basis van Source ingevoerd in een SystemD-NetworkD netwerk configuratie
Deze voert in feite enkele ip rule & ip route regeltjes uit als die wordt ingelezen...
Ik heb dat probleem tot nu toe niet gehad.
Ja - dit is echt de bedoeling.- Waarom is je "Local DNS Records" file niet gewoon de file die Pi-Hole v5 altijd al gebruikte : custom.list
(Zeg ik zo effe uit het blote hoofd...)
- Verder is zo'n bestand IIRC in theorie onderhevig aan dezelfde syntax als een hosts bestand en zou die zo eruit moeten zien :
code:
Zie : https://www.man7.org/linux/man-pages/man5/hosts.5.html
Is geen ramp of zo, maar wel officiëel de standaard
- Is het echt de bedoeling dat meerdere hosts in alle 3 VLANs actief zijn
De meeste dingen hebben een historische achtergrond - ben ooit eens begonnen met alleen dnsmasq - die kent geen "custom.list". Op enig moment heb ik daar pihole aan toegevoegd.
Dit is gedaan zodat apparaten in het betreffende vlan niet langs de vlan-router/switch hoeven.
In die vlan-router/switch staat alleen een regel wat vlan-naar-vlan blokkert.
In dit voorbeeld is osiris een nas met samba, nextcloud en syncthing.
En cypher de tailscale vpn router.
/Vragen, vragen, zoveel vragen !!!
[quote]
[ Voor 7% gewijzigd door Airw0lf op 26-02-2025 17:46 ]
makes it run like clockwork
Ik zeg niet dat het de beste optie is, het is gewoon de optie die ik gebruik omdat die voor mij goed (zonder problemen) werkt, maar het vereist wel correcte inrichting.
The problem with common sense is that sense never ain't common - From the notebooks of Lazarus Long
GoT voor Behoud der Nederlandschen Taal [GvBdNT
ph34r my [WCG] Cows :P
Ahh... OK... vandaar dus mijn voorstel om effe overnieuw naar het geheel te kijken
Dat was dit : nero355 in "[Pi-Hole] Ervaringen & discussie"
Wat dus dit is geworden : nero355 in "Zelfbouw project: Firewall / Router / AP"
En dus vooral draait om deze regels :
code:
1
2
3
4
5
6
7
8
9
10
11
| [RoutingPolicyRule] From=192.168.1.3 Table=100 Priority=1 [Route] Gateway=192.168.1.1 Destination=10.0.0.0/24 Source=192.168.1.3 Scope=site Table=100 |
Ik bind OpenSSH Server namelijk altijd aan eth0 alleen wat in mijn Management VLAN zit en dus altijd via de Firewall moet vanuit mijn reguliere thuisnetwerk.
Echter bleek het verkeer zo te lopen :
- SSH komt binnen via 192.168.1.x
- Wil vervolgens naar buiten via een 10.0.0.x VLAN Interface
(Is tenslotte logische Kernel Routing via de kortste route naar het Destination IP Address toe hé!)
- Firewall vindt dat niet leuk op het moment dat die de inhoud van de pakketjes ziet (Is niet Stateful tenslotte) en houdt het tegen.
Gevolg/Resultaat = Time-outs en dus een niet meer reagerende SSH sessie
OK, maar zoals je dus kan lezen heb "ik zelfs" wat typische "Ja, maar het heeft altijd goed gewerkt!!!111oneoneone" momentjes gehad dus soms moet je dingen helaas toch anders gaan doen !!
Kwam ook op het Pi-Hole Forum deze een paar keer tegen : https://xkcd.com/1172/
Ja, maar ik vind dat je gewoon keihard gelijk hebt en daarom moedig ik anderen graag aan om hetzelfde te doen
|| Stem op mooiere Topic Search linkjes! :) " || Pi-Hole : Geen advertenties meer voor je hele netwerk! >:) ||
The problem with common sense is that sense never ain't common - From the notebooks of Lazarus Long
GoT voor Behoud der Nederlandschen Taal [GvBdNT
@nero355 -
Die routing policy lijkt me niet meer dan een manier van static routes aanmaken - toch?
Ik heb de test gedaan met de "domme" pootjes - heeft niet geholpen.
Nog steeds wordt het verkeerde IP adres teruggegeven.
Mijn oog "viel" net ook weer op een probleempje wat al langer bestaat:
Soms wordt een fqdn "aangevuld" met .tech.lan.
Zo komt een zoekactie naar synthing.net ook voorbij als syncthing.net.tech.lan.
Of een apparaat in het iot-vlan (bijvoorbeeld inv-1.iot.lan) komt ook langs als inv-1.iot.lan.tech.lan.
Enig idee waar dat vandaan zou kunnen komen?
Inzake alles anders doen:
Over een week of twee eens kijken wat de situatie is met pihole v6.
Als er dan nog steeds dezelfde probleempjes zijn eens van scratch opnieuw opbouwen.
We gaan het zien...
Die routing policy lijkt me niet meer dan een manier van static routes aanmaken - toch?
Ik heb de test gedaan met de "domme" pootjes - heeft niet geholpen.
Nog steeds wordt het verkeerde IP adres teruggegeven.
Mijn oog "viel" net ook weer op een probleempje wat al langer bestaat:
Soms wordt een fqdn "aangevuld" met .tech.lan.
Zo komt een zoekactie naar synthing.net ook voorbij als syncthing.net.tech.lan.
Of een apparaat in het iot-vlan (bijvoorbeeld inv-1.iot.lan) komt ook langs als inv-1.iot.lan.tech.lan.
Enig idee waar dat vandaan zou kunnen komen?
Inzake alles anders doen:
Over een week of twee eens kijken wat de situatie is met pihole v6.
Als er dan nog steeds dezelfde probleempjes zijn eens van scratch opnieuw opbouwen.
We gaan het zien...
makes it run like clockwork
Klinkt een beetje alsof er iets met FQDN c.q. search-domain hier iets niet goed gaat.
Iets anders kan ik er niet van maken als ik jouw setup lees. Ben benieuwd of iemand anders nog een ingeving heeft.
:strip_exif()/u/25408/Eraser127-fiets.gif?f=community)
:strip_exif()/u/253657/crop6755bf724a347.gif?f=community)
@Eraser127 bedoelt dat zijn core & web niet worden geupdate. Terwijl er wel nieuwere versies zijn. Hij heeft van beide versie 6.0, terwijl de nieuwste resp. 6.0.4 & 6.01 zijn.
code:
1
2
3
| Core version is v6.0 (Latest: v6.0.4) Web version is v6.0 (Latest: v6.0.1) FTL version is v6.0.2 (Latest: v6.0.2) |
Bij mij zijn deze 2 modules wel bij een update na eerdere installatie wel ge-update.
:strip_exif()/f/image/nBEXirCPL5cEKk8vdjtjS0on.png?f=user_large)
[ Voor 17% gewijzigd door W1ck1e op 27-02-2025 12:03 ]
:strip_icc():strip_exif()/u/166592/crop5dbd2b6a89ba9_cropped.jpeg?f=community)
ph34r my [WCG] Cows :P
Ja en Nee : Er moet ook een IP Rule bij om het ook daadwerkelijk door de Kernel te laten gebruiken en dus ook de Source aan te geven i.p.v. het gebruikelijke namelijk de Destination
Hmm... crap...
Had je die vraag zelf niet beantwoord een tijdje geleden
Ik vergeet namelijk elke keer de uitleg voor dat verschijnsel
Opzich geen gek ideeInzake alles anders doen:
Over een week of twee eens kijken wat de situatie is met pihole v6.
Als er dan nog steeds dezelfde probleempjes zijn eens van scratch opnieuw opbouwen.
We gaan het zien...
Dat denk ik dus ook, maar ik kan zo gauw niet zien waar precies en of dat het wel is überhaupt...
Dat doet je netwerkconfig als het goed is
Zie ook : https://linux.die.net/man/5/resolv.conf
Switch voor de grap eens naar checkout dev en daarna weer naar master en kijk eens wat er gebeurt
Als HTTPS wel werkt en HTTP niet dan heb je een poort 80 conflict in principe en moet je uitzoeken waar dat vandaan komt
Ik vind het trouwens zo gaaf dat je nu makkelijk HTTPS werkend kan krijgen (Ook al is het met een Self Signed Certificate...) dat ik gewoon alleen poort 443 zou gebruiken op de regel :
code:
1
| ports = |
|| Stem op mooiere Topic Search linkjes! :) " || Pi-Hole : Geen advertenties meer voor je hele netwerk! >:) ||
@nero@Als HTTPS wel werkt en HTTP niet dan heb je een poort 80 conflict in principe en moet je uitzoeken waar dat vandaan komt
Ik vind het trouwens zo gaaf dat je nu makkelijk HTTPS werkend kan krijgen (Ook al is het met een Self Signed Certificate...) dat ik gewoon alleen poort 443 zou gebruiken op de regel :
code:
1
ports =
Vergeef mijn kennis maar ik weet niet precies waar je het over hebt? Moet ik een poort ergens instellen?
Ik vind het trouwens zo gaaf dat je nu makkelijk HTTPS werkend kan krijgen (Ook al is het met een Self Signed Certificate...) dat ik gewoon alleen poort 443 zou gebruiken op de regel :
code:
1
ports =
Vergeef mijn kennis maar ik weet niet precies waar je het over hebt? Moet ik een poort ergens instellen?
Groetjes André,
:strip_exif()/u/128173/crop59a1592e54731_cropped.gif?f=community)
Nu maar hopen dat het importeren van een eigen (wildcard)certificaat net zo makkelijk gaat:
Ik vind het trouwens zo gaaf dat je nu makkelijk HTTPS werkend kan krijgen (Ook al is het met een Self Signed Certificate...) dat ik gewoon alleen poort 443 zou gebruiken op de regel :
code:
* Raven heeft daar nog niet naar gekeken....
After the first glass you see things as you wish they were. After the second you see things as they are not. Finally you see things as they really are, and that is the most horrible thing in the world...
Oscar Wilde
Ik heb letterlijk alle stappen die hier staan beschreven uitgevoerd en was met 5 minuten klaar. Ik had gelukkig mijn domeinnaam een tijdje geleden al naar Cloudflare overgezet mbt DNS. Het enige wat niet staat beschreven, is hoe je zelf je api token kunt maken bij Cloudflare.:
[...]
Nu maar hopen dat het importeren van een eigen (wildcard)certificaat net zo makkelijk gaat
* Raven heeft daar nog niet naar gekeken....
Het kan zijn dat je een andere DNS provider hebt, maar dan moet je bij stap 2 iets andere commando's geven. Bv als je DNS bij Godaddy draait (wat ik eerst had) dan moet je GD_token= gebruiken, die staan hier https://github.com/acmesh-official/acme.sh/wiki/dnsapi
https://gist.github.com/k...ddb59a7d336b20376695797c6
XBL: MRE Inc
:strip_icc():strip_exif()/u/53754/crop5f96dc1010e28_cropped.jpeg?f=community)
ph34r my [WCG] Cows :P
Bij de "checkout dev" versie komen dan ook constant kleine fixes erbij en zo dus dan gaat het al gauw heel hard
LEKKER!!!
Je kan de gebruikte poort van de webGUI van Pi-Hole v6 heel makkelijk instellen :
- Optie #1 = Via de webGUI zelf die dan op dat moment via een ongewenste poort te bereiken is.
- Optie #2 = Via de /etc/pihole/pihole.toml file als je via SSH inlogt.
- Optie #3 = Via het pihole-FTL commando : pihole-FTL --config webserver.port '80o,443os,[::]:80o,[::]:443os'
Dat is geloof ik wat er standaard in de Pi-Hole v6 configuratie staat
Als je via SSH inlogt en naar /etc/pihole/pihole.toml kijkt dan zie je zoiets staan :
code:
1
| port = '80o,443os,[::]:80o,[::]:443os' |
Als je daar bijvoorbeeld dit van maakt :
code:
1
| port = '443s' |
Dan heb je alleen HTTPS toegang op poort 443
Wil je echter alleen HTTP toegang op poort 80 dan kan je dit doen :
code:
1
| port = '80' |
Maar bij die poort lijk jij een conflict te hebben dus die is blijkbaar onbruikbaar om wat voor reden dan ook...
Wat draai je nog meer naast Pi-Hole op dit moment ??
Onderhuids is het gewoon Civetweb : https://civetweb.github.io/civetweb/:
Nu maar hopen dat het importeren van een eigen (wildcard)certificaat net zo makkelijk gaat
* Raven heeft daar nog niet naar gekeken....
Dus je kan relatief makkelijk alles regelen en je zal geen gedoe hebben met inpakken/uitpakken/herpakken van bestanden zoals bij een Ubiquiti UniFi Controller bijvoorbeeld
Ik zag ook al meerdere voorbeelden van een werkende Let's Encrypt Certificate configuratie dus dat komt wel goed
Stap #4 is heel belangrijk vooral : Alles wat in de file staat moet in de juiste volgorde staan !!
Anders krijg je half werkende rare toestanden zag ik...
Verder eigenlijk dit gewoon : https://docs.pi-hole.net/api/tls/#using-your-own-certificate
|| Stem op mooiere Topic Search linkjes! :) " || Pi-Hole : Geen advertenties meer voor je hele netwerk! >:) ||
Ja - klopt - maar die aanpak lijkt niet altijd te werken voor lxc containers.:
[...]
Had je die vraag zelf niet beantwoord een tijdje geleden
Ik vergeet namelijk elke keer de uitleg voor dat verschijnsel
Dat lijkt nu opgelost te zijn met de volgende acties:
(1) - sudo touch /etc/.pve-ignore.resolv.conf
(2) - domain= uit-commenten in /etc/systemd/resolved.conf
(3) - sudo ln -sf ../run/systemd/resolve/stub-resolv.conf /etc/resolv.conf
(4) - in de dnsmasq-pihole-addn-config dhcp-option=option:domain-search,.
(5) - in de dnsmasq-vlan-config dhcp-option=eth0<.vlan-id>,option:domain-search,.
Voor de lxc met pihole heb ik (1), (4) en (5) gedaan. Voor alle andere lxc's (1), (2) en (3).
(1) zorgt er voor dat Proxmox het bestandje resolv.conf in de lxc met rust laat.
(2) zorgt er voor dat de search-list leeg blijft.
(3) zorgt er voor dat systemd-resolved zijn local caching via pihole blijft doen.
(4) zorgt er voor dat pihole/dnsmasq voor het management vlan search alleen een punt meestuurt.
(5) is als (4) - maar dan voor alle vlans/subnetten.
[
[...]
Dat denk ik dus ook, maar ik kan zo gauw niet zien waar precies en of dat het wel is überhaupt...
Klopt - maar in mijn geval was het een combinatie van dingen.
Zie de 5 acties hierboven: dit lijkt het fenomeen grotendeels op te lossen.
Alleen Windows en synthing lijken er zich niks van aan te trekken.
edit:
Ow... en de reverse proxy (via swag) doet het ook weer - in de proxy-conf moet de api-locatie meegenomen worden. Hier is het even afwachten hoe de officiele config eruit komt te zien.
Maar voor nu lijkt pihole via de reverse proxy volledig te werken.
Ow... en de reverse proxy (via swag) doet het ook weer - in de proxy-conf moet de api-locatie meegenomen worden. Hier is het even afwachten hoe de officiele config eruit komt te zien.
Maar voor nu lijkt pihole via de reverse proxy volledig te werken.
[ Voor 19% gewijzigd door Airw0lf op 28-02-2025 20:09 ]
makes it run like clockwork
ph34r my [WCG] Cows :P
Lekker man! Volgens mij was ik niet helemaal duidelijk
, ik heb al een wildcard-certificaat, m.b.v. certbot en wat bash-scripts om de DNS-verificatie (DirectAdmin) te doen, het gaat mij alleen om het importeren van een al bestaand certificaat Na een eind naar beneden scrollen zag ik
Bash:
1
2
3
| sudo rm -f /etc/pihole/tls* && \ sudo cat fullchain.cer ns1.mydomain.com.key | sudo tee /etc/pihole/tls.pem && / sudo service pihole-FTL restart |
Dat zocht ik
, later eens testen op een van de test-Pi's. De primaire zit nog op v5.Zie hierboven:
[...]
Onderhuids is het gewoon Civetweb : https://civetweb.github.io/civetweb/
Dus je kan relatief makkelijk alles regelen en je zal geen gedoe hebben met inpakken/uitpakken/herpakken van bestanden zoals bij een Ubiquiti UniFi Controller bijvoorbeeld
Ik zag ook al meerdere voorbeelden van een werkende Let's Encrypt Certificate configuratie dus dat komt wel goed
[...]
Stap #4 is heel belangrijk vooral : Alles wat in de file staat moet in de juiste volgorde staan !!
Anders krijg je half werkende rare toestanden zag ik...
Verder eigenlijk dit gewoon : https://docs.pi-hole.net/api/tls/#using-your-own-certificate
, bij Unifi is het een ander verhaal inderdaad, heb daar (en voor andere dingen zoals pfSense, Webmin en HASS) bash-scriptjes voor geschreven. Het gaat bij de een wel véél eenvoudiger dan de ander 
After the first glass you see things as you wish they were. After the second you see things as they are not. Finally you see things as they really are, and that is the most horrible thing in the world...
Oscar Wilde
Er was vanmorgen weer een update.
:strip_exif()/f/image/gL60XGn0B2yXW79h6nnj9HV4.png?f=user_large)
Ik moest daarna wel even mijn wachtwoord weer wissen. Geen idee of het door de update kwam.
Bij de update op een andere installatie niets van gemerkt.
Ik moest daarna wel even mijn wachtwoord weer wissen. Geen idee of het door de update kwam.
Bij de update op een andere installatie niets van gemerkt.
[ Voor 9% gewijzigd door W1ck1e op 01-03-2025 12:49 ]
:strip_icc():strip_exif()/u/25009/crop65f1e3109d1b7_cropped.jpg?f=community)
Ik draai al lang op V5, een basis V6 heb ik ook draaiend - eigenlijk geen issues mee gehad, alleen unbound heb ik (nog) niet gekoppeld. Die heb ik t liefst ook in een losse container op vmaclan. IP adressen heb ik voldoende met een 10.x.x.x netwerk.
Komende week Heb net wel even de hier door mij gelinkte video bekeken. Geloof dat alles er wel inzit al is het wat "rommelig" gemaakt.
Komende week
Heb net wel even de hier door mij gelinkte video bekeken. Geloof dat alles er wel inzit al is het wat "rommelig" gemaakt.
The problem with common sense is that sense never ain't common - From the notebooks of Lazarus Long
GoT voor Behoud der Nederlandschen Taal [GvBdNT
The problem with common sense is that sense never ain't common - From the notebooks of Lazarus Long
GoT voor Behoud der Nederlandschen Taal [GvBdNT
Tja, DHCP naar de Pi ben ik huiverig voor.... Als ik nu serieuze problemen heb is het de DNS over naar de ISP en klaar. Maar, met standby Pi's moet het wel kunnen natuurlijk. Er draaien momenteel al 5 Pi's en nog een hele hoop meer meuk. Ergens houdt t een keertje op
(al liggen er hier nog 4 op de stapel), ook met de tijd die ik erin wil steken. Heb nog meer projecten....
Als het echt nodig is, kan ik DHCP naar de Fritzbox zetten, maar ik heb een tweede RPi met DHCP klaar staan, hoef ik alleen de DHCP server maar aan te zetten.:
[...]
Tja, DHCP naar de Pi ben ik huiverig voor.... Als ik nu serieuze problemen heb is het de DNS over naar de ISP en klaar. Maar, met standby Pi's moet het wel kunnen natuurlijk. Er draaien momenteel al 5 Pi's en nog een hele hoop meer meuk. Ergens houdt t een keertje op
The problem with common sense is that sense never ain't common - From the notebooks of Lazarus Long
GoT voor Behoud der Nederlandschen Taal [GvBdNT
/u/5091/crop61ea61f79e935_cropped.png?f=community)
With so many things coming back in style, I can't wait till loyalty, intelligence and morals become a trend again.......
:strip_icc():strip_exif()/u/220376/twitchy_ava60.jpg?f=community)
With so many things coming back in style, I can't wait till loyalty, intelligence and morals become a trend again.......
Zelf heb ik pihole en unbound in een docker container draaien met macvlan.
Hierdoor hebben beide containers hun eigen ip-adres.
Voor de container settings gebruik ik docker compose.
Hiermee is de container heel makkelijk opnieuw maken na een update.
Je haalt de nieuwe image binnen met
docker pull <naam:tag>
Daarna container opnieuw maken met commando
docker compose up -d <container naam>
Ik gebruik deze docker-compse
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
| services:
pihole:
container_name: pihole
image: pihole/pihole:latest
mac_address: d0:ca:ab:cd:ef:01
hostname: pihole
restart: unless-stopped
environment:
FTLCONF_dns_upstreams: 192.168.1.251
TZ: 'europe/amsterdam'
volumes:
- '/docker/pihole/pihole:/etc/pihole'
networks:
piNet:
ipv4_address: 192.168.1.250
unbound:
container_name: unbound
image: klutchell/unbound:latest
mac_address: d0:ca:ab:cd:ef:02
restart: unless-stopped
volumes:
- '/docker/pihole/unbound:/etc/unbound/custom.conf.d'
networks:
piNet:
ipv4_address: 192.168.1.251
networks:
piNet:
driver: macvlan
driver_opts:
parent: eth0
ipam:
config:
- subnet: 192.168.1.0/24
gateway: 192.168.1.1
ip_range: 192.168.1.248/29 |
Mijn unbound.conf
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
| server: # The verbosity level. # Level 0: No verbosity, only errors. # Level 1: Gives operational information. # Level 2: Gives detailed operational information including short information per query. # Level 3: Gives query level information, output per query. # Level 4: Gives algorithm level information. # Level 5: Logs client identification for cache misses. # Default: 1 verbosity: 0 # Interface to use to connect to the network. # This interface is listened to for queries from clients, and answers to clients are given from it. interface: 127.0.0.1 # The port number on which the server responds to queries. # Default: 53 port: 53 # Enable or disable whether IPv4 queries are answered or issued. # Default: yes do-ip4: yes # Enable or disable whether IPv6 queries are answered or issued. # Default: yes do-ip6: no # Enable or disable whether UDP queries are answered or issued. # Default: yes do-udp: yes # Enable or disable whether TCP queries are answered or issued. # Default: yes do-tcp: yes # Will trust glue only if it is within the servers authority. # Default: yes harden-glue: yes # Require DNSSEC data for trust-anchored zones, if such data is absent, the zone becomes bogus. # Default: yes harden-dnssec-stripped: yes # Don't use Capitalization randomization as it known to cause DNSSEC issues sometimes # Default: no use-caps-for-id: no # Default: 1232 edns-buffer-size: 1232 # Perform prefetching of close to expired message cache entries # This only applies to domains that have been frequently queried # Default: no prefetch: yes # The number of threads to create to serve clients. Use 1 for no threading. # Default: 1 num-threads: 1 # Ensure kernel buffer is large enough to not lose messages in traffic spikes # Default: 0 # so-rcvbuf: 1m # Ensure privacy of local IP ranges private-address: 192.168.0.0/16 private-address: 169.254.0.0/16 private-address: 172.16.0.0/12 private-address: 10.0.0.0/8 private-address: fd00::/8 private-address: fe80::/10 |
Success
[ Voor 40% gewijzigd door Toet3r op 03-03-2025 16:54 ]
@nero355 - misschien herinner je je deze nog?
Daar ben ik achtergekomen door HOSTNAMEFQDN te vervangen door HOSTNAME waardoor (in mijn geval) alleen morpheus wordt teruggegeven.
(1) - de instelling dns.domain (in pihole.toml) omzetten van tech.lan naar lan.
(2) - de volgende regels in het veld dnsmasq_lines (in pihole.toml) gestoken:
domain=tech.lan,192.168.139.0/24,local
dhcp-option=eth0,option:domain-name,tech.lan
dhcp-option=eth0,option:domain-search,.
(3) - de no-host in de custom dnsmasq config weggehaald
Inzake (2): het vlan tech.lan is het management vlan met 192.168.139.0/24.
Nu werkt de dns resolving voor morpheus.tech.lan weer zoals verwacht.
Bovenstaande komt door de instelling piholePTR (van pihole.toml). In pihole v6 wordt die fqdn (d.w.z. morpheus.tech.lan) mee terug gegeven als dns server bij het beantwoorden van een dns aanvraag. In pihole v5 is dit niet zo - daar wordt de fqdn van dns server van het vlan mee terug gegeven.
Daar ben ik achtergekomen door HOSTNAMEFQDN te vervangen door HOSTNAME waardoor (in mijn geval) alleen morpheus wordt teruggegeven.
Dit heb ik op kunnen lossen met een paar aanpassingen:Dat is nog tot daar aan toe - maar bij de beheer applicaties wordt het vervelender: als ik een nslookup doe naar morpheus.tech.lan, dan krijg ik bij de eerder genoemde client het IP adres 192.168.210.235 als antwoord. Als ik de pihole webui wil aanspreken met morpheus.tech.lan:88/admin, dan werkt dat natuurlijk niet- die draait alleen via het tech.lan (d.w.z. 192.168.139.235/24) beheer-domein. Hetzelfde geldt voor alle andere beheer applicaties zoals Portainer, Omada en Synthing.
Nu terug op v5 werkt dit allemaal weer zoals verwacht...
(1) - de instelling dns.domain (in pihole.toml) omzetten van tech.lan naar lan.
(2) - de volgende regels in het veld dnsmasq_lines (in pihole.toml) gestoken:
domain=tech.lan,192.168.139.0/24,local
dhcp-option=eth0,option:domain-name,tech.lan
dhcp-option=eth0,option:domain-search,.
(3) - de no-host in de custom dnsmasq config weggehaald
Inzake (2): het vlan tech.lan is het management vlan met 192.168.139.0/24.
Nu werkt de dns resolving voor morpheus.tech.lan weer zoals verwacht.
makes it run like clockwork
Maar voor "klooi-" en "pruts-werk" is docker uitgevonden...:
Redundancy? Als er eentje uitklapt heb je de ander nog ? Heb er zelf twee. Ze klappen er eigenlijk nooit uit, soms is het toch wel handig als ik weer eens aan het klooien ben met eentje
makes it run like clockwork
The problem with common sense is that sense never ain't common - From the notebooks of Lazarus Long
GoT voor Behoud der Nederlandschen Taal [GvBdNT
Dit is ook mijn ervaring. Daarom ondanks dat ik er eerder aan zat te denken geen 2e pi opgetuigd.:
Redundancy? Als er eentje uitklapt heb je de ander nog ? Heb er zelf twee. Ze klappen er eigenlijk nooit uit, soms is het toch wel handig als ik weer eens aan het klooien ben met eentje
Daarom draai ik het in Docker
Met docker kan ik heel makkelijk een versie terug als er iets kapot gaat na de update. Kwestie van de tag veranderen in docker compose file.
[ Voor 41% gewijzigd door Toet3r op 04-03-2025 10:25 ]
Een kapotte pihole is geen probleem vanaf dat je het weet, tot dan echter mogelijk wel. En wat doe je als je niet thuis bent ?:
[...]
Dit is ook mijn ervaring. Daarom ondanks dat ik er eerder aan zat te denken geen 2e pi opgetuigd.
[...]
Daarom draai ik het in Docker
Met docker kan ik heel makkelijk een versie terug als er iets kapot gaat na de update. Kwestie van de tag veranderen in docker compose file.
Daarnaast door 2 piholes te hebben kan je in dat geval op naam naar die kapotte pihole, en hoef je het ipadres niet te gebruiken.
Ik draai ze ook in Docker (enige manier om meer dan 1 Pi-Hole op een RPi te draaien). En ja, fixen is gemakkelijk genoeg, maar ik ben niet alleen thuis en internettoegang moet wel door blijven gaan, ook als ik eens een uurtje aan het knutselen ben (of op mijn werk).:
[...]
Dit is ook mijn ervaring. Daarom ondanks dat ik er eerder aan zat te denken geen 2e pi opgetuigd.
[...]
Daarom draai ik het in Docker
Met docker kan ik heel makkelijk een versie terug als er iets kapot gaat na de update. Kwestie van de tag veranderen in docker compose file.
The problem with common sense is that sense never ain't common - From the notebooks of Lazarus Long
GoT voor Behoud der Nederlandschen Taal [GvBdNT
ehm... nee. Redundancy is niet alleen maar eventjes twee instances op dezelfde 'server' draaien. Maak je je server stuk dan heb je alsnog niks. Ik speel wel eens met de installs en dan is het fijn als er ik een andere rpi heb die gewoon blijft doen wat ie moet doen..:
[...]
Maar voor "klooi-" en "pruts-werk" is docker uitgevonden...
[ Voor 39% gewijzigd door Webgnome op 04-03-2025 11:02 ]
Een scriptje in een cronjob doet wonderen...
Bijvoorbeeld elke 5 minuten een ss -tulpn | grep 53.
Geen resultaat? Dan de tweede pihole container starten.
En inderdaad - als je op hardware nivo ook iets van redundantie wil is er wat meer werk.
Maar is verder niet heel veel anders - alleen het scriptje in de cronjob zal dan draaien over de as van een nslookup of een ping. Met een status-bestandje van de laatst bekende actieve pihole. Hierdoor weet je hoe de failover eruit zou moeten zien.
Wel lijkt het me handig om geen rsync (o.i.d) te doen tussen beide piholes...
makes it run like clockwork
The problem with common sense is that sense never ain't common - From the notebooks of Lazarus Long
GoT voor Behoud der Nederlandschen Taal [GvBdNT
Met dnsbench krijg ik de volgende resultaten:
Aan deze kant van de wifi verbinding:
:strip_exif()/f/image/vClS7O8U8IkvMWoOP7vfACHL.png?f=user_large)
Aan de overkant van de wifi verbinding:
:strip_exif()/f/image/bEx8PIw9eaYVf30yXuvBL7w0.png?f=user_large)
ik heb een 500/40 verbinding van ziggo
Beide piholes zijn
elk geinstalleerd op een rpi2b
op basis van dietpi, zonder docker
met de normale installatie van pihole (dat curl commando)
de tijden zijn volgens mij in secondes, dus effectief in het milliseconde bereik
waarbij de rode waarde de tijd weergeeft indien de informatie uit de cache van de pihole komt en er geen upstream server nodig is.
In de logging van de pihole zelf zijn dit soort getallen:
:strip_exif()/f/image/M7WVthrO4zmg3FdxNOOIdYCO.png?f=user_large)
dus dnsbench meet ook de tijd van en naar de raspberry. Duh.
Ik vraag mij af of andere gebruikers hier heel andere getallen krijgen. Op andere hardware en met en zonder docker.
[ Voor 13% gewijzigd door W1ck1e op 05-03-2025 09:20 ]
:strip_icc():strip_exif()/u/99032/icon.jpg?f=community){kind=icon}
Met een Intel J5005, wel met docker maar met Redis erachter (draait ook nog Nextcloud met een paar TB, BitWarden en wat andere dingen):
:strip_exif()/f/image/4NLZHuAeRSqs17a2R3EBobqX.png?f=user_large)
- Edit -
Misschien relevanter 4.1 q/s, 3,99m domeinen in de lijst.
[ Voor 6% gewijzigd door GieltjE op 05-03-2025 14:22 ]
Hell / 0
Ha, ik weet je Network ID. Ik ga je hacken
ik heb nog q/min. Jouw pihole zal wel niet in een huishouden staan.
en ik heb "maar" 224 duizend domeinen.
[ Voor 15% gewijzigd door W1ck1e op 05-03-2025 14:28 ]
Prima, boschebollen als het je daadwerkelijk lukt:
[...]
Ha, ik weet je Network ID. Ik ga je hacken
Hell / 0
je instellingen goed zetten en indien nodig corrigeren
Maar alle gekheid op een stokje, kun je iets meer info geven hoe heb je het allemaal aan elkaar geknoopt? Want met deze info kan het alles zijn.
Daar gaat het dus mis, je experiabox gaat dus niet naar buiten maar naar binnen (je eigen pihole) kijken voor het DNS verzoek. Daar wordt hij hysterisch van.
Je dient in de DHCP instellingen van je experiabox aan te geven dat de clients die connecteren het IP adres van de Pihole krijgen uitgedeeld in jouw geval de 192.168.2.32.
De DNS servers die je experiabox gebruikt van je provider kun je laten staan, of wijzigen in die van google of openDNS 208.67.222.222 en als backup 208.67.220.220