[Pi-Hole] Ervaringen & discussie

Kopernikus.1979 schreef op zondag 11 oktober 2020 @ 21:48:
[...]


Super, ga ik ook eens zo proberen, enkel voor de native vlan (dus lan1) wat vul ik hier in voor dns?
Voor alle andere is het simpel: het statisch IP voor de betreffende vlan gedefinieerd op de RasPi.
Want op mijn pihole kan ik deze niet defenieren? Tenzijn ik de poort aanpas native untaged maar dan zit de Pi niet meer in zijn VLAN maar op de native samen met de USG.
Moet er in de hosts file nog iets speciaal voor de USG?
Unbound gebruikte ik ook al als resolver.
Mijn 2de Pi-hole gebruikte ik als 2de DNS, enig nadeel is dat statistieken verspreid zijn over de 2 Pi-hole's, zou je eerder de HA oplossing aanraden?

[ Voor 5% gewijzigd door ed1703 op 11-10-2020 22:36 ]

ed1703 schreef op zondag 11 oktober 2020 @ 22:29:
2e pihole: je kunt op keepalived pihole 1 als primair configureren voor al je vlans. Dacht dat je dan meerdere hagroepen moet maken. Ook met een check script, al voegt deze niet heel veel toe https://github.com/manicholls/pi-hole-keepalived of pihole functioneel echt werkt zit geen check in.
Andere ken ik niet, misschien anderen? @nero355 of iemand anders.

Kopernikus.1979 schreef op zondag 11 oktober 2020 @ 21:48:
[...]
Mijn 2de Pi-hole gebruikte ik als 2de DNS, enig nadeel is dat statistieken verspreid zijn over de 2 Pi-hole's, zou je eerder de HA oplossing aanraden?

deHakkelaar schreef op maandag 12 oktober 2020 @ 01:28:
[...]
Maar dan zijn de DHCP leases nog een struikelblok aangezien deze in een plat bestandje worden opgeslagen ipv een dbase.

[ Voor 83% gewijzigd door ed1703 op 12-10-2020 08:10 ]

Kopernikus.1979 schreef op maandag 12 oktober 2020 @ 07:37:
[...]


Ik heb het nog anders opgelost en het werkt... weet enkel niet of het veilig is op deze manier...
Dus wat heb ik gedaan de LAN1 op de USG is eigenlijk VLAN1.
Op de RasPi heb ik dus ook een statisch ip aangemaakt in de vlans file voor eth0.1 en dit blijkt gewoon te werken...

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43

1e node:

vrrp_instance failover_link1 {
    state MASTER
    interface eth0
    virtual_router_id 15
    priority 110
    advert_int 1
    authentication {
        auth_type AH
        auth_pass xxxxxx
    }
unicast_src_ip own.address
    unicast_peer {
        remote.address
    }
    virtual_ipaddress {
        10.x.x.x dev eth0 label eth0:vip-dns1
        10.x.x.x dev eth0 label eth0:vip-ntp1
    }
}

2e node:

vrrp_instance failover_link1 {
    state BACKUP
    interface eth0
    virtual_router_id 15
    priority 50
    advert_int 1
    authentication {
        auth_type AH
        auth_pass xxxxx
    }
unicast_src_ip own.address
    unicast_peer {
        remote.address
    }
    virtual_ipaddress {
        10.x.x.x dev eth0 label eth0:vip-dns1
        10.x.x.x dev eth0 label eth0:vip-ntp1
    }
}

[ Voor 3% gewijzigd door ed1703 op 12-10-2020 08:24 ]

ed1703 schreef op maandag 12 oktober 2020 @ 08:07:
[...]

Ok, gebruik zelf dit netwerk niet. Heb er een drop/drop op staan.
Je kunt nu een HA setup maken voor elk vlan, dit werkt met multicast, al kun je het ook met unicast configureren.
Als je toch bezig bent, kun je gelijk een HA-NTP setup bouwen.
Kan zijn dat je de interface namen moet aanpassen.

code:

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43

1e node: vrrp_instance failover_link1 { state MASTER interface eth0 virtual_router_id 15 priority 110 advert_int 1 authentication { auth_type AH auth_pass xxxxxx } unicast_src_ip own.address unicast_peer { remote.address } virtual_ipaddress { 10.x.x.x dev eth0 label eth0:vip-dns1 10.x.x.x dev eth0 label eth0:vip-ntp1 } } 2e node: vrrp_instance failover_link1 { state BACKUP interface eth0 virtual_router_id 15 priority 50 advert_int 1 authentication { auth_type AH auth_pass xxxxx } unicast_src_ip own.address unicast_peer { remote.address } virtual_ipaddress { 10.x.x.x dev eth0 label eth0:vip-dns1 10.x.x.x dev eth0 label eth0:vip-ntp1 } }

Kopernikus.1979 schreef op maandag 12 oktober 2020 @ 07:42:
Ik veronderstel zolang er geen echte VLAN switching gebeurt deze niet nodig zijn?

deHakkelaar schreef op maandag 12 oktober 2020 @ 08:58:
[...]
Dan routeer je toch ipv aliased IP's en de switch het werk laten doen ?
Of zie ik iets over het hoofd ?

Kopernikus.1979 schreef op maandag 12 oktober 2020 @ 09:23:
[...]


Gaan we zekers eens testen.
Gebruik jij je USG of de Pi-Hole als DHCP server?

[ Voor 34% gewijzigd door ed1703 op 12-10-2020 09:35 ]

deHakkelaar schreef op maandag 12 oktober 2020 @ 09:27:
Ow bijna vergeten:

[...]

Juist

nero355 schreef op maandag 12 oktober 2020 @ 17:11:
[...]

Raar dat ik dan destijds overal tegenkwam dat je die module nodig had

Ik knal hem wel effe uit mijn HowTo reactie en als het niet goed werkt om wat voor reden dan ook dan merken we het vanzelf wel!

root@raspidomoticz:~# apt-cache policy vlan
vlan:
Installed: (none)
Candidate: 2.0.5
Version table:

root@raspidomoticz:~# dmesg | grep 802

[ 7.290777] 8021q: 802.1Q VLAN Support v1.8

[ Voor 9% gewijzigd door ed1703 op 12-10-2020 17:45 ]

deHakkelaar schreef op dinsdag 13 oktober 2020 @ 02:20:
@nero355 , volgens mij heb je die "vlan-raw-device eth0" regel ook niet nodig ?

Met bovenstaande moet je wel Pi-hole confgureren, met de web GUI, om alleen naar een enkele interface te luisteren.

visie schreef op dinsdag 13 oktober 2020 @ 08:03:
Sinds een week ben ik begonnen met een raspberry 3b+. Ik loop tegen het volgende probleem aan:
Op de raspberry pi draaien pihole en WireGuard al prima. Maar sinds ik domiticz installeer werkt het allemaal niet meer.
Na een reboot werkt pihole niet, pas als ik inlog op de webpage op de raspberry start pihole en werkt de dns weer voor alle aangesloten apparaten.
Maar de vpn verbindingen krijgen geen dns meer.
Iemand een idee hoe dit kan na deze installatie?

nero355 schreef op dinsdag 13 oktober 2020 @ 14:42:
[...]

Test jij het effe dan hoor ik het resultaat wel!

Webgnome schreef op dinsdag 13 oktober 2020 @ 08:20:
Heb je de logs van pihole al gecontroleerd?

[b]nero355 in "[Pi-Hole] Ervaringen & discussie"nero355 schreef op dinsdag 13 oktober 2020


[...]

Zie : https://discourse.pi-hole...e-along-side-pi-hole/8684

Blijkbaar is er een conflict wat betreft de poorten die worden gebruikt en staat Domoticz niet meer in die lijst

[ Voor 47% gewijzigd door visie op 13-10-2020 18:50 ]

nero355 schreef op dinsdag 13 oktober 2020 @ 14:42:
[...]
Test jij het effe dan hoor ik het resultaat wel!

ed1703 schreef op dinsdag 13 oktober 2020 @ 17:39:
[...]
Nou, het werkt. Weer wat geleerd

1
2
3
4
5

pi@ph5:~ $ man dnsmasq
[..]
                                           ... IP  alias  interfaces
              (eg "eth1:0") cannot be used with --interface or --except-
              interface options, use --listen-address instead.

1
2
3

pi@ph5:~ $ pihole -a -i all
  [i] Listening on all interfaces, permitting all origins. Please use a firewall!
  [✓] Restarting DNS server

1
2

pi@ph5:~ $ sudo grep interface= -R /etc/dnsmasq.*
/etc/dnsmasq.d/01-pihole.conf:except-interface=nonexisting

1
2
3
4
5
6
7

pi@ph5:~ $ man dnsmasq
[..]
       -I, --except-interface=<interface name>
              Do not listen on the specified interface.  Note  that  the
              order  of --listen-address --interface and --except-inter‐
              face options does not matter and  that  --except-interface
              options always override the others.

deHakkelaar schreef op dinsdag 13 oktober 2020 @ 20:59:
... IP alias interfaces
(eg "eth1:0") cannot be used with --interface or --except-
interface options, use --listen-address instead.[/code]

-I, --except-interface=<interface name>
Do not listen on the specified interface. Note that the
order of --listen-address --interface and --except-inter‐
face options does not matter and that --except-interface
options always override the others.[/code]

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25

listen-address=::1,127.0.0.1,10.0.2.53

inet 127.0.0.1/8
inet 10.0.2.53/32
inet 10.0.2.30/24

pihole-FT  4963           pihole    4u  IPv4 60901915      0t0  UDP *:domain
pihole-FT  4963           pihole    5u  IPv4 60901916      0t0  TCP *:domain (LISTEN)
pihole-FT  4963           pihole    6u  IPv6 60901917      0t0  UDP *:domain
pihole-FT  4963           pihole    7u  IPv6 60901918      0t0  TCP *:domain (LISTEN)

host nu.nl 10.0.2.30
;; connection timed out; no servers could be reached

host nu.nl 10.0.2.53
Using domain server:
Name: 10.0.2.53
Address: 10.0.2.53#53
Aliases:

nu.nl has address 13.224.68.36
nu.nl has address 13.224.68.94
nu.nl has address 13.224.68.53
nu.nl has address 13.224.68.48
nu.nl mail is handled by 0 nu-nl.mail.protection.outlook.com.

ed1703 schreef op dinsdag 13 oktober 2020 @ 22:34:
[...]
Het beste is wel om deze te gebruiken.. want:

[...]
Deze optie heeft als nadeel dat als je achteraf een vlan toevoegt je aanpassingen moet doen, want hij gaat bij een restart van de service luisteren op de toegevoegde interface.

ed1703 schreef op dinsdag 13 oktober 2020 @ 22:34:
[...]
Ik vraag mij alleen af wat je ermee bereikt, pihole gaat namelijk gewoon op alle interfaces zitten, hij reageert alleen niet op de verzoeken die niet op je --listen-interface hebt staan:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26

pi@ph5:~ $ man dnsmasq
[..]
       -z, --bind-interfaces
              On  systems  which  support it, dnsmasq binds the wildcard
              address, even when it is listening  on  only  some  inter‐
              faces.  It  then discards requests that it shouldn't reply
              to. This has the advantage of working even when interfaces
              come and go and change address. This option forces dnsmasq
              to really bind only the interfaces  it  is  listening  on.
              About  the  only  time when this is useful is when running
              another nameserver (or another instance of dnsmasq) on the
              same  machine.  Setting  this option also enables multiple
              instances of dnsmasq which provide DHCP service to run  in
              the same machine.

       --bind-dynamic
              Enable  a  network  mode which is a hybrid between --bind-
              interfaces and the default. Dnsmasq binds the  address  of
              individual    interfaces,    allowing   multiple   dnsmasq
              instances, but if new interfaces or addresses  appear,  it
              automatically listens on those (subject to any access-con‐
              trol configuration). This makes dynamically created inter‐
              faces  work  in  the same way as the default. Implementing
              this option requires non-standard networking APIs  and  it
              is  only  available  under  Linux.  On  other platforms it
              falls-back to --bind-interfaces mode.

ed1703 schreef op dinsdag 13 oktober 2020 @ 22:34:
[...]
Kun je net zo goed met iptables de boel dichtgooien, zo lijkt het. Veel voegt het allemaal niet toe, of ik moet wat missen?

[ Voor 6% gewijzigd door deHakkelaar op 13-10-2020 23:00 ]

deHakkelaar schreef op dinsdag 13 oktober 2020 @ 22:52:
[...]


Maar als je een vlan toevoegt aan Pi-hole, dan doe je dat toch voor de DNS service ?
Als je niet wilt dat Pi-hole luisterd/antwoord, dan tag je dat vlan toch niet en maak je ook geen aliased IP aan toch ?

Als je zo'n belangrijke service draait in zovele vlan's, zou ik zoiezo aanraden om een FW op te zetten.

deHakkelaar schreef op dinsdag 13 oktober 2020 @ 23:21:
Dat is jouw voorkeur.
Mijn voorkeur voor belangrijke services zoals DNS is om deze op dedicated HW te draaien (in mijn geval een oude Pi 1B+).
Of een dedicated VM of container als de hypervisor/docker/esx/vsphere host betrouwbaar is en hoge uptime heeft.
Met zo'n multifuntionele Pi gebeurt het toch te vaak dat je met 1 aspect aan het tweaken bent en je de Pi weer moet rebooten.
En dan hopen dat je tweaks niet iets breken voor Pi-hole.

ed1703 schreef op dinsdag 13 oktober 2020 @ 23:29:
[...]
Ja ik vind een hypervisor nog steeds het mooiste.

1
2

$ uname -a
Linux xen

[ Voor 7% gewijzigd door deHakkelaar op 13-10-2020 23:34 ]

deHakkelaar schreef op dinsdag 13 oktober 2020 @ 20:59:
Wat is julie mening ?

Ik heb net mijn HowTo voor de zoveelste keer aangepast en er is nu amper nog wat van over...

deHakkelaar schreef op woensdag 14 oktober 2020 @ 00:21:
[...]
Ik heb ook vele postings op Pi-hole Discourse voorbij zien komen met dit probleem.
Maar in bijna alle gevallen was dit terug te leiden naar regeltjes toegevoegt aan de dnsmasq configuratie door andere software zoals PiVPN of een AP howto die ook beiden dnsmasq gebruiken voor DNS/DHCP.
Het misverstand is voornamelijk dat de "interface=" regel een restrictie is op de default van dnsmasq om op alles te luisteren.

Freee!! schreef op woensdag 14 oktober 2020 @ 01:05:
[...]
Het nadeel van Pi-Hole als DHCP server is, dat er maar één DNS meegegeven wordt, lastig als je meer dan één Pi met ieder een Pi-Hole hebt draaien.

[ Voor 11% gewijzigd door deHakkelaar op 14-10-2020 01:29 ]

Freee!! schreef op woensdag 14 oktober 2020 @ 01:05:
Dus nog een voordeel van Pi-Hole in een Docker container draaien, dnsmasq is veilig opgeborgen op een plek waar andere software er niet bij kan.

Het nadeel van Pi-Hole als DHCP server is, dat er maar één DNS meegegeven wordt, lastig als je meer dan één Pi met ieder een Pi-Hole hebt draaien.

deHakkelaar schreef op woensdag 14 oktober 2020 @ 00:37:
Ik zag de kleine lettertjes niet.
LOL
&
KISS
Wikipedia: KISS principle

deHakkelaar schreef op woensdag 14 oktober 2020 @ 00:21:
Ik heb ook vele postings op Pi-hole Discourse voorbij zien komen met dit probleem.
Maar in bijna alle gevallen was dit terug te leiden naar regeltjes toegevoegt aan de dnsmasq configuratie door andere software zoals PiVPN of een AP howto die ook beiden dnsmasq gebruiken voor DNS/DHCP.

Het misverstand is voornamelijk dat de "interface=" regel een restrictie is op de default van dnsmasq om op alles te luisteren.

nero355 schreef op woensdag 14 oktober 2020 @ 14:15:
Dat moet toch ook wel op te lossen zijn door zelf wat config files aan te passen

En als je een VRRP setje draait dan heb je sowieso maar één IP dat beide Pi-Hole's delen

ed1703 schreef op woensdag 14 oktober 2020 @ 22:42:
Werkt dat sowieso wel goed? Pihole in HA met VRRP en de ingebouwde DHCP-server? Volgens mij al eerder besproken dat je dan tegen issues aanloopt. DHCP-servers in HA moeten van elkaar weten wat ze uitdelen.

deHakkelaar schreef op woensdag 14 oktober 2020 @ 18:03:
Sorry ik las weer niet goed.
Ja.
Als je "Listen to all" selecteerd verwijdert Pi-hole z'n eigen "interface=" regeltje en komt daarvoor in de plaats "except-interface=nonexisting".

code:

1 2 3

pi@ph5:~ $ pihole -a -i single [i] Listening only on interface eth0 [✓] Restarting DNS server

code:

1 2	pi@ph5:~ $ sudo grep interface= -R /etc/dnsmasq.* /etc/dnsmasq.d/01-pihole.conf:interface=eth0

code:

1 2 3

pi@ph5:~ $ pihole -a -i all [i] Listening on all interfaces, permitting all origins. Please use a firewall! [✓] Restarting DNS server

code:

1 2	pi@ph5:~ $ sudo grep interface= -R /etc/dnsmasq.* /etc/dnsmasq.d/01-pihole.conf:except-interface=nonexisting

ed1703 schreef op dinsdag 13 oktober 2020 @ 17:39:
[...]

Nou, het werkt. Weer wat geleerd

[ Voor 15% gewijzigd door Kopernikus.1979 op 16-10-2020 07:30 ]

deHakkelaar schreef op donderdag 15 oktober 2020 @ 07:37:
Mocht je de winkel nog veiliger willen maken is de "local" optie ook een goede:

code:

1 2 3 4 5 6 7 8 9 10

pi@ph5:~ $ pihole -a -i -h Usage: pihole -a -i [interface] Example: 'pihole -a -i local' Specify dnsmasq's network interface listening behavior Interfaces: local Listen on all interfaces, but only allow queries from devices that are at most one hop away (local devices) single Listen only on eth0 interface all Listen on all interfaces, permit all origins

code:

1 2 3

pi@ph5:~ $ pihole -a -i local [i] Listening on all interfaces, permitting origins from one hop away (LAN) [✓] Restarting DNS server

Er wordt dan onderstaande regeltje toegevoegt:

code:

1 2 3

pi@ph5:~ $ cat /etc/dnsmasq.d/01-pihole.conf [..] local-service

Maar ja dan moet je niet afhankelijk zijn van onderstaande regels:

code:

1 2 3 4 5 6 7 8 9 10 11

pi@ph5:~ $ man dnsmasq [..] --local-service Accept DNS queries only from hosts whose address is on a local subnet, ie a subnet for which an interface exists on the server. This option only has effect if there are no --interface --except-interface, --listen-address or --auth-server options. It is intended to be set as a default on installation, to allow unconfigured installa‐ tions to be useful but also safe from being used for DNS amplification attacks.

@nero355 , nog één dingetje, in de howto wordt alleen de "networking" service geherstart.
Dat zal ervoor zorgen dat de aliased interfaces worden aangemaakt en UP gebracht.
Maar de extra geconfigureerde IP addresses worden dan nog niet toegewezen.
Daarvoor zal je ook "dhcpcd" een schop moeten geven:

code:

1 2	pi@ph5:~ $ sudo service dhcpcd restart pi@ph5:~ $

code:

1 2 3 4 5 6 7 8 9 10 11 12 13 14

pi@ph5:~ $ journalctl --no-pager --full -u dhcpcd [.. Oct 15 07:15:32 ph5.dehakkelaar.nl systemd[1]: Stopped dhcpcd on all interfaces. Oct 15 07:15:32 ph5.dehakkelaar.nl systemd[1]: Starting dhcpcd on all interfaces... Oct 15 07:15:32 ph5.dehakkelaar.nl dhcpcd[30872]: dev: loaded udev Oct 15 07:15:32 ph5.dehakkelaar.nl dhcpcd[30872]: DUID 00:01:00:xx:xx:xx:31:5a:b8:27:eb:xx:xx:xx Oct 15 07:15:32 ph5.dehakkelaar.nl dhcpcd[30872]: eth0: IAID eb:5e:d7:3b Oct 15 07:15:32 ph5.dehakkelaar.nl dhcpcd[30872]: eth0: using static address 10.0.0.4/24 Oct 15 07:15:32 ph5.dehakkelaar.nl dhcpcd[30872]: eth0: adding route to 10.0.0.0/24 Oct 15 07:15:32 ph5.dehakkelaar.nl dhcpcd[30872]: eth0: adding default route via 10.0.0.1 Oct 15 07:15:32 ph5.dehakkelaar.nl dhcpcd[30872]: forked to background, child pid 30893 Oct 15 07:15:32 ph5.dehakkelaar.nl systemd[1]: Started dhcpcd on all interfaces. Oct 15 07:15:33 ph5.dehakkelaar.nl dhcpcd[30893]: eth0: soliciting an IPv6 router Oct 15 07:15:45 ph5.dehakkelaar.nl dhcpcd[30893]: eth0: no IPv6 Routers available

Dus kan de howto weer een beetje groeien

Kopernikus.1979 schreef op donderdag 15 oktober 2020 @ 12:13:
Dus kort samengevat:

- VLAN package en 8021q module moeten NIET geïnstalleerd worden
- in het vlans bestandje mag "vlan-raw-device eth0" weggelaten worden
- in dhcpcd.conf de statische ip's definiëren zonder static router/domain (die bij eth0 zijn voldoende)

Eigenlijk was de config beschreven door @deHakkelaar op discourse https://discourse.pi-hole...e-vlan-interfaces/38982/3 als antwoord op mijn initiële vraag al de hele tijd het juiste antwoord (met uitzondering dat de interfaces in vlans file geconfigureerd worden nu ipv rechtstreeks in het interfaces.d bestand.

Nog iets aan toe te voegen?

@nero355 Ik heb gezien dat je je "how to" post hebt aangepast, echter staat er niet meer in dat de interfaces moeten gedefinieerd worden in het vlans bestandje, of heb ik nu niet goed opgelet?

nero355 schreef op donderdag 15 oktober 2020 @ 14:27:
[...]

Local mag van mij de Default Setting worden voor Pi-Hole in de toekomst


[...]

Ik heb het erbij gezet... hopelijk klopt het ook!

Mocht ik ooit de boel herinstalleren dan heb ik in ieder geval wat te testen, want dit begint echt maf te worden : Zoveel dingen die niet kloppen en anders moeten/kunnen!


[...]

Ja, ja, ja, en ja

Kopernikus.1979 schreef op donderdag 15 oktober 2020 @ 15:19:
Bedoelde je met laatste ja, ja klopt moet ik er nog terug bijzetten of nee is niet meer nodig?

Want als ik de interfaces niet meer definieer in het vlans bestandje werkt het niet meer bij mij....

nero355 schreef op donderdag 15 oktober 2020 @ 17:16:
[...]

Na alle tests en aanpassingen van @ed1703 en @deHakkelaar de afgelopen dagen zou de HUIDIGE versie die op dit moment in mijn reactie staat dus gewoon moeten werken!


[...]

Dat is dan de schuld van de eerder genoemde heren, want die zeggen dat het niet meer nodig is

[ Voor 4% gewijzigd door Kopernikus.1979 op 15-10-2020 17:49 ]

Webgnome schreef op donderdag 15 oktober 2020 @ 17:21:
Kijk even in de querylog op het moment dat je het spel opstart. Dan zou er vanzelf vanaf het ip van het apparaat waar je dan op zit een bepaalde hostname moeten verschijnen die je kan whitelisten.

Kopernikus.1979 schreef op donderdag 15 oktober 2020 @ 17:25:
[...]


Ik heb het nog even "snel" nagelezen en ik lees nergens dat de vlan file niet meer nodig is, ik denk dat de interface regel uit de vlan file verward wordt met deze die je plaatst in de 100-naam.conf file in de dnsmasq.d directory zodat Pihole weet naar welke interfaces deze moet luisteren.

ed1703 schreef op donderdag 15 oktober 2020 @ 17:52:
[...]

De vlanfile is inderdaad wel nodig. De zaken eerder beschreven niet.
Dus geen raw-device e.d. 2 regels per vlan is nu voldoende.

1
2
3
4

pi@ph5:~ $ cat /etc/dnsmasq.d/01-pihole.conf
[..]
rev-server=10.0.0.0/24,10.0.0.2
server=/dehakkelaar.nl/10.0.0.2

1
2
3
4
5
6

C:\>nslookup laptop.dehakkelaar.nl
Server:  ph5.dehakkelaar.nl
Address:  10.0.0.4

Name:    laptop.dehakkelaar.nl
Address:  10.0.0.220

1
2
3
4
5
6

C:\>nslookup laptop.dehakkelaar.nl 10.0.0.2
Server:  noads.dehakkelaar.nl
Address:  10.0.0.2

Name:    laptop.dehakkelaar.nl
Address:  10.0.0.220

1
2
3
4
5
6

C:\>nslookup 10.0.0.220
Server:  ph5.dehakkelaar.nl
Address:  10.0.0.4

Name:    laptop.dehakkelaar.nl
Address:  10.0.0.220

1
2
3
4
5
6

C:\>nslookup 10.0.0.220 10.0.0.2
Server:  noads.dehakkelaar.nl
Address:  10.0.0.2

Name:    laptop.dehakkelaar.nl
Address:  10.0.0.220

1
2

rev-server=10.0.0.0/24,10.0.0.2
server=/dehakkelaar.nl/10.0.0.2

[ Voor 14% gewijzigd door deHakkelaar op 16-10-2020 08:50 ]

Kopernikus.1979 schreef op vrijdag 16 oktober 2020 @ 07:49:
Om nog even terug te komen op mijn initiële vraag op discourse betreffende mijn 05-custom.conf of VLAN interfaces.. ondertussen is hier alles duidelijk heb ik met de nodige testen en tweaks (thx to @deHakkelaar @nero355 @ed1703) alles werkende. Maar als men in Pi-Hole niet gebruikt als DHCP en men de hostnames wil zien ipv de IP heb je die file natuurlijk nog nodig, echter vroeg ik me af als de ARPA's er nog in moeten?

Zo heb ik ze nu:

server=/Kopernikus-Native.lan/10.10.1.1
server=/Kopernikus-Trusted.lan/10.10.10.1
server=/Kopernikus-IoT.lan/10.10.20.1
server=/Kopernikus-Guests.lan/10.10.30.1
server=/Kopernikus-Surveillance.lan/10.10.40.1
server=/Kopernikus-Servers.lan/10.10.50.1
server=/Kopernikus-Management.lan/10.10.100.1
server=/1.10.10.in-addr.arpa/10.10.1.1
server=/10.10.10.in-addr.arpa/10.10.10.1
server=/20.10.10.in-addr.arpa/10.10.20.1
server=/30.10.10.in-addr.arpa/10.10.30.1
server=/40.10.10.in-addr.arpa/10.10.40.1
server=/50.10.10.in-addr.arpa/10.10.50.1
server=/100.10.10.in-addr.arpa/10.10.100.1

1
2
3
4
5

02-locallan.conf:
addn-hosts=/opt/etc/services.edg.lan

/opt/etc/services.edg.lan:
10.0.2.85   domoticz.edg.lan

1
2

domoticz.edg.lan has address 10.0.2.85
85.2.0.10.in-addr.arpa domain name pointer domoticz.edg.lan

ed1703 schreef op vrijdag 16 oktober 2020 @ 08:47:
[...]

Ik gebruik gewoon de conffiles in dnsmasq.d:

code:

1 2 3 4 5

02-locallan.conf: addn-hosts=/opt/etc/services.edg.lan /opt/etc/services.edg.lan: 10.0.2.85 domoticz.edg.lan

1
2
3
4
5
6
7
8
9

pi@ph5:~ $ man dnsmasq
[..]
       --rev-server=<ip-address>/<prefix-
       len>,<ipaddr>[#<port>][@<source-ip>|<interface>[#<port>]]
              This is functionally the same as  --server,  but  provides
              some  syntactic  sugar  to make specifying address-to-name
              queries       easier.       For       example       --rev-
              server=1.2.3.0/24,192.168.0.1  is  exactly  equivalent  to
              --server=/3.2.1.in-addr.arpa/192.168.0.1

deHakkelaar schreef op vrijdag 16 oktober 2020 @ 09:24:
[...]


Dat kan ook.
Of DNS records maken:
http://pi.hole/admin/dns_records.php

Maar dat is allemaal het handwerk

Ps. realiseer me net onderstaande

code:

1 2 3 4 5 6 7 8 9

pi@ph5:~ $ man dnsmasq [..] --rev-server=<ip-address>/<prefix- len>,<ipaddr>[#<port>][@<source-ip>|<interface>[#<port>]] This is functionally the same as --server, but provides some syntactic sugar to make specifying address-to-name queries easier. For example --rev- server=1.2.3.0/24,192.168.0.1 is exactly equivalent to --server=/3.2.1.in-addr.arpa/192.168.0.1

[ Voor 7% gewijzigd door ed1703 op 16-10-2020 09:30 ]

deHakkelaar schreef op vrijdag 16 oktober 2020 @ 08:12:
Ik neem aan dat 10.10.1.1, 10.10.20.1, 10.10.30.1, 10.10.40.1 en 10.10.50.1 allemaal dezelfde DNS server is toch ?

Parkeer dat 05-custom.conf bestandje dan voor diagnose ergens anders niet in de /etc/dnsmasq.d/ folder.
En configureer en aktiveer "Use Conditional Forwarding" op onderstaande linkje:

http://pi.hole/admin/settings.php?tab=dns

Pi-hole configureert dan onderstaande:

code:

1 2 3 4

pi@ph5:~ $ cat /etc/dnsmasq.d/01-pihole.conf [..] rev-server=10.0.0.0/24,10.0.0.2 server=/dehakkelaar.nl/10.0.0.2

Met een client kun je reverse lookups testen bv:

code:

1 2 3 4 5 6

C:\>nslookup laptop.dehakkelaar.nl Server: ph5.dehakkelaar.nl Address: 10.0.0.4 Name: laptop.dehakkelaar.nl Address: 10.0.0.220

code:

1 2 3 4 5 6

C:\>nslookup laptop.dehakkelaar.nl 10.0.0.2 Server: noads.dehakkelaar.nl Address: 10.0.0.2 Name: laptop.dehakkelaar.nl Address: 10.0.0.220

code:

1 2 3 4 5 6

C:\>nslookup 10.0.0.220 Server: ph5.dehakkelaar.nl Address: 10.0.0.4 Name: laptop.dehakkelaar.nl Address: 10.0.0.220

code:

1 2 3 4 5 6

C:\>nslookup 10.0.0.220 10.0.0.2 Server: noads.dehakkelaar.nl Address: 10.0.0.2 Name: laptop.dehakkelaar.nl Address: 10.0.0.220

Wel oppassen dat je niet een DNS loop creert waarbij DNS queries weer terug loopen naar Pi-hole!

EDIT: hmmm mogelijk heb je toch een aantal van die "rev-server=10.0.0.0/24,10.0.0.2" regeltjes nodig.
Dan is weer beter om je eigen config bestandje daarvoor te gebruiken.

EDIT2: Ja vergeet conditional forwarding via de GUI.
Maak je eigen dnsmasq config bestandje aan met alleen die twee regels voor elk vlan/domein:

code:

1 2	rev-server=10.0.0.0/24,10.0.0.2 server=/dehakkelaar.nl/10.0.0.2

Niet vergeten te herstarten met "pihole restartdns"!

1
2
3
4
5
6
7
8
9

pi@ph5:~ $ man dnsmasq
[..]
       --rev-server=<ip-address>/<prefix-
       len>,<ipaddr>[#<port>][@<source-ip>|<interface>[#<port>]]
              This is functionally the same as  --server,  but  provides
              some  syntactic  sugar  to make specifying address-to-name
              queries       easier.       For       example       --rev-
              server=1.2.3.0/24,192.168.0.1  is  exactly  equivalent  to
              --server=/3.2.1.in-addr.arpa/192.168.0.1

[ Voor 8% gewijzigd door deHakkelaar op 16-10-2020 09:51 ]

icecreamfarmer schreef op donderdag 15 oktober 2020 @ 19:48:
Iemand hier een succesvolle block op de reclameinjectie van TuneIn voor elkaar gekregen?
Ik heb of radio met reclame of niets.
legato.radiotime.com

Deze blokkeren leverde een niet werkende tunein op.
Overigens valt mij dat wanneer ik tuneIn via alexa oproep ik geen reclame krijg. Ik kan die echter niet via een routine aanroepen op mijn sonos. Iemand daar een idee over?

deHakkelaar schreef op vrijdag 16 oktober 2020 @ 09:43:
Geen.

code:

1 2 3 4 5 6 7 8 9

pi@ph5:~ $ man dnsmasq [..] --rev-server=<ip-address>/<prefix- len>,<ipaddr>[#<port>][@<source-ip>|<interface>[#<port>]] This is functionally the same as --server, but provides some syntactic sugar to make specifying address-to-name queries easier. For example --rev- server=1.2.3.0/24,192.168.0.1 is exactly equivalent to --server=/3.2.1.in-addr.arpa/192.168.0.1

Zie je namen of IP's ?
Heb je die nslookups geprobeert ?

EDIT: in dat voorbeeld zou dan 10.0.0.2 de USG zijn (die neem ik aan DHCP doet) en 10.0.0.4 Pi-hole.

1
2

pi@ph5:~ $ dig +short -t ptr  220.0.0.10.in-addr.arpa @10.0.0.2
laptop.dehakkelaar.nl.

1
2
3
4
5

C:\>nslookup -type=ptr 220.0.0.10.in-addr.arpa 10.0.0.2
Server:  noads.dehakkelaar.nl
Address:  10.0.0.2

220.0.0.10.in-addr.arpa name = laptop.dehakkelaar.nl

[ Voor 16% gewijzigd door deHakkelaar op 16-10-2020 10:17 ]

MAdD schreef op vrijdag 16 oktober 2020 @ 09:49:
[...]

beetje offtopic, maar kan je het station niet handmatig toevoegen??
Oftewel de stream eerst via je pc laten lopen, dan kijken welke url er gebruikt wordt en deze in sonos ingeven? (dit heb ik gedaan voor GrandPrixRadio), werkt een stuk beter. (heb dan een directe stream van GPR en deze loopt niet via tunein)

JeroenE schreef op vrijdag 16 oktober 2020 @ 13:21:
@Kopernikus.1979 Is dat niet omdat je niet wil dat wanneer je unifi controller een ander IP adres krijgt het 24 uur (of wat dan ook) duurt voordat je AP's weer met de controller kunnen kletsen? Als is iedere seconde dan natuurlijk ook wel weer wat vaak.

[ Voor 23% gewijzigd door Kopernikus.1979 op 16-10-2020 13:39 ]

Kopernikus.1979 schreef op vrijdag 16 oktober 2020 @ 13:57:
[...]


Misschien was iedere seconde wat overdreven, maar ze doen het niet allemaal tegelijk maar als iedere device om de 30 seconden een request stuurt komt er hier wel om de seconde een request binnen al was het wel van een andere switch/ap.

Als je PiHole niet als resover gebruikt heb je hier geen last van natuurlijk, de vraag is kan dit kwaad naar performantie toe in PiHole? Want in de instellingen van PiHole kun je instellen bepaalde domeinen niet te loggen....

@ed1703 Hoe doe jij dit? Want zoals ik begrepen heb, heb jij ook een USG en resolve je ook alles met Pi-Hole?

Kopernikus.1979 schreef op donderdag 15 oktober 2020 @ 17:56:
En zo heb ik het ook perfect werkende

MAdD schreef op vrijdag 16 oktober 2020 @ 09:49:
beetje offtopic, maar kan je het station niet handmatig toevoegen??
Oftewel de stream eerst via je pc laten lopen, dan kijken welke url er gebruikt wordt en deze in sonos ingeven? (dit heb ik gedaan voor GrandPrixRadio), werkt een stuk beter. (heb dan een directe stream van GPR en deze loopt niet via tunein)

icecreamfarmer schreef op vrijdag 16 oktober 2020 @ 10:21:
Goede tip. Zal eens kijken of dat werkt.

Kopernikus.1979 schreef op vrijdag 16 oktober 2020 @ 12:11:
Vraagje: in de pihole log zie ik nogal veel request naar wpad.mylocaldomain komende van Windows 10 pc's, deze requests worden geforwared en de meeste krijgen geen antwoord komt er N/A en hier en daar komt er als antwoord NXDOMAIN meestal rond de 0.34ms. Voor zover ik me herinner zijn dit samba requests, echter moet er hier iets aangepast worden? of hoe gaan jullie hier mee ok?

Kopernikus.1979 schreef op vrijdag 16 oktober 2020 @ 13:29:
Ik heb het nu opgelost door als inform host het IP van de controller op te geven en de optie "Overschrijf inform host met de Controller hostnaam/IP" zo is er geen resolving nodig... echter ideaal?

Verder zie ik nu ook dat de switches/graag es naar huis bellen naar ping.ui.com om de paar seconden...

[ Voor 0% gewijzigd door Gulli op 16-10-2020 17:03 . Reden: typo's ]

Gulli schreef op vrijdag 16 oktober 2020 @ 17:01:
[...]
Wat doe ik fout? Zie ik iets heel simpels over het hoofd wellicht?

Gulli schreef op vrijdag 16 oktober 2020 @ 17:26:
Gedaan, moet ik nog iets herstarten/even wachten nu?

In ipconfig /all zie ik trouwens dat de router ook als DNS vermeld staat;

DNS Servers . . . . . . . . . . . : fe80::b2ac:d2ff:fe04:81a2%21
192.168.2.14
192.168.2.254
fe80::b2ac:d2ff:fe04:81a2%21
NetBIOS over Tcpip. . . . . . . . : Enabled

Gulli schreef op vrijdag 16 oktober 2020 @ 17:49:
In dit topic op het KPN forum geeft een mod aan dat er maar 1 DNS in te stellen is en dat de andere dus blijkbaar hardcoded is.

Iemand anders geeft aan dat je de ISP DNS uit zou kunnen zetten omdat dat een fallback DNS zou kunnen zijn, maar zoals je ziet in mijn eerdere screenshot staat die al uit

Geen idee hoe ik hier dan weer omheen kom

Gulli schreef op vrijdag 16 oktober 2020 @ 18:12:
Ik ga eens kijken of ik de Pi dichter bij de router kan plaatsen, mocht ik dan een DHCP moeten overnemen dan heb ik denk ik liever dat de Pi direct aan de router hangt ipv de constructie die ik nu heb

Thx voor de hulp, ik ga weer even klussen!

Webgnome schreef op vrijdag 16 oktober 2020 @ 18:34:
Hoe werkt dat eigenlijk? Als ik bij mijn ziggo router dhcp uitzet. Hoe zorg ik er dan voor dat de devices weten wat dan mijn dhcp server is?

Wat ik nog wel weet : Als je daar een DNS naam invoert dan zal je USG in een Bootloop komen en moet je hem via SSH eruit halen!

Kopernikus.1979 schreef op vrijdag 16 oktober 2020 @ 18:46:
[...]


Dat probleem heb ik niet, als ik de DNS naam van mijn controller ingeef (die gedefinieerd staat in mijn hosts bestand in Pi-Hole en naar de controller IP verwijst) dan werkt alles perfect, enkel... om de 30 sec krijg ik van iedere switch en AP een request binnen dus dat loopt al snel op... met een IP adres heb ik dit niet, maar aan de andere kant zou ik liever de dns naam gebruiken omdat als ik dan de controller bv verplaats ik enkel de host record moet aanpassen en alles werkt terug. Ik probeer eigen alles met statische DHCP toe te kennen. Misschien dat ik voor test eens hem 24u laat draaien via hostname en zie hoeveel querry's dat extra oplevert, ik weet ook niet wat de impact naar performantie toe is.

[ Voor 9% gewijzigd door ed1703 op 16-10-2020 20:12 ]

nero355 schreef op vrijdag 16 oktober 2020 @ 16:46:
[...]

Post dan eens een werkende config "op de nieuwe manier" want ik ben er wel een beetje klaar mee!


[...]


[...]

Ik heb zoiets werkende d.m.v. https://www.pimusicbox.com/ op een aparte Pi en dat werkt best wel goed afhankelijk van de stream die je erin klopt!

Het geheel is gebaseerd op Mopidy en een WebGUI waarmee je dus Mopidy bestuurt.
Er zijn ook apps en normale applicaties voor beschikbaar zoals Cantata die ik weer i.c.m. het originele mpd gebruikt op de laptop

Kortom : Ga er eens mee testen en kijk of het wat voor je kan betekenen!

ed1703 schreef op vrijdag 16 oktober 2020 @ 20:07:
[...]

Je kunt de TTL van lokale records die clients moeten hanteren aanpassen via local-ttl=seconden.
Dat zal de client dan dwingen om het record niet eerder weer bij de DNS-server op te vragen, zolang de TTL aan het aftellen is. Deze zou je bv op 300 kunnen zetten oid. Ik zou dit niet te hoog zetten. Geen 86400 bijvoorbeeld, want dat is een hel bij het aanpassen van ipadressen of verhuizen van systemen van vlan naar vlan wat je echt binnen je resolving nodig hebt
Unifi is inderdaad een druk systeem als je dat via DNS doet. Ik heb overigens ook slechte ervaringen met stack van trans-ip. Die pompte m'n statistieken ook flink omhoog. Waarschijnlijk gebruiken die ook een lage TTL. Ook dat is via dnsmasq te overrulen. (min-cache-ttl=)

Kopernikus.1979 schreef op vrijdag 16 oktober 2020 @ 20:49:
[...]


Super Ga ik meteen eens testen

-T, --local-ttl=<time>
When replying with information from /etc/hosts or configuration or the DHCP leases file dnsmasq by default sets the time-to-live field to zero, meaning that the requester should not itself cache the information. This is the correct thing to do in almost all situations. This option allows a time-to-live (in seconds) to be given for these replies. This will reduce the load on the server at the expense of clients using stale data under some circumstances.

--min-cache-ttl=<time>
Extend short TTL values to the time given when caching them. Note that artificially extending TTL values is in general a bad idea, do not do it unless you have a good reason, and understand what you are doing. Dnsmasq limits the value of this option to one hour, unless recompiled.

[ Voor 15% gewijzigd door ed1703 op 16-10-2020 20:56 ]

ed1703 schreef op vrijdag 16 oktober 2020 @ 20:55:
[...]


Dacht dat jij je lokale records van de USG haalt he.. Misschien is het dan beter om min-cache-ttl aan te passen.


[...]

Hoe dan ook denk ik dat 1 van die settings zou moeten werken.

[ Voor 15% gewijzigd door Kopernikus.1979 op 16-10-2020 21:02 ]

Kopernikus.1979 schreef op vrijdag 16 oktober 2020 @ 21:00:
[...]


Vroeger wel, maar heb nu alles op Pi-Hole gezet.
Dus in mijn geval local-ttl, heb deze nu op 300 gezet, we zullen eens zien wat dat geeft.
Ik snap dat deze niet te hoog mag zijn, maar in het geval je niets migreert, zou dat dan niet ideaal zijn? Of zullen er andere dingen problemen beginnen geven?

[ Voor 8% gewijzigd door ed1703 op 16-10-2020 21:09 ]

ed1703 schreef op vrijdag 16 oktober 2020 @ 21:05:
[...]

Nee, dan kun je probleemloos de TTL op 300 of misschien zelfs nog hoger zetten.
Boven een kwartier is het irritant, maar je kunt natuurlijk altijd besluiten je switch te rebooten of de cache te legen. Al weet ik daar op een tinylinux omgeving geen commando voor.

Kopernikus.1979 schreef op vrijdag 16 oktober 2020 @ 21:10:
[...]


Merk nu al een immens verschil op 300, ga het voorlopig zo laten.
Nu heb ik het aangepast in 01-pihole.conf, maar ik maak best zeker nieuwe config file aan hiervoor?
Maar de vraag is gaat deze die dat standaard in 01-pihole.conf overrulen

Webgnome schreef op zaterdag 17 oktober 2020 @ 19:27:
Ik ben maar eens in de wereld van dhcp via pihole gedoken. Uiteindelijk heb ik het aan de praat gekregen. Het was eigenlijk vrij simpel zoals ook al aangegeven werd in dit topic. DHCP op de router uitzetten en op de pihole aanzetten. Poortjes open zetten in de firewall en gaan.

Echter nu zit ik met een uitdaging. Ik heb nog een andere raspberry pi waar ik initieel pihole op heb geinstalleerd en ik zou eigenlijk willen dat via dhcp beide pihole's worden gepushed als DNS. Nu heb ik gevonden dat men dit standaard niet ondersteund maar door de file 02-pihole-dhcp.conf aan te passen in /etc/dnsmasq.d kun je het voor elkaar krijgen door deze regel erin zetten

code:

1	dhcp-option=6,192.168.0.49,192.168.0.46

in dit geval zijn dit dus mijn beide pihole. Echter wanneer ik dat doe dan werkt het ineens allemaal niet meer. Als ik het weer terug zet naar

code:

1	dhcp-option=option:router,192.168.0.1

waarbij 192.168.0.1 mijn router is ( gateway dus) dan is er geen probleem. Ook als ik deze regel laat staan en de andere regel eronder toevoeg werkt het nog niet.

Iemand enig idee waar dat aan zou kunnen liggen? Beide piholes zijn hetzelfde ingesteld, gebruiken unbound.

Freee!! schreef op zaterdag 17 oktober 2020 @ 19:59:
[...]

Ik heb met hetzelfde bijltje gehakt en een losse DHCP-server geïnstalleerd op de krachtigste Pi. Ik heb min of meer deze handleiding gevolgd. Het belangrijkste verschil is, dat je "update-rc.d isc-dhcp-server start" waarschijnlijk moet vervangen door een overeenkomstige systemctl opdracht (systemctl start isc-dhcp-server). En de IP-adressen van de Pi-Holes moeten in apart bestandje bijgevoegd worden (/etc/resolvconf/resolv.conf.d/tail).

Webgnome schreef op zaterdag 17 oktober 2020 @ 22:52:
[...]
Thanks ik zal er eens naar kijken. Denk dat ik nog maar eens een raspbery pi ga bestellen. Elke pi een eigen dienst. Lijkt mij verstandiger als alles op 1 pi.

[ Voor 5% gewijzigd door Webgnome op 18-10-2020 11:49 ]