[Pi-Hole] Ervaringen & discussie

deHakkelaar schreef op woensdag 5 januari 2022 @ 20:13:
@dss58 , Ter info:
https://www.cloudflare.co...etwork-layer/what-is-mtu/

Met DNS worden packet's verzoekjes/antwoorden ook gefragmenteerd als ze niet in een enkele UDP packet passen en gaat dan over op TCP ipv UDP omdat met TCP het makkelijker is om de oorspronkelijke data weer te defragmenteren/reconstrueren.
UDP is "stateless" omdat deze geen handshake kent zoals bij TCP wel het geval is.
Met UDP worden packets gewoon de pijp in gejaagd zonder dat de zender weet ofdat ze aangekomen zijn.
Bij TCP komen packets sequentieel aan vanwege dit handshake-en.
Met UDP kan het gebeuren dat twee packets net even een andere route volgen op het internet waardoor packet1 later kan binnenkomen als packet2, die toch later is verzonden, wat weer moeilijker is om te reconstrueren.
Pew ...

[ Voor 22% gewijzigd door michelk31 op 05-01-2022 22:02 ]

michelk31 schreef op woensdag 5 januari 2022 @ 21:52:
Weet iemand hoe ik de PI-hole kan updaten op een dockerstation op een QNAP NAS?

Ik heb geprobeerd om via Putty in te loggen op de dockerstation maar dit lukt me niet.
Moet ik SSH ergens activeren in de docker of op de NAS?

Wanneer ik via de terminal in qnap het volgende type Pihole -up -> krijg ik de feedback function not supprted in docker images.

deHakkelaar schreef op woensdag 5 januari 2022 @ 22:39:
@dss58 , DNS is zo'n oud protocol en zo krom plus acherhaald op sommige punten.
Huidige software kan wel goed omgaan met gefragmenteerde data in UDP packets en hebben ook nog vaak een soort checksum wat gecommuniceerd wordt met de ontvanger om integriteit van de ontvange data te controleren.
Iemand vroeg mij een keertje ofdat Pi-hole voor jan en alleman was te begrijpen.
Ik zou zeggen ja maaaaaaaaaaaaar

dss58 schreef op woensdag 5 januari 2022 @ 23:54:
eerder op mijn advies eerst een pi3b+ gekocht

nero355 schreef op donderdag 6 januari 2022 @ 00:20:
[...]

Voor het mooie was een Pi 3B leuker geweest, maar ik gok dat die slecht verkrijgbaar is ondertussen, tenzij je tweedehands gaat shoppen

@deHakkelaar
Leuke changelog detail in de laatste Pi-Hole update : https://github.com/pi-hole/pi-hole/pull/4518

Freee!! schreef op woensdag 5 januari 2022 @ 22:43:
[...]

Hoe heb je die Pi-Hole ooit in Docker geïnstalleerd?

[...]

Nieuwe image downloaden, Pi-Hole container verwijderen en opnieuw opbouwen. Alternatief is Watchtower en/of Portainer installeren.

michelk31 schreef op donderdag 6 januari 2022 @ 06:53:
[...]
Pi hole is in docker geïnstalleerd en werkt.
Ik heb een poging gedaan om portainer en watchtower te installeren.
Bij watchtower krijg ik de volgende melding: Cannot connect to the Docker daemon at unix:///var/run/docker.sock. Is the docker daemon running?

Bij portainer raak ik ingelogd, maar ik heb geen idee wat ik moet instellen om verder te kunnen gaan.

Deze avond zoek ik verder.

Webgnome schreef op donderdag 6 januari 2022 @ 06:31:
een zero w had ook gekunt natuurlijk

[ Voor 13% gewijzigd door W1ck1e op 06-01-2022 08:05 ]

W1ck1e schreef op donderdag 6 januari 2022 @ 07:54:
[...]
Dat raad ik je niet aan, dns over wifi. Dan zou je al een usb ethernet adapter moeten gebruiken.
Bij gebruik voor thuis : Als je er een hebt (liefst 2 vanwege redundancy) zou ik een rpi2 aanraden, Ook op een rpi2b is de load te verwaarlozen. Zuiniger en sneller dan een rpi1b (op zich ook voldoende) of anders de goedkoopste rpi 3 of 4.

[ Voor 24% gewijzigd door Webgnome op 06-01-2022 08:00 ]

Freee!! schreef op woensdag 5 januari 2022 @ 22:43:
[...]

Hoe heb je die Pi-Hole ooit in Docker geïnstalleerd?

[...]

Nieuwe image downloaden, Pi-Hole container verwijderen en opnieuw opbouwen. Alternatief is Watchtower en/of Portainer installeren.

[ Voor 33% gewijzigd door Church of Noise op 06-01-2022 09:03 ]

S023 schreef op donderdag 6 januari 2022 @ 08:40:
[...]
@michelk31


Ik loop tegen hetzelfde aan met mijn qnap. Probleem is niet zozeer om de container opnieuw te maken, maar daarmee ben je weer al je settings kwijt.

Container station heeft dezelfde functies als portainer (met duplicate, volumes etc), maar helaas werkt het voor geen meter bij mij.

Ik ga het nog eens proberen door een backup te maken en herstellen binnen de instellingen van pihole. Anders dan maar portainer proberen, dat werkte wel altijd bij mijn vorige systeem. Wel jammer dat je dan weer dubbele resources gebruikt om hetzelfde te bereiken.

S023 schreef op donderdag 6 januari 2022 @ 08:40:
[...]


@michelk31


Ik loop tegen hetzelfde aan met mijn qnap. Probleem is niet zozeer om de container opnieuw te maken, maar daarmee ben je weer al je settings kwijt. Container station heeft dezelfde functies als portainer (met duplicate, volumes etc), maar helaas werkt het voor geen meter bij mij.

Ik ga het nog eens proberen door een backup te maken en herstellen binnen de instellingen van pihole. Anders dan maar portainer proberen, dat werkte wel altijd bij mijn vorige systeem. Wel jammer dat je dan weer dubbele resources gebruikt om hetzelfde te bereiken.

dss58 schreef op donderdag 6 januari 2022 @ 01:20:
hij heeft 'm toch kunnen bemachtigen zo blijkt, duurde een paar weken, ik adviseerde geen pi4 voor dit doeleind omdat het soort van overkill is en vooral omdat die bij idle al best wel warm wordt, met de 3b+ geen last van om pihole te draaien, de load is zowat niks

Webgnome schreef op donderdag 6 januari 2022 @ 06:31:
een zero w had ook gekunt natuurlijk

[ Voor 30% gewijzigd door nero355 op 06-01-2022 14:57 ]

jpgview schreef op donderdag 6 januari 2022 @ 12:48:
Hier schreef ik een topic over unbound response policy zones (rpz), domains die niet door pi-hole maar door unbound geblocked worden. Het gaat de goede kant op met deze methode, unbound heeft code toegevoegd waardoor die DNS requests beter zichtbaar worden in het pi-hole query log. Oorspronkelijk was deze pi-hole query status (8 - By upstream server - NXDOMAIN with RA bit unset) bedoeld om de door quad9 geblokte domains weer te geven. Door de toegevoegde code (unbound v1.14.1) zullen nu ook rpz blocked domains die status verkrijgen, wat een en ander makkelijker maakt, niet langer de unbound logs doorzoeken, het pi-hole query log toont die DNS requests:

[Afbeelding]

Voorlopig helaas alleen beschikbaar voor unbound users met v1.14.1, zelf te compileren (git clone https://github.com/NLnetLabs/unbound), aan pi-hole moet hiervoor niets gewijzigd worden.

Vroeg of laat zal v1.14.1 wel in raspbian te voorschijn komen, wie zich niet wil wagen aan de compiled versie, zal even geduld moeten hebben.

Mijn geupdate PDF manual over dit onderwerp hier, géén vertrouwen in PDF -> niet openen.

Helaas ook een waarschuwing: voorzichtig met de keuze van rpz bronnen die je toevoegd. Ik las hier dat er weer een nieuwe rpz bron getest werd. Ik heb ze getest, en het issue beantwoord, echter, gedurende de test werd al snel duidelijk dat die rpz geen gunstig effect heeft op de browsing experiance, een aantal belangrijke domains werden geblocked, zoals al eerder aangegeven is er géén whitelist optie.

[ Voor 7% gewijzigd door Church of Noise op 06-01-2022 16:02 ]

deHakkelaar schreef op donderdag 6 januari 2022 @ 18:09:
De docs zijn inmiddels aangepast voor de nieuwe edns-packet-max=1232 waarde (EDIT: welke je dus zowel in pihole-FTL als unbound moet configureren!):
https://docs.pi-hole.net/guides/dns/unbound/

1

sudo sed -i 's/^\s*edns-buffer-size:.*/    edns-buffer-size: 1232/g' /etc/unbound/unbound.conf.d/pi-hole.conf

1

sudo tee /etc/dnsmasq.d/99-edns.conf <<< 'edns-packet-max=1232'

pi@ph5b:~ $ grep edns- /etc/unbound/unbound.conf.d/pi-hole.conf /etc/dnsmasq.d/99-edns.conf
/etc/unbound/unbound.conf.d/pi-hole.conf:    edns-buffer-size: 1232
/etc/dnsmasq.d/99-edns.conf:edns-packet-max=1232

1

sudo service unbound restart

1

sudo service pihole-FTL restart

[ Voor 4% gewijzigd door deHakkelaar op 13-01-2022 03:35 . Reden: nog een keer sed ge-tweaked ]

michelk31 schreef op donderdag 6 januari 2022 @ 18:14:
Heeft iemand enige idee wat ik mis doe in portainer.
Ik zou graag via deze docker Pihole in de toekomst updaten.
Bijgevoegd vindt men een screenshot.

[Afbeelding]

Church of Noise schreef op donderdag 6 januari 2022 @ 15:47:
[...]

Da's mooi, dankje!

Net even Unbound opnieuw gecompileerd, de nodige zaken voor de doh rpz ook in de config file toegevoegd tegelijkertijd. Nu werkt dit wel (de eerste url uit je lijst levert wel degelijk nxdomain als response), maar ik zie nog niet in m'n logs dat die blocked is, zoals dat in je screenshot wel gebeurd.
Enig idee waar het misgaat?

Nvm, m'n fout gevonden: staat elders in je pdf...

pennywiser schreef op donderdag 6 januari 2022 @ 18:49:
[...]

Er staat wat er staat. Updaten kan ook met watchtower.

michelk31 schreef op donderdag 6 januari 2022 @ 19:01:
[...]


Wat bedoel je met er staat wat er staat?

Watchtower wilt niet starten in docker station.
Hij geeft de volgende melding na installatie in de console.
Cannot connect to the docker daemon at unix://var/run/docker.sock. is the docker daemon running?

[ Voor 8% gewijzigd door rens-br op 07-01-2022 08:24 ]

pennywiser schreef op donderdag 6 januari 2022 @ 19:07:
[...]

Nou, en is die running? Niet nog een pid file rondslingeren, systemd op orde?

[ Voor 10% gewijzigd door rens-br op 07-01-2022 08:23 ]

michelk31 schreef op donderdag 6 januari 2022 @ 19:26:
[...]


Wel dat is nou juist waarom ik hulp vraag op dit forum.
Heb je nog iets behulpzaam wat je wilt meedelen ......

michelk31 schreef op donderdag 6 januari 2022 @ 19:26:
[...]


Wel dat is nou juist waarom ik hulp vraag op dit forum.
Heb je nog iets behulpzaam wat je wilt meedelen ......

[ Voor 14% gewijzigd door pennywiser op 06-01-2022 19:59 ]

michelk31 schreef op donderdag 6 januari 2022 @ 18:14:
Heeft iemand enige idee wat ik mis doe in portainer.
Ik zou graag via deze docker Pihole in de toekomst updaten.
Bijgevoegd vindt men een screenshot.

[Afbeelding]

[ Voor 13% gewijzigd door Hann1BaL op 07-01-2022 15:13 ]

Hann1BaL schreef op vrijdag 7 januari 2022 @ 15:00:
Ik google mij gek.

Sinds gisteren van Ziggo naar KPN verhuisd. een Fritz!box had ik al, dus alleen aan de WAN zijde opnieuw geconfigureerd en de rest gelaten voor het wat het.

Toen kwam het feestje: Daar was ineens IPv6 en die blies het Pi-Hole sprookje uit, omdat mijn (moderne devices) voorrang geven aan de IPv6 IPs.

Ik blijk minder te begrijpen van IPv6 dan ik dacht. De Ubuntu machine heeft meer adressen, maar als ik het goed begrijp is het fe80 address, het interne IP.
Ik dacht dus dat IP als DNS in te voeren in de FB, maar dan nog krijgen clients ook de FB als DNS.

Ik snap al niet waarom de Ubuntu machine waar PiHole op draait al meerdere IPv6 adressen heeft.

Wat is best practise om PiHole weer te draaien met IPv6? Ik word nu al weer kriegel van die vervelende adds in apps als buienradar etc. (Hoe snel je went aan een rustiger leven met pihole... )

EDIT:
Het fe80:.... address van de pihole invullen werkt uiteindelijk wel, maar pas nadat ik hier een bericht post. Als ik het goed begrijp verandert dat interne IP ook niet, dus ga ik er vanuit dat dit "solid" is.

EDIT2:
Toch niet. Toch een advertentie op NS.nl. Waarschijnlijk blijven er meerdere DNS servers staan met IPv6, wat niet de bedoeling is.

Church of Noise schreef op vrijdag 7 januari 2022 @ 15:01:
Kort vraagje in de rand van dit verhaal: ik heb op m'n primaire pi-hole een setup die erg goed loopt.
Daarnaast heb ik een secundaire pi-hole setup waar ik sinds kort weer de v6 versie op draai (en die is pre-alpha at best). Nu draait die tweede setup niet zo super, en wil ik eigenlijk gewoon de sd card van de primaire clonen en die dan gebruiken in de secundaire.
Is er een elegante manier om dat te doen?
Ik bedoel dan niet specifiek het clonen, maar het correct zetten van een en ander, vnl IP adres.
Ik dacht zelf aan:
* SD card clonen
* de dietpi netwerk settings aanpassen (best nog voor ik de sd card in de rpi zero w steek, dus in een of ander conf bestandje)
* pihole -r runnen
* unbound conf file bekijken om eventuele aanpassingen te doen

Zie ik iets over het hoofd?
*

Church of Noise schreef op vrijdag 7 januari 2022 @ 15:01:
Nu draait die tweede setup niet zo super, en wil ik eigenlijk gewoon de sd card van de primaire clonen en die dan gebruiken in de secundaire.
[..]
zie ik iets over het hoofd?

[ Voor 6% gewijzigd door deHakkelaar op 07-01-2022 19:58 . Reden: udev linkje ]

deHakkelaar schreef op vrijdag 7 januari 2022 @ 19:41:
En niet wanneer de opslag voor een ander stukje HW bestemd is omdat je ook de cryptische sleutels mee cloned (SSH, TLS etc).

deHakkelaar schreef op vrijdag 7 januari 2022 @ 20:08:
Onderstaande cleanup heb ik gejat geleend van een ander project (inclusief SSH):

code:

1 2 3 4 5 6 7 8 9 10 11 12 13

#!/bin/sh rm -f /home/pi/.bash_history rm -fr /home/pi/.cache rm -fr /home/pi/.local rm -fr /home/pi/.config rm -f /root/.bash_history rm -fr /root/.cache rm -fr /root/.local rm -fr /root/.config rm -fr /home/pi/.mc rm -fr /root/.mc history -c

Maarja daar werdt werd geen TLS gebruikt (EDIT: of wordt udev geadresseerd).

wimbre schreef op maandag 27 december 2021 @ 09:07:
[...]

Status update:
Tot nu toe nog steeds geen meldingen in Pi-hole diagnosis.

Ik ben hoopvol

1e: Ignoring domain AREXXXX.XX.LAN for DHCP host name LAP1233
2e: no address range available for DHCPv6 request via eth0

Webgnome schreef op zaterdag 8 januari 2022 @ 14:55:
Waarschijnlijk probeert een applicatie 'snachts het een en ander bij te werken. Ik heb dit gedrag ook wel vaker gezien. Zolang ze geblokkeerd worden is er niets aan de hand toch? Als je dit niet wil dan zul je moeten gaan uitzoeken welke applicatie dat doet. En anders je telefoon 'snachts uit zetten

[ Voor 28% gewijzigd door Webgnome op 08-01-2022 14:59 ]

1
2
3
4
5
6
7
8
9
10

certificatesResolvers:
  cloudflare:
    acme:
      email: (een valide adres)
      storage: acme.json
      dnsChallenge:
        provider: cloudflare
        resolvers:
          - "1.1.1.1:53"
          - "1.0.0.1:53"

[ Voor 16% gewijzigd door Koepert op 08-01-2022 15:49 . Reden: Tweede vraag? ]

Church of Noise schreef op zaterdag 8 januari 2022 @ 10:39:
Lijkt er inderdaad op dat het meer gedoe is dan van een verse install te vertrekken.

Documentatie voor deze systeempjes zit in m'n hoofd, gezien het uiteindelijk dietpi + pi-hole dev + gecompilede unbound + wat tweaks (Wifi, BT en HDMI uit, m'n NAS mounten voor backup, beperkt aantal cron jobs, ...) Niet veel hoor, maar al bij al wel wat zoekwerk.
Ik zal van deze gelegenheid gebruik maken om alles te loggen zodat ik wel documentatie heb

wimbre schreef op zaterdag 8 januari 2022 @ 08:34:
Ik zou nog even een terugkoppeling geven over eventuele "messages in Pi-hole diagnosis" in de afgelopen periode. Alles draait goed maar vanaf het moment dat ik op mijn kantoorlaptop ging werken krijg ik 2 soorten meldingen:

1e: Ignoring domain AREXXXX.XX.LAN for DHCP host name LAP1233
2e: no address range available for DHCPv6 request via eth0

LAP1233 = naam van de laptop werkgever.
AREXXXX.XX.LAN = naam van de server van de wekgever.

Alhoewel Pi-Hole verder zonder problemen draait zou ik deze meldingen (Circa 5-6 meldingen per dag) graag voorkomen. Is dit mogelijk?

RensVerlaak schreef op zaterdag 8 januari 2022 @ 14:50:
[Afbeelding]

Ik ben momenteel alleen met mijn telefoon verbonden aan pi-hole en ik heb juist wanneer ik mijn telefoon niet gebruik (s' nachts) hele hoge pieken binnen mijn blocked queries.

Het gaat voornamelijk om de domeinen:
www.googleadservices.com
ad.doubleclick.net

Iemand hier een verklaring voor?

Er bestaan nog een aantal van dat soort projecten, maar die zijn niet volledig deGoogled of simpelweg minder bekend en de bovenstaande drie zijn IMHO toch wel de meest interessante van het geheel!

Koepert schreef op zaterdag 8 januari 2022 @ 15:46:
Door bovenstaande setting: (DNS Proxmox = Pihole container, DNS Pihole container = DNS settings, DNS settings Pihole = (Nu dus nog) Cloudflare + Unbound) mijn vele traffic veroorzaken zoals eerder besproken?

Naar:

lb._dns-sd._udp.0.178.168.192.in-addr.arpa
lb._dns-sd._udp.fritz.box

Dat zijn nog steeds mn top 2 blocked domains. Op zich kan ik er mee leven

nero355 schreef op zaterdag 8 januari 2022 @ 15:55:
[...]

TIP : Maak gewoon backups van je config files en zet die gewoon terug op de plekken waar ze horen na een verse installatie!

Hulliee schreef op zaterdag 8 januari 2022 @ 17:23:
Ik gebruik de standaard functionaliteit Teleporter om instellingen en lijsten te backupen en terug te zetten. Eigenlijk zonder problemen naar een verse installatie.

deHakkelaar schreef op zaterdag 8 januari 2022 @ 17:35:
Is denk ik gewoon een app die in "frenzy" modus schiet omdat het domein niet op te lossen valt.

deHakkelaar schreef op zaterdag 8 januari 2022 @ 18:01:
Die lb._dns-sd._udp.fritz.box verzoekjes zijn gewoon onderdeel van een discovery welke door een app wordt geinitieerd.
Kan mogelijk mDNS/Bonjour zijn wat geloof ik op Apple apparaten gebruikelijk is.

deHakkelaar schreef op donderdag 6 januari 2022 @ 18:09:
De docs zijn inmiddels aangepast voor de nieuwe edns-packet-max=1232 waarde (EDIT: welke je dus zowel in pihole-FTL als unbound moet configureren!):
https://docs.pi-hole.net/guides/dns/unbound/

dehakkelaar@10.0.0.60:~ $ dig +short @10.0.0.4 pi-hole.net a
3.18.136.52

pi@ph5b:~ $ sudo tcpdump -ntqi any port 53 or port 5335
tcpdump: data link type LINUX_SLL2
tcpdump: verbose output suppressed, use -v[v]... for full protocol decode
listening on any, link-type LINUX_SLL2 (Linux cooked v2), snapshot length
262144 bytes

eth0  In  IP 10.0.0.60.44841 > 10.0.0.4.53: UDP, length 40
lo    In  IP 127.0.0.1.59176 > 127.0.0.1.5335: UDP, length 40
eth0  Out IP 10.0.0.4.28428 > 202.12.27.33.53: UDP, length 28
eth0  In  IP 202.12.27.33.53 > 10.0.0.4.28428: UDP, length 1097
eth0  Out IP 10.0.0.4.11926 > 199.7.83.42.53: UDP, length 32
eth0  In  IP 199.7.83.42.53 > 10.0.0.4.11926: UDP, length 1160
eth0  Out IP 10.0.0.4.59450 > 192.35.51.30.53: UDP, length 40
eth0  In  IP 192.35.51.30.53 > 10.0.0.4.59450: UDP, length 531
eth0  Out IP 10.0.0.4.36307 > 185.136.98.96.53: UDP, length 40
eth0  In  IP 185.136.98.96.53 > 10.0.0.4.36307: UDP, length 1160
eth0  Out IP 10.0.0.4.40165 > 192.112.36.4.53: UDP, length 28
eth0  Out IP 10.0.0.4.64830 > 198.41.0.4.53: UDP, length 37
eth0  In  IP 198.41.0.4.53 > 10.0.0.4.64830: UDP, length 709
eth0  In  IP 192.112.36.4.53 > 10.0.0.4.40165: UDP, length 1141
eth0  Out IP 10.0.0.4.40428 > 192.5.6.30.53: UDP, length 32
eth0  In  IP 192.5.6.30.53 > 10.0.0.4.40428: UDP, length 775
eth0  Out IP 10.0.0.4.5472 > 185.136.98.96.53: UDP, length 40
eth0  In  IP 185.136.98.96.53 > 10.0.0.4.5472: UDP, length 414
lo    In  IP 127.0.0.1.5335 > 127.0.0.1.59176: UDP, length 56
eth0  Out IP 10.0.0.4.53 > 10.0.0.60.44841: UDP, length 56

dehakkelaar@10.0.0.60:~ $ dig +short @10.0.0.4 grolsch.nl a
40.91.196.207

pi@ph5b:~ $ sudo tcpdump -ntqi any port 53 or port 5335
tcpdump: data link type LINUX_SLL2
tcpdump: verbose output suppressed, use -v[v]... for full protocol decode
listening on any, link-type LINUX_SLL2 (Linux cooked v2), snapshot length
262144 bytes

eth0  In  IP 10.0.0.60.43930 > 10.0.0.4.53: UDP, length 39
lo    In  IP 127.0.0.1.57366 > 127.0.0.1.5335: UDP, length 39
eth0  Out IP 10.0.0.4.15445 > 198.41.0.4.53: UDP, length 31
eth0  In  IP 198.41.0.4.53 > 10.0.0.4.15445: UDP, length 556
eth0  Out IP 10.0.0.4.58886 > 194.146.106.42.53: UDP, length 39
eth0  In  IP 194.146.106.42.53 > 10.0.0.4.58886: UDP, length 371
eth0  Out IP 10.0.0.4.17720 > 193.254.215.240.53: UDP, length 39
eth0  In  IP 193.254.215.240.53 > 10.0.0.4.17720: UDP, length 353
eth0  Out IP 10.0.0.4.28878 > 194.0.28.53.53: UDP, length 31
eth0  In  IP 194.0.28.53.53 > 10.0.0.4.28878: UDP, length 745
eth0  Out IP 10.0.0.4.20435 > 193.254.215.241.53: UDP, length 39
eth0  In  IP 193.254.215.241.53 > 10.0.0.4.20435: UDP, length 39
eth0  Out IP 10.0.0.4.58050 > 193.254.215.241.53: tcp 0
eth0  In  IP 193.254.215.241.53 > 10.0.0.4.58050: tcp 0
eth0  Out IP 10.0.0.4.58050 > 193.254.215.241.53: tcp 0
eth0  Out IP 10.0.0.4.58050 > 193.254.215.241.53: tcp 41
eth0  In  IP 193.254.215.241.53 > 10.0.0.4.58050: tcp 1208
eth0  Out IP 10.0.0.4.58050 > 193.254.215.241.53: tcp 0
eth0  In  IP 193.254.215.241.53 > 10.0.0.4.58050: tcp 493
eth0  Out IP 10.0.0.4.58050 > 193.254.215.241.53: tcp 0
lo    In  IP 127.0.0.1.5335 > 127.0.0.1.57366: UDP, length 55
eth0  Out IP 10.0.0.4.53 > 10.0.0.60.43930: UDP, length 55

deHakkelaar schreef op zaterdag 8 januari 2022 @ 17:27:
[...]

Als je twijfelt over DNS, dan ga je testen met:

code:

1	nslookup <DOMAIN> <DNS_SERVER_IP>

Of als je een afwijkende DNS poort wilt testen (niet default poort 53):

code:

1	dig @<DNS_SERVER_IP> -p <PORT> <DOMAIN>

pi@ph5b:~ $ echo | openssl s_client -connect tweakers.nl:443 -servername tweakers.nl </dev/null 2>/dev/null | openssl x509 -noout -text
[..]
        Subject: CN = *.tweakers.net
[..]
            X509v3 Subject Alternative Name:
                DNS:*.hardware.info, DNS:*.itbanen.nl, DNS:*.tweakblogs.net, DNS:*.tweakers.be, DNS:*.tweakers.mobi, DNS:*.tweakers.net, DNS:*.tweakers.nl, DNS:*.tweakers.tv, DNS:*.tweakimg.net, DNS:*.tweakzones.net, DNS:hardware.info, DNS:itbanen.nl, DNS:tweakblogs.net, DNS:tweakers.be, DNS:tweakers.mobi, DNS:tweakers.net, DNS:tweakers.nl, DNS:tweakers.tv, DNS:tweakimg.net, DNS:tweakzones.net
[..]

[ Voor 76% gewijzigd door deHakkelaar op 08-01-2022 19:56 ]

deHakkelaar schreef op zaterdag 8 januari 2022 @ 19:43:
@Koepert , dan vraag je beide DNS systemen met nslookup en vergelijkt ofdat de antwoorden overeenkomen.

EDIT: SSL/TLS certs werken met domeinnamen die naar de juiste IP(s) moet worden opgelost via DNS:

pi@ph5b:~ $ echo | openssl s_client -connect tweakers.nl:443 -servername tweakers.nl </dev/null 2>/dev/null | openssl x509 -noout -text
[..]
        Subject: CN = *.tweakers.net
[..]
            X509v3 Subject Alternative Name:
                DNS:*.hardware.info, DNS:*.itbanen.nl, DNS:*.tweakblogs.net, DNS:*.tweakers.be, DNS:*.tweakers.mobi, DNS:*.tweakers.net, DNS:*.tweakers.nl, DNS:*.tweakers.tv, DNS:*.tweakimg.net, DNS:*.tweakzones.net, DNS:hardware.info, DNS:itbanen.nl, DNS:tweakblogs.net, DNS:tweakers.be, DNS:tweakers.mobi, DNS:tweakers.net, DNS:tweakers.nl, DNS:tweakers.tv, DNS:tweakimg.net, DNS:tweakzones.net
[..]

DikkieDick schreef op zaterdag 8 januari 2022 @ 19:17:
Ik draai Pihole in een docker container op een Raspberry pi4. Dat draait als een zonnetje en zo draait er ook nog homeassistant. Net zat ik eens in de syslog te kijken en zag het volgende:

Jan 8 19:16:36 raspberrypi systemd[705]: run-docker-runtime\x2drunc-moby-30027dc1f14fbb2e6b972dce62f2d0613a8f8bf6af662d63185d8ac5b5faf499-runc.a3CNN7.mount: Succeeded.
Jan 8 19:16:36 raspberrypi systemd[1]: run-docker-runtime\x2drunc-moby-30027dc1f14fbb2e6b972dce62f2d0613a8f8bf6af662d63185d8ac5b5faf499-runc.a3CNN7.mount: Succeeded.

En die meldingen komen elke 30 seconden. Lijkt op iets met docker, maar waarom ik hier kom... het genoemde id achter moby is het id van de pihole-container. Waarom zou deze elke 30 seconden iets moeten gaan mounten?

deHakkelaar schreef op zondag 2 januari 2022 @ 14:39:
[...]


Node één van twee (welke ook DHCP doet) met unbound als upstream:

[Afbeelding]

[Afbeelding]

[Afbeelding]

------------------

Node twee van twee met unbound:

[Afbeelding]

[Afbeelding]

[Afbeelding]

LAN namen en IP's worden gewoon opgelost vanaf een client (EDIT: via beide Pi-hole IP's):

C:\>nslookup avr 10.0.0.2
Server:  ph5a.home.dehakkelaar.nl
Address:  10.0.0.2

Name:    avr.home.dehakkelaar.nl
Address:  10.0.0.9

C:\>nslookup avr 10.0.0.4
Server:  pi.hole
Address:  10.0.0.4

Name:    avr.home.dehakkelaar.nl
Address:  10.0.0.9

C:\>nslookup 10.0.0.9 10.0.0.2
Server:  ph5a.home.dehakkelaar.nl
Address:  10.0.0.2

Name:    avr.home.dehakkelaar.nl
Address:  10.0.0.9

C:\>nslookup 10.0.0.9 10.0.0.4
Server:  pi.hole
Address:  10.0.0.4

Name:    avr.home.dehakkelaar.nl
Address:  10.0.0.9

jpgview schreef op zondag 2 januari 2022 @ 22:28:
Een aantal maanden geleden schreef ik hier hoe je met behulp van pfsense (of andere firewall met uitgebreide mogelijkheden) er kan voor zorgen dat DoH (DNS over HTTPS) weinig kans maakt om pi-hole te omzeilen. Het, ondertussen verplaatste, document vind je hier.

Gebruikers die een niet compatibele firewall hebben, blijven echter in de kou staan. Er werd een sectie toegevoegd om een pi-hole lijst te genereren, twijfelachtig of dit veel gebruikt wordt.

Voor de gebruikers van unbound (of bind, knot resolver - niet getest) heb ik een oplossing uitgewerkt die bescherming moet bieden tegen DoH. In unbound 1.14.0 (release notes hier) is de ondersteuning voor response policy zones flink uitgebreid (was al ondersteund vanaf v1.10 (lees hier)

Meer details vind je in deze manual. Zelf maak ik gebruik van een aparte config file (/etc/unbound/unbound.conf.d/rpz.conf), met daarin de rpz gerelateerde settings). Lees zeker de waarschuwing over module-config (slechts één entry in alle config files, laatste wordt actief).

- De test werd initieel gestart met de urlhaus rpz (malware). Deze zone wordt alle 5 minuten geupdate. Deze test loopt reeds een maand zonder enig probleem.
- De test met de DoH zone loopt nu een week, geen problemen, maar de IP's worden al veel langer geblocked (op de firewall), hier verwacht ik dus ook geen problemen.
- De DoH rpz file vind je hier (dagelijkse update).

Er zijn voordelen en nadelen verbonden aan het gebruik van response policy zones, een aantal ervan zijn opgelijst in sectie 4 ( Pro-Con using response policy zones). Het belangrijkste voordeel lijkt mij dat unbound de zone info automatisch update, gebaseerd op de SOA informatie in het bestand.

Zoals altijd:
- het staat iedereen vrij te doen wat hij/zij wil, gebruik het ... of niet.
- al mijn documenten zijn PDF, géén vertrouwen in PDF -> niet openen.
- getest met laatst pi-hole versie en laatste unbound versie (1.14.0). Werkt het niet -> upgrade...
- issues hier.

1
2
3
4
5
6

echo "deb http://deb.debian.org/debian buster-backports main" >> /etc/apt/sources.list
apt-key adv --keyserver keyserver.ubuntu.com --recv-keys 04EE7237B7D453EC
apt-key adv --keyserver keyserver.ubuntu.com --recv-keys 648ACFD622F3D138
apt update
apt list unbound -a
apt install -t buster-backports unbound

Koepert schreef op zondag 9 januari 2022 @ 22:29:
[...]
Als ik m’n Fritzbox dhcp wil laten blijven doen. Kan dit dan ook nog steeds? 2 pi-hole instances het zij als failover/active passive of active active?

deHakkelaar schreef op zondag 9 januari 2022 @ 23:18:
[...]

Ik zou die extra repo niet toevoegen aan het /etc/apt/sources.list bestandje omdat deze mogelijk bij een apt upgrade overschreven kan worden!
Bestandjes met de .list extensie in de /etc/apt/sources.list.d/ folder worden ook gelezen door apt dus dit is de betere plek daarvoor.

EDIT: Bv:

code:

1	sudo tee /etc/apt/sources.list.d/debian-buster-backports.list <<< 'deb http://deb.debian.org/debian buster-backports main'

Add Backports to sources.list

deb http://deb.debian.org/debian bullseye-backports main

to sources.list (or add a new file with the ".list" extension to /etc/apt/sources.list.d/).

deHakkelaar schreef op zondag 9 januari 2022 @ 23:10:
[...]


[...]

Koepert schreef op maandag 10 januari 2022 @ 07:08:
[...]
Ja was er al bang voor. Antwoord is dus voor mij nee, tenzij ik dhcp door pi ga laten doen. Ik gebruik methode 1 vd link omdat ik individuele clients wil hebben ipv 1 bulk aan Fritzbox. Ik kan bij methode 1 idd maar 1 DNS ingeven en de andere methode wel 2..

Dit scenario is zeker een slecht idee?:

Dns in fritZ : pihole1. Upstream in pihole1: pihole2. Upstream in pihole2 unbound. Dhcp in fritz.

Koepert schreef op maandag 10 januari 2022 @ 07:08:
Ja was er al bang voor. Antwoord is dus voor mij nee, tenzij ik dhcp door pi ga laten doen.

[ Voor 8% gewijzigd door deHakkelaar op 10-01-2022 18:31 ]

deHakkelaar schreef op maandag 10 januari 2022 @ 18:24:
[...]
Ik heb nog ff snel ge-duckducked maar zo te zien ziet het er naar uit dat je via de F!B DHCP service slecht of helemaal niet enige andere/extra DHCP opties kunt definieren.
Je zou de F!B documentatie nog kunnen raadplegen ofdat extra DHCP opties te definieren zijn maar ik acht de kans klein.
Dan zijn je mogelijkheden beperkt en lijkt de omschakeling naar Pi-hole DHCP de beste optie voor jou als je twee of meerder DNS servers wilt adverteren via DHCP.
EDIT: Plus dat je dan nog veel meer DHCP opties kunt definieren zoals in dat linkje boven.

[ Voor 31% gewijzigd door deHakkelaar op 10-01-2022 19:19 ]

deHakkelaar schreef op maandag 10 januari 2022 @ 19:17:
@Freee!! , waarom zou ja dat doen als pihole-FTL al DHCPv4 en DHCPv6 kan met enorm veel mogelijkheden?
EDIT: Embedded dnsmasq heeft zich allang bewezen vandaar dat deze op vele thuis routertjes draait.

Freee!! schreef op maandag 10 januari 2022 @ 19:23:
Toen ik het snel nodig had^*), kon ik niet meerdere DNS-servers invullen (ik draai Pi-Holes op verschillende RPi's).

Freee!! schreef op maandag 10 januari 2022 @ 19:23:
DHCP-functionaliteit van mijn modem/router hield ermee op.

[ Voor 4% gewijzigd door deHakkelaar op 10-01-2022 19:27 ]

deHakkelaar schreef op maandag 10 januari 2022 @ 19:27:
[...]
deHakkelaar in "[Pi-Hole] Ervaringen & discussie"
Makkelijker als een hele DHCP server opzetten.

[...]
Zoals zovele thuis routertjes.

Vandaar de switch naar pihole-FTL voor DHCP.

Freee!! schreef op maandag 10 januari 2022 @ 19:35:
Als je die informatie hebt misschien wel, maar die had ik meer dan een jaar geleden niet, die link, die ik net gepost heb, vond ik vrij snel en het werkte vrijwel direct.

deHakkelaar schreef op maandag 10 januari 2022 @ 19:40:
[...]
Ja maar dat is wel het probleem van tegenwoordig.
Als je nu gaat zoeken naar een oplossing zijn 80% niet de juiste en zeker als het blog's etc betreft welke vaak onvolledig zijn.
Ik heb al zoveel onzin in blogs zien staan dat ik ze tegenwoordig al niet meer open.
EDIT: RTFM

deHakkelaar schreef op maandag 10 januari 2022 @ 19:48:
@Freee!! , YT filmpjes zijn een verschrikking.
De meesten schieten gewoon tekort en zijn vaak onvolledig of alleen voor specifieke omstandigheden geschikt.
Ik duik meestal toch gewoon de officiele documentatie in en duckduck de rest voor voorbeelden/pointers etc.
EDIT: Ow en als ik er echt niet uitkom, dan vraag ik op de juiste support kanalen.

dss58 schreef op maandag 10 januari 2022 @ 20:40:
waarom zijn YT filmpjes een verschrikking ?

Freee!! schreef op maandag 10 januari 2022 @ 19:43:
en ze zijn nog altijd een stuk beter dan die YouTube-video's, die er tien minuten over doen om iets uit te leggen, dat ik zelf in minder dan een minuut kan lezen.

[ Voor 21% gewijzigd door deHakkelaar op 10-01-2022 20:47 ]

deHakkelaar schreef op maandag 10 januari 2022 @ 20:26:
Wie heeft er een Fritz!Box en kun je daar een prompt tevoorschijn toveren?
Ben wel benieuwd welke processen daarop draaien?

pi@ph5b:~ $ ps -e
  PID TTY          TIME CMD
[..]
26113 ?        01:02:35 pihole-FTL
[..]
26134 ?        00:00:14 unbound
[..]

M'n Asus routertje draait waarschijnlijk in een soort BusyBox omgeving dus kent het -e argument niet:

dehakkelaar@asus-router:/tmp/home/root# ps
  PID USER       VSZ STAT COMMAND
[..]
 7745 nobody    1036 S    dnsmasq --log-async
[..]

deHakkelaar schreef op maandag 10 januari 2022 @ 20:46:
[...]


[...]

deHakkelaar schreef op maandag 10 januari 2022 @ 21:58:
@dss58 , ik heb vaak het geduld niet om YT uitleg filmpjes uit te kijken.
Maar ik heb er wel een paar gezien waaronder die van de wel bekende Linus Tech Tips over Pi-hole waar ik dus ook al een behoorlijke fout constateerde.
Als ik goed herinner, adverteerden ze het Pi-hole IP via DHCP met daarnaast een tweede IP van Google DNS of iets dergelijks.
Dat gaat dus mis omdat het Pi-hole IP het enige DNS IP moet zijn voor de client:
https://discourse.pi-hole...e-my-only-dns-server/3376

Freee!! schreef op maandag 10 januari 2022 @ 19:35:
Ik heb nu geen zin alles weer om te zetten

Freee!! schreef op maandag 10 januari 2022 @ 19:43:
Nog altijd een stuk beter dan die YouTube-video's, die er tien minuten over doen om iets uit te leggen, dat ik zelf in minder dan een minuut kan lezen.

deHakkelaar schreef op maandag 10 januari 2022 @ 19:48:
YT filmpjes zijn een verschrikking.

dss58 schreef op maandag 10 januari 2022 @ 20:40:
Waarom zijn YT filmpjes een verschrikking ?

Als je de kennis grotendeels hebt kan ik me voorstellen dat je het langdradige onzin vind, maar YouTube: Getting Started with OpenSSH Key Management zat ik toen straks te kijken, idd langdradig... maar legt wel uit van het hoe en waarom met verwijzing naar andere YT filmpjes door hem gemaakt, een ander jakkert door de commando's heen om het doel te bereiken met amper uitleg van het hoe en waarom, beide kan ik waarderen, maar dat er een hoop pulp op staat, dat klopt zeker wel, ik zou ze niet allemaal over 1 kam willen scheren en zeker maak ik ook gebruik van documentatie die links en rechts te vinden is

deHakkelaar schreef op maandag 10 januari 2022 @ 21:58:
Maar ik heb er wel een paar gezien waaronder die van de wel bekende Linus Tech Tips over Pi-hole waar ik dus ook al een behoorlijke fout constateerde.
Als ik goed herinner, adverteerden ze het Pi-hole IP via DHCP met daarnaast een tweede IP van Google DNS of iets dergelijks.
Dat gaat dus mis omdat het Pi-hole IP het enige DNS IP moet zijn voor de client:
https://discourse.pi-hole...e-my-only-dns-server/3376

westlym schreef op maandag 10 januari 2022 @ 23:51:
ik heb alleen pihole geupgrade en sinds enkele minuten geleden ontvang ik de volgende foutmelding in pihole: Ignoring query from non-local network

ik gebruik pivpn en pihole op hetzelfde apparaat.

interface=tun0

interface=wg0

Church of Noise schreef op maandag 18 oktober 2021 @ 11:45:
Klein vraagje voor unbound gebruikers: ik merkte dat een van de cloud servers die we persoonlijk gebruiken, niet bereikt kon worden. Even 'dig' in de console en inderdaad, SERVFAIL (zag het zelfde in de Pi-Hole query log). Dig met Quad9 als DNS gaf wél een resultaat, dus het lag niet aan de server zelf.

Toen dacht ik dat het aan mijn Unbound config zou kunnen liggen, meer bepaald de adressen voor de authoritative servers. En inderdaad, toen ik er een toevoegde (zie hieronder) werkte het wel. Beetje vreemd vind ik, heeft iemand inzicht hierin?

code:

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29

auth-zone: # local copy of the DNS root zone (hyperlocal) # map and root server locations: https://root-servers.org # IPv4/IPv6 addresses: https://www.iana.org/domains/root/servers and # https://de.wikipedia.org/wiki/Root-Nameserver # Performance / Uptime / Quality: # https://www.dnsperf.com/#!dns-root-servers,Europe # Use servers that provide zone transfer of the root zone (AXFR), see # https://root-servers.org/faq.html and # https://www.dns.icann.org/services/axfr/ name: "." master: 192.5.5.241 # f.root-servers.net master: 2001:500:2f::f # f.root-servers.net master: 192.0.32.132 # lax.xfr.dns.icann.org master: 192.0.47.132 # iad.xfr.dns.icann.org master: 2620:0:2d0:202::132 # lax.xfr.dns.icann.org master: 2620:0:2830:202::132 # iad.xfr.dns.icann.org master: 199.7.83.42 # ICANN master: 2001:500:9f::42 # ICANN # Additional download via URL: url: "https://www.internic.net/domain/root.zone" fallback-enabled: yes for-downstream: no for-upstream: yes zonefile: "root.zone"

De twee op lijn 20 en 21 heb ik dus toegevoegd, en die losten het probleem op...