[Pi-Hole] Ervaringen & discussie

deHakkelaar schreef op woensdag 3 november 2021 @ 17:23:
[...]


[...]

Alle data in die twee container folders /etc/pihole/ & /etc/dnsmasq.d/ blijft dan behouden na een update/upgrade.

[ Voor 14% gewijzigd door Asprine op 03-11-2021 18:55 ]

deHakkelaar schreef op woensdag 3 november 2021 @ 18:26:
@asing , ja eigenlijk mag die melding wat meer "verbose" zijn en duidelijker aangeven dat dit gedeelte mislukt.
Komt wel denk ik want dit gaat bij meer mensen fout.

Asprine schreef op woensdag 3 november 2021 @ 18:54:
[...]


Weird, dat heb ik zo ingesteld staan.
[Afbeelding]

Was zelf vooral verbaast dat hij opeens ook alles kwijt was na een update van mijn Synology OS gisteren. Dat zou al helemaal los van elkaar moeten staan.

Thanks voor de tip over rechten, ook even nalopen.

dehakkelaar@nas:~$ sudo -i
root@nas:~#

root@nas:~# docker exec pihole ls -al /etc/pihole/ /etc/dnsmasq.d/
/etc/dnsmasq.d/:
total 4
drwxr-xr-x 1 root root   28 Nov  3 18:04 .
drwxr-xr-x 1 root root 1880 Nov  3 18:04 ..
-rw-r--r-- 1 root root 1370 Nov  3 18:04 01-pihole.conf

/etc/pihole/:
total 10036
drwxrwxr-x 1 pihole pihole     598 Nov  3 18:05 .
drwxr-xr-x 1 root   root      1880 Nov  3 18:04 ..
-rw-r--r-- 1 root   root        18 Jun  7 16:19 GitHubVersions
-rw-r--r-- 1 root   root        65 Jun  7 16:18 adlists.list
-rw-r--r-- 1 root   root         0 Apr 14  2021 custom.list
-rw-r--r-- 1 root   root       618 Nov  3 18:04 dns-servers.conf
-rw-rw-r-- 1 pihole pihole 5574656 Nov  3 18:05 gravity.db
-rw-r--r-- 1 root   root      1019 Apr 14  2021 install.log
-rw-r--r-- 1 root   root   1945579 Nov  3 18:04 list.1.raw.githubusercontent.com.domains
-rw-r--r-- 1 root   root        95 Nov  3 18:04 list.1.raw.githubusercontent.com.domains.sha1
-rw-r--r-- 1 root   root        70 Nov  3 18:04 local.list
-rw-r--r-- 1 root   root        20 Nov  3 18:04 localbranches
-rw-r--r-- 1 root   root        40 Nov  3 18:04 localversions
-rw-r--r-- 1 root   root       234 Apr 14  2021 logrotate
-rw-r--r-- 1 pihole pihole 2646016 Apr 14  2021 macvendor.db
drwxr-xr-x 1 root   root        24 Apr 14  2021 migration_backup
-rw-r--r-- 1 pihole pihole      15 Apr 14  2021 pihole-FTL.conf
-rw-r--r-- 1 root   root     53248 Jun  7 17:31 pihole-FTL.db
-rw-r--r-- 1 root   root       289 Nov  3 18:04 setupVars.conf
-rw-r--r-- 1 root   root       289 Nov  3 18:04 setupVars.conf.update.bak

root@nas:~# docker exec pihole pihole-FTL /etc/pihole/pihole-FTL.db '.stats'
Memory Used:                         0 (max 0) bytes
Number of Outstanding Allocations:   0 (max 0)
Number of Pcache Overflow Bytes:     4104 (max 4104) bytes
Largest Allocation:                  0 bytes
Largest Pcache Allocation:           4104 bytes
Lookaside Slots Used:                30 (max 30)
Successful lookaside attempts:       30
Lookaside failures due to size:      0
Lookaside failures due to OOM:       0
Pager Heap Usage:                    4938 bytes
Page cache hits:                     0
Page cache misses:                   0
Page cache writes:                   0
Page cache spills:                   0
Schema Heap Usage:                   0 bytes
Statement Heap/Lookaside Usage:      0 bytes
Bytes received by read():            24010
Bytes sent to write():               23
Read() system calls:                 32
Write() system calls:                2
Bytes read from storage:             0
Bytes written to storage:            0
Cancelled write bytes:               0

[ Voor 0% gewijzigd door jpgview op 04-11-2021 17:34 . Reden: nvidia ]

jpgview schreef op donderdag 4 november 2021 @ 13:03:
nvidea shield

offtopic:
Het is of Nivea of Nvidia of desnoods nVidia

Nvidea lijkt me een soort niet bestaand liefdeskind van die twee...

jpgview schreef op donderdag 4 november 2021 @ 13:03:
tweakers speelgoed / pihole addon...
[..]

dig @8.8.8.8 example.com

You will get a reply (IP 93.184.216.34 in my region).
The log will show (IP address from the workstation is in the log):

Nov 3 12:48:23 dnsmasq[523]: 756 192.168.2.228/63058 query[A] example.com from 192.168.2.228
Nov 3 12:48:23 dnsmasq[523]: 756 192.168.2.228/63058 forwarded example.com to 192.168.2.57
Nov 3 12:48:24 dnsmasq[523]: 756 192.168.2.228/63058 reply example.com is 93.184.216.34

1
2

07:01:48: query[A] pi.hole from 192.168.1.1
07:01:48: internal pi.hole is 192.168.1.50

deHakkelaar schreef op donderdag 4 november 2021 @ 22:55:
Wat ik niet snap, in dat virus/malware gevoelige PDF bestand, staat een voorbeeldje:

deHakkelaar schreef op donderdag 4 november 2021 @ 22:55:
Boven wordt het client IP 192.168.2.228 als from adres weergegeven.
Dit totaal anders als dat ik met @Chris12 heb ervaren die een vergelijkbare firewall setup heeft:

code:

1 2	07:01:48: query[A] pi.hole from 192.168.1.1 07:01:48: internal pi.hole is 192.168.1.50

Zoals je ziet lijkt de firewall "redirected" query afkomstig van de firewall IP 192.168.1.1 (de router) en niet het client IP.
Waar zou dit verschil aan kunnen liggen?

jpgview schreef op vrijdag 5 november 2021 @ 08:50:
[...]


<paranoia>
De pdf, gemaakt (save as in word) op een machine die niet aan het internet kan (maar wel de laatste virus patterns heeft) wordt met behulp van het git commando uit mijn lokale repository geupload naar GitHub. Als iemand dit niet veilig genoeg vindt, kan die beter zijn internet verbinding opzeggen -> meest veilig. Géén vertrouwen in pdf bestanden? -> niet openen / lezen.
De virus scanners hebben geen werk, omdat de firewall met SURICATA de meeste troep al afblokken.
</paranoia>


[...]


Er mag geen enkele DNS resolver / forwarder tussen de client en de nieuwe dnsmasq instance zitten.

In het artikel waar naar verwezen is, vervult de router een DNS functie, die extra tussenstap zorgt ervoor dat het originele client address verloren gaat.

Het hele idee dat in het artikel word uitgewerkt (Set up router to use Pi-Hole with selected clients) is weer een oplossing van iemand die de mogelijkheden van pihole niet kent / begrijpt. Je kan pihole met een regex bepaalde clients volledig ongefilterd internet aanbieden (group 'no filtering', whitelist regex voor alles, toewijzen aan de group). Op die manier behoud je het overzicht van alle DNS requests, zonder dat er (voor bepaalde devices) dingen geblocked worden.

Alle oplossingen die in de loop der jaren zijn voorgesteld, waarbij de router zich bemoeit met de flow van DNS requests (met uitzondering van het aanleveren van de gewenste DNS server(s) via DHCP), zijn workarounds, om de beperkingen van de router te omzeilen. Zelf heb ik jaren geleden dergelijke dingen verbannen, en geinvesteerd in een mini PC met pfsense.

Sa1 schreef op vrijdag 5 november 2021 @ 16:44:
[...]
1. Bij Whitelist een nieuwe regexwhitelist aangemaakt met alleen een . (punt), omdat dit dan alles match (maar dat kan ik dus echt mis hebben). Deze een naam gegeven (no filter) en op 'enabled' gezet.
2. Bij groupmanagement \ clients heb ik mijn client (iphone / vastepc toegevoegd)
3. de twee devices ontkoppeld van 'default' en gekoppeld aan 'no filter'.

[ Voor 5% gewijzigd door jpgview op 05-11-2021 17:27 . Reden: even more details ]

Sa1 schreef op vrijdag 5 november 2021 @ 16:44:
Ik ben best wel gecharmeerd van die oplossing om een whitelist met alles te maken en die toe te passen op enkele devices (bijv samsung tv die het gewoon niet doet met pihole aan, nu heeft die een eigen hardcoded DNS server er in staan liever via dhcp).

jpgview schreef op vrijdag 5 november 2021 @ 17:08:
[...]


Er zijn een paar verschillende menigen over de 'match all regex'. regex101 geeft aan dat ^. de oplossing is, maar DL6ER, de lead developer, geeft hier aan dat * voldoende is

1. create group unfiltered
2. create whitelist regex
3. assign whitelist regex to group (deze heb je vergeten)
4. Voeg de clients toe aan de groep

In princiepe zou je de clients moeten verwijderen uit de default groep (jouw stap 3), om een en ander te laten werken, maar omdat het over een whitelist gaat is dit niet noodzakelijk (wel aan te raden, meer overzichtelijk). Reden: de basis regel van pihole als het over blocking gaat: Whitelist always wins

Sa1 schreef op vrijdag 5 november 2021 @ 17:16:
[...]
Als je een * doet bij "domain" dan maakt hij er (\.|^)*$ van.terugkoppeling!

nero355 schreef op vrijdag 5 november 2021 @ 17:16:
[...]

Dat lijkt me best wel raar

Nou zijn Sony/Samsung/LG en vele andere TV's best wel een hoopje spyware wat betreft hun "Smart TV" gedeelte, maar het zou gewoon moeten werken!

Sa1 schreef op vrijdag 5 november 2021 @ 17:19:
En het is toch echt zo. Als ik hem DNS via de DHCP server laat toekennen dan zegt ie gewoon niet verbonden te zijn. Vervang ik de DNS door die van m'n NAS die gaat buiten de pihole om, dan doet ie het direct. Nu is dit wel kennis en ervaring van ~1 jaar terug... dus wellicht moet ik het gewoon nog is proberen.

nero355 schreef op vrijdag 5 november 2021 @ 17:26:
[...]

OK, maar heb je wel gekeken wat die TV probeert op te vragen

Zitten daar "online check" achtige domeinen tussen die misschien worden geblokkeerd ?!

Als ik bepaalde zaken blokkeer dan zal bijvoorbeeld Windows ook constant zeuren dat er geen verbinding met het Internet is terwijl het gewoon werkt!

jpgview schreef op vrijdag 5 november 2021 @ 08:50:
[...]


<paranoia>
De pdf, gemaakt (save as in word) op een machine die niet aan het internet kan (maar wel de laatste virus patterns heeft) wordt met behulp van het git commando uit mijn lokale repository geupload naar GitHub. Als iemand dit niet veilig genoeg vindt, kan die beter zijn internet verbinding opzeggen -> meest veilig. Géén vertrouwen in pdf bestanden? -> niet openen / lezen.
De virus scanners hebben geen werk, omdat de firewall met SURICATA de meeste troep al afblokken.
</paranoia>


[...]


Er mag geen enkele DNS resolver / forwarder tussen de client en de nieuwe dnsmasq instance zitten.

In het artikel waar naar verwezen is, vervult de router een DNS functie, die extra tussenstap zorgt ervoor dat het originele client address verloren gaat.

Het hele idee dat in het artikel word uitgewerkt (Set up router to use Pi-Hole with selected clients) is weer een oplossing van iemand die de mogelijkheden van pihole niet kent / begrijpt. Je kan pihole met een regex bepaalde clients volledig ongefilterd internet aanbieden (group 'no filtering', whitelist regex voor alles, toewijzen aan de group). Op die manier behoud je het overzicht van alle DNS requests, zonder dat er (voor bepaalde devices) dingen geblocked worden.

Alle oplossingen die in de loop der jaren zijn voorgesteld, waarbij de router zich bemoeit met de flow van DNS requests (met uitzondering van het aanleveren van de gewenste DNS server(s) via DHCP), zijn workarounds, om de beperkingen van de router te omzeilen. Zelf heb ik jaren geleden dergelijke dingen verbannen, en geinvesteerd in een mini PC met pfsense.

jpgview schreef op vrijdag 5 november 2021 @ 08:50:
[...]
Géén vertrouwen in pdf bestanden? -> niet openen / lezen.
[..]

jpgview schreef op vrijdag 5 november 2021 @ 17:19:
[...]


menu whitelist eerst de tab regex filter kiezen, daarna * als filter. getest -> werkt

Videopac schreef op zaterdag 6 november 2021 @ 09:24:
Als ik poort 53 naar buiten dicht zet: is dat dan voldoende om geforceerde Android en andere requests tegen te houden?

jpgview schreef op zaterdag 6 november 2021 @ 10:11:
[...]
uitsluitend poort 53 sluiten voor requests die niet afkomstig zijn van één van de pihole's Unbounds

Freee!! schreef op zaterdag 6 november 2021 @ 11:34:
[...]

FTFY, zijn Piholes gaan niet naar buiten.

Videopac schreef op zaterdag 6 november 2021 @ 09:24:
Ik heb 2 fysieke Pi-Holes ...
Op beide Pi-Holes heb ik unbound draaien...

jpgview schreef op zaterdag 6 november 2021 @ 12:12:
[...]


dank voor je correctie, maar maakt dat een verschil?

Hij (Videopac) zegt:


[...]


corrigeer me als ik verkeerd ben, als ik jouw posts lees, ben jij een docker gebruiker, waarbij pihole en unbound apart draaien (dus verschillend IP???)

als pihole en unbound op één machine draaien, is alle traffic van pihole en unbound afkomstig van het zelfde IP (het word iets ingewikkelder met secondary IP addresses en / of IPv4 + IPv6, maar goed).

Op de firewall block/redirect je toch geen binary (pihole of unbound) maar een IP (waar de DNS query vandaan komt)...

No offense // correct me if I'm wrong....

deHakkelaar schreef op vrijdag 5 november 2021 @ 21:42:
[...]

Je zegt ook "In het artikel waar naar verwezen is" maar ik kan die eerdere verwijzing helemaal niet vinden?
Frappant is dat dat snbforums.com artikel, gaat over een Asus router waarvan we dus al weten dat hun "DNSfilter" het packet source IP veranderd in het router IP.
Dus is jou hele relaas in dat PDF bestandje niet toepasbaar op een Asus setup.
Tenminste niet als je verwacht dat de client IP's in de logs geregistreerd worden.
Als je de router WAN DNS instellingen naar iets anders als Pi-hole verwijst, zie je in de Pi-hole logs meteen de queries die geadresseerd zijn aan bv 8.8.8.8 omdat ze allemaal van de router afkomstig zijn (als de packets het pad bewandelen van het DNSfilter).
Ik snap ook niet waarom je dat artikel naar voren haalt om mij te overtuigen terwijl daarin helemaal niks gerept wordt over dat het packet source IP wordt veranderd met bv het Asus DNSfilter aktief.

[...]

1

dhcp-option=lan,option6:23,<IPv6-adres-pihole>

jpgview schreef op zaterdag 6 november 2021 @ 12:12:
[...]


dank voor je correctie, maar maakt dat een verschil?

Hij (Videopac) zegt:


[...]


corrigeer me als ik verkeerd ben, als ik jouw posts lees, ben jij een docker gebruiker, waarbij pihole en unbound apart draaien (dus verschillend IP???)

als pihole en unbound op één machine draaien, is alle traffic van pihole en unbound afkomstig van het zelfde IP (het word iets ingewikkelder met secondary IP addresses en / of IPv4 + IPv6, maar goed).

Op de firewall block/redirect je toch geen binary (pihole of unbound) maar een IP (waar de DNS query vandaan komt)...

No offense // correct me if I'm wrong....

Sa1 schreef op zaterdag 6 november 2021 @ 07:53:
In het kader “mezelf voor de bus gooien” , dan doe ik dat maar ff 😂.

Als je ublock ook nog als plug-in hebt draaien in Chrome geeft dat een tamelijk vertekend beeld.

Sterretje werkt inderdaad net als dakje punt.

Tnx voor de hulp!

[ Voor 4% gewijzigd door nero355 op 06-11-2021 15:17 ]

deHakkelaar schreef op zaterdag 6 november 2021 @ 23:15:
[...]


Heb je wel IPv6 support upstream van je ISP?
https://ipv6-test.com/

Zoniet, dan voegt IPv6 bijna niks toe voor je LAN en is het makkelijker om deze te uit te schakelen op de router voor de LAN zijde.
Met zowel een IPv4 + IPv6 stack moet je van alles dubbel doen en is extra werk waar je per ongeluk een steekje kan laten vallen.
Een reden waarom je IPv6 op je LAN zou willen behouden, terwijl niet supported upstream, is mogelijk als je meer wilt leren over IPv6.

Ook zou ik als de router DHCPv4 doet, niet een enkele Pi-hole IP opgeven voor DNS maar twee of zelfs drie keer indien mogelijk.
Zie helemaal onderaan onderstaande berichtje waarom:
deHakkelaar in "[Pi-Hole] Ervaringen & discussie"
Hetzelfde zou je ook kunnen doen voor DHCPv6.

SanderH_ schreef op maandag 8 november 2021 @ 16:15:
Is er een makkelijke manier om een Windows host te laten switchen van DNS server adhv het netwerk waar hij naar connecteert (adhv SSID ofzo?)?

Ik heb Pi-hole hier lokaal draaien in een docker container. Doet prima zijn werk, en ik heb mijn devices dan ook zo geconfigureerd zodat ze Pi-hole als primaire DNS server gebruiken. Bij mijn werk laptop is dit echter niet zo handig aangezien dit de boel breekt eenmaal ik op het bedrijfsnetwerk kom (servers onbereikbaar etc). Ik zou in principe enkel willen verwijzen naar Pi-hole als ik met mijn thuisnetwerk geconnecteerd ben.

Freee!! schreef op maandag 8 november 2021 @ 16:20:
[...]

Als je bedrijfsnetwerk een beetje netjes is ingericht en er gebruik gemaakt wordt van een VPN of iets dergelijks, gaat het automatisch goed.
Mijn werklaptop maakt alleen maar gebruik van mijn thuisnetwerk voor verbinding met het bedrijfsnetwerk.

SanderH_ schreef op maandag 8 november 2021 @ 16:25:
[...]
Via VPN heb ik dacht ik geen issues, is eerder als ik echt op het fysieke netwerk kom aangezien ik via de adapter settings de DNS handmatig laat verwijzen naar mijn Pi-Hole IP, en hij daardoor geen hostnames meer kan resolven van bvb interne servers.

SanderH_ schreef op maandag 8 november 2021 @ 16:15:
Is er een makkelijke manier om een Windows host te laten switchen van DNS server adhv het netwerk waar hij naar connecteert (adhv SSID ofzo?)?

Ik heb Pi-hole hier lokaal draaien in een docker container. Doet prima zijn werk, en ik heb mijn devices dan ook zo geconfigureerd zodat ze Pi-hole als primaire DNS server gebruiken. Bij mijn werk laptop is dit echter niet zo handig aangezien dit de boel breekt eenmaal ik op het bedrijfsnetwerk kom (servers onbereikbaar etc). Ik zou in principe enkel willen verwijzen naar Pi-hole als ik met mijn thuisnetwerk geconnecteerd ben.

nero355 schreef op maandag 8 november 2021 @ 17:01:
[...]

Er heeft ooit iemand een of ander tooltje in dit topic gepost die dat doet, maar ik kan het effe niet terugvinden...

Daarnaast zou je natuurlijk ook wat met een .BAT of PowerShell bestand in elkaar kunnen vogelen

Heb je daar eigenlijk wel genoeg rechten voor op die laptop

1

Set-DnsClientServerAddress -InterfaceIndex 12 -ServerAddresses ("10.0.0.1","10.0.0.2")

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22

# Get Wi-Fi index
$InterfaceIndex = (Get-DnsClient | Where-Object{$_.InterfaceAlias -eq 'Wi-Fi'}).Name

# Check if we're connected to our home network (e.g. 'UniFi')
$NetConnectionProfileName = (Get-NetConnectionProfile| where-object {$_.InterfaceIndex -eq $InterfaceIndex}).Name
Write-Host "Connected to $($NetConnectionProfileName)"

Write-Host "Current DNS servers:"
Get-DnsClientServerAddress -InterfaceIndex $InterfaceIndex

if($NetConnectionProfileName -eq "UniFi") {
    # Point to Pi-hole
    Write-Host "Updating DNS servers..."
    Set-DnsClientServerAddress -InterfaceIndex $InterfaceIndex -ServerAddresses ("192.168.0.154","1.1.1.1")

    Write-Host "Updated DNS servers:"
    Get-DnsClientServerAddress -InterfaceIndex $InterfaceIndex
}
else {
    # Retrieve DNS servers from DHCP
    Set-DnsClientServerAddress -InterfaceIndex $InterfaceIndex -ResetServerAddresses
}

[ Voor 33% gewijzigd door SanderH_ op 09-11-2021 17:56 ]

SanderH_ schreef op maandag 8 november 2021 @ 17:39:
[...]
Set-DnsClientServerAddress -InterfaceIndex $InterfaceIndex -ServerAddresses ("192.168.0.154","1.1.1.1")
[...]

[ Voor 11% gewijzigd door deHakkelaar op 09-11-2021 23:59 ]

Webgnome schreef op woensdag 10 november 2021 @ 09:43:
- bestaat de folder in /etc/dnsmasq.d/lxd?
- hoe zit het met de rechten? want dat zou ik inderdaad eerst checken dat die goed staan

1

sudo rm /etc/dnsmasq.d/lxd

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15

 systemctl status --full --no-pager lighttpd.service
● lighttpd.service - Lighttpd Daemon
     Loaded: loaded (/lib/systemd/system/lighttpd.service; enabled; vendor preset: enabled)
     Active: failed (Result: exit-code) since Wed 2021-11-10 08:46:07 UTC; 6min ago
    Process: 24566 ExecStartPre=/usr/sbin/lighttpd -tt -f /etc/lighttpd/lighttpd.conf (code=exited, status=0/SUCCESS)
    Process: 24573 ExecStart=/usr/sbin/lighttpd -D -f /etc/lighttpd/lighttpd.conf (code=exited, status=255/EXCEPTION)
   Main PID: 24573 (code=exited, status=255/EXCEPTION)

Nov 10 08:46:07 obiwan systemd[1]: lighttpd.service: Main process exited, code=exited, status=255/EXCEPTION
Nov 10 08:46:07 obiwan systemd[1]: lighttpd.service: Failed with result 'exit-code'.
Nov 10 08:46:07 obiwan systemd[1]: lighttpd.service: Scheduled restart job, restart counter is at 8.
Nov 10 08:46:07 obiwan systemd[1]: Stopped Lighttpd Daemon.
Nov 10 08:46:07 obiwan systemd[1]: lighttpd.service: Start request repeated too quickly.
Nov 10 08:46:07 obiwan systemd[1]: lighttpd.service: Failed with result 'exit-code'.
Nov 10 08:46:07 obiwan systemd[1]: Failed to start Lighttpd Daemon.

1
2
3

sudo systemd-analyze verify lighttpd.service
snap-core20-1169.mount: Unit is bound to inactive unit dev-loop0.device. Stopping, too.
snap-core-11798.mount: Unit is bound to inactive unit dev-loop3.device. Stopping, too.

1

Nov 10 08:54:50 obiwan lighttpd[25079]: 2021-11-10 08:54:50: (network.c.311) can't bind to socket: 0.0.0.0:80 Address already in use

[ Voor 65% gewijzigd door Hann1BaL op 10-11-2021 09:59 ]

Hann1BaL schreef op woensdag 10 november 2021 @ 09:48:
[...]

En journalctl --no-pager --full -u lighttpd dit geeft:

code:

1	Nov 10 08:54:50 obiwan lighttpd[25079]: 2021-11-10 08:54:50: (network.c.311) can't bind to socket: 0.0.0.0:80 Address already in use

Zou dit het probleem kunnen zijn?
Als ik de webpagina van het IP van mijn Pihole laadt, krijg ik het default apache scherm te zien van Ubuntu. Is dat misschien een mogelijke oorzaak en hoe schiet ik dat af, zonder de boel volledig te slopen

1
2
3

grep WEB_ /etc/pihole/setupVars.conf
INSTALL_WEB_SERVER=false
INSTALL_WEB_INTERFACE=true

ed1703 schreef op woensdag 10 november 2021 @ 10:23:
[...]

Je hebt dus al een http-deamon draaien op poort 80 met apache. Weet niet waarom je zowel apache als lighttp wilt draaien?

Weet niet wat je setup was, maar je kunt eventueel met apache ook een verwijzing maken naar de admin-pagina. (Heb ik zelf met nginx wel)

code:

1 2 3

grep WEB_ /etc/pihole/setupVars.conf INSTALL_WEB_SERVER=false INSTALL_WEB_INTERFACE=true

Als je Apache verder helemaal niet gebruikt kun je deze beter deinstalleren en lighttp gaan gebruiken.
Heeft dan verder weinig waarde.

[ Voor 4% gewijzigd door Hann1BaL op 10-11-2021 11:09 ]

Webgnome schreef op woensdag 10 november 2021 @ 11:14:
dan zou ik bijna denken dat apache2 verwacht dat poort 80 gebruikt word en als die al bezet is dat die een andere poort gebruikt. Kun je die dan niet beter zo configureren dat ie standaard die tweede poort gebruikt

Webgnome schreef op woensdag 10 november 2021 @ 13:12:
Heeft iemand hier ervaring met Domoticz in een docker container ? Ik gebruik die nu in een rpi wireless en daar wil ik eigenlijk vanaf omdat die dus op wireless zit. HEt enige dat die domoticz doet is mijn slimme meter uitlezen. Dis het belangrijkste is dat ik historische data kan terug zetten en dat domoticz in de slimme meter uit kan lezen.

De reden om in een container te zetten is dat a. Ik al docker heb draaien en ik dan makkelijk de poorten kan beheren via de compose (beter lui dan moei)

Hann1BaL schreef op woensdag 10 november 2021 @ 09:39:
Ik zit met een vervelend probleem.
SInds de upgrade van Ubuntul 18.04 LTS naar 20.04 LTS werkt Pihole niet meer.

Iemand een idee?

Hann1BaL schreef op woensdag 10 november 2021 @ 11:07:
De server draait ook mn unifi controller, dus ik weet niet of die afhankelijk is van apache.

Slayer schreef op woensdag 3 november 2021 @ 14:58:
[...]

Zelf heb ik ook Pi-Hole draaien in Docker op mijn Nas, na een update ben ik ook de statistieken kwijt.

Midas1080 schreef op donderdag 11 november 2021 @ 13:23:
En voor het draaien van pihole begrijp ik dat je de pi gewoon altijd aan laat staan. Hoe doen jullie dit? Ik ben altijd voorzichtig met stroomverbruik en apparaten aan laten staan terwijl ik niet thuis ben.

Midas1080 schreef op donderdag 11 november 2021 @ 13:23:
Hallo,

Ik heb twee vragen;

Is het mogelijk om zowel retropie als pihole te draaien op dezelfde rpi? Of kan ik dan beter een dedicated pi Zero halen voor de pihole?

En voor het draaien van pihole begrijp ik dat je de pi gewoon altijd aan laat staan. Hoe doen jullie dit? Ik ben altijd voorzichtig met stroomverbruik en apparaten aan laten staan terwijl ik niet thuis ben.

Bedankt

[ Voor 4% gewijzigd door Webgnome op 11-11-2021 14:44 ]

Midas1080 schreef op donderdag 11 november 2021 @ 13:23:
En voor het draaien van pihole begrijp ik dat je de pi gewoon altijd aan laat staan.

Hoe doen jullie dit?

Ik ben altijd voorzichtig met stroomverbruik en apparaten aan laten staan terwijl ik niet thuis ben.

[ Voor 32% gewijzigd door jpgview op 13-11-2021 10:03 ]

jpgview schreef op vrijdag 12 november 2021 @ 19:16:
bullseye en unbound users lees dit, bullseye (resolvconf) reconfigures unbound (extra config file - /etc/unbound/unbound.conf.d/resolvconf_resolvers.conf), dit bestand wijzigt de werking van unbound!

edit
confirmed case here

het lijkt erop dat een dns leak test voor de gewone gebruiker een eerste waarschuwing is.
/edit

Church of Noise schreef op zaterdag 13 november 2021 @ 11:05:
Zou het kunnen liggen aan de implementatie in Raspberry Pi OS (vs Debian)?

Campo di Casa schreef op zaterdag 13 november 2021 @ 18:25:
Ik ben al de hele middag aan het pielen maar krijg het niet voor elkaar.
Pi-hole vanmiddag draaiend gemaakt op mijn oude RP2. Werkt best en is ook meer om wat kennis op te doen en mocht het goed bevallen, overstappen naar een RP4.

Als ik mijn DNS voor de Macbook en iPhone handmatig zet op 192.168.2.10 (wat verwijst in mijn geval naar de Pi met Pi-hole), worden netjes de adds geblokkeerd.

Stel ik de DNS in mijn router in op dezelfde IP (192.168.2.10), en laat ik de DNS voor mijn Macbook en iPhone blanco zodat hij de DNS via de router pakt, blijf ik adds zien.
Waarschijnlijk heb ik ergens een instelling niet lekker zitten in mijn router waardoor de DNS niet via Pi-hole gaat.

Het gaat om de standaard ding van KPN; ZTE H369A

onderstaande mijn settings voor DHCP en DNS.

[Afbeelding]

[Afbeelding]

wat zie ik over het hoofd?

Koepert schreef op zaterdag 13 november 2021 @ 18:30:
Heeft Apple tegenwoordig niet zo’n privacy setting waarbij verkeer via n soort ‘eigen route’ gaat waarbij ads dus wel doorkomen omdat geen pihole...

Als ik ze nog steeds goed uit mijn hoofd ken...

[ Voor 17% gewijzigd door Campo di Casa op 13-11-2021 19:25 ]

Campo di Casa schreef op zaterdag 13 november 2021 @ 19:24:
Ik heb nog ff via de terminal gekeken welke DNS server(s) ik krijg als ik dit niet handmatig opgeef.

[Afbeelding]

dit zijn de IP nummers van Pi-hole en mijn KPN router.

bij de DHCP server kan ik geen secundaire DNS opgeven.

Freee!! schreef op zaterdag 13 november 2021 @ 19:51:
[...]

Dat is vervelend, want die KPN router gebruikt waarschijnlijk voornamelijk de DNS-servers van je ISP.

Campo di Casa schreef op zaterdag 13 november 2021 @ 20:29:
[...]
ik zie wel bij dat in mijn KPN router bij DSL connectie status de onderstaande ip nummers staan;
195.121.97.202/195.121.97.203/0.0.0.0

Dat zijn volgens WHOIS IP nummers van KPN.

Jammer dat ik het niet voor elkaar kan krijgen, maar een ramp is het niet.
Zit nog wel te twijfelen of ik het volgende nog moet proberen. Vraag mij alleen af wat er gebeurt als ik de DHCP server op mijn router uit zet, op mijn Raspberry aan zet en de Raspberry zou klappen. Kan ik dan nog bij mijn router komen?

https://discourse.pi-hole...-why-would-i-want-to/3026

Freee!! schreef op zaterdag 13 november 2021 @ 20:35:
[...]

Je kan altijd via het IP-adres bij je router komen.

offtopic:
Ik heb de DHCP server op mijn router uitgezet (werkte toch al niet goed meer) en op mijn RPi4B geïnstalleerd en aangezet, geeft me de mogelijkheid om meer zaken naar wens in te stellen.

Freee!! schreef op zaterdag 13 november 2021 @ 20:35:
[...]

Je kan altijd via het IP-adres bij je router komen.

offtopic:
Ik heb de DHCP server op mijn router uitgezet (werkte toch al niet goed meer) en op mijn RPi4B geïnstalleerd en aangezet, geeft me de mogelijkheid om meer zaken naar wens in te stellen.

Campo di Casa schreef op zaterdag 13 november 2021 @ 20:29:
Vraag mij alleen af wat er gebeurt als ik de DHCP server op mijn router uit zet, op mijn Raspberry aan zet en de Raspberry zou klappen. Kan ik dan nog bij mijn router komen?

pi@ph5b:~ $ pihole-FTL dhcp-discover
Scanning all your interfaces for DHCP servers
Timeout: 10 seconds

* Received 318 bytes from eth0:10.0.0.2
  Offered IP address: 10.0.0.4
  Server IP address: 10.0.0.2
  Relay-agent IP address: N/A
  BOOTP server: (empty)
  BOOTP file: (empty)
  DHCP options:
   Message type: DHCPOFFER (2)
   server-identifier: 10.0.0.2
   lease-time: 86400 ( 1d )
   renewal-time: 43200 ( 12h )
   rebinding-time: 75600 ( 21h )
   netmask: 255.255.255.0
   broadcast: 10.0.0.255
   domain-name: "home.dehakkelaar.nl"
   hostname: "ph5b"
   dns-server: 10.0.0.2
   dns-server: 10.0.0.4
   router: 10.0.0.1
   --- end of options ---

DHCP packets received on interface lo: 0
DHCP packets received on interface eth0: 1

dehakkelaar@laptop:~$ sudo nmap --script broadcast-dhcp-discover
Starting Nmap 7.70 ( https://nmap.org ) at 2021-11-14 03:47 CET
Pre-scan script results:
| broadcast-dhcp-discover:
|   Response 1 of 1:
|     IP Offered: 10.0.0.252
|     DHCP Message Type: DHCPOFFER
|     Server Identifier: 10.0.0.2
|     IP Address Lease Time: 2m00s
|     Renewal Time Value: 1m00s
|     Rebinding Time Value: 1m45s
|     Subnet Mask: 255.255.255.0
|     Broadcast Address: 10.0.0.255
|     Domain Name: home.dehakkelaar.nl
|     Domain Name Server: 10.0.0.2, 10.0.0.4
|_    Router: 10.0.0.1
WARNING: No targets were specified, so 0 hosts scanned.
Nmap done: 0 IP addresses (0 hosts up) scanned in 1.03 seconds

1

tail -F /var/log/pihole.log | grep dnsmasq-dhcp

pi@ph5a:~ $ tail -F /var/log/pihole.log | grep dnsmasq-dhcp
[..]
Nov 14 03:55:56 dnsmasq-dhcp[8001]: DHCPREQUEST(eth0) 10.0.0.143 0c:2f:b0:xx:xx:xx
Nov 14 03:55:56 dnsmasq-dhcp[8001]: DHCPACK(eth0) 10.0.0.143 0c:2f:b0:xx:xx:xx dehakkelaar-phone

Antonius schreef op zondag 14 november 2021 @ 00:37:
[...]


Als tweakert lukt dat wel. De relatieve leek komt toch in de problemen als er geen DHCP server is, de lease verloopt en de Windows client in de APIPA range 169.254.*.* terecht komt. Dan kun je niet meer via het IP adres bij je router komen totdat je handmatig een IP adres in de correcte range hebt ingesteld. En weet je dan nog in welke range je moet wezen, en wat ook alweer het IP adres van je router is? Ik wel, jij ook. Er zullen ook mensen in zo'n situatie ff klem komen te zitten.

deHakkelaar schreef op zondag 14 november 2021 @ 04:19:
[...]

Wat je voor de veiligheid kan doen op het systeem waarmee je alles gaat configureren, is deze tijdelijk een statisch IP en DNS server(s) meegeven ipv automatisch verkrijgen via DHCP.
Dan ben je gedekt mocht DHCP het laten afweten tijdens het omschakelen.
Copieer de DHCP IP scope, domein naam suffix en gateway settings van je router naar de Pi-hole DHCP settings,
flip eerst de DHCP service aan op Pi-hole voordat je deze uitschakeld op de router,
en doe een DHCP discovery op Pi-hole om de settings te controleren die worden geadverteerd via DHCP:
......

[ Voor 3% gewijzigd door Campo di Casa op 14-11-2021 07:08 ]

Antonius schreef op zondag 14 november 2021 @ 00:37:
Als tweakert lukt dat wel. De relatieve leek komt toch in de problemen als er geen DHCP server is, de lease verloopt en de Windows client in de APIPA range 169.254.*.* terecht komt. Dan kun je niet meer via het IP adres bij je router komen totdat je handmatig een IP adres in de correcte range hebt ingesteld. En weet je dan nog in welke range je moet wezen, en wat ook alweer het IP adres van je router is? Ik wel, jij ook. Er zullen ook mensen in zo'n situatie ff klem komen te zitten.

Campo di Casa schreef op zondag 14 november 2021 @ 07:05:
Dat is dus ook precies waar ik een beetje zenuwachtig van word. Als ik de DHCP vernaggel en mijn vrouw kan daardoor vanuit bed op zondagochtend niet naar TLC kijken, heb ik geen relaxte zondag. Ga maar eens aan iemand die geen moer geeft om tech dat ik de 'router' heb gesloopt omdat ik geen adds meer wou zien

deHakkelaar schreef op zondag 14 november 2021 @ 04:19:
En nmap is ook beschikbaar voor MacOS en geloof zelfs Windows.
EDIT: https://nmap.org/download.html

sweetdude schreef op zondag 14 november 2021 @ 16:31:
even een semi cross post uit het synology toppic aangezien ik een vermoeden heb dat het mogelijk met de pi hole te maken heeft.

Heeft misschien iemand van jullie een idee?

prutser001 schreef op zondag 14 november 2021 @ 23:36:
Al mensen die eblocker gebruiken? Zit ook pi-hole in maar ook OpenVPN en dnscrypt ofzo. Draait hier nu al een aantal maanden en ben er tevreden mee.

deHakkelaar schreef op maandag 15 november 2021 @ 03:34:
[...]

Ik lees dat die eBlocker ook en packet filter is dus zal al het netwerk verkeer door die eBlocker host moeten gaan (niet alleen DNS).
Dan volstaat een Pi model Zero, 1 of 2 niet met z'n 100mbit of Wifi.
Zeker niet als je ook nog glasvezel hebt upstream.
Of zit ik ernaast?

[ Voor 39% gewijzigd door Church of Noise op 15-11-2021 10:20 . Reden: Aanvulling in reactie op prutser001 en toevoeging reactie op deHakkelaar ]

deHakkelaar schreef op maandag 15 november 2021 @ 03:34:
[...]

Ik lees dat die eBlocker ook en packet filter is dus zal al het netwerk verkeer door die eBlocker host moeten gaan (niet alleen DNS).
Dan volstaat een Pi model Zero, 1 of 2 niet met z'n 100mbit of Wifi.
Zeker niet als je ook nog glasvezel hebt upstream.
Of zit ik ernaast?

Webgnome schreef op maandag 15 november 2021 @ 13:56:
Via pihole kun je op client niveau aangeven welke blocklists/addlists gebruiken ( via de groups functie ). Nu gebruik mijn pihole ook als DHCP server (lekker, alle devices altijd pihole gebruiken) en nu wil het geval dat er één device is waarbij ik graag andere DNS instellingen zou willen door geven.

Weet iemand of dat dit mogelijk is?

Webgnome schreef op maandag 15 november 2021 @ 13:56:
Via pihole kun je op client niveau aangeven welke blocklists/addlists gebruiken ( via de groups functie ). Nu gebruik mijn pihole ook als DHCP server (lekker, alle devices altijd pihole gebruiken) en nu wil het geval dat er één device is waarbij ik graag andere DNS instellingen zou willen door geven.

Weet iemand of dat dit mogelijk is?

Webgnome schreef op maandag 15 november 2021 @ 13:56:
Nu gebruik mijn pihole ook als DHCP server (lekker, alle devices altijd pihole gebruiken) en nu wil het geval dat er één device is waarbij ik graag andere DNS instellingen zou willen door geven.

TheCeet schreef op maandag 15 november 2021 @ 14:34:
[...]
zag deze optie niet meteen, dus ik vermoed dat het (nog) niet in Pi-hole zit.

Webgnome schreef op maandag 15 november 2021 @ 13:56:
Via pihole kun je op client niveau aangeven welke blocklists/addlists gebruiken ( via de groups functie ). Nu gebruik mijn pihole ook als DHCP server (lekker, alle devices altijd pihole gebruiken) en nu wil het geval dat er één device is waarbij ik graag andere DNS instellingen zou willen door geven.

Weet iemand of dat dit mogelijk is?

pi@ph5b:~ $ pihole-FTL -- --help dhcp
Known DHCP options:
  1 netmask
  2 time-offset
  3 router
  6 dns-server
  7 log-server
  9 lpr-server
 13 boot-file-size
 15 domain-name
 16 swap-server
 17 root-path
 18 extension-path
 19 ip-forward-enable
 20 non-local-source-routing
 21 policy-filter
 22 max-datagram-reassembly
 23 default-ttl
 26 mtu
 27 all-subnets-local
 31 router-discovery
 32 router-solicitation
 33 static-route
 34 trailer-encapsulation
 35 arp-timeout
 36 ethernet-encap
 37 tcp-ttl
 38 tcp-keepalive
 40 nis-domain
 41 nis-server
 42 ntp-server
 44 netbios-ns
 45 netbios-dd
 46 netbios-nodetype
 47 netbios-scope
 48 x-windows-fs
 49 x-windows-dm
 58 T1
 59 T2
 60 vendor-class
 64 nis+-domain
 65 nis+-server
 66 tftp-server
 67 bootfile-name
 68 mobile-ip-home
 69 smtp-server
 70 pop3-server
 71 nntp-server
 74 irc-server
 77 user-class
 80 rapid-commit
 93 client-arch
 94 client-interface-id
 97 client-machine-id
100 posix-timezone
101 tzdb-timezone
119 domain-search
120 sip-server
121 classless-static-route
125 vendor-id-encap
150 tftp-server-address
255 server-ip-address

pi@ph5b:~ $ man dnsmasq
[..]
              The  special  ad‐
              dress 0.0.0.0 is taken to mean "the address of the machine
              running dnsmasq".

pi@ph5b:~ $ pihole-FTL -- --help dhcp6
Known DHCPv6 options:
 21 sip-server-domain
 22 sip-server
 23 dns-server
 24 domain-search
 27 nis-server
 28 nis+-server
 29 nis-domain
 30 nis+-domain
 31 sntp-server
 32 information-refresh-time
 56 ntp-server
 59 bootfile-url
 60 bootfile-param

pi@ph5b:~ $ man dnsmasq
[..]
              IPv6  options  are  specified  using the option6: keyword,
              followed by the option number or option name. The IPv6 op‐
              tion  name  space  is  disjoint  from the IPv4 option name
              space. IPv6 addresses in options must  be  bracketed  with
              square     brackets,    eg.     --dhcp-option=option6:ntp-
              server,[1234::56] For IPv6, [::] means "the global address
              of  the  machine  running dnsmasq", whilst [fd00::] is re‐
              placed with the ULA, if it exists, and [fe80::]  with  the
              link-local address.

[ Voor 4% gewijzigd door deHakkelaar op 15-11-2021 16:27 . Reden: typo + man pages ]

prutser001 schreef op zondag 14 november 2021 @ 23:36:
Al mensen die eblocker gebruiken? Zit ook pi-hole in maar ook OpenVPN en dnscrypt ofzo. Draait hier nu al een aantal maanden en ben er tevreden mee.

The installation on an existing Linux is not possible, because eBlocker is very tightly woven into the underlying Linux. The security concept does not intend using other applications in parallel. Hence, there is no install repo, no RPM package and no Docker installation, but we rather only provide a complete OS image. For security reasons, there is also no root or other access installed. Hackers are invited to gain access via the filesystem or to build eBlockerOS from the open source resources themselves.

Church of Noise schreef op maandag 15 november 2021 @ 08:55:
Lijkt enorm op de initiële producten (Red, Blue en Blue Plus) van Firewalla https://firewalla.com/ die ook ARP spoofing gebruiken. (heb zelf momenteel een Firewalla Blue hier en ga binnenkort upgrade naar een Purple, een echte 'slimme' router die geen ARP spoofing nodig heeft). Interessant alternatief voor de FW Red en Blue (Plus)!

Al bij al maakt het me enigzins nieuwsgierig, als is het maar omdat het aanbiedt wat Firewalla niet wil tot nu toe (zij hebben wel voldoende funding gevonden, en past niet bij hun business model): de software aanbieden ipv enkel devices met de software erop.

Inderdaad, ze blijken o.a. min 1 GB RAM te vereisen.
Misschien probeer ik het eens op een RPI 3B die ik hier nog heb liggen...

Sp33dFr34k schreef op maandag 15 november 2021 @ 17:03:
Ik had ooit (een oude versie van) Pihole draaiend op een rPi, nu wil ik weer een Pihole install, maar dan in een LXC container op Proxmox. Ik heb deze guide gevonden: https://florianmuller.com...ary-dns-for-unifi-network van augstus 2020.

Kan iemand me vertellen of dit nog steeds accuraat is verder voordat ik eraan begin? Of zijn er betere guides/tuts om te volgen. Ik weet dat het geen rocket science is, maar het gaat me meer om de do's en don't.

[ Voor 25% gewijzigd door nero355 op 15-11-2021 17:21 ]

deHakkelaar schreef op maandag 15 november 2021 @ 17:27:
Ondestaande zou ook op Ubuntu moeten werken maar zeker weten doe ik niet:

code:

1	sudo dpkg-reconfigure tzdata

nero355 schreef op maandag 15 november 2021 @ 17:29:
[...]
Dat doet het ook wel, maar daar ging het niet om, want het is niet eens nodig als het goed is!

Sp33dFr34k schreef op maandag 15 november 2021 @ 17:33:
@nero355 thanks, dus in de basis kan ik die guide gewoon volgen. Mijn Linux kennis is vrij basic, heb een Ubuntu LXC container draaien, hoofdzakelijk als Docker host. Geen specifieke reden, werd me toendertijd aangeraden en kan er goed mee uit de voeten. Maar als Debian beter is voor deze nieuwe VM, dan heb ik daar natuurlijk zeker oren naar. Kun je die keuze verder toelichten misschien?

Sp33dFr34k schreef op maandag 15 november 2021 @ 17:48:
@nero355 ok, dat wist ik niet... dan weet ik dat voor nu alvast dat ik daar last van ga krijgen wss...

Pihole in Docker draaien raden ze bij LSIO allemaal sterk af, vanwege verschillende redenen.

Als je aan het knutselen bent en de host moet rebooten ben je ook je internet access kwijt.
Daarom denk ik beter in een andere container, beste zou zelfs zijn op een aparte host I guess...

Sp33dFr34k schreef op maandag 15 november 2021 @ 18:06:
@nero355 haha bedankt he

Sorry, LSIO = LinuxServer, zit daar vrij veel op de Discord. Maar je kent ze wel denk ik.

Sp33dFr34k schreef op maandag 15 november 2021 @ 18:12:
@nero355 dat kan natuurlijk, maar als je Docker zelf gebruikt (misschien ook niet), dan is de kans groot dat je wel hun images gebruikt lijkt me? Ze "repacken" behoorlijk wat, zetten qua rechtenstructuur alles goed op, en fixen ook veel met environment variables. Waar mogelijk gebruik ik het liefst hun images. Maar dat gaat wat teveel offtopic nu I guess

Geldt jouw opmerking hierboven overigens ook voor Ubuntu Server? Ik zie dat ik dat vergeten ben te specificeren.

Church of Noise schreef op maandag 15 november 2021 @ 14:04:
[...]

in de DNS settings op het device zelf zou moeten werken denk ik?

deHakkelaar schreef op maandag 15 november 2021 @ 15:53:
[...]

Poosje terug een voorbeeldje geplaats:
deHakkelaar in "[Pi-Hole] Ervaringen & discussie"

[ Voor 36% gewijzigd door Webgnome op 15-11-2021 19:57 ]