[Pi-Hole] Ervaringen & discussie

stormfly schreef op maandag 16 augustus 2021 @ 13:46:
[...]


Ik begrijp het knutselgehalte als Tweaker. 2x een PiHole DNS aan het OS meegeven via DHCP werkt toch ook? En eens per x periode de config eruit via de eerste pihole via teleporter en er weer in op de tweede pihole?

Hiervoor had ik AdGuard, zij hebben geen config export/import dat maakt het beheer wel serieus lastig.

Ben nog steeds op zoek naar het golden thing wat de complexe PiHole HA + config sync rechtvaardigt? Is het via pfSense te doen dat je verkeer redirect naar 2 servers, of kan je dat slechts naar 1?

stormfly schreef op maandag 16 augustus 2021 @ 13:46:
Ik begrijp het knutselgehalte als Tweaker. 2x een PiHole DNS aan het OS meegeven via DHCP werkt toch ook? En eens per x periode de config eruit via de eerste pihole via teleporter en er weer in op de tweede pihole?

Hiervoor had ik AdGuard, zij hebben geen config export/import dat maakt het beheer wel serieus lastig.

Ben nog steeds op zoek naar het golden thing wat de complexe PiHole HA + config sync rechtvaardigt?

Is het via pfSense te doen dat je verkeer redirect naar 2 servers, of kan je dat slechts naar 1?

nero355 schreef op maandag 16 augustus 2021 @ 16:42:
[...]

Fun Fact : Ik geef 1 IP maar liefst 4 keer op in mijn DHCP config om eventuele alternatieve DNS Servers te overrulen!

Volgens mij moet dat wel te doen zijn

Als het DNS verkeer niet naar IP #1 of #2 gaat dan routeren naar IP #1 of #2 lijkt me een redelijk verzoek van een Firewall ?!

Overigens heeft pfSense ook pfBlockerNG dus dat kan ook nog een optie zijn

stormfly schreef op maandag 16 augustus 2021 @ 13:46:
[...]


Ik begrijp het knutselgehalte als Tweaker. 2x een PiHole DNS aan het OS meegeven via DHCP werkt toch ook? En eens per x periode de config eruit via de eerste pihole via teleporter en er weer in op de tweede pihole?

[ Voor 18% gewijzigd door ed1703 op 16-08-2021 17:32 ]

stormfly schreef op maandag 16 augustus 2021 @ 17:09:
Tell me more about it?

Nee ik denk het niet, het IP redirect field in de NAT rule heeft maar een optie tot het invullen van één IP. Een regel eronder gaat niet matchen, toch? Ik redirect nu allen het verkeer wat niet naar mijn reguliere PiHole of Unbound servers loopt. Om de hardcoded DNS requests ook te filteren.

nero355 schreef op dinsdag 17 augustus 2021 @ 00:21:
[...]

Mijn USG heeft 4 DNS Server hokjes en die vul ik dan allemaal in om onder andere te voorkomen dat Android telefoons stiekem de Google DNS Servers als 2de/3de/4de keuze gebruiken!


[...]

Ik zou eens wat regels aanmaken en dan kijken of je die via config files kan finetunen

GG85 schreef op dinsdag 17 augustus 2021 @ 09:25:
Allemaal al over op Debian Bullseye?

Gebruik zelf een mini-pc met DietPi ipv een RPi (geen gezeur meet SD kaartjes) en daar moest ik even handmatig de PHP versie op 7.4(?) zetten ipv op 7.3. voordat alles weer werkte.
Voor de rest heel soepel allemaal

1

PIHOLE_SKIP_OS_CHECK=true sudo -E pihole -up

GG85 schreef op dinsdag 17 augustus 2021 @ 09:25:
Allemaal al over op Debian Bullseye?

gastje01 schreef op dinsdag 17 augustus 2021 @ 09:49:
Werkt dat echt zo?

Ik heb maar een Pi-Hole draaien en dus ook maar 1 server ingevuld, in mijn perceptie is dat dan ook de enige server die gebruikt wordt.

Uitzondering is de ChromeCast, die heeft volgens mij GoogleDNS hardcoded en doet niets met de DNS servers die je via DHCP uitdeelt.

nero355 schreef op dinsdag 17 augustus 2021 @ 14:52:
[...]

Eerlijk gezegd hou ik dat echt heel slecht bij op mijn Raspberry Pi en zou ik niet weten wat ik nog erop heb draaien...

Als het goed is Buster en sinds ik Debian Bullseye Testing op mijn HTPC draai zou ik niet al teveel achter moeten lopen

[ Voor 14% gewijzigd door Raven op 17-08-2021 17:39 ]

Raven schreef op dinsdag 17 augustus 2021 @ 17:38:
* Raven heeft Raspbian 9 (Stretch) nog op een Pi draaien...
Nooit nodig gevonden bij te werken naar v10, plus PiHole is dan net als TVHeadend tijdje niet beschikbaar

Overigens is Buster (reguliere Debian) vrij snel bijgewerkt naar Bullseye, VM met Debian had er incl downloaden (~50MB/s) tussen 5 en 6m voor nodig. Daar kan MS wat van leren

Raven schreef op dinsdag 17 augustus 2021 @ 17:38:
[...]

* Raven heeft Raspbian 9 (Stretch) nog op een Pi draaien...
Nooit nodig gevonden bij te werken naar v10, plus PiHole is dan net als TVHeadend tijdje niet beschikbaar

Overigens is Buster (reguliere Debian) vrij snel bijgewerkt naar Bullseye, VM met Debian had er incl downloaden (~50MB/s) tussen 5 en 6m voor nodig. Daar kan MS wat van leren

nero355 schreef op dinsdag 17 augustus 2021 @ 17:56:
[...]

Laatst ook zitten timen op de HTPC met Debian Testing die al meerdere maanden niet was gebruikt/geüpdate : Binnen 15 minuten klaar en dat was dan zelfs nog i.c.m. een 2,5 inch HDD als OS Storage

Windows zou dan misschien net klaar zijn met downloaden...

offtopic:
15 minuten? Hell no , downloaden wordt telkens onderbroken door updateproces tiworker.exe die maar één core kan gebruiken

R009 schreef op dinsdag 17 augustus 2021 @ 21:44:
Goeie avond,

Ik heb een heel raar probleem met mijn Raspberry Pi 3B+ waar Pi-Hole op draait. Op random tijdstippen stopt mijn internet met werken... Het enige wat dan helpt is de Pi zonder stroom te zetten, even te wachten en weer stroom te geven. Hieronder even de uitleg hoe ik mij Pi geconfigureerd heb.

Ik heb Raspbian Lite via de Raspberry Pi image op de SD-kaart geschreven. Daarna een ssh en een wpa_supplicant.conf file toegevoegd aan de root folder. Via SSH heb ik kunnen inloggen en daarna Pi-Hole geïnstalleerd.

Na de installatie kon ik inloggen op de admin pagina van de Pi-Hole, Daar heb ik enkel wat adlists toegevoegd en via de ssh de pihole -g commando laten lopen...

Verder ben ik naar mijn fritzbox router gegaan en daar via het menu Thuisnetwerk - Netwerk - Netwerkinstellingen de IPv4-adressen knop de Lokale DNS-server veranderd naar het IP adres van mijn Raspberry Pi. Na een ipconfig /release - /renew gaan mijn requests via de Raspberry Pi.
----------------

Zelf heb ik wat trouble shooting gedaan. Ik heb de SD kaart geformatteerd en Raspbian Lite weer geïnstalleerd. Verder heb ik ook een update en upgrade van de Pi gedaan. Ook de wpa_supplicant.conf file nog eens herbekeken en opnieuw toegevoegd.
Wanneer ik geen internet meer heb, heb ik ook de Lokale DNS-server op de fritzbox weer veranderd naar 192.168.1.1. Als ik dan het IP adres van mijn Raspberry Pi ping antwoord deze niet. Wel staat die in mijn router overzicht als verbonden.

Mijn gevoel is dat er soms iets vast loopt en zijn pedalen verliest op verschillende tijdstippen maar momenteel heb ik geen enkel idee wat er fout loopt. Hopelijk heeft iemand hier een idee.

stormfly schreef op dinsdag 17 augustus 2021 @ 22:14:
[...]


Is je Pi verbonden met WiFi, je clients via WiFi halen hun DNS op via de Pi welke ook op WiFi aangesloten zit?

Ik zou zorgen dat de Pi met een UTP kabel in je router komt.

R009 schreef op dinsdag 17 augustus 2021 @ 22:43:
[...]


Hoi Wopper,

Inderdaad alles is verbonden via WiFi. Spijtig genoeg kan ik geen UTP kabel meer verbinden. Alle poorten zijn al in gebruikt genomen door apparaten zoals een alarm, NAS, Digibox en TV. Mijn Pi ligt niet zo heel ver van de router dus het signaal zou wel uitstekend moeten zijn.

[ Voor 6% gewijzigd door MdO82 op 17-08-2021 22:48 ]

R009 schreef op dinsdag 17 augustus 2021 @ 22:43:
[...]


Hoi Wopper,

Inderdaad alles is verbonden via WiFi. Spijtig genoeg kan ik geen UTP kabel meer verbinden. Alle poorten zijn al in gebruikt genomen door apparaten zoals een alarm, NAS, Digibox en TV. Mijn Pi ligt niet zo heel ver van de router dus het signaal zou wel uitstekend moeten zijn.

stormfly schreef op maandag 16 augustus 2021 @ 07:39:
[..]
Welk grote voordeel zien jullie met pihole HA, het user mgmt blijft vanaf 2 nodes individueel uitgevoerd worden meen ik?

Kopernikus.1979 schreef op maandag 16 augustus 2021 @ 14:03:
[..]
Doe ik via keepalived, de config is niet echt complex.
Tutorial: https://jekhokie.github.i...ocking-with-failover.html

[ Voor 3% gewijzigd door deHakkelaar op 18-08-2021 01:45 . Reden: +heuristics ]

deHakkelaar schreef op woensdag 18 augustus 2021 @ 00:08:
Ik vind het ook een beetje overdreven om DNS met de complexiteit van HA op te zetten, KISS.
DNS laat toe om meerder servers op te geven en software is zich hiervan bewust.

En met een HA virtual IP duurt het meestal ook even voordat deze klaar is met de "fail-over".

De enige uitzondering waarvoor ik HA zou opzetten is als ik alles in sync zou moeten houden dus niet alleen de gravity database maar ook de queries database pihole-FTL.db, de "local DNS records" en de DHCP leases.
En daarvoor is keepalive met fail-over IP en gravity sync niet toereikent.
Daarvoor zal je toch echt moeten denken aan shared storage (NAS/SAN/SCSI enclosure) voor opslag van de databases, DNS records, DHCP leases etc.
Deze opslag zal net als het virtual IP en de pihole-FTL daemon ge-orchestreerdt moeten worden door cluster resources software/daemons.
Oa om ervoor te zorgen dat mocht het mis gaan, dat dan niet twee of meerdere nodes tegelijk toegang hebben tot de dezelfde resources zoals opslag en de boel vernaggelen.
Wat je eigenlijk ook nodig hebt is dat nodes kunnen stemmen voor het geval dat een falende node moet worden afgeschoten (STONITH fencing).
En een extra stem in de vorm van een quorum partitie/file ingeval van split brain.
Hieronder zo'n setup maar dit is niet makkelijk en eigenlijk heb je dan van alles dubbel nodig of zelfs meer (NIC/HBA's, opslag, uplinks, etc):
https://access.redhat.com...igh-availability-clusters

deHakkelaar schreef op woensdag 18 augustus 2021 @ 00:23:
[...]


[...]


Een wildcard cert is veels te onveilig en sommige software zou deze kunnen weigeren.
Je hebt de SAN exentesie voor dit welke toelaat om meerder domeinnamen mee te geven in een cert.
Ik geloof ook zelfs dat LetsEncrypt SAN ondersteund.
Beneden wat ik ff zo snel kon vinden:
https://community.letsenc...te-on-ubuntu-18-04/107265

nero355 schreef op woensdag 18 augustus 2021 @ 00:18:

Korte Hello/Dead times gebruiken!

deHakkelaar schreef op woensdag 18 augustus 2021 @ 00:08:

Aangezien je hier praat over milisecondes zal het hooguit een 100ms zijn dat een client éénmalig ervaart dat een DNS server down is en overschakelt naar een van de alternatieve IP's.

deHakkelaar schreef op woensdag 18 augustus 2021 @ 00:08:
https://access.redhat.com...igh-availability-clusters

[ Voor 49% gewijzigd door ed1703 op 18-08-2021 08:26 ]

Kopernikus.1979 schreef op maandag 16 augustus 2021 @ 14:03:
[...]


Doe ik via keepalived, de config is niet echt complex.
Tutorial: https://jekhokie.github.i...ocking-with-failover.html

Pietervs schreef op woensdag 18 augustus 2021 @ 08:19:
[...]

Dit ziet er makkelijk genoeg uit
Maar als ik het goed begrijp is dat die dus alleen maar er voor zorgt dat 1 van de 2 werkt als Master, er is dus geen synchronisatie van configuraties en dergelijke tussen de Raspberries? Want daar zit ik eigenlijk meer naar te kijken: allebei de Pi's halen iedere nacht de nieuwe lijsten op (pihole -g), maar als ik een lijst of adres toevoeg moet dat iedere keer handmatig op beide nodes gebeuren.

ed1703 schreef op woensdag 18 augustus 2021 @ 07:15:
[...]

Nee, letsencrypt ondersteund api’s met authenticatie voor bepaalde dns providers, daarom is het helemaal niet zo onveilig als men denkt.

Daarbuiten ben je overgeleverd aan _acme txt records. Dus letsencrypt heeft daar echt wel over nagedacht.

ed1703 schreef op woensdag 18 augustus 2021 @ 07:15:
[...]
Volgens mij sla je een beetje door voor iets wat thuis draait..

deHakkelaar schreef op woensdag 18 augustus 2021 @ 00:08:
[...]
De enige uitzondering waarvoor ik HA zou opzetten is als ik alles in sync zou moeten houden dus niet alleen de gravity database maar ook de queries database pihole-FTL.db, de "local DNS records" en de DHCP leases.

deHakkelaar schreef op woensdag 18 augustus 2021 @ 08:50:
Als je de api bedoelt die certbot ook gebruikt om een acme challenge te initeren, dat is toch alleen maar om een cert te genereren/vernieuwen?
Hoe je het signed cert toepast als je deze hebt ontvangen zal LetsEncrypt een worst wezen.
En dan is een cert specifiek met namen toch altijd veiliger als een wildcard cert.
En inderdaad, je bent afhankelijk ofdat een cert subject of san correct resolved via DNS.

[ Voor 4% gewijzigd door ed1703 op 18-08-2021 09:02 ]

Kopernikus.1979 schreef op woensdag 18 augustus 2021 @ 08:49:
[...]


De HA (keepalived) zorgt ervoor als de "master" down gaat het virtueel IP adres verwijst naar de 2de Pi-hole. Om ze synchroon te houden gebruik ik Gravity sync, deze synchroniseert de white list/black list/regex/dns/cnames, wat deze niet synchroniseert zijn de statistieken, maar daar heb ik geen problemen mee.

Momenteel draai ik deze op 2 Raspi's, maar het zou ook kunnen met docker of VM's.
Zou er een verschil zijn in performance (puur Pihole/Unbound) tussen de Raspi4 en docker?
Want ik zit erover te denken om bv de "backup" op mijn Unraid te plaatsen of omgekeerd, vandaar mijn vraag.

Of helemaal gek kan ook:

[Afbeelding]

ed1703 schreef op woensdag 18 augustus 2021 @ 08:59:
[...]

Het security probleem van SSL zit ook niet in SSL maar in het manke DNS. Er is op DNS na in 3 maanden geen enkele controle of je wel de rechtmatige eigenaar bent. Je kunt er mee doen wat je maar wilt. Zolang inderdaad DNS maar klopt.

Maargoed dit is nogal off-topic.

deHakkelaar schreef op woensdag 18 augustus 2021 @ 09:19:
[...]

Volgens onderstaande één hele seconde:
https://docs.microsoft.co...lient-resolution-timeouts

EDIT: Geen idee hoelang het duurt voor een IP failover.

Verwijderd schreef op woensdag 18 augustus 2021 @ 10:11:
[...]
SSL/TLS is alleen voor het encrypten van het verkeer. De rest wat je leest of hoort zijn eenvoudig sprookjes.

Pietervs schreef op woensdag 18 augustus 2021 @ 09:46:
[...]
Ok, dan moet ik eens een blikje gaan werpen op Gravity.

Misschien een idee om naast de Pi's ook een docker te draaien? Als er dan een SD kaartje kapot gaat (of worst case: allebei de Pi's tegelijk af zouden branden) dan heb je in ieder geval de docker nog Ik ga er vanuit dat keepalived ook tussen 3 in plaats van 2 stations zou moeten werken, aangezien dit werkt op basis van vrrp.

Ik heb geen idee of er performance verschil tussen docker en Raspberries zit, dat zou je moeten testen. Zou me eigenlijk verbazen als dat echt merkbaar verschil maakt, maar je weet ooit nooit

Klinkt in ieder geval alsof ik een leuk klusje heb voor het weekend

Freee!! schreef op woensdag 18 augustus 2021 @ 10:55:
[...]

Kleine kanttekening, Docker is geen hardware maar software, draait ook op diezelfde Pi's, dus het probleem van een kapot SD kaartje blijft gewoon hetzelfde.

Kopernikus.1979 schreef op woensdag 18 augustus 2021 @ 10:58:
[...]
We doelden op docker op Unraid of een andere machine als backup voor de RasPi.
Vandaar ik me afvroeg als er een verschil merkbaar zou zijn in performantie.
Dus de RasPi als master of de docker container?

ed1703 schreef op woensdag 18 augustus 2021 @ 10:30:
Voor sprookjes ga ik naar Kaatsheuvel. Ik zou graag een renew-check zien lager dan 3 maanden, maar dat veroorzaakt een enorme load aan netwerkverkeer en men meent dat dit onnodig is. Via DNS of een HTTPS-challenge is mij om het even. Al komt DNS meer in aanmerking omdat niet elk SSL-certificaat tbv HTTPS is.

Freee!! schreef op woensdag 18 augustus 2021 @ 10:55:
[...]

Kleine kanttekening, Docker is geen hardware maar software, draait ook op diezelfde Pi's, dus het probleem van een kapot SD kaartje blijft gewoon hetzelfde.

Pietervs schreef op woensdag 18 augustus 2021 @ 12:29:
[...]
Oh
Ik ging uit van de docker op mijn NAS, maar je kan natuurlijk ook docker draaien op een Pi...

stormfly schreef op dinsdag 17 augustus 2021 @ 23:26:
[...]


Een kleine switch met 5 poorten ernaast aansluiten. Wat je ervaart is dat je pihole van WiFi af is, want je kunt hem niet pingen. En je modem gui loopt minuten achter dat is een slechte indicator.

Je kunt testen door een van de andere apparaten los te gooien en die poort te gebruiken.

R009 schreef op woensdag 18 augustus 2021 @ 22:38:
[...]


Ja dat is wat ik nu net ook weer heb meegemaakt. Ongeveer 24uur heeft het goed gewerkt en toen ineens weer geen verbinding. Ff de Pi uit getrokken en terug in de stekker gestoken en alles werkt weer…
Denk je dat met wicd mijn Pi automatisch terug te laten verbinden met mijn WiFi mijn probleem kan oplossen?

Verwijderd schreef op woensdag 18 augustus 2021 @ 11:14:
[...]
Het kan geheel geautomatiseerd worden gedaan. Zelf moet ik het nog handmatig doen en doe het graag.

$ systemctl --no-pager --full -a list-timers
NEXT                          LEFT          LAST                          PASSED       UNIT                         ACTIVATES
[..]
Thu 2021-08-19 02:00:43 CEST  3h 17min left Wed 2021-08-18 21:37:58 CEST  1h 4min ago  certbot.timer                certbot.service

$ cat /etc/letsencrypt/renewal/dehakkelaar.nl.conf
# renew_before_expiry = 30 days
version = 0.28.0
archive_dir = /etc/letsencrypt/archive/dehakkelaar.nl
cert = /etc/letsencrypt/live/dehakkelaar.nl/cert.pem
privkey = /etc/letsencrypt/live/dehakkelaar.nl/privkey.pem
chain = /etc/letsencrypt/live/dehakkelaar.nl/chain.pem
fullchain = /etc/letsencrypt/live/dehakkelaar.nl/fullchain.pem

# Options used in the renewal process
[renewalparams]
account = aa98xxxxxxxxxxxxxxxx
authenticator = webroot
rsa_key_size = 4096
post_hook = echo '1' > /usr/local/ispconfig/server/le.restart
server = https://acme-v02.api.letsencrypt.org/directory
[[webroot_map]]
www.dehakkelaar.nl = /usr/local/ispconfig/interface/acme
dehakkelaar.nl = /usr/local/ispconfig/interface/acme

[ Voor 1% gewijzigd door deHakkelaar op 18-08-2021 23:49 . Reden: typo + certbot linkje ]

R009 schreef op woensdag 18 augustus 2021 @ 22:38:
[...]


Ja dat is wat ik nu net ook weer heb meegemaakt. Ongeveer 24uur heeft het goed gewerkt en toen ineens weer geen verbinding. Ff de Pi uit getrokken en terug in de stekker gestoken en alles werkt weer…
Denk je dat met wicd mijn Pi automatisch terug te laten verbinden met mijn WiFi mijn probleem kan oplossen?

[ Voor 17% gewijzigd door stormfly op 18-08-2021 23:18 ]

1
2
3

local-zone: "<domain>" redirect
local-data: "<domain> A 0.0.0.0"
local-data: "<domain> AAAA ::"

1

local-zone: "<domain>" always_nxdomain

1
2
3

auth-zone:
    name: "userlocation.googleapis.com."
    zonefile: "/blocked.zone"

1
2
3
4
5
6
7
8

$TTL 10800
@   IN SOA localhost. nobody.invalid. (
    1
    3600
    1200
    604800
    10800
    )

[ Voor 0% gewijzigd door jpgview op 19-08-2021 10:07 . Reden: IPv6 ]

jpgview schreef op donderdag 19 augustus 2021 @ 10:00:
advanced question for unbound users.

zoals je hier kan lezen, wanneer pihole -g of pihole -up draait, is er een moment dat alle inkomende queries als allowed worden beschouwd.
In het voorbeeld dat ik geef wil ik voorkomen dat mijn locatie met google gedeeld word (domain userlocation.googleapis.com), die is dan ook geblocked. Echter door pihole -up te draaien (frequente activiteit als je op de dev branch zit) word heel af en toe het domain toch toegelaten, waardoor google toch mijn locatie te pakken krijgt.

[Afbeelding]

Om dit te voorkomen zijn we aan het testen, de vraag is nog maar of de change er ooit komt, er zijn in het verleden nog testen uitgevoerd, die nooit in de master branch zijn opgenomen.
Vandaar mijn backup strategie, als pihole-FTL het dan toch af en toe doorlaat, kan unbound het nog steeds opvangen / blocken.

Duckduckgo leert echter dat er verschillende manieren zijn om dit te verwezelijken:

1.

code:

1 2 3

local-zone: "<domain>" redirect local-data: "<domain> A 0.0.0.0" local-data: "<domain> AAAA ::"

2.

code:

1	local-zone: "<domain>" always_nxdomain

3. (tweede file nodig, éénmaal voor alle blocks)

code:

1 2 3

auth-zone: name: "userlocation.googleapis.com." zonefile: "/blocked.zone"

blocked.zone content:

code:

1 2 3 4 5 6 7 8

$TTL 10800 @ IN SOA localhost. nobody.invalid. ( 1 3600 1200 604800 10800 )

De voor de hand liggende vraag: Alle methodes werken, welk is de meest aangewezen methode?

Thanks.

jpgview schreef op donderdag 19 augustus 2021 @ 10:00:
3. (tweede file nodig, éénmaal voor alle blocks)

code:

1 2 3

auth-zone: name: "userlocation.googleapis.com." zonefile: "/blocked.zone"

De voor de hand liggende vraag: Alle methodes werken, welk is de meest aangewezen methode?

[ Voor 6% gewijzigd door simonanton op 29-08-2021 13:18 ]

[ Voor 21% gewijzigd door deHakkelaar op 29-08-2021 14:43 ]

pi@ph5b:~ $ lsmod
Module                  Size  Used by
nf_tables             196608  0
[..]

pi@ph5b:~ $ modinfo nf_tables
filename:       /lib/modules/5.10.17+/kernel/net/netfilter/nf_tables.ko
alias:          nfnetlink-subsys-10
author:         Patrick McHardy <kaber@trash.net>
license:        GPL
srcversion:     BE3FA39958629A733737CCE
depends:        nfnetlink
intree:         Y
name:           nf_tables
vermagic:       5.10.17+ mod_unload modversions ARMv6 p2v8

[ Voor 9% gewijzigd door deHakkelaar op 29-08-2021 19:08 ]

simonanton schreef op zondag 29 augustus 2021 @ 11:28:
Draai pi-hole op mijn ubuntu-server (NUC). Zit echter te worstelen met poorten die open moeten enz. Heb deze instellingen en het werkt allemaal perfect i.c.m. unbound. https://docs.pi-hole.net/main/prerequisites/ Maar ik twijfel of ik nu kwetsbaar ben of niet. Op mijn router (Asus met Merlin) staan alle poorten dicht. Niets geforward. Deze scan is positief: https://www.grc.com/shieldsup

Iemand een tip? Trouwens elke reboot staat ufw weer op inactief. Moet ik weer via commando aanzetten. Nog niet eerder opgemerkt.

Vihaio schreef op zondag 29 augustus 2021 @ 19:17:
Ik heb een paar dagen geleden pi-hole op m'n Raspberry pi gezet en dat bevalt best goed. Ik snap dat het handig kan zijn om een tweede pi te gebruiken voor het geval dat de eerste stopt met werken.

Ik kan alleen niet echt vinden wat de beste manier is om dat te doen. Moet ik dan gewoon een kloon van m'n eerste pi maken, ip-adres aanpassen en de tweede pi als tweede dns-server instellen in m'n router? Ik neem aan dat dat werkt, maar ik heb dan wel 2, dashboards, moet 2 keer de blacklists instellen, dingen updaten en zo.

Klopt het dat het op die manier werkt?

[ Voor 3% gewijzigd door Freee!! op 29-08-2021 19:47 ]

deHakkelaar schreef op zondag 29 augustus 2021 @ 19:59:
De die hard Tux nerds zullen zeggen dat een lokale firewall niet nodig is als je je systeem goed opzet.
Goed kijken welke services je adverteert en op welke sockets met bv netstat en dan beslissen ofdat je een firewall nodig hebt.

deHakkelaar schreef op zondag 29 augustus 2021 @ 20:34:
@Vihaio , ow nog één dingetje, het is niet "good practice" om een disk te clonen zoals je suggereerde.
De SSH sleutels en andere cryptische dingen zullen dan het zelfde zijn wat de veiligheid niet ten goed komt.

deHakkelaar schreef op zondag 29 augustus 2021 @ 14:09:
[...]

Probeer ééns een reverse lookup voor een aktieve <DHCP_CLIENT_IP> tegen de <DHCP_SERVER_IP>:

code:

1	nslookup <DHCP_CLIENT_IP> <DHCP_SERVER_IP>

Voorbeeldje om de naam achter IP 10.0.0.9 te achterhalen:

C:\>nslookup 10.0.0.9 10.0.0.2
Server:  ph5a.home.dehakkelaar.nl
Address:  10.0.0.2

Name:    avr.home.dehakkelaar.nl
Address:  10.0.0.9

Pi-hole doet iets vergelijkbaars met conditional forwarding en default ververst dit elk uur geloof ik.

[ Voor 6% gewijzigd door gastje01 op 30-08-2021 14:45 ]

andregroeneveld schreef op maandag 30 augustus 2021 @ 09:31:
Ik wou mijn Pi-Hole updaten en kreeg toen een onderbreking in mijn netwerk. Hierna opnieuw geprobeerd maar nu wil hij niet updaten en blijft met dezelfde melding komen. Ik heb sudo apt-get update && sudo apt-get -y upgrade en sudo apt-get update geprobeerd maar krijg steeds dezelfde melding, zie bijlage.
[Afbeelding]

Wat kan ik nu doen?

1

sudo apt-get autoclean

[ Voor 5% gewijzigd door Exocet op 30-08-2021 09:36 ]

andregroeneveld schreef op maandag 30 augustus 2021 @ 09:44:
Heb ik gedaan en dan een reboot en daarna opnieuw maar steeds dezelfde melding.

1
2

$ sudo rm -rf /var/lib/apt/lists/*
$ sudo apt update

gastje01 schreef op maandag 30 augustus 2021 @ 08:50:
[...]
Edit: Oorzaak gevonden, ouder hostnames zaten 'vast' in de hosts file van mijn USG. Nadat ik deze leeg gemaakt hebt werkt alles zoals verwacht.

deHakkelaar schreef op maandag 30 augustus 2021 @ 15:17:
[...]

Rare jongens die USG:
Kopernikus.1979 in "[Pi-Hole] Ervaringen & discussie"

marapuru schreef op woensdag 1 september 2021 @ 08:47:
De afgelopen weken merk ik dat steeds meer advertenties door mijn pi-hole heen glippen. Deze ads worden geserveerd vanaf een domein dat niet direct te herleiden is als advertentie domein. Hebben jullie tips hoe je deze advertenties zou kunnen blokkeren?

Een voorbeeld zou je hier kunnen zien: https://forum.festileaks....the-rabbit-hole-forum.21/ Daar krijg ik nu bovenin beeld een icetea reclame die geserveerd wordt vanaf hun eigen domein.

Ik kan natuurlijk met uBlock Origin in de weer en met allerlei wildcards specifieke CSS codes blocken. Maar ik zou het liever vanuit mijn pi-hole in 1 keer regelen.

Iemand tips?

Cyberpope schreef op woensdag 1 september 2021 @ 09:12:
Als zij deze advertentie serveren vanaf hun eigen domein (dus feitelijk onderdeel van de webpagina) dan ga je hem via pihole niet blokken. Pihole kan niet zien of een plaatje reclame is of een plaatje van de website.

heeten12 schreef op woensdag 1 september 2021 @ 14:29:
Als ik er even naar kijk dan maak jij gebruik van forum.festileaks.com de afbeelding is gehost op festilieaks.com

Als je nu eens forum.festileaks.com whitelist en vervolgens festileaks.com Blacklist?

Dan zou forum.festileaks.com volgens mij toegankelijk moeten zijn. Niet thuis om te testen

heeten12 schreef op woensdag 1 september 2021 @ 14:29:
Als ik er even naar kijk dan maak jij gebruik van forum.festileaks.com de afbeelding is gehost op festilieaks.com

Als je nu eens forum.festileaks.com whitelist en vervolgens festileaks.com Blacklist?

Dan zou forum.festileaks.com volgens mij toegankelijk moeten zijn. Niet thuis om te testen

heeten12 schreef op woensdag 1 september 2021 @ 14:29:
Als ik er even naar kijk dan maak jij gebruik van forum.festileaks.com de afbeelding is gehost op festilieaks.com

Als je nu eens forum.festileaks.com whitelist en vervolgens festileaks.com Blacklist?

Dan zou forum.festileaks.com volgens mij toegankelijk moeten zijn. Niet thuis om te testen

deHakkelaar schreef op zondag 12 september 2021 @ 06:42:
[...]

Beetje raar om hier te vissen voor respect.
Ook raar dat je een linkje plaats waar @jpgview helemaal niet in voorkomt.
Ik weet dat op Pi-hole Discourse een draadje loopt.
Was handiger geweest als je die hier ook had gelinkt met de bijdrages van @jpgview.

Toch bedankt @jpgview!

TheCeet schreef op zondag 12 september 2021 @ 07:48:
Nieuwe versie beschikbaar.

Pi-hole FTL v5.9, Web v5.6 and Core v5.4 released

https://pi-hole.net/2021/...6-and-core-v5-4-released/

Interface-dependent handling of pi.hole and the machine’s hostname
This makes FTL automatically reply with the appropriate IP address to both pi.hole and the machines hostname. Before this change, FTL always used a hard-coded address set during the weekly gravity updates (pihole -g). The new method is interface-aware and may reply with different addresses on different interfaces (e.g. Ethernet, WiFi or Wireguard network). The address FTL replies with can be overwritten using the REPLY_ADDR4/6 settings in /etc/pihole/pihole-FTL.conf.

[ Voor 5% gewijzigd door RaijRaij op 12-09-2021 15:48 ]

RaijRaij schreef op zondag 12 september 2021 @ 15:34:
Ik draai al een tijdje 'probleemloos' pihole op mijn raspberry pi 3. Zolang het draait is er niets aan de hand. Nu heb ik al een paar keer gehad dat als de stroom uitvalt en daarna alles weer opstart ik geen internet heb. Voor mij niet zo'n probleem maar anderen hier in huis weten het niet te herstellen.

Mijn dhcp wordt gehandeld door pihole. Dhcp in mijn router(experiabox V10) staat daarom uit. Pi heeft een statisch IP die als dns is opgegeven in mijn router. Toch moet ik na zo'n stroomuitval de dhcp van mijn router even aanzetten en die van pihole uit om internet weer op gang te krijgen. Daarna zet ik alles terug en draait het probleemloos. Iemand enig idee waar de fout in mij config zit of wat dit probleem veroorzaakt (naast de waterkoker, over en vaatwasser gelijktijdig aanzetten ;-))

deHakkelaar schreef op zondag 12 september 2021 @ 15:54:
@RaijRaij , aanvullend, check ofdat dhcpcd een statisch adres toewijst, het using static address gedeelte in onderstaande voorbeeld, of dat ie misschien via DHCP een adres probeert te verkrijgen:

pi@ph5b:~ $ journalctl -u dhcpcd
[..]
Sep 12 15:48:32 ph5b systemd[1]: Starting dhcpcd on all interfaces...
Sep 12 15:48:32 ph5b dhcpcd[30529]: dev: loaded udev
Sep 12 15:48:32 ph5b dhcpcd[30529]: DUID 00:01:00:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx
Sep 12 15:48:32 ph5b dhcpcd[30529]: eth0: IAID eb:xx:xx:xx
Sep 12 15:48:32 ph5b dhcpcd[30529]: eth0: using static address 10.0.0.4/24
Sep 12 15:48:32 ph5b dhcpcd[30529]: eth0: adding route to 10.0.0.0/24
Sep 12 15:48:32 ph5b dhcpcd[30529]: eth0: adding default route via 10.0.0.1
Sep 12 15:48:33 ph5b dhcpcd[30543]: eth0: pid -2047853952 deleted default route via 10.0.0.1
Sep 12 15:48:33 ph5b dhcpcd[30529]: forked to background, child pid 30543
Sep 12 15:48:33 ph5b systemd[1]: Started dhcpcd on all interfaces.
Sep 12 15:48:33 ph5b dhcpcd[30543]: eth0: soliciting an IPv6 router
Sep 12 15:48:45 ph5b dhcpcd[30543]: eth0: no IPv6 Routers available

pi@ph5a:~ $ ip -br -4 address
lo               UNKNOWN        127.0.0.1/8
eth0             UP             10.0.0.2/24

pi@ph5a:~ $ ip -br -4 route
default via 10.0.0.1 dev eth0 src 10.0.0.2 metric 202
10.0.0.0/24 dev eth0 proto dhcp scope link src 10.0.0.2 metric 202

pi@ph5a:~ $ traceroute -n 8.8.8.8
traceroute to 8.8.8.8 (8.8.8.8), 30 hops max, 60 byte packets
 1  10.0.0.1  0.800 ms  0.612 ms  0.622 ms
 2  192.168.1.1  1.116 ms  0.798 ms  1.193 ms
 3  62.58.240.1  9.061 ms  8.643 ms  8.046 ms
 4  212.53.25.201  10.897 ms  10.692 ms  13.201 ms
 5  * * *
 6  * * *
 7  8.8.8.8  8.221 ms  7.997 ms  8.004 ms

pi@ph5a:~ $ dig +short @localhost pi.hole
10.0.0.2

pi@ph5a:~ $ dig +short @localhost pi-hole.net
3.18.136.52

pi@ph5a:~ $ tail -F /var/log/pihole.log | grep dnsmasq-dhcp

C:\>ipconfig /renew

Windows IP Configuration


Ethernet adapter Local Area Connection:

   Connection-specific DNS Suffix  . : home.dehakkelaar.nl
   IPv4 Address. . . . . . . . . . . : 10.0.0.11
   Subnet Mask . . . . . . . . . . . : 255.255.255.0
   Default Gateway . . . . . . . . . : 10.0.0.1

pi@ph5a:~ $ tail -F /var/log/pihole.log | grep dnsmasq-dhcp
Sep 12 16:19:07 dnsmasq-dhcp[6202]: DHCPREQUEST(eth0) 10.0.0.11 00:1e:0b:xx:xx:xx
Sep 12 16:19:08 dnsmasq-dhcp[6202]: DHCPACK(eth0) 10.0.0.11 00:1e:0b:xx:xx:xx hakpc

pi@ph5b:~ $ dig +short @localhost pi.hole
127.0.0.1

[ Voor 5% gewijzigd door deHakkelaar op 12-09-2021 17:12 . Reden: EDIT+typo ]

RaijRaij schreef op zondag 12 september 2021 @ 16:05:
[...]


Mijn output is gelijkend aan de jouw.

@stormfly Ga ik straks proberen. Wat bedoel je met GW?