[Pi-Hole] Ervaringen & discussie

Pierre schreef op donderdag 1 oktober 2020 @ 18:47:
Ik verbaas me iedere keer weer dat men geen originele power supply er gewoon standaard bij koopt.

[ Voor 10% gewijzigd door Verwijderd op 01-10-2020 19:28 ]

Verwijderd schreef op donderdag 1 oktober 2020 @ 19:27:
[...]


Voorheen kreeg je bij elke product wat je kocht een power supply. Daardoor hebben veel mensen een hoop thuis liggen. Dan wil je toch gewoon proberen om die te gebruiken. En voor mij werkt de telefoonlader nu prima. Zonder crashes. Is ook nog eens beter voor het milieu dan elke keer nieuw kopen. Dat is ook de reden dat er nu wetgeving is omtrent power supplies in Europa. Hergebruik stuurt Europa nou juist op.

Raven schreef op donderdag 1 oktober 2020 @ 18:51:
Of doe zoals ik en bestel
[Afbeelding]

Ik heb een shitload aan voedingen liggen, voedingen die geschikt zijn voor RPi's.... not so much, meeste heeft de uitgangsspanning te hoog. Met een oplossing zoals dat kan ik er een uit mijn voorraad gebruiken. Niet echt een nette oplossing, maar in mijn geval hangt die aan passieve PoE (19V) en dan komt zo'n ding van pas

Jazco2nd schreef op vrijdag 2 oktober 2020 @ 20:47:
Ik gebruik het thuis, niet voor een klein bedrijf en ga echt niet groepen zitten maken. Zie niet in waarom ik onderscheid moet maken in groepen.

JayOne schreef op vrijdag 2 oktober 2020 @ 21:13:
[...]

Heb hier in huis wel groepen aangemaakt, zodat ik afwijkende whitelists kan maken voor bijvoorbeeld mijn vriendin (die bijvoorbeeld toch heel graag de googleshop-ads wil aanklikken).

Jazco2nd schreef op vrijdag 2 oktober 2020 @ 20:47:
Het is redelijk abradacabra voor mij. Ik weet hier niks van.. en ga het dus niet werkend krijgen.

Los hiervan. Wat biedt Pi-Hole nu eigenlijk?
Ik lees dat adblocking net zo goed via Unbound kan. en caching ook (dat was een eerst argument om PiHole icm Unbound te gebruiken). Unbound gebruik ik toch al als recursive DNS.

De PiHole webUI biedt mij niks nuttigs, instellen gaat al via mijn docker-compose.
Ik gebruik het thuis, niet voor een klein bedrijf en ga echt niet groepen zitten maken. Zie niet in waarom ik onderscheid moet maken in groepen. De statistieken vind ik een security/privacy issue dus ik heb logging uitgeschakeld. Ik wil niet van de mensen in huis een database met alle sites die ze bezoeken en wanneer verzamelen (en hidden stats zijn helemaal nutteloos).

Dan kan ik net zo goed adblocking via Unbound werkend krijgen en daar uitzoeken hoe je Wireguard VPN ook werkend krijgt.. Of zie ik een gruwelijk mooie feature van PiHole over het hoofd?

Daarnaast is het ook wel gek dat PiHole ad requests niet netjes naar een pixelserver stuurt (waardoor je af en toe lelijke foutmeldingen ziet).

En zie ik geen ontwikkeling in de richting van eenvoudig per device eventjes adblocking uitschakelen.

grote_oever schreef op vrijdag 2 oktober 2020 @ 21:30:
ik zie dan eerlijk gezegd het nut niet in voor thuis gebruik. Als je, in mijn geval, 50% van de gebruikers whitelist geeft. Kun je net zo goed jou ook toegang geven. Is flink wat frustratie minder bij google.

Ik snap dat je bij kleine bedrijven zoiets wilt toepassen (alhoewel ik me afvraag of je dat via pihole wilt doen). En misschien met opgroeiende pubers is het ook wel handig.

grote_oever schreef op vrijdag 2 oktober 2020 @ 21:30:
[...]

ik zie dan eerlijk gezegd het nut niet in voor thuis gebruik. Als je, in mijn geval, 50% van de gebruikers whitelist geeft. Kun je net zo goed jou ook toegang geven. Is flink wat frustratie minder bij google.

Ik snap dat je bij kleine bedrijven zoiets wilt toepassen (alhoewel ik me afvraag of je dat via pihole wilt doen). En misschien met opgroeiende pubers is het ook wel handig.

JayOne schreef op zaterdag 3 oktober 2020 @ 08:20:
[...]

Uh het is een optie hè, je hoeft het niet te gebruiken. Persoonlijk vind ik het wel prettig om zo weinig mogelijk ads in mijn browsers te hebben, zonder daarvoor allemaal apps/programma's op allerlei telefoons/laptop te draaien. Centraal geregeld zonder dat de mensen in huis er echt heel veel last van hebben (af en toe een domein wat gewhitelist moet worden, maar dat is mondjesmaat het geval).

nero355 schreef op zaterdag 3 oktober 2020 @ 00:06:
[...]

Wat bedoel je precies met een pixelserver

[...]

[ Voor 12% gewijzigd door Lizard op 03-10-2020 12:53 ]

westlym schreef op zaterdag 3 oktober 2020 @ 11:12:
Eerst pi hole gebruikt, daarna overgestapt naar PfSense, en nu weer terug naar Pihole samen met Unbound. Ik was eerst bij telfort, en nu overgestapt naar Tweak met een Fritsboz..hopelijk biedt het laatste mij genoeg veiligheid online samen met Pihole.

Pfsense is wel goed, maar dan moet ik met vlan's gaan werken terwijl ik geen knowhow heb over vlan's. Maar pc met pfsense staat er nog, dus wie weet...

Lizard schreef op zaterdag 3 oktober 2020 @ 12:53:
https://www.snbforums.com...server-for-adblock.26114/
https://github.com/kvic-z...91tls-for-Pi%E2%80%91Hole

nero355 schreef op zaterdag 3 oktober 2020 @ 14:29:
[...]

Nou... dan is dat probleem ook weer opgelost!

Ik zie alleen nergens zo gauw wat zij anders doen dan Pi-Hole wat betreft de blocking mode, maar goed... het is een optie voor degenen die dat willen!

Jazco2nd schreef op vrijdag 2 oktober 2020 @ 20:47:
Daarnaast is het ook wel gek dat PiHole ad requests niet netjes naar een pixelserver stuurt (waardoor je af en toe lelijke foutmeldingen ziet).

nero355 schreef op zaterdag 3 oktober 2020 @ 00:06:
Je kan wel degelijk terug naar de oude manier van adblocking overstappen : https://docs.pi-hole.net/ftldns/blockingmode/

1
2
3

router: 192.168.88.1
LAN network: 192.168.88.0/24
host (Ubuntu 20.04): 192.168.88.10

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15

networks:
  DNS-network:
    driver: macvlan
    driver_opts:
      parent: eno1
    ipam:
      config:
        - subnet: 192.168.88.0/24
          gateway: 192.168.88.1
          ip_range: 192.168.88.96/29  # gekozen subrange van LAN subnet
          aux_addresses:          # addressen die ik via Docker-Compose zet, dus hier reserveer
            host-macvlan: 192.168.88.96 #  gereserveerd voor de host macvlan (zie uitleg)
            Unbound: 192.168.88.98
            PiHole: 192.168.88.99
            Unifi: 192.168.88.100

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24

::::  Server configuration shown below   ::::
[Interface]
PrivateKey = server_priv
Address = 10.6.0.1/24
ListenPort = 51822
### begin Pixel-phone ###
[Peer]
PublicKey = Pixel-phone_pub
PresharedKey = Pixel-phone_psk
AllowedIPs = 10.6.0.2/32
### end Pixel-Phone ###
=============================================
::::  Client configuration shown below   ::::
[Interface]
PrivateKey = Pixel-phone_priv
Address = 10.6.0.2/24
DNS = 192.168.88.99

[Peer]
PublicKey = server_pub
PresharedKey = Pixel-phone_psk
Endpoint = REDACTED:51822
AllowedIPs = 192.168.88.0/24, ::0/0
===============================

1
2
3
4

sudo ip link add mynet-shim link eno1 type macvlan mode bridge
sudo ip addr add 192.168.88.96/32 dev mynet-shim
sudo ip link set mynet-shim up
sudo ip route add 192.168.88.96/29 dev mynet-shim

1

DNS = 10.6.0.1

1

sudo ip link add mynet-shim link wg0 type macvlan mode bridge

[ Voor 12% gewijzigd door Jazco2nd op 05-10-2020 19:14 ]

deHakkelaar schreef op maandag 5 oktober 2020 @ 19:38:
@Jazco2nd ik denk niet dat dit draadje bedoeld is om ingewikkelde problemen op te lossen.
Ik denk dat niemand hier zit te wachten op een muur van configuraties en probleem omschrijvingen.
De Pi-hole support forums zijn daar de juiste plek voor:

https://discourse.pi-hole.net/

Kans is ook groter dat je daar een juist antwoord krijgt omdat het publiek vele malen groter is als hier.

[ Voor 21% gewijzigd door Chrisje1983 op 06-10-2020 03:55 ]

Chrisje1983 schreef op dinsdag 6 oktober 2020 @ 02:04:
Ik word geloof ik gek hier,

Kan het wezen dat bijvoorbeeld de netflix app op android 10 (telefoon) een eigen dns server gebruikt dan wel pushed?

Verwijderd schreef op dinsdag 6 oktober 2020 @ 01:10:
@Jazco2nd: uit jouw verhaal is mij niet geheel duidelijk geworden of de Pi-Hole wel of niet luistert naar de adressen van je VPN, en of daarop ook antwoorden gegeven worden.

In de webinterface zit dat in Settings / DNS / Interface listening behavior - dat moet op Listen on all interfaces, permit all origins staan. Anders blijf je aan het configureren maar komt er nooit antwoord retour van de Pi-Hole.

The Druid schreef op dinsdag 6 oktober 2020 @ 07:52:
[...]


Klopt, lees dit verhaal maar eens over apparaten die je Pihole bewust negeren.

[ Voor 3% gewijzigd door Yucko op 06-10-2020 12:25 ]

Yucko schreef op dinsdag 6 oktober 2020 @ 12:25:
mijn Asus AC68U heeft ook de optie om alle DNS requests naar een specifiek IP om te leidend maar wanneer ik dan al het DNS verkeer naar mijn Pi-Hole probeer om te leiden dan ligt mijn internet plat en zie ik in de Pi-Hole logs 40K+ requests op notime voorbij komen

Binnenkort maar eens uitzoeken wat daar precies misgaat

Yucko schreef op dinsdag 6 oktober 2020 @ 12:25:
mijn Asus AC68U heeft ook de optie om alle DNS requests naar een specifiek IP om te leidend maar wanneer ik dan al het DNS verkeer naar mijn Pi-Hole probeer om te leiden dan ligt mijn internet plat en zie ik in de Pi-Hole logs 40K+ requests op notime voorbij komen

Binnenkort maar eens uitzoeken wat daar precies misgaat

[ Voor 6% gewijzigd door Raven op 06-10-2020 12:51 ]

[ Voor 11% gewijzigd door Yucko op 06-10-2020 14:25 ]

Yucko schreef op dinsdag 6 oktober 2020 @ 14:08:
@roeleboel en @Raven :
omg
inderdaad, zonder uitzondering wordt verkeer van de Pi-Hole naar de upstream DNS server natuurlijk ook weer omgeleidt naar de Pi-Hole zelf.

uitzondering toegevoegd en het lijkt nu te werken.

Ben nu wel benieuwd of ik een toename in geblokkeerde DNS requests ga zien doordat er apps/devices waren die de via DHCP server aangegeven DNS server negeerden

Chrisje1983 schreef op dinsdag 6 oktober 2020 @ 02:04:

Ik blijf erbij dat mijn telefoon (een huawei p30) zelf dns servers pushed als de aangeboden dns server hem niet zint...

[ Voor 3% gewijzigd door Luc45 op 06-10-2020 16:00 ]

Cyberpope schreef op dinsdag 6 oktober 2020 @ 15:09:
[...]

Heb je hier ergens een how-to van?

Chrisje1983 schreef op dinsdag 6 oktober 2020 @ 02:04:
Ik word geloof ik gek hier

Kan het wezen dat bijvoorbeeld de netflix app op android 10 (telefoon) een eigen dns server gebruikt dan wel pushed?

Of dat misschien android 10 zelf eigen dns servers pushed, zelfs als je in je telefoon statisch een ip adres en dns server invoert?

- Amazon/Disney/Netflix knip -

nero355 schreef op donderdag 31 januari 2019 @ 19:04:
Ik heb vandaag zitten stoeien met Pi-Hole op twee netwerken tegelijk werkend krijgen en het geheel als volgt opgelost :

Om te beginnen installeer je de VLAN package voor 802.1q support :

code:

1	apt install vlan

Daarna moet je ervoor zorgen dat de desbetreffende module elke keer wordt ingeladen tijdens het opstarten :

code:

1	echo "8021q" >> /etc/modules

En om deze gelijk te activeren :

code:

1	modprobe 8021q

Daarna het netwerk gedeelte in /etc/dhcpcd.conf :

code:

1 2 3

#eth0 VLAN 10 voor DNS in dat VLAN : interface eth0.10 static ip_address=10.0.0.139/24

Om ervoor te zorgen dat je VLAN interface UP komt tijdens het opstarten heb ik een bestand "vlans" gemaakt in de directory /etc/network/interfaces.d omdat het niet meer de bedoeling is om op de oude manier /etc/network/interfaces direkt aan te passen :

code:

1 2 3

auto eth0.10 iface eth0.10 inet manual vlan-raw-device eth0

Dit was de enige redelijk normale nieuwe manier die ik heb gevonden dus als iemand een beter alternatief heeft dat hoort bij de nieuwe dhcpcd.conf manier van configureren dan hoor ik dat graag!

En dan nog het laatste gedeelte, zodat Pi-Hole weet dat er ook op die interface geluisterd moet worden!
In de map /etc/dnsmasq.d/ heb ik een bestand "101-mijn.settings" aangemaakt met daarin alleen het volgende :

code:

1	interface=eth0.10

Om alles te activeren zonder te rebooten :

code:

1 2	systemctl restart networking pihole restartdns

That's it!


_{Dit is een verkapte "Documentatie voor mezelf" post, maar er zal vast wel ooit iemand hier langskomen die er wat aan heeft!}

heeten12 schreef op dinsdag 6 oktober 2020 @ 07:30:
@Chrisje1983

Van Netflix weet ik zeker dat die terugvalt op een bepaalde DNS server. Heb daarvan alle telemetrie geblokkeerd en dan "denkt" hij dat jouw ingestelde DNS server down is. Gelukkig via OPNSense router alle dns verzoeken die niet naar de pihole gaan weer gerouteerd naar de pihole. Daarin zag ik ze na een bepaalde update dus als zijnde verzoeken van de router IPV Netflix device.

Als je een router hebt die dit ondersteunt dan kun je het makkelijk oplossen

The Druid schreef op dinsdag 6 oktober 2020 @ 07:52:
[...]


Klopt, lees dit verhaal maar eens over apparaten die je Pihole bewust negeren.

Toet3r schreef op dinsdag 6 oktober 2020 @ 10:32:
[...]

Wat voor router heb je? Op de een beetje gevanceerde routers kan je doormiddel van NAT regels al het dns verkeer dat niet naar het ip van je pi-hole gaat alsnog daar heen sturen.
Ik heb dit zelf ook gedaan op mij Edgerouter X sfp.

Quad schreef op dinsdag 6 oktober 2020 @ 15:19:
[...]

Ik had met mijn Huawei P30 idem dat ads nog steeds aangeboden werden. Gelukkig gaan deze via Google DNS, daarom heb ik een blackhole op mijn UniFi firewall gemaakt voor 8.8.8.8 en 8.8.4.4.

[Afbeelding]

Sindsdien loopt via mijn Huawei P30 alles via de Pihole DNS.

nero355 schreef op dinsdag 6 oktober 2020 @ 17:12:
[...]

Jij wordt niet gek : De apparaten zijn gek geworden!


[...]

Dat doen heel veel Google Android gerelateerde apparaten en apps :
- Google Chrome zonder de juiste chrome://flags aanpassingen
- Chromecast ondingen...
- Steeds meer op Google Android gebaseerde telefoons!


[...]

Dat kan inderdaad heel goed!


[...]

Wat ook nog roet in het eten kan gooien is de hele DNS over HTTPS en soortgelijken trend : Sommige apps hebben een eigen DNS Server die ze aanspreken en pas als je die blokkeert stappen ze over op jouw DNS Server!

Wat je ook nog kan doen tegen al deze ellende naast de al gegeven tips :
Vul gewoon het IP van je Pi-Hole DNS Server meerdere keren in bij de DHCP DNS Settings als dat wordt geaccepteerd door de Router die je gebruikt!

Sommige apparaten gebruiken namelijk naast de server die je invoert ook nog eens een andere :
- Één van de WAN DNS Servers in het geval van sommige Routers die stiekem dat 2de/3de/4de veldje voor je invullen!
- Android telefoons en dergelijken die dan dus naast je eigen server ook nog eens 8.8.8.8 en 8.8.4.4 aanspreken

Jazco2nd schreef op maandag 5 oktober 2020 @ 14:03:
@Lizard @Verwijderd thanks voor de info, dat wist ik niet.
@nero355 ik was idd behoorlijk gefrusteerd om dit werkend te krijgen. Afgelopen weekend veel trial & error gedaan. Hier wat bevindingen.

Situatie LAN:

code:

1 2 3

router: 192.168.88.1 LAN network: 192.168.88.0/24 host (Ubuntu 20.04): 192.168.88.10

Situatie Docker netwerk:

code:

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15

networks: DNS-network: driver: macvlan driver_opts: parent: eno1 ipam: config: - subnet: 192.168.88.0/24 gateway: 192.168.88.1 ip_range: 192.168.88.96/29 # gekozen subrange van LAN subnet aux_addresses: # addressen die ik via Docker-Compose zet, dus hier reserveer host-macvlan: 192.168.88.96 # gereserveerd voor de host macvlan (zie uitleg) Unbound: 192.168.88.98 PiHole: 192.168.88.99 Unifi: 192.168.88.100

PiVPN (Wireguard) geinstalleerd op de host direct, en 1.1.1.1 (Cloudflare) als DNS gekozen. Verder ingesteld dat alleen 192.168.88.0/24 via de tunnel gaat voor clients. Dit werkt. Vervolgens heb ik in de client.conf het DNS aangepast naar die van PiHole. Daarna kan de client helaas geen site meer bereiken.

PiVPN Wireguard config:

code:

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24

:::: Server configuration shown below :::: [Interface] PrivateKey = server_priv Address = 10.6.0.1/24 ListenPort = 51822 ### begin Pixel-phone ### [Peer] PublicKey = Pixel-phone_pub PresharedKey = Pixel-phone_psk AllowedIPs = 10.6.0.2/32 ### end Pixel-Phone ### ============================================= :::: Client configuration shown below :::: [Interface] PrivateKey = Pixel-phone_priv Address = 10.6.0.2/24 DNS = 192.168.88.99 [Peer] PublicKey = server_pub PresharedKey = Pixel-phone_psk Endpoint = REDACTED:51822 AllowedIPs = 192.168.88.0/24, ::0/0 ===============================

Het probleem ligt volgens mij niet bij PiHole. De client kan namelijk zelfs niet pingen naar het IP van de PiHole. Dus moeten we een oplossing vinden in het bridgen (zoals Nero355 aangaf).

Om dit op te lossen en ook direct ervoor te zorgen dat de host zelf websites kan bezoeken (ik gebruik mijn server ook als workstation), heb ik een macvlan op de host zelf ingesteld, zoals ik eerder hier omschreef.

Nu heb ik ontdekt dat dat onhandig is, je moet dan voor elk docker macvlan IP adres een extra route toevoegen. Dit kan simpeler, door de macvlan aan te passen. Ik snap zelf niet waarom dit werkt btw:

code:

1 2 3 4

sudo ip link add mynet-shim link eno1 type macvlan mode bridge sudo ip addr add 192.168.88.96/32 dev mynet-shim sudo ip link set mynet-shim up sudo ip route add 192.168.88.96/29 dev mynet-shim

Dit zorgt ervoor dat 1 adres is (namelijk het via Compose gereserveerde IP adres 192.168.88.96) wordt gebridged en daaraan hang je het hele bereik van je docker macvlan (met /32 heb je alleen dat ene IP, met /29 het bereik).

Middels deze truc kan de host nu bij alle macvlan IP adressen inclusief die van PiHole. Ik heb 2 sites (fora) gevonden waar dit ook de uitleg was om PiVPN-Wireguard werkend te krijgen.
Helaas bleek dit geen effect te hebben.

Later ontdekte ik dat de Wireguard client config niet het IP van de PiHole moeten gebruiken bij "DNS=" maar juist het eerste adres in de range van het Wireguard network, in dit geval (zie hierboven)

code:

1	DNS = 10.6.0.1

Ook dit heeft helaas geen effect.
Ik heb ook dit geprobeerd, een 2e macvlan aanmaken maar dat kan nie:

code:

1	sudo ip link add mynet-shim link wg0 type macvlan mode bridge

Waarbij wg0 de interface is van Wireguard (gecheckt met ifconfig) maar dit commando krijg ik niet uitgevoerd, kreeg een melding van ongeldig argument ofzo.

Dus flink gepuzzeld maar niks brengt me in de juiste richting. Alleen een upstream/extern DNS zoals 1.1.1.1 werkt.

Kopernikus.1979 schreef op dinsdag 6 oktober 2020 @ 21:12:
@nero355 of iemand die mij kan helpen....

Even kort schetsen mijn systeem bestaat uit een Ubiquiti USG + Ubiquiti POE switch daarop heb ik diverse vlans, op de vlan server zit mijn Raspi die zit op een trunk poort die dus native de vlan server heeft en getaged is voor de andere netwerken die ik op mijn Raspi wil.

Alle static interfaces gedefinieerd in de vlans file zijn bereikbaar en verbindbaar vanuit al mijn VLANS, echter... probeer ik de interface op eth0 te bereiken lukt dit niet, ik kan er wel naartoe pings sturen en ze worden beantwoord maar verbinden lukt niet. Als ik omheteven toestel in de server vlan plaats dan kan ik wel verbinden... dus dacht ik firewall probleem, echter... alle block regels heb ik uitgezet, verkeer tussen alle VLANS is mogelijk, trouwens ik kan vanuit elke VLAN pingen en connectie maken met de server vlan. Ook heb ik vandaag voor testen een andere RasPi geinstalleerd met enkel de vlan package zonder Pihole echter identiek zelfde probleem. Heb reeds vanalles geprobeerd echter zonder resultaat. Op Pihole forum staat er al een hele thread over (voor wie mocht interesse hebben): https://discourse.pi-hole...ine-vlan-interfaces/38982

root@unipi:/home/pi# cat /etc/lighttpd/external.conf 
server.bind = "192.168.1.2"
root@unipi:/home/pi#

systemctl status lighttpd
systemctl restart lighttpd
systemctl status lighttpd

Ik check altijd ervoor en erna of alles goed draait voor de zekerheid

root@unipi:/home/pi# cat /etc/ssh/sshd_config | grep ListenAddress
ListenAddress 192.168.1.2:22
root@unipi:/home/pi#

systemctl edit sshd

1
2

[Unit]
After=network-online.target

root@unipi:/home/pi# cat /etc/systemd/system/sshd.service.d/override.conf 
[Unit]
After=network-online.target
root@unipi:/home/pi#

systemctl daemon-reload

systemctl is-enabled systemd-networkd-wait-online
systemctl enable systemd-networkd-wait-online

cat /etc/systemd/system/sshd.service

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19

[Unit]
Description=OpenBSD Secure Shell server
After=network.target auditd.service
ConditionPathExists=!/etc/ssh/sshd_not_to_be_run

[Service]
EnvironmentFile=-/etc/default/ssh
ExecStartPre=/usr/sbin/sshd -t
ExecStart=/usr/sbin/sshd -D $SSHD_OPTS
ExecReload=/usr/sbin/sshd -t
ExecReload=/bin/kill -HUP $MAINPID
KillMode=process
Restart=on-failure
RestartPreventExitStatus=255
Type=notify

[Install]
WantedBy=multi-user.target
Alias=sshd.service

Disclaimer : Dit is zo gauw effe wat ik me allemaal nog herinner en via het prachtige commando history nog kon terugvinden dus als er iets nog steeds niet werkt dan hoor ik het vanzelf wel...

Ik heb dat topic daar effe doorgelezen en ik denk dat je tegen een bug bent aangelopen waar ik ook last van kreeg : Na een reboot gaat er iets mis in de opstart volgorde van het netwerk en de verschillende daemons, waardoor je geen SSH toegang meer hebt onder andere

Kopernikus.1979 schreef op woensdag 7 oktober 2020 @ 16:39:
Super, ik ga dat eens testen

Op hetzelfde draadje op het Pi-Hole discourse foum, stelt een forumlid (yubiuser) voor om de Pi-Hole server upstream te gebruiken en in de dnsmasq de opties add-mac en add-subnet toe te voegen (gezien Pi-Hole dit nu zou ondersteunen). Wil je die post eens lezen en ook mijn reply erop? WIl graag eens je mening.

Alvast bedankt!

Als je nu de boel een reboot geeft zou alles correct online moeten komen!

Kopernikus.1979 schreef op woensdag 7 oktober 2020 @ 19:07:
Helaas.... nog steeds zelfde probleem.

nero355 schreef op woensdag 7 oktober 2020 @ 19:16:
[...]

Is het een optie om helemaal overnieuw te beginnen

Ik denk echt dat je ergens een config fout hebt gemaakt...

Hoe zien je Profiles voor de Switchpoorten eruit ?
Hoe zijn de VLAN's aangemaakt in je UniFi Controller ?
Niet stiekem IPTables of UFW of zo die draait en iets blokkeert ?!

Kopernikus.1979 schreef op woensdag 7 oktober 2020 @ 19:23:
[...]

Heb ik ook gedaan, nieuwe sd kaartje ingestopt en fresh install.

Als er IPTABLES staan zouden deze dan niet verdwijnen naar reboot of provisioning?

Kopernikus.1979 schreef op woensdag 7 oktober 2020 @ 19:07:
[...]

Helaas.... nog steeds zelfde probleem.
En nu ik erover denk kan het niet hetzelfde probleem zijn.
Gezien als ik met mijn pc/laptop mij verbind in dezelfde native vlan als waar de RasPi opzit ik wel een SSH verbinding kan maken met eth0. Doe ik dit uit een andere VLAN lukt dit niet, alhoewel ik er pings naartoe kan sturen en ze beantwoord worden.

[ Voor 53% gewijzigd door ed1703 op 07-10-2020 19:48 ]

nero355 schreef op woensdag 7 oktober 2020 @ 15:52:
Ik heb dat topic daar effe doorgelezen en ik denk dat je tegen een bug bent aangelopen waar ik ook last van kreeg : Na een reboot gaat er iets mis in de opstart volgorde van het netwerk en de verschillende daemons, waardoor je geen SSH toegang meer hebt onder andere

Wat ik al had gedaan, maar nog steeds de bug had :
- SSH aan het eth0 adres gebind.
- LigHTTPd en daarmee dus de WebGUI van Pi-Hole aan eth0 gebind.

1
2
3
4

pi@ph5:~ $ sudo netstat -4nltp | grep 'Proto\|lighttpd\|sshd'
Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name
tcp        0      0 0.0.0.0:80              0.0.0.0:*               LISTEN      484/lighttpd
tcp        0      0 0.0.0.0:22              0.0.0.0:*               LISTEN      465/sshd

[ Voor 53% gewijzigd door Kopernikus.1979 op 07-10-2020 19:58 ]

Kopernikus.1979 schreef op woensdag 7 oktober 2020 @ 19:48:
[quote]ed1703 schreef op woensdag 7 oktober 2020 @ 19:32:
[...]

Al getest of je vanaf de USG kunt SSH' en naar je PI?

Ja, net geprobeerd en dat lukt zonder problemen.

Momenteel als test heb ik nu een RasPi draaien enkel met de laatste Pi OS Lite daarop de vlan package geïnstalleerd en de 8021q module geactiveerd, dan de vlans gedefinieerd.

En zoals gewoonte.. alle statische vlan adressen op de RasPi zijn bereikbaar vanuit elke VLAN, enkel eth0 is enkel connecteerbaar (kan niet zegge niet bereikbaar want ping werkt wel) als men in dezelfde vlan zit.

[ Voor 30% gewijzigd door ed1703 op 07-10-2020 20:09 ]

Kopernikus.1979 schreef op woensdag 7 oktober 2020 @ 19:23:
Heb ik ook gedaan, nieuwe sd kaartje ingestopt en fresh install.

VLANS:
.
.
.

Kopernikus.1979 schreef op woensdag 7 oktober 2020 @ 20:05:
maar ping lukt dus wel en dat snap ik niet...

deHakkelaar schreef op woensdag 7 oktober 2020 @ 20:10:
[...]


Ping is het ICMP protocol welke door elk willekeurig apparaat tussen SOURCE en DESTINATION kan worden beantwoord.
Je router kan bv deze ping beantwoorden ipv de Pi-hole host.
Ping is geen garantie dat de ping reply daadwerkelijk van het doel apparaat komt.

Kopernikus.1979 schreef op woensdag 7 oktober 2020 @ 20:05:
[...]


Dit is het poortprofiel dat actief is voor de RasPi:

[Afbeelding]

Zoals je ziet is de native poort VLAN50 (Server) dus de RasPi krijgt op zijn eth0 aan adres uit die pool, daarnaast zijn de andere VLAN's (10/20/30) tagged en deze zijn dus bereikbaar overal, enkel dus VLAN50 die de RasPï als native ziet niet tenzij men de pc zelf verbind in VLAN50, maar ping lukt dus wel en dat snap ik niet...

ed1703 schreef op woensdag 7 oktober 2020 @ 19:59:

Dat klopt dus ook. Want hoe moet je PI verkeer van VLAN50 terugsturen naar het VLAN waar jij in zit als hij zelf ook een poortje actief heeft in dat VLAN??

Voorbeeld: PI heeft 2 vlans:

10.0.2.10 native
10.0.3.10

Jij zit op 10.0.3.11
Je probeert te connecten op 10.0.2.10, de PI ziet verkeer komen vanaf 10.0.3.11, hoe denk je dat hij het verkeer gaat terugsturen?

[ Voor 4% gewijzigd door ed1703 op 07-10-2020 20:15 ]

Kopernikus.1979 schreef op woensdag 7 oktober 2020 @ 20:20:
[...]


Wow... dat zou het inderdaad wel eens kunnen zijn, raar dat er niemand anders hier last van heeft?
Of verbind iedereen zijn eth0 op de pihole met hun native netwerk van de router?
Welke oplossing stel je voor? (indien die er is...)

[ Voor 5% gewijzigd door ed1703 op 08-10-2020 13:52 ]

Kopernikus.1979 schreef op woensdag 7 oktober 2020 @ 20:20:
Wow... dat zou het inderdaad wel eens kunnen zijn, raar dat er niemand anders hier last van heeft?
Of verbind iedereen zijn eth0 op de pihole met hun native netwerk van de router?
Welke oplossing stel je voor? (indien die er is...)

deHakkelaar schreef op woensdag 7 oktober 2020 @ 19:42:
Één kanttekening hierover.
Als je de sshd of lighttpd daemon bind aan een IP kun je juist problemen ondervinden omdat een interface nog niet UP is.
Laat je dit gewoon default, zal sshd en lighttpd op alle IP's luisteren/binden ("Local Address" 0.0.0.0 in onderstaande netstat).
En is dan niet afhankelijk ofdat een interface UP of DOWN is.
Interfaces met IP's kunnen dan komen en gaan.

code:

1 2 3 4

pi@ph5:~ $ sudo netstat -4nltp | grep 'Proto\|lighttpd\|sshd' Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name tcp 0 0 0.0.0.0:80 0.0.0.0:* LISTEN 484/lighttpd tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN 465/sshd

ed1703 schreef op woensdag 7 oktober 2020 @ 19:32:
Al getest of je vanaf de USG kunt SSH' en naar je PI?

Firewall USG = IPtables.

ed1703 schreef op woensdag 7 oktober 2020 @ 20:13:
Multi-homed is voor routing met bepaalde services een draak van een oplossing. Overigens werkt het voor Pi-Hole prima.

[ Voor 8% gewijzigd door nero355 op 08-10-2020 17:00 ]

nero355 schreef op donderdag 8 oktober 2020 @ 16:58:
[...]

Wat vind jij daar zo erg aan dan

Ik heb zat grote professionele netwerken gezien die een dergelijke opzet gebruiken op bepaalde servers...

ed1703 schreef op donderdag 8 oktober 2020 @ 17:28:
Het is een verschrikkelijke oplossing.

1. Security. Voor thuis gaat dit nog wel. Doe dit bij een bedrijf met een Datacenter met 1200 vlans en je firewall gaat een enorme zooi worden.

2. Hetzelfde device meerdere keren in de ARP / Mac address table.

Ja, dat kan je allemaal oplossen met mac-vlan of een of meerdere extra NIC's (dat is voor mij nog de minst slechte oplossing), maar nee, ik ben er geen fan van en al helemaal niet in omgevingen met duizenden vm's en servers.

Ik ben zelf verantwoordelijk voor een IP Office met meer dan 8k aan vlan's binnen de overheid en je krijgt hoofdpijn van dat soort "oplossingen". Daarom zijn VLANS mede daardoor ook niet veilig.
Zet ip forwarding aan en hoppa.. we hebben een lek.

Maar we gaan wel erg offtopic zo.

ed1703 schreef op donderdag 8 oktober 2020 @ 17:28:
met 1200 vlans en je firewall gaat een enorme zooi worden.

ed1703 schreef op donderdag 8 oktober 2020 @ 17:28:
Daarom zijn VLANS mede daardoor ook niet veilig.
Zet ip forwarding aan en hoppa.. we hebben een lek.

offtopic:
* Raven zet default policy altijd op drop

[ Voor 18% gewijzigd door Raven op 08-10-2020 18:28 ]

Raven schreef op donderdag 8 oktober 2020 @ 18:26:
[...]

offtopic:
In iptables opvolger nftables kun je een hele boel combineren in één regel, bijv. meerdere VLAN-interfaces in dezelfde regel zodat je niet voor elke VLAN-interface afzonderlijk regels moet schrijven. Of mocht elk VLAN net iets andere regels nodig hebben, dan kun je voor de overzichtelijkheid per VLAN een apart bestand met regels aanmaken en includen: https://wiki.nftables.org...Scripting#Including_files

offtopic:
* Raven zet default policy altijd op drop

nero355 schreef op donderdag 8 oktober 2020 @ 16:58:
Indien dat dus gebeurt is de service/daemon niet goed geconfigureerd en heb ik de oplossing voor de OpenSSH bug al gepost

ed1703 schreef op donderdag 8 oktober 2020 @ 17:28:
maar nee, ik ben er geen fan van en al helemaal niet in omgevingen met duizenden vm's en servers.

Kopernikus.1979 schreef op donderdag 8 oktober 2020 @ 20:47:
Help... nog steeds zelfde probleem (enkel verbinden indien verbonden zelfde VLAN)

[ Voor 5% gewijzigd door deHakkelaar op 08-10-2020 21:18 ]

deHakkelaar schreef op donderdag 8 oktober 2020 @ 21:16:
[...]

Hoe doe je dat dan met die hypervisors en vlan's ?
Daar tag je die hypervisor toch ook in verschillende vlan's.
Of douw je die bak vol met NIC's voor ieder vlan

Kopernikus.1979 schreef op donderdag 8 oktober 2020 @ 20:47:
@nero355
@ed1703

Help... nog steeds zelfde probleem (enkel verbinden indien verbonden zelfde VLAN)
Deze keer fresh install, alle updates gedaan + vlan package.
Poort aangesloten op Raspi --> Native LAN (VLAN1) aan eth0 + VLAN 10/20/30 tagged

[ Voor 27% gewijzigd door ed1703 op 08-10-2020 22:18 ]

Kopernikus.1979 schreef op donderdag 8 oktober 2020 @ 20:47:
cat /etc/dhcpcd.conf

code:

1 2 3 4 5 6 7 8 9 10 11 12 13 14

interface eth0.10 static ip_address=10.10.10.5/24 static routers=10.10.10.1 static domain_name_servers=1.1.1.1 interface eth0.20 static ip_address=10.10.20.5/24 static routers=10.10.20.1 static domain_name_servers=1.1.1.1 interface eth0.30 static ip_address=10.10.30.5/24 static routers=10.10.30.1 static domain_name_servers=1.1.1.1

ip route table:

code:

1 2 3 4 5 6 7 8 9 10

Kernel IP routing table Destination Gateway Genmask Flags Metric Ref Use Iface 0.0.0.0 10.10.1.1 0.0.0.0 UG 202 0 0 eth0 0.0.0.0 10.10.10.1 0.0.0.0 UG 204 0 0 eth0.10 0.0.0.0 10.10.20.1 0.0.0.0 UG 205 0 0 eth0.20 0.0.0.0 10.10.30.1 0.0.0.0 UG 206 0 0 eth0.30 10.10.1.0 0.0.0.0 255.255.255.0 U 202 0 0 eth0 10.10.10.0 0.0.0.0 255.255.255.0 U 204 0 0 eth0.10 10.10.20.0 0.0.0.0 255.255.255.0 U 205 0 0 eth0.20 10.10.30.0 0.0.0.0 255.255.255.0 U 206 0 0 eth0.30

Dat is niet zo handig wat je nu hebt gedaan : Het systeem heeft meerdere Gateways met dezelfde Metric en daardoor is er dus geen Primary/Beste Route naar buiten (0.0.0.0) toe!

deHakkelaar schreef op donderdag 8 oktober 2020 @ 21:16:
Ik heb nog nooit meegemaakt dat de sshd daemon verkeerd was geconfigureerd out of the box.
Dan praat ik uit ervaring met Debian, RedHat, CentOS, Fedora en SUSE.
sshd is in mijn ervaring altijd geconfigureerd om default te binden met alle IP's 0.0.0.0 zodat je niet afhankelijk bent ofdat interfaces UP of DOWN zijn.
Binden van sshd met een specifiek IP zoals jij aangeeft maakt sshd extra afhankelijk van je interface status.
Ik zie jou oplossing niet echt als een fix maar eerder een verergering door die extra afhankelijkheid.

nero355 schreef op vrijdag 9 oktober 2020 @ 19:42:
[...]

Dat is niet zo handig wat je nu hebt gedaan : Het systeem heeft meerdere Gateways met dezelfde Metric en daardoor is er dus geen Primary/Beste Route naar buiten (0.0.0.0) toe!

1
2
3
4
5
6
7
8
9
10

Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
0.0.0.0         10.10.1.1       0.0.0.0         UG    202    0        0 eth0
0.0.0.0         10.10.10.1      0.0.0.0         UG    204    0        0 eth0.10
0.0.0.0         10.10.20.1      0.0.0.0         UG    205    0        0 eth0.20
0.0.0.0         10.10.30.1      0.0.0.0         UG    206    0        0 eth0.30
10.10.1.0       0.0.0.0         255.255.255.0   U     202    0        0 eth0
10.10.10.0      0.0.0.0         255.255.255.0   U     204    0        0 eth0.10
10.10.20.0      0.0.0.0         255.255.255.0   U     205    0        0 eth0.20
10.10.30.0      0.0.0.0         255.255.255.0   U     206    0        0 eth0.30

ed1703 schreef op vrijdag 9 oktober 2020 @ 19:45:
???

Waar heb je het over?

code:

1 2 3 4 5 6 7 8 9 10

Kernel IP routing table Destination Gateway Genmask Flags Metric Ref Use Iface 0.0.0.0 10.10.1.1 0.0.0.0 UG 202 0 0 eth0 0.0.0.0 10.10.10.1 0.0.0.0 UG 204 0 0 eth0.10 0.0.0.0 10.10.20.1 0.0.0.0 UG 205 0 0 eth0.20 0.0.0.0 10.10.30.1 0.0.0.0 UG 206 0 0 eth0.30 10.10.1.0 0.0.0.0 255.255.255.0 U 202 0 0 eth0 10.10.10.0 0.0.0.0 255.255.255.0 U 204 0 0 eth0.10 10.10.20.0 0.0.0.0 255.255.255.0 U 205 0 0 eth0.20 10.10.30.0 0.0.0.0 255.255.255.0 U 206 0 0 eth0.30

Met verschillende metrics werkt prima, die staan er ook op.

[ Voor 22% gewijzigd door Rozz op 10-10-2020 13:03 ]

Rozz schreef op zaterdag 10 oktober 2020 @ 13:02:
vraagje, ik draai al geruime tijd pi-hole naar alle tevredenheid maar hoe ga ik te werk als ik de ads op volgende website wil blokken?!?

CoinCodex

[ Voor 61% gewijzigd door Rozz op 10-10-2020 13:14 . Reden: typo en meer ]

1. Weet je zeker dat het device pihole gebruikt?
2. Gaat het toevallig over doh?
3. Zo ja is pihole zo ingesteld dat die dat ook doet?
4. sluit je browser eens en doe een flush dns

Kopernikus.1979 schreef op zaterdag 10 oktober 2020 @ 11:45:

Alles werkt

VLAN1 (native LAN1 van mijn netwerk)
--> hier zit enkel mijn Ubiquiti USG op (gezien er tot op heden geen mogelijkheid is om de USG in management te plaatsen) gebruikt de DNS van de USG

VLAN10 (trusted)
--> voor desktop/laptop/smartphones gebruikt Pi-Hole als DNS

VLAN20 (IoT)
--> voor printers, smart devices, enz.. en gebruikt zeker Pi-Hole als DNS

VLAN40 (Camera)
--> volledig geisoleerde VLAN voor mijn camera's als DNS ook de USG

VLAN50 (Servers)
--> voor mijn NAS/Pi-Hole en Ubiquiti Cloud key gen 2 (controller + NVR) gebruikt ook PiHole als DNS

VLAN90 (gasten)
--> voor mijn gasten met captive portal en ook met Pihole als DNS

VLAN100 (management)
--> voor mijn switches en AP --> gebruikt USG als DNS

Enige opmerkingen of dingen die ik beter kan doen?

[ Voor 3% gewijzigd door Rozz op 10-10-2020 13:37 . Reden: typo ]

Rozz schreef op zaterdag 10 oktober 2020 @ 13:02:
vraagje, ik draai al geruime tijd pi-hole naar alle tevredenheid maar hoe ga ik te werk als ik de ads op volgende website wil blokken?!?

CoinCodex

Ik heb de diverse linkaddressen in de blacklist gezet en alles geflushed, maar nog steeds komen ze door.

Webgnome schreef op zaterdag 10 oktober 2020 @ 13:03:
Ik zie geen ads? Kijk in de querylog en blokkeer die je niet wil.

Rozz schreef op zaterdag 10 oktober 2020 @ 13:05:
das juist het probleem, ik zie overal ads, maar ze komen niet overeen in mn query....

Als ik linkadres kopieer en dat invul in de blacklist komen ze nog steeds door, en dit adres zie ik dan ook niet in mn query.

Dus mijn vraag, hoe ga ik dan te werk om uit te zoeken welke adressen het zijn?

Rozz schreef op zaterdag 10 oktober 2020 @ 13:02:
vraagje, ik draai al geruime tijd pi-hole naar alle tevredenheid maar hoe ga ik te werk als ik de ads op volgende website wil blokken?!?

CoinCodex

Ik heb de diverse linkaddressen in de blacklist gezet en alles geflushed, maar nog steeds komen ze door.

nero355 schreef op zaterdag 10 oktober 2020 @ 14:30:
[...]
Volgens mij zijn dit ads die het gevolg zijn van een directe samenwerking i.p.v. via een ads provider/netwerk zoals je normaal gesproken ziet op de meeste websites, want ik zie ze ook niet terug in mijn Query Log
[...]
Ik denk dus dat je daarvoor toch iets van uBlockOrigin of zo moet gebruiken die elementen van de webpagina kan verwijderen

Dit is misschien meer iets voor het ubiquiti topic.
- Denk na waar wat mee mag communiceren. Ben je daar uit en tevreden mee dan ooit een keer als laatste regel een drop naar een RFC1918-group is te overwegen.
- Een vlan is een vlan, weinig bijzonders aan. Gastenlan ook echt via de controller inrichten als guest-vlan.
- Een IOT vlan is handig als het niet naar trusted kan, maar vanuit trusted wel naar het IOT-vlan.
- Voor MDNS smartphone/iot dien je het eea te configureren op de USG mbt een stabiele MDNS-config. De reflector is dat meestal niet, de repeater wel. ==> config.gateway.json.
- Het is te overwegen je CK in hetzelfde VLAN te hangen als je switches/aps, vooral als je ooit nog een flex mini als desktopswitchje gaat gebruiken, voorkomt dat wat gedoe.

- mogelijk heeft @nero355 nog wat aanvullingen.

Kopernikus.1979 schreef op zaterdag 10 oktober 2020 @ 11:45:
@nero355
@deHakkelaar
@ed1703

Goedemorgen :-)

Alles werkt
[..]

deHakkelaar schreef op zaterdag 10 oktober 2020 @ 19:55:
[...]


Das heel mooi.
Één dingetje nog.
Heb je weer die vlan package ge-installeerd en die 8021q mod geladen ?
Volgens mij heb je deze stappen helemaal niet nodig want de Pi-hole host functioneerd zelf niet als een (virtuele) switch.
Er hoeven geen trunks te propageren via de Pi-hole host.

the mod man schreef op zaterdag 10 oktober 2020 @ 20:09:
Voornamelijk voor mn smart tv icm youtube.

JayOne schreef op zaterdag 10 oktober 2020 @ 20:55:
[...]

Zou eerst maar eens kijken naar een betere use case voor Pi-Hole, want als je verwachting is dat je YouTube ads gaat blocken met Pi-Hole dat moet ik je helaas teleurstellen.

Kopernikus.1979 schreef op zaterdag 10 oktober 2020 @ 15:19:
[...]

Waar zou jij je Pihole's plaatsen? (PiHole als topic ) In de server vlan samen met mijn NAS of beter ook in de management vlan? En als laatste vraagje, welke firewall rules gebruik jij voor je management vlan? Normaal isoleer ik deze volledig tenzij men cloudkey er zou opzitten moet ik hiervoor een uitzondering maken.

[ Voor 11% gewijzigd door ed1703 op 10-10-2020 21:27 ]

the mod man schreef op zaterdag 10 oktober 2020 @ 21:09:
[...]


Hmmz, ik lees nu inderdaad dat youtube ads lastiger zijn / niet werken. Op reddit zeggen sommigen dat er met wat moeite wel minder/veel minder ads zijn.

Via browser op mac en pc heb ik al plugins alla ublock privacybadger ghostery adblock en noscript en dacht (kennelijk verlopen kennis) dat een pi-hole nog een goede zou zijn voor mn smart tv en iphone.

Naja heeft geen haast.

Toet3r schreef op zondag 11 oktober 2020 @ 12:05:
[...]

Ik gebruik PiVPN (wireguard) icm met mijn pi-hole. De installatie van pivpn herkent dat je pi-hole draait op je rpi en vraagt of je die ook wil gebruiken voor je vpn clients. Op deze manier kan je ook buitenshuis surfen zonder vervelende ads.

Zie: https://pivpn.io

JakeOfOz schreef op zondag 11 oktober 2020 @ 10:51:
[...]ik maak sinds kort ook gebruik van een VPN-dienst (private internet access), maar hoe valt dat goed te combineren met een pihole?
[...]
Maar ik las ook ergens dat je door de vpn op de pihole te installeren het ook kan omzeilen.

hp-got schreef op zondag 11 oktober 2020 @ 12:26:
[...]

Je wilt een VPN naar PIA, dat is iets voor uitgaand verkeer.
Een VPN op Pi-hole is bedoeld als dienst voor inkomend verkeer.
Het zijn twee verschillende dingen.....

[ Voor 5% gewijzigd door JakeOfOz op 11-10-2020 12:34 ]

JakeOfOz schreef op zondag 11 oktober 2020 @ 12:34:
[...]
Ok, maar is het dan mogelijk om het samen te laten werken? En wat is daar dan eventueel de beste methode voor?
[...]
EDIT: en hoe ik vervolgens mijn router in moet stellen om dat te gebruiken

hp-got schreef op zondag 11 oktober 2020 @ 12:42:
Lang geleden had ik een ASUS router die verbond met PIA VPN.
Ik ben daar mee gestopt omdat het (voor mij) meer nadelen dan voordelen had.

JakeOfOz schreef op zondag 11 oktober 2020 @ 10:51:
Ik heb helaas weinig eigen kennis van netwerken, maar ik leer het hopelijk snel.

Raven schreef op zondag 11 oktober 2020 @ 17:32:
Gelukkig zijn er manieren om niet alles over VPN te laten gaan , zelf heb ik PIA al lange tijd in een virtuele pc met pfSense draaien. M.b.v. dante proxy server in pfSense verkeer van enkele specifieke apps via VPN laten gaan en de rest laten zoals het is.

Maar nu: ik maak sinds kort ook gebruik van een VPN-dienst (private internet access), maar hoe valt dat goed te combineren met een pihole?

mijn router (een simpel ASUS model) heeft de DNS op de pihole staan, maar als ik de vpn aanslinger dan werkt dat niet meer (toch?)

Ik heb nu de DNS van de vpn op 'use default DNS' staan, dan lijkt 'ie weer m'n pihole te gebruiken.

Maar ik las ook ergens dat je door de vpn op de pihole te installeren het ook kan omzeilen.

Is hier iemand met ervaring met VPN-diensten en pihole?

hp-got schreef op zondag 11 oktober 2020 @ 12:42:
De enkele keer dat ik nu behoefte heb aan een VPN-verbinding gebruik ik de PIA app op een device.
Die app kan je dan meteen advertenties en andere zooi laten blokkeren, daar heb je geen Pi-hole voor nodig

ed1703 schreef op vrijdag 9 oktober 2020 @ 19:45:
[...]

???

Waar heb je het over?

code:

1 2 3 4 5 6 7 8 9 10

Kernel IP routing table Destination Gateway Genmask Flags Metric Ref Use Iface 0.0.0.0 10.10.1.1 0.0.0.0 UG 202 0 0 eth0 0.0.0.0 10.10.10.1 0.0.0.0 UG 204 0 0 eth0.10 0.0.0.0 10.10.20.1 0.0.0.0 UG 205 0 0 eth0.20 0.0.0.0 10.10.30.1 0.0.0.0 UG 206 0 0 eth0.30 10.10.1.0 0.0.0.0 255.255.255.0 U 202 0 0 eth0 10.10.10.0 0.0.0.0 255.255.255.0 U 204 0 0 eth0.10 10.10.20.0 0.0.0.0 255.255.255.0 U 205 0 0 eth0.20 10.10.30.0 0.0.0.0 255.255.255.0 U 206 0 0 eth0.30

Met verschillende metrics werkt prima, die staan er ook op.

Kopernikus.1979 schreef op zondag 11 oktober 2020 @ 21:10:
[...]


Laat ik de config nu zo of is het beter maar 1 "static router" te configureren?
Zo ja, waarom?

De native VLAN & management VLAN gebruiken niet de PiHole dns, heeft het zin om alles op Pi-hole te plaatsen of is het beter deze de dns van de USG te laten gebruiken?

ed1703 schreef op zondag 11 oktober 2020 @ 21:28:
[...]

Gateway: maakt technisch niet zoveel uit, hij gebruikt altijd de laagste metric. Beetje om het even.

DNS: ik resolve alles via de pihole (met ook weer unbound, sommige free resolvers vind ik verre van betrouwbaar, afgezien van de privacy issue), mijn lokale namen staan ook op de pihole. Als je 2 piholes gaat draaien is keepalived nog handig.

[ Voor 5% gewijzigd door Kopernikus.1979 op 11-10-2020 21:50 ]