[Pi-Hole] Ervaringen & discussie

dss58 schreef op dinsdag 19 januari 2021 @ 17:09:
afgelopen week een PI3B van scrach opnieuw geinstalleerd met pihole, nu updaten krijg ik dit

jpgview schreef op dinsdag 19 januari 2021 @ 17:35:
[...]


1. volgens DL6ER (pihole developer) zijn / waren er wat vertragingen op github
2. op heel korte tijd is 5.5 weggehaald en vervangen door 5.5.1, misschien net tussen de twee door geupdate?

Probeer eerst (ik gebruike edge chromium) gewoon de binary te downloaden (click op de link in jouw post), als dat lukt probeer je de update opnieuw.

dss58 schreef op dinsdag 19 januari 2021 @ 18:03:
[...]

nou, het leuke is, ik heb er 2 draaien, op die allang draait doet de update het wel, want ik laat de ene naar de andere wijzen en vervolgens naar 1.1.1.1 en 1.0.0.1 en allebei met dezelfde instellingen en bloklijsten enzo, en dan merk ik dat de 2e zo'n 3% van de domains alsnog blockt, is dat logisch ?

[ Voor 5% gewijzigd door jpgview op 19-01-2021 18:26 ]

Webgnome schreef op dinsdag 19 januari 2021 @ 18:29:
Is het inmiddels veilig om de update van pihole uit te voeren?

jpgview schreef op dinsdag 19 januari 2021 @ 18:18:
[...]


snap niet goed wat je bedoeld, ik versta:

client -> pihole1 -> pihole2 -> cloudflare servers.

Lees verder als dit klopt, anders klopt mijn verhaal niet.

is dit logisch? ja. zoals hoger al vermeld, lees hier, sinds een paar versies blocked pihole zichzelf niet meer, e.g. unrestricted internet access. als pihole1 een request doet, kan die normaal aan alles aan. pihole2 ziet pihole1 echter als een normale client en blocked dus dingen die pihole1 opvraagd. Ja dus. het kan, wat niet wil zeggen dat het ook zo is.

Het is dus perfect mogelijk dat je iets blocked waar pihole1 (restricted door pihole2) wel last van heeft, maar pihole2 niet, omdat die unrestricted access heeft.

Waarom jij dit zo doet pihole -> pihole -> internet is mij totaal onduidelijk (als ik je tenminste goed versta...)

edit
DL6ER bevestigd github problemen, lees hier
/edit

[ Voor 5% gewijzigd door dss58 op 19-01-2021 18:55 ]

synoniem schreef op dinsdag 19 januari 2021 @ 19:15:
Ik heb mijn configuratie nu zover dat ik zelf een docker image build vanaf github. Maar dat is meer omdat ik op hub.docker.com alleen containers met versie 4 gezien heb. Zijn er meer mensen die zelf een container genereren of een 5.* versie op hub.docker.com gebruiken?

jpgview schreef op dinsdag 19 januari 2021 @ 18:57:
[...]


wil volgens mij zeggen dat die clients niet de correcte dns server hebben (niet pihole1) of die clients pihole1 en pihole2 als dns servers hebben.

Zoals al vele malen aangegeven, de benaming die microsoft in de dns settingsgebruikt (primary en secondary) geven niet de werkelijkheid aan. beide dns servers zullen gebruikt worden, wat dus client entries op pihole2 zou kunnen verklaren, lees o.a. hier (DL6ER is the lead pihole FTL developer)

Freee!! schreef op dinsdag 19 januari 2021 @ 19:20:
[...]

Kijk eens op https://hub.docker.com/r/pihole/pihole
Die gebruik ik en zit al heel lang op 5.*

synoniem schreef op dinsdag 19 januari 2021 @ 19:26:
[...]
Had handig geweest als ze ook de Upgrade notices bijgehouden hadden.

Overigens wilde ik ook meer ervaring opdoen met het containerizen en op maat maken van apps dus ik had hoe dan ook toch mijn eigen versie gemaakt.

Update Complete!

Current Pi-hole version is v5.2.4.
Current AdminLTE version is v5.3.1.
Current FTL version is v5.5.1.

pennywiser schreef op woensdag 20 januari 2021 @ 09:35:
En weer een update


[...]

Freee!! schreef op dinsdag 19 januari 2021 @ 18:35:
Mijn twee Pi-Holes hebben net beide de tweede update gehad.

SniperGuy schreef op woensdag 20 januari 2021 @ 10:26:
Raar dat mij GUI, noch de CLI meld dat er een update is. pas bij een pihole -up geeft ie aan dat er een update is en gaat vervolgens updaten

# Pi-hole: Grab local version and branch every 10 minutes
#*/10 * * * * root PATH="$PATH:/usr/sbin:/usr/local/bin/" pihole updatechecker local

# Pi-hole: Grab remote version every 24 hours
#14 7 * * * root PATH="$PATH:/usr/sbin:/usr/local/bin/" pihole updatechecker remote
#@reboot root PATH="$PATH:/usr/sbin:/usr/local/bin/" pihole updatechecker remote reboot

[ Voor 26% gewijzigd door Workaholic op 20-01-2021 11:58 ]

mr.DJ95 schreef op woensdag 20 januari 2021 @ 12:48:
Doen jullie overigens nog iets van monitoring binnen Unbound of laten jullie deze draaien zonder fancy grafiekjes?

mr.DJ95 schreef op woensdag 20 januari 2021 @ 12:48:
Ook hier beide Pi-Holes bijgewerkt, laat ik lekker automatisch doen zodra de nieuwe image wordt klaargezet in de repo.

Vind het gedrag wel grappig, heb sinds een klein weekje 2 Unbound containers + een extra Pi-Hole draaiende op mijn Rasberry Pi. Kreeg heel af en toe laat een reactie van mijn Pi-Hole en las in dit topic dat het wel een positief resultaat kon opleveren.

En ja dat doet het zeker als ik mijn cliënt activiteit zie op mijn eerste en 2e Pi-Holes.

De donkere GUI in mijn hoofd Pi-Hole en de witte mijn backup/secundair.

[Afbeelding]

[Afbeelding]

Doen jullie overigens nog iets van monitoring binnen Unbound of laten jullie deze draaien zonder fancy grafiekjes?

Webgnome schreef op woensdag 20 januari 2021 @ 15:09:
[...]
Je zou toch hopen dat een app op een bepaald moment denkt.. f# it ik stop maar nee deze niet.

En het grappige is dan ook dat zowel op pi 1 als op pi 2 di piek te te zien is.

Webgnome schreef op woensdag 20 januari 2021 @ 15:09:
Je zou toch hopen dat een app op een bepaald moment denkt.. f# it ik stop maar nee deze niet.

Webgnome schreef op woensdag 20 januari 2021 @ 17:02:
@Freee!! ja klopt. En dat is dus wat mij wel een beetje verbaasde. Ik had gedacht dat als het bij een 100milijoenmiljardkeer niet lukt dat het bij de ander ook niet lukt maar goed maakt niet uit. Het werkt en ik heb niet het idee dat er rook uit mijn pi's komt

[ Voor 12% gewijzigd door jpgview op 20-01-2021 19:27 ]

Slayer schreef op donderdag 21 januari 2021 @ 09:44:
Op mijn nas (QNAP TS-453A) heb ik Pi-hole geinstalleer (containerstation - docker - Pi-hole) en dat draait goed.
Nu zie ik dat er een update beschikbaar is van Pi-hole, alleen zie ik de update niet verschijnen in containerstation/docker?
[Afbeelding]

Iemand een idee hoe ik dit eenvoudig kan oplossen?

pennywiser schreef op donderdag 21 januari 2021 @ 09:46:
[...]

De docker krijgt vanaf github door dat er een pihole update is. Echter is er kennelijk nog geen docker build voor deze versie.

Slayer schreef op donderdag 21 januari 2021 @ 09:48:
[...]

Dus gewoon afwachten en af en toe controleren via Docker?

Slayer schreef op donderdag 21 januari 2021 @ 09:44:
Op mijn nas (QNAP TS-453A) heb ik Pi-hole geinstalleer (containerstation - docker - Pi-hole) en dat draait goed.
Nu zie ik dat er een update beschikbaar is van Pi-hole, alleen zie ik de update niet verschijnen in containerstation/docker?
[Afbeelding]

Iemand een idee hoe ik dit eenvoudig kan oplossen?

[ Voor 10% gewijzigd door JayOne op 21-01-2021 10:01 ]

JayOne schreef op donderdag 21 januari 2021 @ 09:59:
[...]

Die update is al een tijdje binnen (docker hub), aangezien het een security update is. Pull je wel de latest-image?

Slayer schreef op donderdag 21 januari 2021 @ 10:08:
[...]

En hoe doe ik dat?

[ Voor 3% gewijzigd door Dracula op 21-01-2021 10:13 ]

Slayer schreef op donderdag 21 januari 2021 @ 10:08:
[...]

En hoe doe ik dat?

JayOne schreef op donderdag 21 januari 2021 @ 09:59:
[...]

Die update is al een tijdje binnen (docker hub), aangezien het een security update is. Pull je wel de latest-image?

[ Voor 30% gewijzigd door Slayer op 21-01-2021 10:55 ]

Slayer schreef op donderdag 21 januari 2021 @ 10:26:
[...]
Ik heb gevonden wat je bedoelde, alleen geeft hij wel een foutmelding bij het "Pullen"

Uiteindelijk pi-hole eraf gegooid en een nieuwe (laatste versie) geïnstalleerd.

Freee!! schreef op donderdag 21 januari 2021 @ 13:11:
[...]

Kijk eens naar Watchtower, die kan het geautomatiseerd voor je doen en neemt de instellingen mee.

Slayer schreef op donderdag 21 januari 2021 @ 10:26:
[...]

Ik heb gevonden wat je bedoelde, alleen geeft hij wel een foutmelding bij het "Pullen"

Uiteindelijk pi-hole eraf gegooid en een nieuwe (laatste versie) geïnstalleerd.

[ Voor 5% gewijzigd door pennywiser op 21-01-2021 14:24 ]

Freee!! schreef op dinsdag 19 januari 2021 @ 14:40:
[...]

Kijk eens in de config van Firefox of die niet toevallig DoH gebruikt, dat gaat volledig langs je Pi-Hole.

iLLuSion_xGen schreef op donderdag 21 januari 2021 @ 17:24:
[...]

Blijkbaar is mijn nameserver fout, ik krijg steeds bij:

nslookup pi.hole

Server: 9.9.9.11
Address: 9.9.9.11#53

Wat dus Quad9 is, maar ik kan mijn resolvconf file niet definitief aanpassen want het systeem overwrite het gewoon bij de volgende boot

iLLuSion_xGen schreef op donderdag 21 januari 2021 @ 17:24:
[...]

Blijkbaar is mijn nameserver fout, ik krijg steeds bij:

nslookup pi.hole

Server: 9.9.9.11
Address: 9.9.9.11#53

Wat dus Quad9 is, maar ik kan mijn resolvconf file niet definitief aanpassen want het systeem overwrite het gewoon bij de volgende boot

synoniem schreef op donderdag 21 januari 2021 @ 17:33:
[...]

Je kan proberen om /etc/pi-hole/setupVars.conf aan te passen.

pennywiser schreef op donderdag 21 januari 2021 @ 21:48:
[...]

Aanpassen lukt niet gewoon via de interface?

iLLuSion_xGen schreef op vrijdag 22 januari 2021 @ 09:30:
[...]

Ik heb de pihole op een RPi staan, niet op de VM dus deze map bestaat niet in de VM.


[...]

iLLuSion_xGen schreef op donderdag 21 januari 2021 @ 17:24:
Wat dus Quad9 is, maar ik kan mijn resolvconf file niet definitief aanpassen want het systeem overwrite het gewoon bij de volgende boot

jpgview schreef op vrijdag 22 januari 2021 @ 09:53:
[...]


TLDR; controleer de inhoud van /etc/dhcpcd.conf en pas die aan, indien niet correct, reboot en check /etc/resolv.conf

pennywiser schreef op vrijdag 22 januari 2021 @ 10:03:
Dat verklaart niet waarom als je het via de interface invult en het vervolgens overschreven wordt na reboot.

jpgview schreef op vrijdag 22 januari 2021 @ 10:06:
[...]


Misschien begrijp ik je niet helemaal.

Wat probeer je te wijzigen, welke interface (pihole admin of iets anders)?

pennywiser schreef op vrijdag 22 januari 2021 @ 10:09:
[...]

@iLLuSion_xGen gaf aan de DNS servers te wijzigen via de admin interface. Dit wordt overschreven na reboot. Dan kan je uiteraard de verantwoordelijke config file aanpassen met de hand, maar dat verklaart dan niet waarom dit kennelijk niet via de admin interface zelf kan.

Workaholic schreef op woensdag 20 januari 2021 @ 11:57:
Ervaren jullie ook issues met Funda? Ik kan de foto's vaak niet openen van woningen en vraag me nu af hoe ik dit het beste kan tackelen. Als ik deze site zou whitelisten, accepteert hij dan ook automatisch alle third party tracking/cookies die via de funda site worden opgeroepen? Zijn er zo te zien nogal wat..

Jullie advies / best practices zijn zeer welkom.

PS: Hier ook geen notificatie voor software update via GUI. Update moest via shell.

jpgview schreef op vrijdag 22 januari 2021 @ 10:22:
[...]


Ik begrijp het nog steeds niet.
De resolver die je systeem (waar pihole op draait) gebruikt kan je via pihole web admin helemaal niet aanpassen. web admin heeft (bij mijn weten) geen enkele mogelijkheid om /etc/dhcpcd.conf en/of /etc/resolv.conf aan te passen.

De aanpassing die je in web admin kan doen is de resolver waar pihole-FTL dnsrequest naar forward. Die resultaten komen tevoorscijn in /etc/dnsmasq.d/01-pihole.conf (server=x.x.x.x) en /etc/pihole/setupVars.conf.

de inhoud van /etc/pihole/setupVars.conf wordt uitsluitend gebruikt om:
1. de webinterface te voorzien van data (wat getoond word = niet noodzakelijk wat gebruikt word))
2. wanneer je pihole- up of pihole -r uitvoerd, word de inhoud gebruikt, alsof je een nieuwe install zou doen (geen whiptail dialoog dus waar je keuzel moet maken maar data uit /etc/pihole/setupVars.conf)

Zoal eerder gezegd, pihole bemoeit zich niet meer met /etc/resolv.conf, ook niet via web interface

Correct me if I'm wrong, niet eenvoudig een probleem te helpen oplossen zonde detail van de config.

pennywiser schreef op vrijdag 22 januari 2021 @ 10:36:
Misschien wel goed om even te proberen de door jou genoemde aanpassingen te doen, mogelijk fixt dit het probleem wel. Maar een verklaring voor de ontstane situatie geeft het niet.

Workaholic schreef op vrijdag 22 januari 2021 @ 10:35:
[...]


Voorzichtig schopje.. heeft iemand dit probleem ook en kan iemand dit reproduceren/oplossen?
Na wat troubleshooten komt het alleen voor als je bent ingelogd met een funda account. Ik heb alle blocks van pihole die in de query log terecht komen tijdelijk gewhitelist wanneer ik deze site browse - maar ervaar nog steeds hetzelfde probleem.

Hebben jullie tips om dit verder te troubleshooten?

Als iemand wil testen:

1) inloggen op funda met een account
2) ga naar een willekeurig huis / appartement
3) click op de foto's. Deze zouden vervolgens niet moeten openen en je kunt er niet doorheen browsen (links en rechts).
4) als ik uitlog werkt dit wel.. en het probleem komt voor op microsoft edge en chrome. Dus het lijkt echt een pihole issue te zijn. Antivirus/adblocker staat uit.

jpgview schreef op vrijdag 22 januari 2021 @ 10:49:
[...]


Test het!

DoeEensGek schreef op vrijdag 22 januari 2021 @ 10:49:
[...]

Ik weet niet wat de url is van een foto als je ingelogd bent. Maar niet ingelogd ziet de url er zo uit:
https://cloud.funda.nl/va.../139/181/537_1440x960.jpg
Je zou cloud.funda.nl op je whitelist kunnen zetten. Al betwijfel ik of dat het probleem gaat oplossen.

Open ingelogd op funda de foto, open pihole in je browser ga naar Query log.Scroll door die lijst binnen en kijk of iets rood is. Als je het gelijk na elkaar doet hoef je niet verder dan een minuutje terug te kijken.

Workaholic schreef op vrijdag 22 januari 2021 @ 10:53:
[...]


Dank voor je hulp. Dit had ik inderdaad al geprobeerd en alles wat rood was gewhitelist. Het vreemde is dus dat het alleen voorkomt als je ingelogd bent. Ergens is hij dus iets aan het registreren / bijhouden oid.

Workaholic schreef op vrijdag 22 januari 2021 @ 10:53:
[...]


Dank voor je hulp. Dit had ik inderdaad al geprobeerd en alles wat rood was gewhitelist. Het vreemde is dus dat het alleen voorkomt als je ingelogd bent. Ergens is hij dus iets aan het registreren / bijhouden oid.

[ Voor 13% gewijzigd door DoeEensGek op 22-01-2021 10:59 ]

jpgview schreef op vrijdag 22 januari 2021 @ 10:22:
[...]


Ik begrijp het nog steeds niet.
De resolver die je systeem (waar pihole op draait) gebruikt kan je via pihole web admin helemaal niet aanpassen. web admin heeft (bij mijn weten) geen enkele mogelijkheid om /etc/dhcpcd.conf en/of /etc/resolv.conf aan te passen.

De aanpassing die je in web admin kan doen is de resolver waar pihole-FTL dnsrequest naar forward. Die resultaten komen tevoorscijn in /etc/dnsmasq.d/01-pihole.conf (server=x.x.x.x) en /etc/pihole/setupVars.conf.

de inhoud van /etc/pihole/setupVars.conf wordt uitsluitend gebruikt om:
1. de webinterface te voorzien van data (wat getoond word = niet noodzakelijk wat gebruikt word))
2. wanneer je pihole- up of pihole -r uitvoerd, word de inhoud gebruikt, alsof je een nieuwe install zou doen (geen whiptail dialoog dus waar je keuzel moet maken maar data uit /etc/pihole/setupVars.conf)

Zoal eerder gezegd, pihole bemoeit zich niet meer met /etc/resolv.conf, ook niet via web interface

Correct me if I'm wrong, niet eenvoudig een probleem te helpen oplossen zonde detail van de config.

[ Voor 63% gewijzigd door iLLuSion_xGen op 22-01-2021 12:55 ]

iLLuSion_xGen schreef op donderdag 21 januari 2021 @ 17:24:
Blijkbaar is mijn nameserver fout, ik krijg steeds bij:

nslookup pi.hole

Server: 9.9.9.11
Address: 9.9.9.11#53

Wat dus Quad9 is, maar ik kan mijn resolvconf file niet definitief aanpassen want het systeem overwrite het gewoon bij de volgende boot

jpgview schreef op vrijdag 22 januari 2021 @ 09:53:
Ben er niet meer zeker van, te lang geleden, meen me te herinneren dat :

- op raspios (used to be raspbian), een op debian gebaseerd os draait een package resolvconf. Dit package is verantwoordelijk voor het aanpassen van /etc/resolv.conf. Een van de dingen die resolvconf doet is kijken naar de inhoud van /etc/dhcpcd.conf en /etc/resolv.conf aanpassen, gebaseerd op de inhoud van /etc/dhcpcd.conf.
[..]

pi@ph5:~ $ cat /etc/resolv.conf
# Generated by resolvconf
domain home.dehakkelaar.nl
nameserver 10.0.0.1

pi@ph5:~ $ echo "nameserver 127.0.0.1" | sudo resolvconf -a eth0.inet
Too few arguments.

pi@ph5:~ $ cat /etc/resolv.conf
# Generated by resolvconf
domain home.dehakkelaar.nl
nameserver 127.0.0.1

pi@ph5:~ $ tail /etc/dhcpcd.conf
[..]
interface eth0
  static ip_address=10.0.0.4/24
  static routers=10.0.0.1
  static domain_name=home.dehakkelaar.nl
  static domain_name_servers=10.0.0.1

[ Voor 0% gewijzigd door deHakkelaar op 26-12-2021 10:13 . Reden: inmiddels een "home" subdomein toegevoegd om lekken naar upstream tegen te gaan ]

deHakkelaar schreef op vrijdag 22 januari 2021 @ 16:16:

Ik persoonlijk heb liever een DNS server geconfigureerd die niet op de eigen host draait ivm tinkeren etc:

pi@ph5:~ $ tail /etc/dhcpcd.conf
[..]
interface eth0
  static ip_address=10.0.0.4/24
  static routers=10.0.0.1
  static domain_name=dehakkelaar.nl
  static domain_name_servers=10.0.0.1

jpgview schreef op zaterdag 23 januari 2021 @ 00:04:
[...]
tinkeren? geen idee wat je hier mee bedoeld, enlighten me please (no offence intended)...

[ Voor 20% gewijzigd door deHakkelaar op 23-01-2021 16:33 ]

deHakkelaar schreef op zaterdag 23 januari 2021 @ 15:54:
En mensen die de Pi-hole host gebruiken als desktop verklaar ik voor gek

nero355 schreef op zaterdag 23 januari 2021 @ 17:48:
[...]

Het scheelt wel een VPN naar huis toe!

[ Voor 19% gewijzigd door deHakkelaar op 23-01-2021 18:40 ]

deHakkelaar schreef op zaterdag 23 januari 2021 @ 18:33:
[...]


Dan stel je de Pi-hole host bloot aan een heleboel beveiligings risico's alleen maar voor een desktop die je absoluut niet nodig hebt om alleen maar Pi-hole te draaien.

ed1703 schreef op zaterdag 23 januari 2021 @ 18:39:
[...]

Kun je beter dit gebruiken: https://adhole.org/

pi@ph5:~ $ dig +short @5.253.114.91 chaos txt version.bind
;; connection timed out; no servers could be reached

pi@ph5:~ $ dig +short @46.4.165.226 chaos txt version.bind
;; connection timed out; no servers could be reached

pi@ph5:~ $ dig +short @210.16.120.48 chaos txt version.bind
;; connection timed out; no servers could be reached

pi@ph5:~ $ dig +short @63.142.251.101 chaos txt version.bind
;; connection timed out; no servers could be reached

deHakkelaar schreef op zaterdag 23 januari 2021 @ 18:45:
[...]


Geen van voorgestelde DNS servers van die site antwoord:

pi@ph5:~ $ dig +short @5.253.114.91 chaos txt version.bind
;; connection timed out; no servers could be reached

pi@ph5:~ $ dig +short @46.4.165.226 chaos txt version.bind
;; connection timed out; no servers could be reached

pi@ph5:~ $ dig +short @210.16.120.48 chaos txt version.bind
;; connection timed out; no servers could be reached

pi@ph5:~ $ dig +short @63.142.251.101 chaos txt version.bind
;; connection timed out; no servers could be reached

De hosting provider zal ze wel down gehaald hebben omdat ze een open resolver draaien die misbruikt kan worden voor DDoS aanvallen.

host nu.nl 46.4.165.226
Using domain server:
Name: 46.4.165.226
Address: 46.4.165.226#53
Aliases:

nu.nl has address 52.84.142.87
nu.nl has address 52.84.142.96
nu.nl has address 52.84.142.120
nu.nl has address 52.84.142.29
nu.nl mail is handled by 0 nu-nl.mail.protection.outlook.com.

[b]deHakkelaar schreef op zaterdag 23 januari 2021 @ 18:45:De hosting provider zal ze wel down gehaald hebben omdat ze een open resolver draaien die misbruikt kan worden voor DDoS aanvallen.

deHakkelaar schreef op zaterdag 23 januari 2021 @ 19:20:
[...]

Als die gasten kwaad willen, redirecten ze je bank site naar hun eigen servers met een nep inlog scherm.
Als mensen dan ook nog het cert accepteren en inloggen ben je geroofd.

Verwijderd schreef op zaterdag 23 januari 2021 @ 19:36:
[...]


Aangezien een aantal servers gesponsord worden door hosting providers en de twee anderen door donaties en lidmaatschappen betaald worden, zal dat wel meevallen.

Uiteraard kun je sceptisch tegenover initatieven uit de community staan, maar het is ook mogelijk om te veel aannames te doen en daardoor interessante opties te missen.
(ik vind het zelf een aardige optie als ik op reis ben, al heb ik nu een extra NanoPi NEO3 om mee te nemen op reis - nog kleiner dan m'n Gl-iNet routertje - als we ooit weer op reis kunnen)

[ Voor 16% gewijzigd door deHakkelaar op 23-01-2021 19:59 ]

deHakkelaar schreef op zaterdag 23 januari 2021 @ 19:51:
[...]

Ik vertrouw gewoon niemand.
Ik ken die gasten niet die bij dat project betrokken zijn en er hoeft er maar ééntje tussen te zitten.

ed1703 schreef op zaterdag 23 januari 2021 @ 19:39:
[...]
Tuurlijk, maar je haalt nu iets aan wat een algemeen probleem is met DNS. Er is geen enkele check die een browser kan doen als jij een zone gaat zitten hijacken op een dns-server waar je rechtstreeks tegenaan praat. Dat is ook een beetje het kip-en-ei verhaal met DNS, want je hebt DNS vanuit de browser nodig om bv een SSL-controle te doen, maar DNS vertrouwen we gewoon blindelings.

ed1703 schreef op zaterdag 23 januari 2021 @ 19:56:
[...]

Mooie complimenten aan @Freekers Maar ik begrijp je wel

Freekers schreef op zaterdag 23 januari 2021 @ 20:09:
[...]


You rang ? Volgens mij is de desbetreffende opmerking inmiddels verwijderd uit de post.

Freee!! schreef op zaterdag 23 januari 2021 @ 20:05:
[...]

Mijn Unbounds hebben een lijstje met DNS root-servers en daar kom je niet zo snel tussen. Vanaf de DNS root-servers worden url's recursief geresolved.

[ Voor 35% gewijzigd door ed1703 op 23-01-2021 20:19 ]

ed1703 schreef op zaterdag 23 januari 2021 @ 20:16:
[...]

Niet echt, maar we hadden het over het vertrouwen/betrouwbaarheid in/van adhole.org.

deHakkelaar in "[Pi-Hole] Ervaringen & discussie"

deHakkelaar schreef op zaterdag 23 januari 2021 @ 19:51:
[...]

Ik vertrouw gewoon niemand.
Ik ken die gasten niet die bij dat project betrokken zijn en er hoeft er maar ééntje tussen te zitten.

EDIT: Ps. Ik zou bv ook niet weten ofdat hun DNS servers wel zijn "hardened" tegen DDoS attacks zoals die bv van Google en Cloudflare zijn.
Zelfde geld houd ik hun in leven door gebruik te maken van hun diensten terwijl achterom deze DNS servers ingezet worden voor DDoS attacks op mijn lokale bank, ziekenhuis of luchthaven.

Freekers schreef op zaterdag 23 januari 2021 @ 20:23:
[...]


Ah, I see


[...]

Ik begrijp je punt, echter valt hetzelfde te zeggen voor elke SaaS dienst die je je kunt voorstellen (Dropbox, Gmail, Cloudflare...); alles valt en staat met het vertrouwen achter de partij die de dienst draait.

Freekers schreef op zaterdag 23 januari 2021 @ 20:23:
[...]
Hardening op het niveau van een Google of Cloudflare is er niet, dat lijkt me ook niet fair om te verwachten van een hobbyproject t.o.v. een multinational. Er is wel iets van hardening in place, maar die is zeker niet opgewassen tegen een DDOS van meerdere Tbit/s.
Die laatste opmerking, m.b.t. het inzetten van DDOS op een lokale bank etc, kan ik niet goed plaatsen.

[ Voor 10% gewijzigd door deHakkelaar op 23-01-2021 22:23 ]

deHakkelaar schreef op zaterdag 23 januari 2021 @ 22:15:
[...]

Dat dacht ik al.
Heel grote kans dat jou project allang is ge-port scanned door boefjes en dat een bot leger jou DNS servers misbruikt om iemand anders aan te vallen door middel van reflectie en amplificatie:
https://www.cloudflare.co...mplification-ddos-attack/

https://openresolver.com/

EDIT: Zet alleen 53 TCP open en kijk hoe dat gaat.
TCP is niet gevoelig voor reflectie/spoofen zoals UDP dat is en clients vallen meestal gewoon terug naar TCP als UDP niet lukt.

deHakkelaar schreef op zaterdag 23 januari 2021 @ 18:33:
Dan stel je de Pi-hole host bloot aan een heleboel beveiligings risico's alleen maar voor een desktop die je absoluut niet nodig hebt om alleen maar Pi-hole te draaien.

EDIT: Essentiele services moet je zoveel mogelijk van elkaar scheiden zodat als het één aangetast wordt/ge-hacked, dat dan niet de andere in gevaar komen.

deHakkelaar schreef op zaterdag 23 januari 2021 @ 23:23:
Als ik er over nadenk is je poging memorabel maar ... dit is wat ze noemen "whack the mole".
Als je nagaat dat elk apparaat geinfecteerd kan zijn en als bot kan functioneren, telefoons, IoT's, PC's etc, is er geen stoppen aan.
Met rate limiting schieten er toch nog eerst een aantal queries doorheen voordat rate limiting optreed.
En een paar queries met volume tezamen met al die andere bots kunnen een serieuse bedrijging zijn voor het doelwit.
Dit krijgt een doelwit voor z'n kiezen als alleen maar 1 query doorkomt:

pi@ph5:~ $ dig +noall +answer +stats any bja.gov
bja.gov.                240     IN      SOA     dnsgm-dc2.admin.oss.doj.gov. root.usdoj.gov. 4987 10800 1080 2592000 600
bja.gov.                240     IN      RRSIG   SOA 8 2 600 20210202181058 20210123171058 31644 bja.gov. DgudvTHuUOVA7r6WwBLw7ukOm6Cs/ExQUbCzumxaLUimxdezAuga83aL 2AijipW37a5BYuy0IJ9/3yXHNs8iiraxqmyhO93MMI1fhd1uqeafR7+M 4+DKVQGmbtdaqnppNhFL/BipkEP/TtsluTbatAErLanxEndiV5jqfL8B o2w=
bja.gov.                240     IN      NSEC3PARAM 1 0 10 CFA7EF628736EDE2D06F4F42
bja.gov.                240     IN      RRSIG   NSEC3PARAM 8 2 600 20210202012102 20210123002724 31644 bja.gov. oyYF+wH5qzhDBZ4ZkPis+xrwRhlmin+HBVt7UqRGyB2aovti9amJl2u0 AkjfJVKllJ2WD/vBbT9E6TWBcVTK/ZNkjHYxDJUo6qSIasu8PI/XvhFX V02k+32sHMBUDOGFzW47TP66AmDeihdMBgNQQEDmqYkatviiaE+g12Sv 9GE=
bja.gov.                240     IN      A       149.101.127.10
bja.gov.                240     IN      RRSIG   A 8 2 600 20210131121505 20210121112342 31644 bja.gov. lRsp3QYD+QdsKbFps1aXJao6zzASt+PU8I6GjBTv6XX/WJvzyfJLE8rV 5O9TnBcRZ6o/eNhpSyKCu5J4n4+vYNDnzf3zT81D8lIFMzc/kve7kuZU lRPy1htANaKcNjjMkoVW5hoy7S9KoYGYl4TClpZXxazwe7tGvf6PxPK+ HUI=
bja.gov.                240     IN      TXT     "v=DMARC1;" "p=reject;" "rua=mailto:knickens@iir.com," "mailto:reports@dmarc.cyber.dhs.gov," "mailto:dmarcreports@usdoj.gov"
bja.gov.                240     IN      TXT     "v=DMARC1;" "p=reject;" "rua=mailto:reports@dmarc.cyber.dhs.gov,mailto:dmarcreports@usdoj.gov"
bja.gov.                240     IN      TXT     "v=spf1 include:_spf.usdoj.gov include:public.govdelivery.com -all"
bja.gov.                240     IN      RRSIG   TXT 8 2 600 20210202174638 20210123171058 31644 bja.gov. X7y2/jb9CYAWWtZTpm2ulpFlBiiSnc5batvYpToyWNFYhJGG2gjd07dC LrF4vYgAXz0/7xQLh06x1F0bMCutdsCk7nH3/COcePPPp3FmE3YhOdPA bU7AXHpRRZN6FksS56Xix0TfeNMuNVqHxyUvycbq5JgfRH+K4tpe1nuo Q1I=
bja.gov.                240     IN      NS      ns-jdcw-02.usdoj.gov.
bja.gov.                240     IN      NS      ns-jdcw-01.usdoj.gov.
bja.gov.                240     IN      RRSIG   NS 8 2 600 20210131121517 20210121120807 31644 bja.gov. Z+XcfGSvKNCekuvwLmzkUUExgrgpF2TDdlkxCrpeO58awDpQimmp1E8m sS4xBl5Iv0z0gDQOq+IR4wD+MkcQnrYrpeFe9bxm9KuWqJ2dQ9UNaVKt MXKxqqQbFgNU9Q8cx+OTtHPkAgxioG31YYYbRLE1/423d3zHMn6jc5/i Zb8=
bja.gov.                240     IN      MX      10 mx-da6.usdoj.gov.
bja.gov.                240     IN      MX      10 mx-dc2.usdoj.gov.
bja.gov.                240     IN      RRSIG   MX 8 2 600 20210201003001 20210122000827 31644 bja.gov. LYdsyiTlRu3yTKJ4B8I9pTLGg6KpZ1j2wxEmctI4jESR3sRBsTXJ+Lwb eWFu3IpvClxkxtC7I3XFVBe8drMszNXF1Ce6pUR/Nu+8qXbMfO5D/7Vt EgZLkMzBL9+TDqaHCL6SnMaS1CXXp1efNvyhAODSaaK3Ba0l09Zu5n0b GHo=
bja.gov.                86040   IN      DNSKEY  256 3 8 AwEAAbT6lKYw3iLo9BD/4RnXIAqsL7vEHH4qeVKWAApEuxW8FoS5l3+0 ekQpFEYdi9YCeoYiJwV+g/U8uRvxCqoHTNOGbTgLyzH63IxHRdDjOCgf Etrlct4ZHfqaAF2XDiTcLQC8KTVIaCgQE6fsYo8bQmTiWytI8gi6pQF1 0vxIKUiv
bja.gov.                86040   IN      DNSKEY  257 3 8 AwEAAZ/RhOv3FWmVrzebQ+xMy7TZjifT56X9q+iQuRaiLpykqeHsXiI1 Xd1TXSnInklmEZmevX0LSwGXU47EfQrqCiQ9wWBEXLiwG2g3g9dpFJ3I XCf5bfaw/8elS6mVgqZEcPf4rf+VPIrnd6otMBCdfTB3QKT1K3Id6BT+ W35ZYvG9WYEJ1dv8nTxFHNrfgGHFAPjN3uRZHEE8o4KNv/tvxmTQqwVb Z/kmTadMzR5Ra7sRPOcScURc+bSBo7PHrrvPHtNfdL2Ax3EH98Ur8TO4 Cs9L5ZWZ2F7F9Ro4jwmPCkTu7+DpKDBd7xCRHZe6samplfqi/5fhHKA0 Yl50Y+n8Jw0=
bja.gov.                86040   IN      DNSKEY  257 3 8 AwEAAbWfYGtCSKR9pNPWmybECQN1Z+ChAjVfX2vpccjKXql7uOz2MNE9 NddY5hXUDnl9iqWQdlMD37+PiW3K91z4r9KUtYDfusBn3NLCbj8bMvB6 oj2XrlM8HAHM7/hcAGPxn81l0ClGezsbLROHWi143t0iK5u52x14Xun6 TaV2io0+FEhsFLaPbuwUX4FFmBe6g2Oq43pz0eCoUlwCsziMphg6UZb6 ZAAQEmQidACpkmfuxHFMZnYUASA4yJ0YuMDCmHkjIKCZaK91xLzV3GUr q921sQ/gnOETqjdf/TsuwTbA8Y2Dt+EiRzoMpPzzOM8FfhDvFdPexdX+ AMreuUv/MBc=
bja.gov.                86040   IN      RRSIG   DNSKEY 8 2 432000 20210202025232 20210123015232 31644 bja.gov. JMOQanEONUdX9JT1DaSJeXuU4n6doNquOpAFKiomI1JBIm/C4YjdiRE+ rqLCI5atid4qkwYo4X6pD+llWKINENm1JhXo14T7QD5Cd2+GOHUH8wFs K4WTSa/ffSMUYcwPFJPXo7JPjP3ao0lqbQ7p5A8nHADem6AxCr8G+x0g r2A=
bja.gov.                86040   IN      RRSIG   DNSKEY 8 2 432000 20210202025232 20210123015232 56476 bja.gov. WrquwcgbtBzJs2yWU5qlbFrm7VkTlujY0ihuHtBHNkwRUjQq05TN+TPf elgN10iMDYJQ/4gNzbowp9n072e6bbDKPoaItezSdc/lU2AtjPkk0CNN 0z1lvBwxtVrD9pVfgTkoWc2vPsTLMeELV6ak4+nHB58JQS57vXgrfhdQ PAItzyKQFnbnPPlZyYrHE7l8BMEJqMaiHEwsJMWyk5aVI24OD+qzqIft ujSxYOBrBDJv320el0Znpq3x/+mD2fKA0cTS/CQJNsBrix8YsDjFEiK9 uQpc/qaGTIUe1j0RXO6tR1T/7BGNfeUY1KvOwg1Omm9c8bjP6yeLOBjD AC/3oQ==
bja.gov.                86040   IN      RRSIG   DNSKEY 8 2 432000 20210202025232 20210123015232 57055 bja.gov. W9YlB+8bWAs8C4y2weZPiVCBnDMYgzXBePsgTRPA/wbaFp+Gh/PpuzQF 27b6Ee25jC12WsH9qzRXWMG2iCU94sD26q8HvSsCjnOqIc/GfyEj20kv 615myllbPyLA6VAGJpnGs2E+bC4buPx8/TbXSP14E4k4nXcQI5/vjqkr j2rZdHkqCw3BnUnGPHxNsduNM+PXvTJrpHVf7IJiHlu+d/OHSPbIRj8S SAbHO7bQDahEtML4k2RVvsXzp2IIcm53PksZYyfyttYqsEyKIkN1fTEb SZjcfTf01BS6ZQ/n/5OZlc8+cRvbl27WtmomnqWN8VCROgdhxzObv8bH 6P+0Xw==
bja.gov.                240     IN      AAAA    2607:f330:5fa1:1021::a
bja.gov.                240     IN      RRSIG   AAAA 8 2 600 20210202084624 20210123074640 31644 bja.gov. VWn2lg0ur7oHQJD4HDxFwh1n0ouFj7Q4tD8rWaYxW5RYMyFWaGlcLNbW DiReZU4NpojR/9kxh6KBvY8MEUaFLtgAhuF+vDWCbz2T451RXcwkFCBg ZGIZ+saXpxeZ3Z9fIwAeiRQMsVMDUBgFjonCCX4a9zm+FBGPa6FaE3+O lfM=
;; Query time: 19 msec
;; SERVER: 10.0.0.1#53(10.0.0.1)
;; WHEN: Sat Jan 23 23:26:53 CET 2021
;; MSG SIZE  rcvd: 3208

nero355 schreef op zondag 24 januari 2021 @ 00:09:
Ik weet niet waar jij allemaal komt, maar ik kom in omgevingen waar de kans op iets dergelijks erg klein is namelijk vooral familie, vrienden en kennissen

Freekers schreef op zondag 24 januari 2021 @ 00:18:
Om die reden heb ik ANY queries ook geblokkeerd

pi@ph5:~ $ dig +noall +comments @46.4.165.226 any bja.gov
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOTIMP, id: 11770
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 1452

pi@ph5:~ $ dig +noall +answer +stats @localhost any bja.gov
bja.gov.                600     IN      SOA     dnsgm-dc2.admin.oss.doj.gov. root.usdoj.gov. 4987 10800 1080 2592000 600
[..]

[ Voor 0% gewijzigd door deHakkelaar op 24-01-2021 00:50 . Reden: typo ]

deHakkelaar schreef op zondag 24 januari 2021 @ 00:42:
Ja daar kwam ik kort na plaatsen al achter (NOTIMP).
Maar dat is dan wel al een beperking van een anders heel handige query:

pi@ph5:~ $ dig +noall +comments @46.4.165.226 any bja.gov
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOTIMP, id: 11770
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 1452

pi@ph5:~ $ dig +noall +answer +stats @localhost any bja.gov
bja.gov.                600     IN      SOA     dnsgm-dc2.admin.oss.doj.gov. root.usdoj.gov. 4987 10800 1080 2592000 600
[..]

Freekers schreef op zondag 24 januari 2021 @ 14:23:
[...]
Klopt, echter is de ANY query op z'n retour: https://blog.cloudflare.com/rfc8482-saying-goodbye-to-any/

Freekers schreef op zondag 24 januari 2021 @ 00:18:
[Om die reden heb ik ANY queries ook geblokkeerd

dig +noall +comments any bja.gov
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 37571
;; flags: qr rd ra ad; QUERY: 1, ANSWER: 24, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 1472

dig +noall +comments any bja.gov
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 22801
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0

[ Voor 5% gewijzigd door jpgview op 25-01-2021 11:15 ]

deHakkelaar schreef op zondag 24 januari 2021 @ 00:42:
Familie, vrienden en kennissen zijn de ergste gebruikers zonder instrukties
Die klikken op van alles waardoor ze in de problemen komen.
En jij bent "accountable" want jij hebt het opgezet/geadviseerd

nero355 schreef op maandag 25 januari 2021 @ 17:40:
Nogmaals : Op mijn eigen laptop als ik ergens op bezoek ben!

[ Voor 1% gewijzigd door deHakkelaar op 25-01-2021 18:53 . Reden: had er nog ééntje ]

deHakkelaar schreef op maandag 25 januari 2021 @ 18:40:
[...]
Maar een desktop met al z'n afhankelijkheden maakt je DNS server, die je ook gebruikt voor bank zaken etc, er niet veiliger op.

Ook kan het bijdragen aan een minder stabiel systeem.
CPU, RAM, disk, I/O verbruik gaan omhoog.
Grotere backups.
Linux cache wordt met desktop zaken gevuld terwijl je liever hebt dat alles DNS gerelateerd ge-cached wordt.
Complexiteit neemt toe.
Updates duren langer.

Eärendil schreef op maandag 25 januari 2021 @ 19:06:
[...]

Als een laptop niet veilig genoeg is om een DNS-server op te draaien zou je er überhaupt geen bankzaken op moeten doen.


[...]

Een Pi-hole draait al op een Raspberry Pi Zero. Een gemiddelde laptop kan dat er echt prima bij hebben.

deHakkelaar schreef op maandag 25 januari 2021 @ 19:08:
[...]

Ik heb het niet over alleen de host waarop Pi-hole draait.
Als je Pi-hole DNS wordt ge-hijacked geldt dat voor alle apparaten in je huis dus meer "attack vectors"!

ed1703 schreef op maandag 25 januari 2021 @ 19:13:
[...]

Tja, iemand die een beetje kennis heeft van zoiets opbouwen draait dat in een software-container (welke je gebruikt laat ik in het midden), zodat het OS er ook weinig last van heeft en je het ook wat makkelijker kan wegpoetsen. Er is geen enkele reden om een Pi-hole te exposen aan de buitenwereld vanaf een laptop.

[ Voor 5% gewijzigd door deHakkelaar op 25-01-2021 19:16 ]

[ Voor 5% gewijzigd door dionio op 26-01-2021 22:51 ]

Tomsworld schreef op woensdag 27 januari 2021 @ 12:34:
Ik ben / was tevreden van pi-hole.

Advertenties blocken op youtube lukt al lang niet meer, maar nu zoek ik een oplossing op yt terug vlot te laten werken, nu duurt het heel lang soms meerdere refreshes nodig om toch te starten.

Wat / hoe lossen jullie dat op ?

dionio schreef op dinsdag 26 januari 2021 @ 21:30:
Ik heb een Raspberry-PI 4 cluster gemaakt met 3 Pi's. En heb daarom een Docker Swarm gemaakt. Ik verwijs mijn data dir voor Pi-hole naar een (op alle 3 de node's ) ge-mount-te NFS ( een synology ).
[..]

[ Voor 6% gewijzigd door deHakkelaar op 27-01-2021 19:37 . Reden: wiki toegevoegt ]