[Pi-Hole] Ervaringen & discussie

jpgview schreef op dinsdag 7 juli 2020 @ 10:49:
Hier heb ik al melding gemaakt van een nieuwe feature, die er mogelijks aankomt (approximative matching).

De ontwikkeling gaat onvermoeid verder, in dezelfde branch (pihole checkout ftl new/tre-regex) word het nu mogelijk om bepaalde types queries te blocken, lees hier. Een user maakt hier melding van het feit dat zijn chromecast AAAA queries doet in een IPv4 only network omgeving. Deze nieuwe feature maakt het mogelijk om dit type queries (AAAA) te blocken, de A queries worden wel gewoon doorgelaten.

[Afbeelding]

edit
nog een wijziging, optie invert, het resultaat van een regex, lees hier.
hoe werkt invert?
- pihole-FTL evalueert de regex e.g. ^abc$;querytype=a
- pihole-FTL inverts het resultaat (match -> no match, no match -> match)
ik heb hiervoor nog geen nuttige toepassing gevonden

[Afbeelding]
/edit

edit2
nog een toevoeging, NOT querytype, dus, voorbeeld hieronder, geen AAAA, PTR, NS, ...

[Afbeelding]
Ik heb een aantal devices aan de allowAqueriesonly groep toegevoegd en test het resultaat (ongoing). een PS4 kan blijkbaar zonder problemen met deze beperking omgaan (PS4 in een IPv4 only omgeving doet toch AAAA queries), test loopt nog op andere devices, maar eerste resultaten zijn positief.
/edit2

1

^.*;querytype=!a

1

.*;querytype=!a;NODATA

Kopernikus.1979 schreef op woensdag 17 maart 2021 @ 09:42:
maar niet via hun hostname omdat mijn Pi-Hole deze natuurlijk niet kent.

[ Voor 50% gewijzigd door deHakkelaar op 17-03-2021 13:45 ]

deHakkelaar schreef op woensdag 17 maart 2021 @ 13:43:
[...]


Als het er niet teveel zijn en de IP's niet steeds veranderen, waarom niet gewoon DNS records aanmaken op Pi-hole voor die xxx.mijnbedrijf.be hosts:
http://pi.hole/admin/dns_records.php

Kopernikus.1979 schreef op woensdag 17 maart 2021 @ 15:07:
Het zijn er een stuk of 20 dus valt wel mee.
Zou het volgende ook werken?

server=/mijnbedrijf.be/10.1.1.1 (waar 10.1.1.1 de DNS server van mijn bedrijf is)

LeBrun schreef op donderdag 18 maart 2021 @ 09:01:
2021-03-14 15:18:10: (server.c.2059) server stopped by UID = 0 PID = 1
2021-03-14 15:18:19: (server.c.1464) server started (lighttpd/1.4.53)

pi@ph5b:~ $ ps 1
  PID TTY      STAT   TIME COMMAND
    1 ?        Ss     0:19 /sbin/init

pi@ph5b:~ $ readlink -f /sbin/init
/lib/systemd/systemd

1

sudo zgrep -i voltage /var/log/syslog*

1

dmesg -T | grep -i voltage

pi@ph5b:~ $ vcgencmd get_throttled int
throttled=0x0

1

dmesg -T | less

1

less /var/log/syslog

1

journalctl

Arjan1986 schreef op vrijdag 19 maart 2021 @ 21:10:
nu.nl video werkte bij mij niet meer, heb de 2 volgende domeinen op de whitelist gezet:
sat.public.bd.313.nl
consent.313.nl

• En wat is nu de vraag?
• Werkt het niet meer en na het whitelisten van die twee domeinen weer wel?
• Of werkt het en na het whitelisten van die domeinen niet meer?
• Of werkt het niet en na het whitelisten van die twee domeinen nog steeds niet?
• Heb je al een flushdns gedaan?

Webgnome schreef op vrijdag 19 maart 2021 @ 22:15:
[...]

• En wat is nu de vraag?
• Werkt het niet meer en na het whitelisten van die twee domeinen weer wel?
• Of werkt het en na het whitelisten van die domeinen niet meer?
• Of werkt het niet en na het whitelisten van die twee domeinen nog steeds niet?
• Heb je al een flushdns gedaan?

Arjan1986 schreef op vrijdag 19 maart 2021 @ 22:52:
[...]

Geen vraag.
Werkte niet meer, nu dus wel na whitelist.. is gewoon een tip voor als meer mensen hier tegenaan lopen.

Webgnome schreef op vrijdag 19 maart 2021 @ 22:15:
[...]

• En wat is nu de vraag?
• Werkt het niet meer en na het whitelisten van die twee domeinen weer wel?
• Of werkt het en na het whitelisten van die domeinen niet meer?
• Of werkt het niet en na het whitelisten van die twee domeinen nog steeds niet?
• Heb je al een flushdns gedaan?

deHakkelaar schreef op zaterdag 20 maart 2021 @ 12:13:
[...]

Is draadje/wiki voor:
https://discourse.pi-hole...y-whitelisted-domains/212

Arjan1986 schreef op vrijdag 19 maart 2021 @ 22:52:
[...]

Geen vraag.
Werkte niet meer, nu dus wel na whitelist.. is gewoon een tip voor als meer mensen hier tegenaan lopen.

Lizard schreef op zaterdag 20 maart 2021 @ 12:31:
Ik vind dat er wat overdreven gereageerd wordt op de post van @Arjan1986. Dit is het 'Ervaringen en discussie' topic. En hij geeft redelijk duidelijk aan wat voor hem de oplossing is.
In de OP staan al verwijzingen naar whitelists die voor specifieke sites moeten worden toegepast.
Die link naar een discourse staat niet in de OP vermeld dus hoe moeten we dat weten?

deHakkelaar schreef op zaterdag 20 maart 2021 @ 12:50:
[...]

Sorry hoor.
Probeer alleen maar te helpen door aan te geven dat er een centrale plek is waar je dit soort whitelist domeinen kan opvoeren.
Veel overzichtelijker daar.

pi@ph5b:~ $ pihole -q sat.public.bd.313.nl
  [i] No results found for sat.public.bd.313.nl within the block lists

pi@ph5b:~ $ pihole -q consent.313.nl
  [i] No results found for consent.313.nl within the block lists

pi@ph5b:~ $ sqlite3 --header --column /etc/pihole/gravity.db 'SELECT * FROM adlist'
id          address                                                           enabled     date_added  date_modified  comment                                 date_updated
----------  ----------------------------------------------------------------  ----------  ----------  -------------  --------------------------------------  ------------
1           https://raw.githubusercontent.com/StevenBlack/hosts/master/hosts  1           1604660847  1604660847     Migrated from /etc/pihole/adlists.list  1615977249
3           https://dehakkelaar.nl/lists/cryptojacking_campaign.list.txt      1           1604661036  1604661036                                             1615977253
4           https://gitlab.com/ZeroDot1/CoinBlockerLists/raw/master/list.txt  1           1604661050  1604661050                                             1615977269
5           https://blocklist.cyberthreatcoalition.org/vetted/domain.txt      1           1604661063  1604661063                                             1615977283

[ Voor 61% gewijzigd door deHakkelaar op 20-03-2021 13:04 ]

Arjan1986 schreef op zaterdag 20 maart 2021 @ 13:33:
Om even te reageren op de vorige reactie's:

Niet iedereen heeft een account op discourse om daar te reageren (ook nog in het engels voor mij geen probleem voor sommige misschieen wel)

De volgende lijst was de boosdoener ga ik hem daarom verwijderen, nee.
https://badmojr.github.io/1Hosts/Pro/hosts.txt

Ik postte dit omdat die 2 domeinen benodigd zijn om de video te laten spelen.
Het is aan diegene die dit probleem ook hebben, om te kijken of deze 2 domeinen toevallig geblockt staan meer niet...

Heijmenberg99 schreef op zaterdag 20 maart 2021 @ 14:08:
[...]

Done

Lizard schreef op zaterdag 20 maart 2021 @ 12:31:
Ik vind dat er wat overdreven gereageerd wordt op de post van @Arjan1986. Dit is het 'Ervaringen en discussie' topic. En hij geeft redelijk duidelijk aan wat voor hem de oplossing is.

In de OP staan al verwijzingen naar whitelists die voor specifieke sites moeten worden toegepast.
Die link naar een discourse staat niet in de OP vermeld dus hoe moeten we dat weten?

meesje schreef op zaterdag 20 maart 2021 @ 15:34:
Verdorie zeg, iemand deelt hier een ervaring en dan gaan we daar over zeuren. Lekker dankbaar zeg!

nero355 schreef op zaterdag 20 maart 2021 @ 16:06:
[...]

Nee hoor!

Gewoon wat vriendelijk bedoelde suggesties!

Arjan1986 schreef op zaterdag 20 maart 2021 @ 13:33:
Om even te reageren op de vorige reactie's:

Niet iedereen heeft een account op discourse om daar te reageren (ook nog in het engels voor mij geen probleem voor sommige misschieen wel)

De volgende lijst was de boosdoener ga ik hem daarom verwijderen, nee.
https://badmojr.github.io/1Hosts/Pro/hosts.txt

Ik postte dit omdat die 2 domeinen benodigd zijn om de video te laten spelen.
Het is aan diegene die dit probleem ook hebben, om te kijken of deze 2 domeinen toevallig geblockt staan meer niet...

meesje schreef op zaterdag 20 maart 2021 @ 15:34:
Verdorie zeg, iemand deelt hier een ervaring en dan gaan we daar over zeuren. Lekker dankbaar zeg!

Verwijderd schreef op zaterdag 20 maart 2021 @ 22:53:
..of die, die daar niet meer kunnen posten.

Kapitein187 schreef op zondag 21 maart 2021 @ 13:29:
Ik heb 2 Pi's met allebei Pi-Hole & unbound. DHCP door router. Nu zingen al mijn Google Nest speakers in koor dat ze geen verbinding kunnen maken met internet, ze staan gewoon in het overzicht van m'n router als verbonden. En ik heb de standaard Google domains gewhitelist. Heeft iemand een oplossin?

Church of Noise schreef op zondag 21 maart 2021 @ 14:02:
[...]

In eerste instantie, disable Pi-Hole eens even (kan via de web interface) en kijk als ze dan werken.
Moesten ze werken bij uitgeschakelde Pi-Hole: kijk eens grondig door je query log in Pi-Hole en meer specifiek naar wat geblokkeerd is als je de Google Next speakers aanschakelt.

Als het disablen van pi-Hole geen invloed heeft, zal je elders moeten kijken. Werkt alle andere activiteit op je netwerk naar behoren en heb je de werking van Unbound al getest (bvb door te dig'en naar sigfail en sigok,verteiltesysteme.net) ?

Kapitein187 schreef op zondag 21 maart 2021 @ 13:29:
Ik heb 2 Pi's met allebei Pi-Hole & unbound. DHCP door router. Nu zingen al mijn Google Nest speakers in koor dat ze geen verbinding kunnen maken met internet, ze staan gewoon in het overzicht van m'n router als verbonden. En ik heb de standaard Google domains gewhitelist. Heeft iemand een oplossing?

deHakkelaar schreef op zondag 21 maart 2021 @ 14:45:
@Kapitein187, check welke domeinen worden aangeroepen door die Nest client IP's en ook of ze niet blocked zijn:
http://pi.hole/admin/queries.php

Voer een test uit voor die domeinen op je PC met de nslookup tool:

code:

1	nslookup <DOMAIN> <PIHOLE_IP>

En ook op Pi-hole zelf:

code:

1	nslookup <DOMAIN> $(hostname -I)

code:

1	nslookup <DOMAIN> 127.0.0.1 -port=5335

Welke DNS server(s) deelt je DHCP server uit:

code:

1	pihole-FTL dhcp-discover

Geven al die DNS servers het juiste antwoord als je test met de nslookup tool:

code:

1	nslookup pi.hole <DNS_SERVER_IP>

code:

1	nslookup tweakers.net <DNS_SERVER_IP>

Heb je IPv6 aktief op je netwerk?
Disable alles IPv6 gerelateerd in Pi-hole en op je router aan de LAN zijde only voor diagnose (plus mogelijk een power cycle voor betrokken clients).
Dit omdat via IPv6 router discovery de DNS server toewijzing voor de clients net even anders gaat als met IPv4 DHCP.
En niet alle router firmware het toelaat hier wijzigingen in aan te brengen.

1
2
3
4
5

pihole-FTL dhcp-discover
   dns-server: 192.168.50.125
   dns-server: 192.168.50.234
   router: 192.168.50.1
   --- end of options ---

1
2
3
4
5
6
7

 nslookup tweakers.net
Server:         127.0.0.1
Address:        127.0.0.1#53

Non-authoritative answer:
Name:   tweakers.net
Address: 213.239.154.31

1
2
3
4
5
6
7
8
9

 nslookup tweakers.net 192.168.50.125
Server:         192.168.50.125
Address:        192.168.50.125#53

Non-authoritative answer:
Name:   tweakers.net
Address: 213.239.154.31
Name:   tweakers.net
Address: 2001:9a8:0:e:1337:0:80:2

1
2
3
4
5
6

 nslookup pi.hole 192.168.50.125
Server:         192.168.50.125
Address:        192.168.50.125#53

Name:   pi.hole
Address: 192.168.50.125

1
2
3
4
5
6

nslookup pi.hole 192.168.50.234
Server:         192.168.50.234
Address:        192.168.50.234#53

Name:   pi.hole
Address: 192.168.50.234

[ Voor 21% gewijzigd door Kapitein187 op 21-03-2021 16:22 ]

deHakkelaar schreef op zondag 21 maart 2021 @ 11:39:

[...het niet kunnen posten op het discourse forum]

Hoezo?

Kapitein187 schreef op zondag 21 maart 2021 @ 16:07:
Exact om 11:30 viel alles dood volgens mn Pi-hole 1 graph.

1

ls -1 /var/log/pihole*

Kapitein187 schreef op zondag 21 maart 2021 @ 16:07:
Wel vreemd dat het verkeer niet automatisch via m'n 2e pihole ging- het adres staat netjes in mn router onde DNS.

1

nslookup -class=chaos -type=txt version.bind 192.168.50.125

1

nslookup -class=chaos -type=txt version.bind 192.168.50.234

Kapitein187 schreef op zondag 21 maart 2021 @ 16:07:
Overigens zie ik de activiteit onder queries niet alsof het van de speaker komt, maar via de router.

Kapitein187 schreef op zondag 21 maart 2021 @ 16:07:
127.0.0.1 is de Unbound server, dus dat is ook correct.

pi@ph5b:~ $ nslookup -class=chaos -type=txt -port=53 version.bind 127.0.0.1
Server:         127.0.0.1
Address:        127.0.0.1#53

version.bind    text = "dnsmasq-pi-hole-2.84"

pi@ph5b:~ $ nslookup -class=chaos -type=txt -port=5335 version.bind 127.0.0.1
Server:         127.0.0.1
Address:        127.0.0.1#5335

Non-authoritative answer:
version.bind    text = "unbound 1.9.0"

pi@ph5b:~ $ sudo netstat -nltup | grep 'Proto\|:53 \|:5335'
Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name
tcp        0      0 0.0.0.0:53              0.0.0.0:*               LISTEN      24556/pihole-FTL
tcp        0      0 127.0.0.1:5335          0.0.0.0:*               LISTEN      427/unbound
tcp6       0      0 :::53                   :::*                    LISTEN      24556/pihole-FTL
udp        0      0 127.0.0.1:5335          0.0.0.0:*                           427/unbound
udp        0      0 0.0.0.0:53              0.0.0.0:*                           24556/pihole-FTL
udp6       0      0 :::53                   :::*                                24556/pihole-FTL

deHakkelaar schreef op zondag 21 maart 2021 @ 17:37:
[...]

Check de logs:

code:

1	ls -1 /var/log/pihole*

".gz" bestanden kun je weergeven met zcat of zless.

[...]

Dat is vreemd idd.
Check op een PC in een command prompt ofdat het werkelijk Pi-hole zelf is die antwoord en niet dat 1 of andere router security feature DNS queries verwerkt op 1 of andere manier:

code:

1	nslookup -class=chaos -type=txt version.bind 192.168.50.125

code:

1	nslookup -class=chaos -type=txt version.bind 192.168.50.234

[...]

Wat is/zijn je router upstream DNS servers?
Meestal in de router aangeduid als WAN of Internet DNS IP's.
Als dat het Pi-hole IP is valt dat af te raden als je ook "Conditional Forwarding" in Pi-hole aan hebt staan?
Hierdoor onstaat een "partial DNS forwarding loop" waar queries aleen maar looptie loop doen todat resources (RAM, disk, concurrent connections etc) op zijn en er dingen fout gaan.

IPv6 op je LAN ?
Anders weet ik het ook niet.

[...]

Zowel de pihole-FTL en de unbound daemons luisteren beiden op het 127.0.0.1 localhost IP:

pi@ph5b:~ $ nslookup -class=chaos -type=txt -port=53 version.bind 127.0.0.1
Server:         127.0.0.1
Address:        127.0.0.1#53

version.bind    text = "dnsmasq-pi-hole-2.84"

pi@ph5b:~ $ nslookup -class=chaos -type=txt -port=5335 version.bind 127.0.0.1
Server:         127.0.0.1
Address:        127.0.0.1#5335

Non-authoritative answer:
version.bind    text = "unbound 1.9.0"

Alleen de poorten verschillen (53 & 5335):

pi@ph5b:~ $ sudo netstat -nltup | grep 'Proto\|:53 \|:5335'
Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name
tcp        0      0 0.0.0.0:53              0.0.0.0:*               LISTEN      24556/pihole-FTL
tcp        0      0 127.0.0.1:5335          0.0.0.0:*               LISTEN      427/unbound
tcp6       0      0 :::53                   :::*                    LISTEN      24556/pihole-FTL
udp        0      0 127.0.0.1:5335          0.0.0.0:*                           427/unbound
udp        0      0 0.0.0.0:53              0.0.0.0:*                           24556/pihole-FTL
udp6       0      0 :::53                   :::*                                24556/pihole-FTL

Kapitein187 schreef op zondag 21 maart 2021 @ 18:00:
Ik had begrepen dat ik juist niet m'n Pi als WAN DNS moest zetten, conditional forwarding heb ik niet aan staan.

[ Voor 17% gewijzigd door deHakkelaar op 21-03-2021 18:25 ]

deHakkelaar schreef op zondag 21 maart 2021 @ 18:20:
[...]

Helemaal juist.
En als je nu Conditional Forwarding configureert zul je de client hostnamen ipv IP's weergegeven zien worden op de web GUI.
Die hostnamen worden namelijk initieel alleen door de DHCP server opgevangen tijdens de DHCP lease interaktie met de clients.

EDIT: Ik heb 1 vd 2 Pi-hole's bij mij een shutdown gegeven en alles blijft hier nog door pruttelen.
Had nooit getest namelijk en gewoon aangenomen dat het wel zou werken.
Geen problemen met DNS.

Kapitein187 schreef op zondag 21 maart 2021 @ 18:27:
Ik zie de hostnames altijd al in m'n PiHole web portal

1

nslookup -class=chaos -type=txt servers.bind 127.0.0.1

deHakkelaar schreef op zondag 21 maart 2021 @ 18:34:
[...]

Dat is vreemd.
Wat zijn je upstreams ?

code:

1	nslookup -class=chaos -type=txt servers.bind 127.0.0.1

Pi-hole moet toch ergens die namen vandaan halen alstie niet zelf als DHCP server functioneert.

1
2

root@DietPi:~# nslookup -class=chaos -type=txt servers.bind 127.0.0.1                                         Server:         127.0.0.1                              
Address:        127.0.0.1#53                                                                                  servers.bind    text = "127.0.0.1#5335 350 0"

Kapitein187 schreef op zondag 21 maart 2021 @ 18:41:

code:

1	servers.bind text = "127.0.0.1#5335 350 0"

[ Voor 45% gewijzigd door deHakkelaar op 21-03-2021 18:45 ]

deHakkelaar schreef op zondag 21 maart 2021 @ 18:43:
Ok alleen maar unbound op 127.0.0.1#5335 zie ik.
Dan nog vreemd dat Pi-hole de namen weet.

[ Voor 10% gewijzigd door Kapitein187 op 21-03-2021 18:47 ]

Kapitein187 schreef op zondag 21 maart 2021 @ 18:45:
Klopt, goed om te weten iig dat unbound goed werkt ik heb geen idee dan hoe het komt dat de namen er staan zonder cond.fwd.

pi@ph5b:~ $ nslookup 10.0.0.11 localhost
11.0.0.10.in-addr.arpa  name = laptop.dehakkelaar.nl.

dehakkelaar@laptop:~$ cat /etc/dhcp/dhclient.conf
[..]
send host-name = gethostname();

HendriekB schreef op maandag 22 maart 2021 @ 15:16:
Iemand die toevallig weet welke servers ik moet blacklisten in Belgie voor Goplay.be en vtmgo...

HendriekB schreef op maandag 22 maart 2021 @ 15:16:
Iemand die toevallig weet welke servers ik moet blacklisten in Belgie voor Goplay.be en vtmgo...

Kapitein187 schreef op maandag 22 maart 2021 @ 16:33:
Ik heb bij sommige pagina's op tweakers reclame van Coolblue.

1

<img referrerpolicy="unsafe-url" src="/i/nice_bokjlT_qy3DGjobgdpddmmf=/1280x400/filters:max_bytes(102400):strip_icc()/i/2723526819.jpeg">

LeBrun schreef op donderdag 11 maart 2021 @ 12:41:
[...]


Goed om te horen! gebruik je een ethernet adapter of draait het via WiFi?

En begrijp ik goed dat je er geen PiVPN op draait? Vraag me af of dat nog een verschil maakt.

edit: het gaat trouwens om een tweepersoonshuishouden. Als we thuis werken max 20 devices, waarvan een aanzienlijk deel slimme verlichting. Die doen bijna geen requests.

HendriekB schreef op maandag 22 maart 2021 @ 15:16:
Iemand die toevallig weet welke servers ik moet blacklisten in Belgie voor Goplay.be en vtmgo...

Kapitein187 schreef op maandag 22 maart 2021 @ 16:33:
Ik heb bij sommige pagina's op tweakers reclame van Coolblue.
De advertentie linkt naar: https://googleads.g.doubleclick.net/ als ik er op klik.
En het image adres is: https://tweakers.net/i/ne...p_icc()/i/0718884066.jpeg
Een pixel.

Andere ads zie ik niet en een site zoals: https://adblock-tester.com/ laat zien dat alles goed geblokt word.

[Afbeelding]

[Afbeelding]

Hemingr schreef op woensdag 24 maart 2021 @ 14:42:
De twee hangen naast elkaar aan dezelfde router. As ik op beide "ip a" doe krijg ik op zowel de oude (melchior) als de nieuwe (fafner) een ipv6 address toegewezen.

[ Voor 5% gewijzigd door rvk op 24-03-2021 15:06 ]

rvk schreef op woensdag 24 maart 2021 @ 15:04:
[...]

Weet je zeker dat de nieuwe pi een ipv6 adres krijgt?
Het fe80::/10 adres is geen geldig ip adres maar een soort local adres (zoals 169.* dat is voor ipv4).
Dat lijkt mij dus geen toegewezen adres.

Wikipedia: Link-local address

Waar staat de fd5a:: adres bij de oude met ip a?

blazez schreef op woensdag 24 maart 2021 @ 21:15:
[..]
Als ik via ssh een wildcard blacklist toevoeg met
sudo -u pi pihole --wild nu.nl
[..]
de eerste wordt nu.nl niet geblokkeerd en bij de tweede wordt er wel geblokkeerd.
[..]

pi@ph5b:~ $ pihole --wild -h
Usage: pihole --wild [options] <domain> <domain2 ...>
Example: 'pihole --wild site.com', or 'pihole --wild site1.com site2.com'
Regex blacklist one or more domains

Options:
  -d, --delmode       Remove domain(s) from the regex blacklist
  -nr, --noreload     Update regex blacklist without reloading the DNS server
  -q, --quiet         Make output less verbose
  -h, --help          Show this help dialog
  -l, --list          Display all your regex blacklistlisted domains
  --nuke              Removes all entries in a list

pi@ph5b:~ $ pihole --wild -l
Not showing empty list

pi@ph5b:~ $ nslookup 12345abcd.nu.nl localhost
Server:         localhost
Address:        ::1#53

Non-authoritative answer:
*** Can't find 12345abcd.nu.nl: No answer

pi@ph5b:~ $ pihole --wild nu.nl
  [i] Adding (^|\.)nu\.nl$ to the regex blacklist...
  [✓] Reloading DNS lists

pi@ph5b:~ $ pihole --wild -l
Displaying regex blacklist:
  1: (^|\.)nu\.nl$ (enabled, last modified Thu, 25 Mar 2021 02:19:18 +0100)

pi@ph5b:~ $ nslookup 12345abcd.nu.nl localhost
Server:         localhost
Address:        ::1#53

Name:   12345abcd.nu.nl
Address: 0.0.0.0
Name:   12345abcd.nu.nl
Address: ::

pi@ph5b:~ $ nslookup nu.nl localhost
Server:         localhost
Address:        ::1#53

Name:   nu.nl
Address: 0.0.0.0
Name:   nu.nl
Address: ::

[ Voor 4% gewijzigd door deHakkelaar op 25-03-2021 02:46 ]

deHakkelaar schreef op donderdag 25 maart 2021 @ 02:32:
[...]

Waarom de sudo ?
Werkt gewoon bij mij zoals verwacht:

blazez schreef op donderdag 25 maart 2021 @ 10:37:
[...]
Iemand ergens een simpele uitleg over die verschillen in de tekens tussen de blokhaken bij het commandline of via de web interface aanmaken ?

mithras schreef op donderdag 25 maart 2021 @ 16:27:
Heeft iemand ervaring met pi-hole icm Traefik als reverse-proxy?

* nero355 wordt een beetje moe van al dat geDocker... Pure ellende gewoon!

Church of Noise schreef op vrijdag 26 maart 2021 @ 17:03:
Draait er iemand Grafana als dashboard voor Unbound?
Heb dat vandaag proberen opzetten (https://github.com/jianershi/unbound-config maar bij het opzetten van Unbound Explorer loopt het mis (Grafana moet ik anders aanpakken wegens armv6 op Pi Zero maar dat is opgelost)

1

Failed to scrape socket: %sx509: certificate relies on legacy Common Name field,

mithras schreef op donderdag 25 maart 2021 @ 16:27:
Heeft iemand ervaring met pi-hole icm Traefik als reverse-proxy? Ik heb op mijn primaire rpi al pi-hole draaien (gewoon in host mode). Nu heb ik op een tweede rpi allemaal sites achter Traefik draaien en dat bevalt héél goed. Dus een 2e instance voor pi-hole ook achter Traefik gezet.

Gevolg is dat de enige client die pi-hole ziet, is 172.20.0.7 (de interface van traefik in mijn interne-traefik netwerk). Nu heeft iemand een soortgelijke case gepost op de community van pi-hole en van traefik maar komt daar vooralsnog niet verder.

Het zou het mooiste zijn als je in het verkeer wat vanaf Traefik komt toch iets kan aangeven zodat de pi de externe bron kan achterhalen. Andere manier zou zijn om de webinterface van de pi wel achter Traefik te zetten maar de DNS queries zelf direct op de pi-hole container te laten landen. Heeft iemand ervaring met een van beide mogelijkheden?

[ Voor 34% gewijzigd door Webgnome op 27-03-2021 09:02 ]

Church of Noise schreef op vrijdag 26 maart 2021 @ 17:03:
Draait er iemand Grafana als dashboard voor Unbound?
Heb dat vandaag proberen opzetten (https://github.com/jianershi/unbound-config maar bij het opzetten van Unbound Explorer loopt het mis (Grafana moet ik anders aanpakken wegens armv6 op Pi Zero maar dat is opgelost)

Webgnome schreef op zaterdag 27 maart 2021 @ 06:34:
[...]

offtopic:
mij ontgaat bij pihole echt het nut van docker. Wil je het redundant uitvoeren? Dan draai je het niet meerdere malen op 1 systeem maar op twee, drie of meer systemen. Wil je gemak? Wat is er moeilijker dan curl -sSL https://install.pi-hole.net | bash en klaar. Is het hip? Is dat nodig dan?.

Webgnome schreef op zaterdag 27 maart 2021 @ 06:34:
[...]

offtopic:
mij ontgaat bij pihole echt het nut van docker. Wil je het redundant uitvoeren? Dan draai je het niet meerdere malen op 1 systeem maar op twee, drie of meer systemen. Wil je gemak? Wat is er moeilijker dan curl -sSL https://install.pi-hole.net | bash en klaar. Is het hip? Is dat nodig dan?.

Lizard schreef op vrijdag 26 maart 2021 @ 22:55:
[...]

Ik heb het net geprobeerd en liep ook tegen problemen aan.
Na wat uitzoekwerk kwam ik deze foutmelding tegen:

code:

1	Failed to scrape socket: %sx509: certificate relies on legacy Common Name field,

En deze bug: https://github.com/golang/go/issues/39568

Voor mij was de oplossing om versie 1.14.15 van go te installeren en daarmee de exporter te compilen.

Daarna werkt het bij mij.

Church of Noise schreef op zaterdag 27 maart 2021 @ 13:59:
[...]

@Lizard for president! Dankje!
Heb het zelf opgelost door de nieuwste versie te draaien, probleem lag er aan dat de versie die je via apt installeert bij raspberry pi os versie 1.11 is, huidige versie is 1.16.2 en daarbij bestaat het probleem niet.

Ik heb ondertussen bijna alles draaiend, enige probleem is dat ik die unbound-exporter.service niet vind en dus ook niet kan draaiend krijgen. Als gevolg staat mijn dashboard momenteel nog vol N/A.

Nog iemand tegengekomen?

Freee!! schreef op zaterdag 27 maart 2021 @ 11:29:
Het nut van Docker is dat je, in combinatie met macvlan, je Pi-Hole een eigen IP-adres kunt geven en dan niet met poortconflicten te maken hebt. En als je dan toch al Docker gebruikt, geldt hetzelfde voor Unbound. Voor redundantie moet je inderdaad meerdere systemen gebruiken.

nero355 schreef op vrijdag 26 maart 2021 @ 16:32:
[...]

Ik zou zeggen kijk eens rond in :
- [Docker] [alle OS] Het grote Docker ervaringen en tips topic
- [Traefik - Proxy/Loadbalancer] Ervaringen & Discussie

En stel eventueel dezelfde vraag in één van die topics, want daar weten ze waarschijnlijk meer erover

* nero355 wordt een beetje moe van al dat geDocker... Pure ellende gewoon!

Webgnome schreef op zaterdag 27 maart 2021 @ 06:34:
[...]

Tuurlijk wil je de dns / dhcp queries direct op de pihole laten landen. Die is daar toch voor? Of wilde je meerdere piholes op een systeem draaien? ( waarom? als dat systeem stuk is, is alles stuk).

Zoals de moderator in een van je linkjes ook zelf aangeeft. Dit is niet een Traefik issue dit is een networking issue (of precieser: een networking issue omdat mensen niet begrijpen hoe dat netwerken in de basis werken en hoe dat docker het dus afhandelt).
Zoals terecht gesteld wordt kun je de dns queries wel via traefik laten doen maar dan zal pi netjes antwoorden AAN traefik en dus NIET aan de client die er eigenlijk om vroeg. Success with that.

Dus zet gewoon de dns/dhcp poort open voor de pihole docker en je bent waarschijnlijk gewoon klaar.

offtopic:
mij ontgaat bij pihole echt het nut van docker. Wil je het redundant uitvoeren? Dan draai je het niet meerdere malen op 1 systeem maar op twee, drie of meer systemen. Wil je gemak? Wat is er moeilijker dan curl -sSL https://install.pi-hole.net | bash en klaar. Is het hip? Is dat nodig dan?.

mithras schreef op zondag 28 maart 2021 @ 21:34:
[...]
Ja ik ben zelf een van de leden die veel in het Traefik topic zit, maar de meeste vragen daar zoeken een oplossing in een standaard reverse-proxy. Juist dát is met pi-hole niet een probleem

Oplossingsrichting zie ik ook wel voor me, maar voordat ik een tijd loop te klooien leek me hier de vraag stellen een stuk efficienter

[...]
Docker biedt echt enorme voordelen (zie hieronder verder). Maar dit is geen docker issue, het is prima verklaarbaar gedrag.


[...]
Volgens mij ontgaat je het doel

Queries moeten inderdaad op de pi-hole landen, daar is het systeem ook voor, binnen mijn LAN is het mijn DNS server. Voor redundancy wil ik 2x een rpi met beide pi-hole draaien, maar al jaren draai ik één pi-hole naar alle tevredenheid. Traefik doet hier niets om meerdere pi-holes op een systeem te draaien oid. Het is een tool (net als docker) die ik graag om een andere reden gebruik.

[...]
Ik begrijp prima hoe het werkt hoor

De werking is prima uitlegbaar dus het gevolg is ook duidelijk. Neemt niet weg dat de huidige situatie mij niet bevalt en ik op zoek ben of iemand een van beide oplossingsroutes eerder heeft geprobeerd en wat daarmee de ervaring is

[...]
Dat 2x "gewoon" is nou nét waar het om draait. Door de gelaagdheid van systemen overzie je gewoon niet altijd de nitty gritty details van een stukje implementatie in één deel van de keten. Wat mij betreft prima argument om in een topic als dit eens om ervaringen te vragen


[...]
Het heeft niks met redundantie of gemak of moeilijk doen te maken hoor

Op diverse pi's draai ik een tiental applicaties, waaronder pi-hole. Het probleem waar je vroeg of laat tegenaan loopt is je beheersbaarheid van al die applicaties. De een installeert automatisch lighttpd (thanks pi-hole), de ander vraagt of eist nginx of apache. Je hebt talloze talen geïnstalleerd staan. Tot overmaat van ramp krijg je straks een tool die alvast overstapt op php8+ only en een andere tool die nog niet compatible is. Thanks dat je niet zoals python met venvs kan werken dus zit je altijd met veel gedoe.

We dwalen af en alle bovenstaande troubles zijn vást op te lossen, maar een image is gewoon standalone, sandboxed en bevat alles wat je nodig hebt. Upgrade verkeerd? Een image terug is zo voor elkaar.

De reden voor Traefik omdat je netjes een intern FQDN kan gebruiken die routeert naar een service, je hoeft geen poort mapping te doen, HTTPS wordt volledig voor je afgehandeld op een uniforme manier. Alle andere services draaien al achter Traefik en het is dan mooi dat de admin-interface van pi-hole dat óók doet. Maar ik zie dat ik de eerste hier ben die dit bedenkt dus er is nog weinig ervaring

Ik ga nog wel even klooien want mijn eerste pogingen lijken te stranden

[ Voor 22% gewijzigd door ThinkPad op 28-03-2021 22:14 ]

ThinkPadd schreef op zondag 28 maart 2021 @ 22:12:
Ben wel benieuwd naar de toekomst van DNS-filtering. Recentelijk weer eens wat aandacht geschonken aan m'n setup, maar als ik dan zie dat bijv. iPhone requests doet naar doh.dns.apple.com (DNS-over-HTTPS) dan is het naar mijn idee een kwestie van tijd voordat DNS-filtering steeds minder effectief gaat zijn DNS-over-HTTPS valt niet/nauwelijks te blokkeren. Is op iOS voor zover ik weet ook niet uit te schakelen (en daarnaast: een app zou ook kunnen besluiten om het hardcoded te gebruiken).

[ Voor 30% gewijzigd door ThinkPad op 28-03-2021 23:11 ]

ThinkPadd schreef op zondag 28 maart 2021 @ 22:12:
DNS-over-HTTPS valt niet/nauwelijks te blokkeren. Is op iOS voor zover ik weet ook niet uit te schakelen (en daarnaast: een app zou ook kunnen besluiten om het hardcoded te gebruiken).

pi@ph5a:~ $ cat /etc/dnsmasq.d/01-pihole.conf
[..]
server=/use-application-dns.net/

C:\>nslookup use-application-dns.net. 8.8.8.8
Server:  dns.google
Address:  8.8.8.8

Non-authoritative answer:
Name:    use-application-dns.net
Address:  63.245.208.212

C:\>nslookup use-application-dns.net. pi.hole
Server:  ph5a
Address:  10.0.0.2

*** ph5a can't find use-application-dns.net.: Non-existent domain

nero355 schreef op vrijdag 26 maart 2021 @ 16:32:
* nero355 wordt een beetje moe van al dat geDocker... Pure ellende gewoon!

offtopic:
Don't get me started. Toen laatst het gehele OV plat lag door sneeuw hadden we les via Teams. Het stond al op de planning om in Ubuntu te gaan werken, de Windows gebruikers werd aangeraden VirtualBox te installeren en Ubuntu in een VM te zetten, no problem there. Daarna werd Docker onder Windows (host) geïnstalleerd en toen begonnen de problemen die op afstand nogal lastig op te lossen waren. De geVM'de Ubuntu's begonnen ineens te stoppen met werken en hele vage fouten te geven, bij een enkeling waren er ineens driver-issues op de host. Uiteindelijk maar aangeraden Docker eraf te gooien wat de problemen oploste.

Toen we laatst weer naar Docker zijn gaan kijken hebben we die maar in de Ubuntu VM laten zetten, dat werkte meteen goed.

* Raven is blij met dual boot Windows / Kubuntu
Ik had Docker in Kubuntu geïnstalleerd en daar ging alles meteen goed

Raven schreef op maandag 29 maart 2021 @ 09:33:

offtopic:
Toen laatst het gehele OV plat lag door sneeuw hadden we les via Teams.

offtopic:
FYI : Daar is ook een Electron variant van voor een aantal Linux distro's

offtopic:
Het stond al op de planning om in Ubuntu te gaan werken, de Windows gebruikers werd aangeraden VirtualBox te installeren en Ubuntu in een VM te zetten, no problem there.

Daarna werd Docker onder Windows (host) geïnstalleerd en toen begonnen de problemen die op afstand nogal lastig op te lossen waren. De geVM'de Ubuntu's begonnen ineens te stoppen met werken en hele vage fouten te geven, bij een enkeling waren er ineens driver-issues op de host. Uiteindelijk maar aangeraden Docker eraf te gooien wat de problemen oploste.

offtopic:
Ja, duh!
- Docker wil eigen interfaces draaien.
- VirtualBox wil eigen interfaces draaien.

Zoek dan maar eens uit wie eerst wie Bridged!

offtopic:
Toen we laatst weer naar Docker zijn gaan kijken hebben we die maar in de Ubuntu VM laten zetten, dat werkte meteen goed.

* Raven is blij met dual boot Windows / Kubuntu
Ik had Docker in Kubuntu geïnstalleerd en daar ging alles meteen goed

offtopic:
Een cheapass NUCje of Raspberry Pi voldoet daarvoor prima!

* nero355 heeft gewoon een extra bakkie met Proxmox erop om af en toe wat te testen

nero355 schreef op maandag 29 maart 2021 @ 18:14:
[...]

offtopic:
FYI : Daar is ook een Electron variant van voor een aantal Linux distro's

nero355 schreef op maandag 29 maart 2021 @ 18:14:
[...]

offtopic:
Ja, duh!
- Docker wil eigen interfaces draaien.
- VirtualBox wil eigen interfaces draaien.

Zoek dan maar eens uit wie eerst wie Bridged!

nero355 schreef op maandag 29 maart 2021 @ 18:14:
[...]

offtopic:
Een cheapass NUCje of Raspberry Pi voldoet daarvoor prima!

* nero355 heeft gewoon een extra bakkie met Proxmox erop om af en toe wat te testen

offtopic:
I know , maar je denkt toch niet dat iedereen zo'n ding gaat aanschaffen om op school te gebruiken?

Raven schreef op maandag 29 maart 2021 @ 19:34:

offtopic:
Bedoel je de Linux versie die MS zelf aanbied? Heb die op Ubuntu draaien, lijkt prima te werken.

offtopic:
Yup!

offtopic:
De problemen waren geen netwerkproblemen, denk aan kernel panics in de VM's, audio/gpu driver-issues op de host (gek genoeg geen netwerk issues). 't zou mogelijk met Hyper-V te maken hebben, maar die uit loste de issues niet op, Docker eraf wel, de VM's werkten daarna meteen weer normaal.

offtopic:
Bizar!

offtopic:
I know , maar je denkt toch niet dat iedereen zo'n ding gaat aanschaffen om op school te gebruiken?

offtopic:
Tja, het is tenslotte niet alsof zo'n opleiding iets belangrijks is of zo...

En je kan na de opleiding ook nog eens niks nuttigs doen met zo'n Raspberry Pi

JB schreef op dinsdag 30 maart 2021 @ 20:21:
Mijn Pi Hole setup lijkt stucque. Ik draai alles op een Raspberry Pi met Micro SD kaartje, maar zodra ik de voeding erin druk, gebeurd er niet veel meer. De netwerkkaart ledjes blijven donker en via SSH is dus ook niets (meer) bereikbaar. De SD kaart zelf kan ik nog wel uitlezen maar hoe sluit ik uit of het iets hardwarematigs mbt de Raspberry Pi zelf? Ik heb nog geen 2e SD kaartje, die kan ik bestellen maar kan ik "gewoon" de gehele inhoud overkopiëren op de nieuwe en dan proberen te booten of werkt dat sowieso niet? Daarmee sluit ik uit of de SD kaart gaar is, maar als dat niet werkt is dat niet zo zinvol.

Freee!! schreef op dinsdag 30 maart 2021 @ 20:42:
[...]

Ik zou het met een nieuw (en goed) SD kaartje proberen met een minimale installatie, kijken of dat wel werkt. Indien dat werkt, is er iets mis met je huidige kaartje en/of de installatie daarop. Maar dit lijkt me meer een Raspberry Pi probleem dan een Pi-Hole probleem, dus het hoort meer in Raspberry Pi - deel 2 thuis.

[ Voor 21% gewijzigd door JB op 30-03-2021 20:58 ]

JB schreef op dinsdag 30 maart 2021 @ 20:46:
[...]

Via HDMI aan de tv gehangen, heb verder niets in huis om beeld te krijgen. Pi Hole meldt dit tijdens booten, dus lijkt niet hardwarematig vooralsnog?

"end Kernel panic - not syncing: Attempted to kill init!"

Ik ben geen Linux guru, is dit te redden of beter gewoon Pi Hole opnieuw installeren

Bovenstaande gebeurde overigens na een "sudo apt-get upgrade" omdat ik Pi Hole wilde bijwerken.

Dit heb ik dus;

https://github.com/raspberrypi/linux/issues/1416

dss58 schreef op woensdag 31 maart 2021 @ 03:10:
[...]

als ik jou was gewoon vanaf scratch opnieuw installeren, binnen een half uurtje werkt de boel weer, de meeste tijd is wachten... maar ja, ik ben er ervaren mee, doe het zowat met ogen dicht

[ Voor 8% gewijzigd door JB op 31-03-2021 09:03 ]

[ Voor 22% gewijzigd door MJV op 01-04-2021 21:26 ]

MJV schreef op donderdag 1 april 2021 @ 21:24:
Ik meen dat het een Windows (of Chrome) mechanisme is om te controleren op DNS hijacking. Die randomized domeinen moeten netjes niet resolven.

https://isc.sans.edu/foru...weird+DNS+requests/10312/

Webgnome schreef op zaterdag 3 april 2021 @ 13:54:
Thanks. Zal is kijken wat daar aan te doen is.

Nu heb ik weer een ander probleem. Om de een of andere reden heeft mijn unbound install nu bedacht dat ie soms er erg lang over doet om requests te resolven. Soms wel tot 10 seconden.. weet iemand waar ik zou moeten beginnen met zoeken naar een oorzaak?