[Pi-Hole] Ervaringen & discussie

deHakkelaar schreef op maandag 26 oktober 2020 @ 17:26:
[...]


Probeer het zou ik zeggen.
Je weet hoe de TTL weer te geven:


[...]


EDIT: Ow ps. die dig geeft alleen de juiste TTL als de @localhost server authoritative is voor dat domein.
Dus als je zelf host-record= regeltjes aanmaakt.
Als niet authoritative, zul je de TTL zien aftellen naar nul als je de dig een paar keer herhaalt.

streamnl schreef op maandag 26 oktober 2020 @ 17:40:
@deHakkelaar maakt het zoveel uit dat er van alles ge-cached wordt? Voorheen heb ik daar nooit problemen door ondervonden. Tenminste, niet dat ik merkte.

Kopernikus.1979 schreef op maandag 26 oktober 2020 @ 17:52:
Je hebt gelijk, de TTL werkt wel degelijk, het zijn de Shields zelf die de TTL negeren, net zoals ze ook hardcoded 8.8.8 DNS hebben maar deze heb ik kunnen omzeilen door de nodige nat routing en masquerade regeltjes in mijn USG.

Kopernikus.1979 schreef op maandag 26 oktober 2020 @ 17:52:
[...]

Je hebt gelijk, de TTL werkt wel degelijk, het zijn de Shields zelf die de TTL negeren, net zoals ze ook hardcoded 8.8.8 DNS hebben

nero355 schreef op maandag 26 oktober 2020 @ 17:55:
[...]

Welke Shield TV modellen heb je dan precies in gebruik

Mijn Shield TV 2017 meldt zich juist netjes bij mij Pi-Hole zoals het hoort in tegenstelling tot een Chromecast Ultra bijvoorbeeld : Die heeft inderdaad wat DNAT/SNAT regeltjes nodig!

deHakkelaar schreef op maandag 26 oktober 2020 @ 17:57:
[...]


Dat lijkt wel het grote probleem van tegenwoordig.
App makers die er eigen implementaties op na houden en alle regels/RFC's aan hun laars lappen.

ed1703 schreef op maandag 26 oktober 2020 @ 18:00:
Jaa duhhh als de halve wereld ads gaan blocken?

Je moet toch wel heel erg naïef zijn om te verwachten dat pihole dit jaren gaat volhouden. Het antwoord is nee, pihole is binnen een paar jaar grotendeels waardeloos op smartphones.

nero355 schreef op maandag 26 oktober 2020 @ 18:03:
[...]

Jaa duhhh als de hele wereld irritante ads voorschotelt!

Tegen die tijd verzinnen we vast wel weer een nieuwe oplossing!

ed1703 schreef op maandag 26 oktober 2020 @ 18:07:
Mijn buurman wil ook af en toe biefstuk.

Nou succes. Vooralsnog is die er niet en wij @ work noemen DOH al hel op aarde wat nooit uitgevonden had moeten worden. Appbouwers zitten niet stil.

ed1703 schreef op maandag 26 oktober 2020 @ 18:00:
[...]

Jaa duhhh als de halve wereld ads gaan blocken?
Je moet toch wel heel erg naïef zijn om te verwachten dat pihole dit jaren gaat volhouden. Het antwoord is nee, pihole is binnen een paar jaar grotendeels waardeloos op smartphones.

[ Voor 12% gewijzigd door deHakkelaar op 26-10-2020 18:16 ]

deHakkelaar schreef op maandag 26 oktober 2020 @ 18:12:
[...]


Pi-hole wordt niet alleen gebruikt voor reclames.
Malware, crypto jacking, tracking en ander ongewenst spul kan ook buiten de deur gehouden worden.

nero355 schreef op maandag 26 oktober 2020 @ 18:11:
[...]

Buurman is adverteerder

Tja, je ziet nog steeds naar welk IP het stomme ding toe wil en dat IP kan je blokkeren!

[ Voor 5% gewijzigd door ed1703 op 26-10-2020 18:25 ]

deHakkelaar schreef op maandag 26 oktober 2020 @ 18:41:
[...]


Alles door een web proxy jagen + 53UDP/TCP redirecten.
Maar dan valt het voordeel weg welke Pi-hole heeft namelijk dat geen content wordt geladen.
Met een web proxy zal je toch eerst de content moeten binnenhalen voordat je kunt filteren voor je netwerk.

Kopernikus.1979 schreef op maandag 26 oktober 2020 @ 17:52:
[...]
Hoe staat het bij jou ingesteld?

1
2
3
4
5
6
7
8
9
10
11
12
13
14

pi@ph5:~ $ man dnsmasq
[..]
       --dns-loop-detect
              Enable code to detect DNS forwarding loops; ie the situation  where
              a  query sent to one of the upstream server eventually returns as a
              new query to the dnsmasq instance. The process works by  generating
              TXT  queries  of  the  form <hex>.test and sending them to each up‐
              stream server. The hex is a UID which encodes the instance of  dns‐
              masq  sending  the  query  and  the upstream server to which it was
              sent. If the query returns to the server which sent  it,  then  the
              upstream  server  through  which  it  was sent is disabled and this
              event is logged. Each time the set of upstream servers changes, the
              test is re-run on all of them, including ones which were previously
              disabled.

streamnl schreef op maandag 26 oktober 2020 @ 12:16:
Inmiddels een compleet nieuwe sd kaart draaien met Pi-Hole en WireGuard.

DHCP staat uit bij KPN (V10A) en alles loopt via de Pi-Hole. (zoals het altijd gelopen heeft)

Ik zie al mijn apparaten in de dashboard met de juiste ipadres die ik ze gegeven heb.

# Laptop vrouw (Windows) wordt netjes alles geblocked.
# GSM vrouw (android) wordt NIETS geblocked. Ik zie daar heel veel:
www.google.com
connectivitycheck.gstatic.com
android.googleapis.com
Ook al pas ik de DNS bij haar aan, dan blijf ik reclame zien en dezelfde domains in haal log.
Maar geen pinterest ofzo.

# Iphone
Hier moet ik bij de instellingen de DNS handmatig aanpassen. Ik zie hier mijn DNS van de raspberry en 2 andere. Dan werkt het. Via WireGuard, werkt het wel zoals het moet.
# Macbook idem, zoals de Iphone

KPN en de Raspberry zijn up-to-date en herstart.

Wat gaat er fout?

Bart ® schreef op dinsdag 27 oktober 2020 @ 09:04:
[...]
Ik zit hier met een identiek probleem. Als ik op mijn pc naar ads.google.com ga, kan ik de pagina niet openen. Doe ik hetzelfde op mijn gsm, dan kan ik de pagina wel zien. Verbind ik mijn gsm via wireguard met mijn pi, dan wordt ads.google.com niet meer geladen. Ik snap er niets van...

Bart ® schreef op dinsdag 27 oktober 2020 @ 11:10:
Ja mijn gsm vindt inderdaad dat hij zelf beter weet welke dns hij moet gebruiken. Nu kan ik uiteraard in de wifi-instellingen een static IP (en dus ook een eigen DNS) instellen, dan is het probleem opgelost. Maar ik heb juist een pihole om niet telkens allerlei instellingen op allerlei apparaten handmatig te moeten gaan instellen...

Lizard schreef op dinsdag 27 oktober 2020 @ 11:30:
[...]

In je router zou je een redirect/sinkhole kunnen toevoegen dat 8.8.8.8/8.8.4.4 geblokkeerd wordt.
Mits die dat natuurlijk ondersteunt.

Riqy schreef op dinsdag 27 oktober 2020 @ 11:43:
Als het goed is kun je DNS instellingen meegeven in de DHCP toch, deze zou je telefoon ook moeten gebruiken als je via de Wifi zit (tenminste dit werkt bij mij thuis wel zo).

Bart ® schreef op dinsdag 27 oktober 2020 @ 09:04:
Verbind ik mijn gsm via wireguard met mijn pi, dan wordt ads.google.com niet meer geladen. Ik snap er niets van...

Bart ® schreef op dinsdag 27 oktober 2020 @ 13:19:
Met AndroDNS krijg ik een query timed oud als ik de DNS-server leeg laat... Hij stuurt de query naar een ipv6-adres: 2a02:498:ffff en dan nog wat. Dat is niet mijn eigen ipv6-range. Heel bijzonder allemaal...

JeroenE schreef op dinsdag 27 oktober 2020 @ 16:35:
[...]
Aha, ik gebruik geen IPv6 dus daar heb ik geen ervaring mee. Kan je niet een keertje enkel IPv4 forceren en kijken wat er dan gebeurd? Of heb je per se IPv6 nodig?

Volgens deHakkelaar in "[Pi-Hole] Ervaringen & discussie" kan het gebeuren dat je devices vanzelf een andere IPv6 DNS server gaan gebruiken. Heb je de Pihole wel ingesteld voor IPv6?

[ Voor 46% gewijzigd door JeroenE op 27-10-2020 19:02 . Reden: reactie Yoshimi toegevoegd ]

Bart ® schreef op dinsdag 27 oktober 2020 @ 09:04:
Ik zit hier met een identiek probleem. Als ik op mijn pc naar ads.google.com ga, kan ik de pagina niet openen. Doe ik hetzelfde op mijn gsm, dan kan ik de pagina wel zien. Verbind ik mijn gsm via wireguard met mijn pi, dan wordt ads.google.com niet meer geladen. Ik snap er niets van...

streamnl schreef op dinsdag 27 oktober 2020 @ 10:03:
Ik ook niet.
Ik heb helaas niet zo veel kennis als sommige hier, maar wat voor mij werkt, is om op de gsm van mijn vrouw constant VPN te laten draaien. En ze heet dan niet Truus of Miep (@nero355 ) maar ze kan wel zo wel haar "sudoku of the day" spelen zonder reclame.

En op mijn gsm (ios) heb ik bij configeer DNS, de instelling op handmatig staan. En alleen het adres van de Pi-Hole erin gezet. Als ik buitenhuis ben, dan zit is WireGuard standaard aan.

Was ik eigenlijk vergeten te vermelden in mijn vorige reactie... w00psie!

Bart ® schreef op woensdag 28 oktober 2020 @ 11:46:
Zowel met pihole ipv6 ingeschakeld als uitgeschakeld zie ik ads op mijn gsm.

Ik heb geen idee hoe ik op mijn gsm ipv6 uit zou kunnen schakelen...

JeroenE schreef op dinsdag 27 oktober 2020 @ 18:59:

@Yoshimi Als het werkt waarom wil je dan iets veranderen?

Het enige wat ik uit je verhaal niet begrijp is hoe je DNS nu precies werkt. Als je OPNsense al de DNS doet waar vraagt hij dan weer zijn gegevens op? Je schrijft dat dit via het gateway address gaat van het VLAN waar de PiHole op zit. Maar een PiHole is geen router en dus ook niet de gateway van dat VLAN. Gaat het dan niet alsnog via de router van je ISP? Zie je in de PiHole wel de DNS queries binnen komen?

Bart ® schreef op woensdag 28 oktober 2020 @ 11:48:
[...]

Maar... je pihole heeft ook een dns-server nodig. Dus hoe werkt dat dan als die geblokkeerd wordt in je router?

streamnl schreef op donderdag 29 oktober 2020 @ 18:02:
Aangezien Pi-Hole de laatste tijd niet helemaal meer werkt zoals ik het wil... en ik door de front-page er achter ben gekomen dat er ook AdGuard bestaat...zit ik toch te kijken naar iets anders.
Zoals eerder gemeld, ik heb niet zo veel kennis omtrent Pi-Hole als sommige andere in dit topic.

Twee vragen, werkt AdGuard beter?
En, waarom zou ik voor Pi-Hole i.p.v. AdGuard kiezen?

(ik besef heel goed dat ik bij Pi-Hole tread ben, ik hoop toch op eerlijke antwoorden)
Wederom, alvast beankt

streamnl schreef op donderdag 29 oktober 2020 @ 18:02:
Aangezien Pi-Hole de laatste tijd niet helemaal meer werkt zoals ik het wil... en ik door de front-page er achter ben gekomen dat er ook AdGuard bestaat...zit ik toch te kijken naar iets anders.
Zoals eerder gemeld, ik heb niet zo veel kennis omtrent Pi-Hole als sommige andere in dit topic.

Twee vragen, werkt AdGuard beter?
En, waarom zou ik voor Pi-Hole i.p.v. AdGuard kiezen?

(ik besef heel goed dat ik bij Pi-Hole tread ben, ik hoop toch op eerlijke antwoorden)
Wederom, alvast beankt

deHakkelaar schreef op donderdag 29 oktober 2020 @ 22:14:
[...]


Zal ik dan maar eerst gaan

AdGuard is niet met Pi-hole te vergelijken.
AdGuard werkt op een enkele PC.
Pi-hole werkt voor je gehele netwerk.
De één heeft voor & nadelen, en de ander ook.
Daarom kiezen sommigen om beide oplossingen tegelijk te gebruiken.

En natuurlijk wil niemand lezen en het eerst hands-on ervaren door het diepe in te duiken:
https://docs.pi-hole.net/

https://discourse.pi-hole.net/c/faqs/13

https://github.com/pi-hole/

Dit medium hier heet niet voor niks Tweakers

streamnl schreef op vrijdag 30 oktober 2020 @ 07:03:
[...]
Maar ik vind je reactie dan toch weer jammer.
Je kent mij niet, je weet niet waar mijn kennis ligt maar je hebt wél al een mening over mij. Blijkbaar mag je alleen Pi-Hole gebruiken als je weet waar je mee bezig bent en geen (voor sommige te simpele) vragen stellen. Zo komt jouw einde van je bericht over. Jammer

Kopernikus.1979 schreef op vrijdag 30 oktober 2020 @ 15:56:
Ik heb iets raar voor, zoals gewoonte... ;-)

Dus zoals in de Ubiquiti thread beschreef heb ik de nodige DNAT/SNAT regeltjes gemaakt om hardcoded DNS traffiek netjes naar Pi-Hole door te sturen. Dit werkt prima, echter... doen nu die toestellen om de paar seconden requests naar google.com iets wat ze daarvoor niet deden, doe ik de regels weg dan verdwijnt die extra traffiek, iemand een idee?

nero355 schreef op vrijdag 30 oktober 2020 @ 16:04:
[...]




[...]

Tja, ik gok dat het ook om Google apparaten gaat zoals de Chromecast en dergelijken

IMHO blijft dat hardnekkig spul dat simpelweg altijd wel wat te mekkeren heeft en allerlei onnodig verkeer veroorzaakt dus je hebt dan twee keuzes :
- Klagen bij Google en waarschijnlijk geen bevredigend antwoord of oplossing te krijgen
- Het gewoon negeren en laten voor wat het is...

Pick your poison!

nero355 schreef op vrijdag 30 oktober 2020 @ 16:04:
[...]


Tja, ik gok dat het ook om Google apparaten gaat zoals de Chromecast en dergelijken

IMHO blijft dat hardnekkig spul dat simpelweg altijd wel wat te mekkeren heeft en allerlei onnodig verkeer veroorzaakt dus je hebt dan twee keuzes :

16:37:44.552106 IP Chromecast.iot.lan.45963 > ams16s31-in-f14.1e100.net.https: Flags [.], ack 1296222074, win 2023, options [nop,nop,TS val 4294944568 ecr 2143251765], length 0
16:37:46.083356 IP Chromecast.iot.lan.36837 > dns.google.domain: 63808+ A? connectivitycheck.gstatic.com. (47)
16:37:52.087423 IP Chromecast.iot.lan. > usg.iot.lan. : ICMP echo request, id 1800, seq 1, length 64
16:37:53.112148 IP Chromecast.iot.lan. > usg.iot.lan. : ICMP echo request, id 1800, seq 2, length 64
16:37:54.112006 IP Chromecast.iot.lan. > usg.iot.lan. : ICMP echo request, id 1800, seq 3, length 64
16:38:03.145871 IP Chromecast.iot.lan.39072 > dns.google.domain: 50596+ A? www.google.com. (32)

[ Voor 6% gewijzigd door ed1703 op 30-10-2020 17:05 ]

Kopernikus.1979 schreef op vrijdag 30 oktober 2020 @ 15:56:
Ik heb iets raar voor, zoals gewoonte... ;-)
Dus zoals in de Ubiquiti thread beschreef heb ik de nodige DNAT/SNAT regeltjes gemaakt om hardcoded DNS traffiek netjes naar Pi-Hole door te sturen. Dit werkt prima, echter... doen nu die toestellen om de paar seconden requests naar google.com iets wat ze daarvoor niet deden, doe ik de regels weg dan verdwijnt die extra traffiek, iemand een idee?

1

tail -F /var/log/pihole.log | grep -A 10 'google.com from'

1

sudo tcpdump -lnqtX src <IP_GOOGLE_APPARAAT> and udp port 53

deHakkelaar schreef op vrijdag 30 oktober 2020 @ 18:30:
[...]

Hoe zien die verzoekjes eruit in de logs ?

code:

1	tail -F /var/log/pihole.log | grep -A 10 'google.com from'

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67

 tail -F /var/log/pihole.log | grep -A 10 'google.com from'
Oct 30 18:58:21 dnsmasq[30045]: query[A] www.google.com from 10.10.20.104
Oct 30 18:58:21 dnsmasq[30045]: cached www.google.com is 172.217.17.36
Oct 30 18:58:21 dnsmasq[30045]: query[AAAA] www.google.com from 10.10.20.104
Oct 30 18:58:21 dnsmasq[30045]: cached www.google.com is 2a00:1450:400e:804::200                                                 4
Oct 30 18:58:21 dnsmasq[30045]: query[A] mobile.pipe.aria.microsoft.com from 10.                                                 10.10.10
Oct 30 18:58:21 dnsmasq[30045]: gravity blocked mobile.pipe.aria.microsoft.com i                                                 s 0.0.0.0
Oct 30 18:58:22 dnsmasq[30045]: query[A] www.google.com from 10.10.10.101
Oct 30 18:58:22 dnsmasq[30045]: cached www.google.com is 172.217.17.36
Oct 30 18:58:24 dnsmasq[30045]: query[A] nrdp.prod.ftl.netflix.com from 10.10.20                                                 .109
Oct 30 18:58:24 dnsmasq[30045]: cached nrdp.prod.ftl.netflix.com is <CNAME>
Oct 30 18:58:24 dnsmasq[30045]: cached nrdp-ixanycast.ftl.netflix.com is <CNAME>
Oct 30 18:58:24 dnsmasq[30045]: forwarded nrdp.prod.ftl.netflix.com to 127.0.0.1
Oct 30 18:58:24 dnsmasq[30045]: reply nrdp.prod.ftl.netflix.com is <CNAME>
Oct 30 18:58:24 dnsmasq[30045]: reply nrdp-ixanycast.ftl.netflix.com is <CNAME>
Oct 30 18:58:24 dnsmasq[30045]: reply nrdp.prod.cloud.netflix.com is <CNAME>
Oct 30 18:58:24 dnsmasq[30045]: reply nrdp.prod.cloud.dradis.netflix.com is <CNA                                                 ME>
Oct 30 18:58:24 dnsmasq[30045]: reply nrdp.prod.cloud.eu-west-1.internal.dradis.                                                 netflix.com is <CNAME>
--
Oct 30 18:58:32 dnsmasq[30045]: query[A] www.google.com from 10.10.10.127
Oct 30 18:58:32 dnsmasq[30045]: cached www.google.com is 172.217.17.36
Oct 30 18:58:33 dnsmasq[30045]: query[A] www.google.com from 10.10.10.126
Oct 30 18:58:33 dnsmasq[30045]: cached www.google.com is 172.217.17.36
Oct 30 18:58:33 dnsmasq[30045]: query[A] connectivitycheck.gstatic.com from 10.10.20.102
Oct 30 18:58:33 dnsmasq[30045]: cached connectivitycheck.gstatic.com is 216.58.211.99
Oct 30 18:58:34 dnsmasq[30045]: query[A] v58.tiktokcdn.com from 10.10.10.125
Oct 30 18:58:34 dnsmasq[30045]: cached v58.tiktokcdn.com is <CNAME>
Oct 30 18:58:34 dnsmasq[30045]: forwarded v58.tiktokcdn.com to 127.0.0.1
Oct 30 18:58:34 dnsmasq[30045]: reply v58.tiktokcdn.com is <CNAME>
Oct 30 18:58:34 dnsmasq[30045]: reply cl-5672a77c.gcdn.co is 92.223.124.253
^C
pi@pihole:~ $  tail -F /var/log/pihole.log | grep -A 10 'google.com from'
Oct 30 18:59:39 dnsmasq[30045]: query[A] www.google.com from 10.10.10.125
Oct 30 18:59:39 dnsmasq[30045]: cached www.google.com is 172.217.17.36
Oct 30 18:59:40 dnsmasq[30045]: query[A] friends-public-service-prod.ol.epicgames.com from 10.10.10.108
Oct 30 18:59:40 dnsmasq[30045]: forwarded friends-public-service-prod.ol.epicgames.com to 127.0.0.1
Oct 30 18:59:40 dnsmasq[30045]: query[A] social-ban-public-service-prod.ol.epicgames.com from 10.10.10.108
Oct 30 18:59:40 dnsmasq[30045]: forwarded social-ban-public-service-prod.ol.epicgames.com to 127.0.0.1
Oct 30 18:59:40 dnsmasq[30045]: query[A] party-service-prod.ol.epicgames.com from 10.10.10.108
Oct 30 18:59:40 dnsmasq[30045]: forwarded party-service-prod.ol.epicgames.com to 127.0.0.1
Oct 30 18:59:40 dnsmasq[30045]: query[A] xmpp-service-prod.ol.epicgames.com from 10.10.10.108
Oct 30 18:59:40 dnsmasq[30045]: forwarded xmpp-service-prod.ol.epicgames.com to 127.0.0.1
Oct 30 18:59:40 dnsmasq[30045]: reply party-service-prod.ol.epicgames.com is 107.22.57.86
--
Oct 30 18:59:49 dnsmasq[30045]: query[A] mail.google.com from 10.10.10.127
Oct 30 18:59:49 dnsmasq[30045]: cached mail.google.com is <CNAME>
Oct 30 18:59:49 dnsmasq[30045]: forwarded mail.google.com to 127.0.0.1
Oct 30 18:59:49 dnsmasq[30045]: reply mail.google.com is <CNAME>
Oct 30 18:59:49 dnsmasq[30045]: reply googlemail.l.google.com is 216.58.214.5
Oct 30 18:59:49 dnsmasq[30045]: query[A] fw-update.ubnt.com from 10.10.50.10
Oct 30 18:59:49 dnsmasq[30045]: forwarded fw-update.ubnt.com to 127.0.0.1
Oct 30 18:59:49 dnsmasq[30045]: query[AAAA] fw-update.ubnt.com from 10.10.50.10
Oct 30 18:59:49 dnsmasq[30045]: forwarded fw-update.ubnt.com to 127.0.0.1
Oct 30 18:59:49 dnsmasq[30045]: reply fw-update.ubnt.com is <CNAME>
Oct 30 18:59:49 dnsmasq[30045]: reply prd-fw-update-1478219149.us-west-2.elb.amazonaws.com is 35.165.32.88
--
Oct 30 19:00:01 dnsmasq[30045]: query[A] www.google.com from 10.10.10.127
Oct 30 19:00:01 dnsmasq[30045]: cached www.google.com is 172.217.17.36
Oct 30 19:00:02 dnsmasq[30045]: query[A] mobile.pipe.aria.microsoft.com from 10.10.10.126
Oct 30 19:00:02 dnsmasq[30045]: gravity blocked mobile.pipe.aria.microsoft.com is 0.0.0.0
Oct 30 19:00:03 dnsmasq[30045]: query[A] graph.facebook.com from 10.10.10.126
Oct 30 19:00:03 dnsmasq[30045]: cached graph.facebook.com is <CNAME>
Oct 30 19:00:03 dnsmasq[30045]: cached api.facebook.com is <CNAME>
Oct 30 19:00:03 dnsmasq[30045]: cached star.c10r.facebook.com is 179.60.195.7
Oct 30 19:00:04 dnsmasq[30045]: query[A] edge-mqtt.facebook.com from 10.10.10.126
Oct 30 19:00:04 dnsmasq[30045]: forwarded edge-mqtt.facebook.com to 127.0.0.1
Oct 30 19:00:04 dnsmasq[30045]: reply edge-mqtt.facebook.com is <CNAME>

En hoe zien ze eruit met tcpdump als je <IP_GOOGLE_APPARAAT> vervangt met werkelijke IP hieronder ?

code:

1	sudo tcpdump -lnqtX src <IP_GOOGLE_APPARAAT> and udp port 53

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37

 sudo tcpdump -lnqtX src 10.10.10.127 and udp port 53
IP 10.10.10.127.14375 > 10.10.10.5.53: UDP, length 43
        0x0000:  4500 0047 723a 4000 4011 9fd4 0a0a 0a7f  E..Gr:@.@.......
        0x0010:  0a0a 0a05 3827 0035 0033 8f0c a84d 0100  ....8'.5.3...M..
        0x0020:  0001 0000 0000 0000 036c 6833 1167 6f6f  .........lh3.goo
        0x0030:  676c 6575 7365 7263 6f6e 7465 6e74 0363  gleusercontent.c
        0x0040:  6f6d 0000 0100 01                        om.....
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 262144 bytes
IP 10.10.10.127.58500 > 10.10.10.5.53: UDP, length 32
        0x0000:  4500 003c 91df 4000 4011 803a 0a0a 0a7f  E..<..@.@..:....
        0x0010:  0a0a 0a05 e484 0035 0028 5c5c 0749 0100  .......5.(\\.I..
        0x0020:  0001 0000 0000 0000 0377 7777 0667 6f6f  .........www.goo
        0x0030:  676c 6503 636f 6d00 0001 0001            gle.com.....
IP 10.10.10.127.32840 > 10.10.10.5.53: UDP, length 41
        0x0000:  4500 0045 93cc 4000 4011 7e44 0a0a 0a7f  E..E..@.@.~D....
        0x0010:  0a0a 0a05 8048 0035 0031 74d1 a5e0 0100  .....H.5.1t.....
        0x0020:  0001 0000 0000 0000 0879 6f75 7475 6265  .........youtube
        0x0030:  690a 676f 6f67 6c65 6170 6973 0363 6f6d  i.googleapis.com
        0x0040:  0000 0100 01                             .....
IP 10.10.10.127.58828 > 10.10.10.5.53: UDP, length 32
        0x0000:  4500 003c adb6 4000 4011 6463 0a0a 0a7f  E..<..@.@.dc....
        0x0010:  0a0a 0a05 e5cc 0035 0028 2c62 35fb 0100  .......5.(,b5...
        0x0020:  0001 0000 0000 0000 0377 7777 0667 6f6f  .........www.goo
        0x0030:  676c 6503 636f 6d00 0001 0001            gle.com.....
IP 10.10.10.127.9605 > 10.10.10.5.53: UDP, length 45
        0x0000:  4500 0049 b97e 4000 4011 588e 0a0a 0a7f  E..I.~@.@.X.....
        0x0010:  0a0a 0a05 2585 0035 0035 3c02 4b50 0100  ....%..5.5<.KP..
        0x0020:  0001 0000 0000 0000 0967 6f6f 676c 6561  .........googlea
        0x0030:  6473 0167 0b64 6f75 626c 6563 6c69 636b  ds.g.doubleclick
        0x0040:  036e 6574 0000 0100 01                   .net.....
IP 10.10.10.127.58337 > 10.10.10.5.53: UDP, length 42
        0x0000:  4500 0046 b983 4000 4011 588c 0a0a 0a7f  E..F..@.@.X.....
        0x0010:  0a0a 0a05 e3e1 0035 0032 4240 00de 0100  .......5.2B@....
        0x0020:  0001 0000 0000 0000 0377 7777 1067 6f6f  .........www.goo
        0x0030:  676c 6561 6473 6572 7669 6365 7303 636f  gleadservices.co
        0x0040:  6d00 0001 0001                           m.....

Wat voor apparaat is het precies ?
En zijn hier ook apps/addons op geinstalleerd die mogelijk die verzoekjes doen ?

[ Voor 5% gewijzigd door beerns op 30-10-2020 19:55 ]

beerns schreef op vrijdag 30 oktober 2020 @ 19:53:
Maar goed ik heb ook een Axis beveiligingscamera, en doet elke 5 sec een verzoek naar accws01.accws.axis.com. Elke 5 seconden. Waarom (ja ik weet dat het wat met remote access te maken heeft; maar zo vaak)

1
2
3

pi@ph5:~ $ host accws01.accws.axis.com
accws01.accws.axis.com is an alias for seaccws01.se.axis.com.
seaccws01.se.axis.com has address 195.60.68.96

1
2
3
4
5
6
7
8
9

pi@ph5:~ $ sudo nmap -sS -sU 195.60.68.96
Starting Nmap 7.70 ( https://nmap.org ) at 2020-10-30 20:16 CET
Nmap scan report for seaccws01.se.axis.com (195.60.68.96)
Host is up (0.030s latency).
Not shown: 1000 open|filtered ports, 999 filtered ports
PORT    STATE SERVICE
443/tcp open  https

Nmap done: 1 IP address (1 host up) scanned in 21.03 seconds

1
2
3
4
5
6
7

pi@ph5:~ $ curl -I https://seaccws01.se.axis.com
curl: (60) SSL: no alternative certificate subject name matches target host name 'seaccws01.se.axis.com'
More details here: https://curl.haxx.se/docs/sslcerts.html

curl failed to verify the legitimacy of the server and therefore could not
establish a secure connection to it. To learn more about this situation and
how to fix it, please visit the web page mentioned above.

ed1703 schreef op vrijdag 30 oktober 2020 @ 16:51:
Why the f*** doe je een ping naar je GW terwijl je net een https-sessie hebt gedaan naar google.com?

Zinnig. En dat elke 60 seconden.

Google is een beetje van in de auto stappen, starten en nog een keer uitstappen om te kijken of de banden er wel onder zitten.

nero355 schreef op vrijdag 30 oktober 2020 @ 20:54:
[...]
Om maar iets simpels te noemen : Alle Chromecast achtige troep vervangen door een NUC achtig HTPC'tje met daarop een OS en browser naar keuze voor al het YouTube/Netflix/enz. vermaak

deHakkelaar schreef op vrijdag 30 oktober 2020 @ 20:29:
[...]

code:

1 2 3

pi@ph5:~ $ host accws01.accws.axis.com accws01.accws.axis.com is an alias for seaccws01.se.axis.com. seaccws01.se.axis.com has address 195.60.68.96

code:

1 2 3 4 5 6 7 8 9

pi@ph5:~ $ sudo nmap -sS -sU 195.60.68.96 Starting Nmap 7.70 ( https://nmap.org ) at 2020-10-30 20:16 CET Nmap scan report for seaccws01.se.axis.com (195.60.68.96) Host is up (0.030s latency). Not shown: 1000 open|filtered ports, 999 filtered ports PORT STATE SERVICE 443/tcp open https Nmap done: 1 IP address (1 host up) scanned in 21.03 seconds

code:

1 2 3 4 5 6 7

pi@ph5:~ $ curl -I https://seaccws01.se.axis.com curl: (60) SSL: no alternative certificate subject name matches target host name 'seaccws01.se.axis.com' More details here: https://curl.haxx.se/docs/sslcerts.html curl failed to verify the legitimacy of the server and therefore could not establish a secure connection to it. To learn more about this situation and how to fix it, please visit the web page mentioned above.

Zo te zien staat alleen 443 TCP open voor HTTPS.
Kunnen een soort API call's zijn die je cameras maken.
Ook het SSL cert is niet geldig dus dat IP zal niet gebruikt worden om web content weer te geven voor het publiek ... vermoed ik.

kraades schreef op vrijdag 30 oktober 2020 @ 21:53:
Ik gebruik ook Kodi op een RPi maar daar kun je niet alles mee afspelen. Nu vind ik h.264 op 1080p prima maar tegenwoordig ligt de lat bij sommigen hoger.

beerns schreef op vrijdag 30 oktober 2020 @ 21:57:
[...]

Waar t mij persoonlijk om gaat is, is het inzicht. Dat er dus zovaak een url wordt aangeroepen. Momenteel 9644x En dat vandaag. Oprotten

ed1703 schreef op vrijdag 30 oktober 2020 @ 22:09:
[...]
Precies om dit en gezeur met plug-ins gebruik ik toch chromecast.

deHakkelaar schreef op vrijdag 30 oktober 2020 @ 22:26:
[...]

H.265 is geen plugin issue maar gewoon de laatste MPEG4 iteratie die al lange tijd wordt ondersteund door Kodi.
Of je hardware het aankan zonder HW acceleratie met die hoge compressie is een tweede.

[ Voor 6% gewijzigd door ed1703 op 30-10-2020 22:34 ]

[ Voor 15% gewijzigd door deHakkelaar op 30-10-2020 23:13 ]

deHakkelaar schreef op vrijdag 30 oktober 2020 @ 20:29:
Ook het SSL cert is niet geldig dus dat IP zal niet gebruikt worden om web content weer te geven voor het publiek ... vermoed ik.

1
2
3
4
5
6

curl -I https://accws01.accws.axis.com
HTTP/1.1 404 Not Found
Date: Sat, 31 Oct 2020 05:57:07 GMT
Server: Apache/2.4.10 (Debian)
X-Powered-By: PHP/5.6.40-0+deb8u5
Content-Type: text/html;charset=UTF-8

deHakkelaar schreef op vrijdag 30 oktober 2020 @ 22:40:
Helemaal juist
Maar met Kodi op een Pi, kun je nog meer tweaken als dat je ooit met Chromecast kunt.
Uitermate geschikt voor de die hard tweaker

Cyberpope schreef op zaterdag 31 oktober 2020 @ 08:00:
[...]

Vroegah... zou ik hierin mee gaan. Maar ondertussen ben ik ook in het stadium "het moet gewoon werken!". Ik heb nog een kodi aan mijn tv, maar gebruik deze zo goed als nooit meer. Chromecast plug en play en werkt altijd.

Ik snap je punt hoor, maar niet iedereen ziet er de lol van dat tweaken (meer) in.

deHakkelaar schreef op vrijdag 30 oktober 2020 @ 22:03:
[...]


Bedoel je H.265 ?
Pi's hebben wel de H.264 hardware acceleratie maar niet voor H.265.
Maar Pi4's hebben geen moeite om dit softwarematig te doen heb ik gelezen.
Er zijn ook andere SBC's die wel H.265 acceleratie aan boord hebben.

offtopic:
Klopt. Netflix op mijn RPi 3 met Kodi doet max. 720p. Ik las elders dat ook de RPi 4 dat niet trekt. Om over 4K maar niet te spreken. Het gaat dan inderdaad om softwarematige afhandeling. Voor mij overigens geen probleem. Mijn ogen zien het verschil allemaal niet.

beerns schreef op vrijdag 30 oktober 2020 @ 19:53:
ik forceer, net als meerder mensen hier, ook als mn dns verkeer door mn Pi Hole heen.

En ik heb twee chromecasts. Zitten weliswaar in een verschillend vlan (keuken/kamer omdat dat kan); maar de ene doet een verzoek naar time.google.com eens in de 8 minuten (ongeveer) en de andere elke minuut en 4 sec (don't ask me why) naar www.google.com.
En daarnaast elke 8 min naar time.google.com.
De ene chromecast is zeg maar 2 jaar ouder dan de ander; maar ik vind het heel bijzonder.
Maar goed ik heb ook een Axis beveiligingscamera, en doet elke 5 sec een verzoek naar accws01.accws.axis.com. Elke 5 seconden. Waarom (ja ik weet dat het wat met remote access te maken heeft; maar zo vaak)

[ Voor 4% gewijzigd door Kopernikus.1979 op 31-10-2020 14:08 ]

Kopernikus.1979 schreef op zaterdag 31 oktober 2020 @ 14:05:
[...]
Idem als bij mij, maar zoals ik reeds aanhaalde wat bizar is als ik de de force dns regels uitzet dat ik die om de 4 seconden request naar google.com niet meer heb....

Freee!! schreef op zaterdag 31 oktober 2020 @ 14:35:
[...]

Je bedoelt misschien, dat je ze niet meer ziet (en omdat ze niet geblokkeerd worden, zullen ze waarschijnlijk ook een stuk minder vaak voorkomen).

JeroenE schreef op zaterdag 31 oktober 2020 @ 07:02:
[...]
Het certificaat is wel geldig voor accws01.accws.axis.com, dus wat dat betreft worden wel de juiste requests gedaan door de devices.

code:

1 2 3 4 5 6

curl -I https://accws01.accws.axis.com HTTP/1.1 404 Not Found Date: Sat, 31 Oct 2020 05:57:07 GMT Server: Apache/2.4.10 (Debian) X-Powered-By: PHP/5.6.40-0+deb8u5 Content-Type: text/html;charset=UTF-8

1
2
3
4
5

pi@ph5:~ $ man nmap
[..]
           PORT SPECIFICATION AND SCAN ORDER:
             -p <port ranges>: Only scan specified ports
               Ex: -p22; -p1-65535; -p U:53,111,137,T:21-25,80,139,8080,S:9

kraades schreef op zaterdag 31 oktober 2020 @ 12:04:
[...]

offtopic:
Klopt. Netflix op mijn RPi 3 met Kodi doet max. 720p. Ik las elders dat ook de RPi 4 dat niet trekt. Om over 4K maar niet te spreken. Het gaat dan inderdaad om softwarematige afhandeling. Voor mij overigens geen probleem. Mijn ogen zien het verschil allemaal niet.

H.265 (4kp60 decode), H264 (1080p60 decode, 1080p30 encode)

[ Voor 30% gewijzigd door deHakkelaar op 31-10-2020 23:19 ]

deHakkelaar schreef op zaterdag 31 oktober 2020 @ 21:58:
Offtopic: Oops, de Pi4 heeft wel H.265 acceleratie lees ik:

ThinkPadd schreef op zondag 1 november 2020 @ 09:15:
Over dat forceren van Pi-hole als DNS en dan extra requests zien vanaf Google devices:

Volgens mij heeft dit te maken met ‘masquerading’. Met het simpelweg forceren kan het device dit zien. Mogelijk vertrouwt hij het antwoord van je DNS-server dan niet en gaat hij daarom extra requests genereren.
Met masquerading zorg je dat het voor het device niet zichtbaar is dat je geknoeid hebt met het DNS-requests.

Ben even kwijt hoe het precies zat, maar hopelijk lost dit je probleem op @Kopernikus.1979

Even heel wat anders, nog steeds heel tevreden met https://dbl.oisd.nl/ blocklist. Heb eigenlijk nooit false positives met deze lijst, wordt erg goed onderhouden om te voorkomen dat er sites/apps stuk gaan door verkeerde blokkades.

[ Voor 21% gewijzigd door Kopernikus.1979 op 01-11-2020 09:42 ]

deHakkelaar schreef op zaterdag 31 oktober 2020 @ 21:58:
Foutje, ik had het verkeerde domein ge-paste merkt ik ... bedankt!
Ik heb ook alleen de eerste 1000 "common" poorten ge-scanned.
Mogelijk zit er op hogere poorten ook iets.

1

https://accws01.accws.axis.com/api/webcam6/image?gps=52.1551039,5.3871299&ir=off

Kopernikus.1979 schreef op zaterdag 31 oktober 2020 @ 14:05:
[...]


Idem als bij mij, maar zoals ik reeds aanhaalde wat bizar is als ik de de force dns regels uitzet dat ik die om de 4 seconden request naar google.com niet meer heb.... kan jij dit ook eens testen? ben eens benieuwd.

Btw... kan je eens je dnat/snat regels publiceren? Ik zou er graag eens vergelijken met die van mij.

nero355 schreef op zaterdag 4 juli 2020 @ 23:55:
[...]

Je kan gewoon een alias toevoegen aan je bestaande ethernet interface

Ik zou het echter niet zo doen :

[...]

Maar gewoon aan dhcpcd.conf toevoegen op de reguliere manier en dan ook effe aan Pi-Hole doorgeven dat die daarop moet luisteren


[...]

8.8.8.8 en 8.8.4.4 routeren naar een niet bestaand adres kan ook, want dan kunnen al die stomme Google apparaten de lokale DNS ineens wel vinden!


[...]

Hmm... dat is best wel raar, want mijn nVidia Shield TV 2017 gebruikt gewoon mijn lokale DNS Server i.t.t. de Google Chromecast Ultra bijvoorbeeld

andregroeneveld schreef op maandag 2 november 2020 @ 08:34:
[...]


Hi Nero,

Ik heb ook dat mijn Nest mini niet wil connecten met de WIFI maar mijn Google Home wel. Nu zie ik heel wat uitleg staan maar helaas begrijp ik het niet allemaal. Komt dit door de Pi-Hole? Wat kan ik hier aan doen?

[ Voor 16% gewijzigd door andregroeneveld op 03-11-2020 07:52 ]

roT- schreef op woensdag 4 november 2020 @ 11:37:
Wie weet hoe je via een browser filmpjes van nu.nl kunt laten werken?

De volgende whitelisten heeft geen nut en worden ook niet meer aangesproken zover ik zie;

Nu.nl:
cts.snmmd.nl
sss.snmmd.nl
consent.snmmd.nl
jwplatform.com

1
2

Pas je instellingen aan
Je hebt momenteel niet de juiste cookie-instellingen om deze video te bekijken. Om video's te bekijken, is het nodig om alle cookies te accepteren. Ga via onderstaande knop naar instellingen en kies daar voor de optie 'Alle toestaan'.

roT- schreef op woensdag 4 november 2020 @ 16:16:
@MAdD Dat vermoeden had ik ook al. Maar zodra ik bv mn iphone op 4g zet kan ik wel videos kijken ;-)

@beerns Nope wordt niet aangesproken bij openen nu.nl hier

[ Voor 7% gewijzigd door roT- op 04-11-2020 19:14 ]

Nickvdd schreef op dinsdag 10 november 2020 @ 19:40:
[...]
Dus ik heb de IPv4 DNS servers nu ook verwezen naar de Pi-hole (als primaire en secondaire server) en nu lijkt het te werken echter maar bepaalde dingen zoals http://pi.hole/admin/ werken niet maar http://192.168.178.20/admin/ weer wel.

Freee!! schreef op woensdag 11 november 2020 @ 10:44:
[...]

Weet de DNS wel, dat het IP-adres van pi.hole 192.168.178.20 is
Zo nee, heb je die entry dan wel in je hosts file staan

Overigens zou ik geen "." in de naam gebruiken, hiermee geef je aan, dat je de machine "pi" op het domein "hole" wilt hebben. Ik zou die "." weglaten of vervangen door een "_" of "-".

[ Voor 62% gewijzigd door Nickvdd op 30-11-2020 05:11 ]

Nickvdd schreef op woensdag 11 november 2020 @ 11:19:
[...]
Lijkt inmiddels zichzelf verholpen te hebben na een avondje, nu werkt ook http://pi.hole/admin/ en geven alle clients (zowel wifi als ethernet) aan dat ze netjes pi-hole gebruiken. Ik weet alleen niet of de instellingen in de fritzbox voor de IPv4 DNS servers niet dubbelop zijn op deze manier.

Hier is mijn huidige configuratie ter verduidelijking:

[Afbeelding]	[Afbeelding]	[Afbeelding]
[Afbeelding]	[Afbeelding]

Freee!! schreef op woensdag 11 november 2020 @ 11:24:
[...]

Mooi zo

[...]

Bij die Upstream heb ik nog mijn vraagtekens, draait daar een Unbound of iets dergelijks

Nickvdd schreef op woensdag 11 november 2020 @ 11:44:
[...]
Het is inderdaad een combinatie van Pi-hole en Unbound, werkt lekkerder dan ik had verwacht, bijna net zo vlot als de DNS servers van Cloudflare en/of mijn provider.

deHakkelaar schreef op vrijdag 30 oktober 2020 @ 18:30:
[...]

Hoe zien die verzoekjes eruit in de logs ?

code:

1	tail -F /var/log/pihole.log | grep -A 10 'google.com from'

En hoe zien ze eruit met tcpdump als je <IP_GOOGLE_APPARAAT> vervangt met werkelijke IP hieronder ?

code:

1	sudo tcpdump -lnqtX src <IP_GOOGLE_APPARAAT> and udp port 53

Wat voor apparaat is het precies ?
En zijn hier ook apps/addons op geinstalleerd die mogelijk die verzoekjes doen ?

1

Nov 11 12:42:13 UniFiSecurityGateway kernel: IPv4: host 10.10.20.30/if10 ignores redirects for 10.10.20.6 to 10.10.20.6