[Pi-Hole] Ervaringen & discussie

Miki schreef op maandag 23 mei 2022 @ 17:13:
mask.icloud.com
mask-h2.icloud.com

BLOCK_ICLOUD_PR=true|false (PR #1171)¶

Should Pi-hole always replies with NXDOMAIN to A and AAAA queries of mask.icloud.com and mask-h2.icloud.com to disable Apple's iCloud Private Relay to prevent Apple devices from bypassing Pi-hole? This is following the recommendation on https://developer.apple.c...-for-icloud-private-relay

pi@ph5b:~ $ dig +noall +comments +answer @localhost a mask.icloud.com
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NXDOMAIN, id: 9286
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 1232

pi@ph5b:~ $ dig +noall +comments +answer @8.8.8.8 a mask.icloud.com
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 18624
;; flags: qr rd ra; QUERY: 1, ANSWER: 9, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 512
;; ANSWER SECTION:
mask.icloud.com.        2142    IN      CNAME   mask.apple-dns.net.
mask.apple-dns.net.     60      IN      A       17.248.176.71
mask.apple-dns.net.     60      IN      A       17.248.176.5
mask.apple-dns.net.     60      IN      A       17.248.176.72
mask.apple-dns.net.     60      IN      A       17.248.176.7
mask.apple-dns.net.     60      IN      A       17.248.176.73
mask.apple-dns.net.     60      IN      A       17.248.176.6
mask.apple-dns.net.     60      IN      A       17.248.176.70
mask.apple-dns.net.     60      IN      A       17.248.176.4

[ Voor 50% gewijzigd door deHakkelaar op 24-05-2022 23:16 . Reden: dig voorbeeld toegevoegd ]

Miki schreef op maandag 23 mei 2022 @ 17:13:
mask.icloud.com
mask-h2.icloud.com

S023 schreef op dinsdag 24 mei 2022 @ 21:56:
[...]


Misschien een korte toelichting hoe je dit instelt in de webinterface? Zou mij als leek in ieder geval helpen.

deHakkelaar schreef op dinsdag 24 mei 2022 @ 22:35:
[...]
Zo werkt het niet.
Met blacklisten krijg je niet het gewenste resultaat van een NXDOMAIN status antwoord.
Met blacklisten zal de status zijn NOERROR en wordt 0.0.0.0 als antwoord gegeven.

pi@ph5b:~ $ pihole status
  [✓] FTL is listening on port 53
     [✓] UDP (IPv4)
     [✓] TCP (IPv4)
     [✓] UDP (IPv6)
     [✓] TCP (IPv6)

  [✓] Pi-hole blocking is enabled

pi@ph5b:~ $ nslookup pi.hole. localhost
Server:         localhost
Address:        ::1#53

Name:   pi.hole
Address: 127.0.0.1
Name:   pi.hole
Address: ::1

C:\>nslookup pi.hole. 10.0.0.4
Server:  pi.hole
Address:  10.0.0.4

Name:    pi.hole
Addresses:  fe80::22e5:XXXX:XXXX:XXXX
          10.0.0.4

pi@ph5b:~ $ pihole -t
  [i] Press Ctrl-C to exit
00:01:17: query[PTR] 4.0.0.10.in-addr.arpa from 10.0.0.11
00:01:17: config 4.0.0.10.in-addr.arpa is <PTR>
00:01:17: query[A] pi.hole from 10.0.0.11
00:01:17: Pi-hole hostname pi.hole is 10.0.0.4
00:01:17: query[AAAA] pi.hole from 10.0.0.11
00:01:17: Pi-hole hostname pi.hole is fe80::22e5:XXXX:XXXX:XXXX

[ Voor 2% gewijzigd door deHakkelaar op 25-05-2022 00:39 . Reden: redact + linkje ]

Koepert schreef op woensdag 25 mei 2022 @ 09:06:
[...]
is het dan afdoende om een configfile aan te maken met 1 regel er in?

deHakkelaar schreef op woensdag 25 mei 2022 @ 00:09:
@Windows95 , controleren ofdat ie draait:

pi@ph5b:~ $ pihole status
  [✓] FTL is listening on port 53
     [✓] UDP (IPv4)
     [✓] TCP (IPv4)
     [✓] UDP (IPv6)
     [✓] TCP (IPv6)

  [✓] Pi-hole blocking is enabled

Controleren ofdat ie lokaal antwoord:

pi@ph5b:~ $ nslookup pi.hole. localhost
Server:         localhost
Address:        ::1#53

Name:   pi.hole
Address: 127.0.0.1
Name:   pi.hole
Address: ::1

Hetzelfde draaien op een client (Windows/MacOS/Linux) om verbinding te testen.
Alleen dan bovenstaande localhost vervangen met je Pi-hole IP adres:

C:\>nslookup pi.hole. 10.0.0.4
Server:  pi.hole
Address:  10.0.0.4

Name:    pi.hole
Addresses:  fe80::22e5:XXXX:XXXX:XXXX
          10.0.0.4

Gelijktijdig de logs live volgen:

pi@ph5b:~ $ pihole -t
  [i] Press Ctrl-C to exit
00:01:17: query[PTR] 4.0.0.10.in-addr.arpa from 10.0.0.11
00:01:17: config 4.0.0.10.in-addr.arpa is <PTR>
00:01:17: query[A] pi.hole from 10.0.0.11
00:01:17: Pi-hole hostname pi.hole is 10.0.0.4
00:01:17: query[AAAA] pi.hole from 10.0.0.11
00:01:17: Pi-hole hostname pi.hole is fe80::22e5:XXXX:XXXX:XXXX

Zorg dat je de "rebind protection" instelling op de router uit hebt staan of wat voorkeur heeft, een uitzondering instellen voor de Pi-hole host.
Soms heeft het beestje een andere naam.

root@DietPi:~# pihole status
  [✓] FTL is listening on port 53
     [✓] UDP (IPv4)
     [✓] TCP (IPv4)
     [✓] UDP (IPv6)
     [✓] TCP (IPv6)

  [✓] Pi-hole blocking is enabled

root@DietPi:~# nslookup pi.hole. localhost
Server:         localhost
Address:        127.0.0.1#53

Name:   pi.hole
Address: 127.0.0.1

PS C:\Users\Windows95> nslookup pi.hole. 192.168.1.5
Server:  pi.hole
Address:  192.168.1.5

Name:    pi.hole
Address:  192.168.1.5

root@DietPi:~# pihole -t
  [i] Press Ctrl-C to exit
12:22:48: query[PTR] 5.1.168.192.in-addr.arpa from 192.168.1.187
12:22:48: config 5.1.168.192.in-addr.arpa is <PTR>
12:22:48: query[A] pi.hole from 192.168.1.187
12:22:48: Pi-hole hostname pi.hole is 192.168.1.5
12:22:48: query[AAAA] pi.hole from 192.168.1.187
12:22:48: Pi-hole hostname pi.hole is NODATA

Windows95 schreef op dinsdag 24 mei 2022 @ 23:50:
Ik heb mijn oude raspberry pi vanavond maar eens onder het stof vandaan gehaald. DietPi geinstalleerd, vervolgens pi-hole. Hij draait nu op een static ip. De webinterface werkt ook prima.

Bij mijn Genexis router heb ik het ipadres van de raspberry pi ingevuld als DNS server ( bij internet -> internet status -> DNS Server Configuration -> Domain Name Server 1). Zodra ik dan op save druk, kan ik geen websites meer bezoeken.Ik zie dan in mijn unifi logs (heb alleen AP's) het volgende:
Client is having trouble resolving a domain name to an IP address (DNS timeout).

Ik heb ook geprobeerd om de raspberry pi rechtstreeks aan de modem te hangen (ipv via de AP). Hoe kan ik het beste beginnen met de oorzaak van het probleem te vinden, en hopelijk ook een oplossing?

Windows95 schreef op woensdag 25 mei 2022 @ 13:33:
Dit alles heb ik uitgevoerd zonder dat ik mijn pihole in de router heb geconfigureerd. Ik heb alleen IPv4.
Ik heb nu een Genexis Platinum, maar krijg nu de titanium van mijn internet provider. Ik kon nergens iets vinden over de rebind protection. Misschien nog een eigen router aanschaffen?

Koepert schreef op woensdag 25 mei 2022 @ 09:06:
Even noob hier he.. maar is het dan afdoende om een configfile aan te maken met 1 regel er in?

code:

1	BLOCK_ICLOUD_PR=true

C:\>nslookup -type=a mask.icloud.com
Server:  pi.hole
Address:  10.0.0.4

*** pi.hole can't find mask.icloud.com: Non-existent domain

Koepert schreef op woensdag 25 mei 2022 @ 09:06:
Of moet je bij gebruik van die file grootste deel van je default config daar ook in opnemen? (Lees: Is het aanvullend op je config of in plaats van?)

Windows95 schreef op woensdag 25 mei 2022 @ 22:55:
@nero355
[Afbeelding]

Hier heb ik hem ingevuld. Ik heb de platinum 7840. Maar ik krijg de titanium nu. Dus ben van plan om een eigen router aan te schaffen, om hem dan in de bridge te zetten.

Windows95 schreef op woensdag 25 mei 2022 @ 13:33:
[...]

root@DietPi:~# pihole status
  [✓] FTL is listening on port 53
     [✓] UDP (IPv4)
     [✓] TCP (IPv4)
     [✓] UDP (IPv6)
     [✓] TCP (IPv6)

  [✓] Pi-hole blocking is enabled

root@DietPi:~# nslookup pi.hole. localhost
Server:         localhost
Address:        127.0.0.1#53

Name:   pi.hole
Address: 127.0.0.1

PS C:\Users\Windows95> nslookup pi.hole. 192.168.1.5
Server:  pi.hole
Address:  192.168.1.5

Name:    pi.hole
Address:  192.168.1.5

root@DietPi:~# pihole -t
  [i] Press Ctrl-C to exit
12:22:48: query[PTR] 5.1.168.192.in-addr.arpa from 192.168.1.187
12:22:48: config 5.1.168.192.in-addr.arpa is <PTR>
12:22:48: query[A] pi.hole from 192.168.1.187
12:22:48: Pi-hole hostname pi.hole is 192.168.1.5
12:22:48: query[AAAA] pi.hole from 192.168.1.187
12:22:48: Pi-hole hostname pi.hole is NODATA

Dit alles heb ik uitgevoerd zonder dat ik mijn pihole in de router heb geconfigureerd. Ik heb alleen IPv4.
Ik heb nu een Genexis Platinum, maar krijg nu de titanium van mijn internet provider. Ik kon nergens iets vinden over de rebind protection. Misschien nog een eigen router aanschaffen?

pi@ph5a:~ $ nslookup tweakers.net. localhost
Server:         localhost
Address:        ::1#53

Non-authoritative answer:
Name:   tweakers.net
Address: 213.239.154.31
Name:   tweakers.net
Address: 2001:9a8:0:e:1337:0:80:2

C:\>nslookup pi.hole
Server:  ph5a.home.dehkkelaar.nl
Address:  10.0.0.2

Name:    pi.hole
Address:  10.0.0.2

pi@ph5a:~ $ pihole -q flurry.com
 Match found in https://raw.githubusercontent.com/StevenBlack/hosts/master/hosts:
   flurry.com
   adlog.flurry.com
   ads.flurry.com
   cdn.flurry.com
   cfg.flurry.com
   data.flurry.com
   gw.flurry.com
   proton.flurry.com
   dev.flurry.com

[ Voor 6% gewijzigd door deHakkelaar op 26-05-2022 00:58 ]

root@DietPi:~# nslookup tweakers.net localhost
Server:         localhost
Address:        127.0.0.1#53

Non-authoritative answer:
Name:   tweakers.net
Address: 213.239.154.30
Name:   tweakers.net
Address: 2001:9a8:0:e:1337:0:80:2

PS C:\Users\Windows95> nslookup pi.hole
Server:  router.domain_not_set.invalid
Address:  192.168.1.254

DNS request timed out.
    timeout was 2 seconds.
DNS request timed out.
    timeout was 2 seconds.
*** Request to router.domain_not_set.invalid timed-out

PS C:\Users\Windows95> nslookup pi.hole
Server:  pi.hole
Address:  192.168.1.5

Name:    pi.hole
Address:  192.168.1.5

root@DietPi:~# pihole -q flurry.com
 Match found in https://raw.githubusercontent.com/StevenBlack/hosts/master/hosts:
   flurry.com
   adlog.flurry.com
   ads.flurry.com
   cdn.flurry.com
   cfg.flurry.com
   data.flurry.com
   gw.flurry.com
   proton.flurry.com
   dev.flurry.com

[ Voor 27% gewijzigd door Windows95 op 26-05-2022 00:35 ]

deHakkelaar schreef op donderdag 26 mei 2022 @ 00:10:
Controleer ook even op de Pi-hole host ofdat de pihole-FTL daemon via z'n eigen geconfigureerde upstream DNS server(s) publieke domeinen kan oplossen:

pi@ph5a:~ $ nslookup tweakers.net. localhost
Server:         localhost
Address:        ::1#53

Non-authoritative answer:
Name:   tweakers.net
Address: 213.239.154.31
Name:   tweakers.net
Address: 2001:9a8:0:e:1337:0:80:2

[ Voor 67% gewijzigd door deHakkelaar op 26-05-2022 00:29 ]

deHakkelaar schreef op donderdag 26 mei 2022 @ 00:45:
@Windows95 , ik heb bovenstaande posting een paar keer moeten wijzigen dus lees nog een keer

Dat het IP opvoeren in je router WAN/Internet settings niet werkt is een router probleem.
Bewezen heb je al dat clients direct met Pi-hole kunnen communiceren voor DNS.

pi@ph5b:~ $ cat /etc/dnsmasq.d/01-pihole.conf
[..]
local-service

pi@ph5b:~ $ man dnsmasq
[..]
       --local-service
              Accept  DNS  queries only from hosts whose address is on a
              local subnet, ie a subnet for which an interface exists on
              the  server.  This  option only has effect if there are no
              --interface,   --except-interface,   --listen-address   or
              --auth-server  options.  It is intended to be set as a de‐
              fault on installation, to allow unconfigured installations
              to  be useful but also safe from being used for DNS ampli‐
              fication attacks.

pi@ph5b:~ $ pihole -a -i -h
Usage: pihole -a -i [interface]
Example: 'pihole -a -i local'
Specify dnsmasq's network interface listening behavior

Interfaces:
  local               Only respond to queries from devices that
                      are at most one hop away (local devices)
  single              Respond only on interface eth0
  bind                Bind only on interface eth0
  all                 Listen on all interfaces, permit all origins

pi@ph5b:~ $ pihole -a -i all
  [i] Listening on all interfaces, permitting all origins. Please use a firewall!
  [✓] Restarting DNS server

pi@ph5b:~ $ pihole -a -i local
  [i] Listening on all interfaces, permitting origins from one hop away (LAN)
  [✓] Restarting DNS server

[ Voor 5% gewijzigd door deHakkelaar op 28-05-2022 01:24 ]

Windows95 schreef op zondag 29 mei 2022 @ 13:47:
@deHakkelaar
Bedankt voor je hulp. Nu met mijn eigen router werkte het vrijwel direct.
[Afbeelding]

deHakkelaar schreef op zondag 29 mei 2022 @ 15:04:
Vermoedelijk omdat deze hostnamen, die worden geadverteerd door de clients tijdens de DHCP lease transactie, automatisch registreert in DNS

deHakkelaar schreef op zondag 29 mei 2022 @ 15:22:
ISC-DHCP-SERVER is zo'n beetje de moeder van alle andere DHCP services die blijkbaar niet met de tijd mee is gegaan!

Developer(s) Internet Systems Consortium
Initial release 1999; 23 years ago

pi@ph5b:~ $ pihole-FTL -- --help dhcp
Known DHCP options:
  1 netmask
  2 time-offset
  3 router
  6 dns-server
  7 log-server
  9 lpr-server
 13 boot-file-size
 15 domain-name
 16 swap-server
 17 root-path
 18 extension-path
 19 ip-forward-enable
 20 non-local-source-routing
 21 policy-filter
 22 max-datagram-reassembly
 23 default-ttl
 26 mtu
 27 all-subnets-local
 31 router-discovery
 32 router-solicitation
 33 static-route
 34 trailer-encapsulation
 35 arp-timeout
 36 ethernet-encap
 37 tcp-ttl
 38 tcp-keepalive
 40 nis-domain
 41 nis-server
 42 ntp-server
 44 netbios-ns
 45 netbios-dd
 46 netbios-nodetype
 47 netbios-scope
 48 x-windows-fs
 49 x-windows-dm
 58 T1
 59 T2
 60 vendor-class
 64 nis+-domain
 65 nis+-server
 66 tftp-server
 67 bootfile-name
 68 mobile-ip-home
 69 smtp-server
 70 pop3-server
 71 nntp-server
 74 irc-server
 77 user-class
 80 rapid-commit
 93 client-arch
 94 client-interface-id
 97 client-machine-id
100 posix-timezone
101 tzdb-timezone
119 domain-search
120 sip-server
121 classless-static-route
125 vendor-id-encap
150 tftp-server-address
255 server-ip-address

[ Voor 127% gewijzigd door deHakkelaar op 29-05-2022 17:48 ]

deHakkelaar schreef op zondag 29 mei 2022 @ 14:38:
@Windows95 , ik zou alle DNS velden daar voorzien van het Pi-hole IP.
Sommige Android apparaten willen nog wel eens zelf het Google DNS IP 8.8.8.8 automatisch toevoegen als alleen maar 1 DNS server wordt geadverteerd via DHCP en dan heb je een lek.
Vermoedelijk voor redundancy.

Je kunt controleren welke DNS servers je router (DHCP service) uitdeelt met onderstaande:

pi@ph5b:~ $ pihole-FTL dhcp-discover
Scanning all your interfaces for DHCP servers
[..]
   dns-server: 10.0.0.2
   dns-server: 10.0.0.4

root@DietPi:~# pihole-FTL dhcp-discover
Scanning all your interfaces for DHCP servers
Timeout: 10 seconds

* Received 300 bytes from eth0:192.168.1.1
  Offered IP address: 192.168.1.126
  Server IP address: 192.168.1.1
  Relay-agent IP address: N/A
  BOOTP server: (empty)
  BOOTP file: (empty)
  DHCP options:
   Message type: DHCPOFFER (2)
   server-identifier: 192.168.1.1
   lease-time: 86400 ( 1d )
   renewal-time: 43200 ( 12h )
   rebinding-time: 75600 ( 21h )
   netmask: 255.255.255.0
   broadcast: 192.168.1.255
   dns-server: 192.168.1.1
   wpad-server: "\n"
   router: 192.168.1.1
   --- end of options ---

DHCP packets received on interface lo: 0
DHCP packets received on interface eth0: 1

Windows95 schreef op zondag 29 mei 2022 @ 19:40:

Server IP address: 192.168.1.1

Windows95 schreef op zondag 29 mei 2022 @ 19:40:

   dns-server: 192.168.1.1

deHakkelaar schreef op zondag 29 mei 2022 @ 14:38:

pi@ph5b:~ $ pihole-FTL dhcp-discover
Scanning all your interfaces for DHCP servers
[..]
   dns-server: 10.0.0.2
   dns-server: 10.0.0.4

Windows95 schreef op zondag 29 mei 2022 @ 19:40:
Kon mijn ISP dat ook allemaal in principe zien? (En nu niet meer of nog steeds?)

[ Voor 12% gewijzigd door deHakkelaar op 29-05-2022 20:26 ]

[ Voor 95% gewijzigd door rens-br op 31-05-2022 10:50 ]

[ Voor 30% gewijzigd door jpgview op 02-06-2022 00:16 . Reden: cause? // solved ]

Verwijderd schreef op woensdag 1 juni 2022 @ 12:33:
door DoH te gaan gebruiken ...

Verwijderd schreef op woensdag 1 juni 2022 @ 12:33:
Wacht maar totdat Microsoft de oorlog gaat verklaren door DoH te gaan gebruiken omdat ze de eigenaar van het netwerk maar lastig vinden.

jpgview schreef op woensdag 1 juni 2022 @ 19:11:
spijtig genoeg zijn infoblox (o)DoH lijsten niet publiek beschikbaar...

nero355 schreef op woensdag 1 juni 2022 @ 19:19:
Dat zit eraan te komen en niet alleen vanuit Microsoft maar ook Apple/Google/allerlei ...

nero355 schreef op woensdag 1 juni 2022 @ 19:19:
oplettendheid en uitzoekwerk ...

[ Voor 1% gewijzigd door jpgview op 02-06-2022 00:08 . Reden: cause found ]

MAdD schreef op vrijdag 3 juni 2022 @ 13:05:
Ik weet niet of deze vraag hier hoort... maar ik probeer het gewoon

Op een VM (Ubuntu 20.04.1 met upgrades) heb ik Pi-Hole draaien met unbound.
Deze heb geinstalleerd volgens de guide op pihole zelf

Nu las ik op de frontpage van tweakers dat er een nieuwe versie (1.16.0) is van unbound.

Alleen als ik dit controleer op mijn VM blijkt unbound versie 1.9.4 te zijn.

De vraag is, of je makkelijk deze stappen kan uitvoeren om te upgrade

Indien ik dit ergens anders moet plaatsen... let me know!

MAdD schreef op vrijdag 3 juni 2022 @ 13:05:
Ik weet niet of deze vraag hier hoort... maar ik probeer het gewoon

Op een VM (Ubuntu 20.04.1 met upgrades) heb ik Pi-Hole draaien met unbound.
Deze heb geinstalleerd volgens de guide op pihole zelf

Nu las ik op de frontpage van tweakers dat er een nieuwe versie (1.16.0) is van unbound.

Alleen als ik dit controleer op mijn VM blijkt unbound versie 1.9.4 te zijn.

De vraag is, of je makkelijk deze stappen kan uitvoeren om te upgrade

Indien ik dit ergens anders moet plaatsen... let me know!

MAdD schreef op vrijdag 3 juni 2022 @ 13:05:
Ik weet niet of deze vraag hier hoort... maar ik probeer het gewoon

Op een VM (Ubuntu 20.04.1 met upgrades) heb ik Pi-Hole draaien met unbound.
Deze heb geinstalleerd volgens de guide op pihole zelf

Nu las ik op de frontpage van tweakers dat er een nieuwe versie (1.16.0) is van unbound.

Alleen als ik dit controleer op mijn VM blijkt unbound versie 1.9.4 te zijn.

De vraag is, of je makkelijk deze stappen kan uitvoeren om te upgrade

Indien ik dit ergens anders moet plaatsen... let me know!

dss58 schreef op vrijdag 3 juni 2022 @ 16:45:
Volgens mij heeft dat met ARM te maken, als je de laatste updates draait van de raspberry pi heb je ook niet de laatste kernel, volgens mij is dat de oorzaak, maar ik kan het mis hebben omdat ik daar dan niet zo goed in thuis ben.

Airw0lf schreef op vrijdag 3 juni 2022 @ 17:25:
Komt doordat je de standaard apt install gebruikt zonder een "voorbwerking" zoals download van de laatste binaries of een zelf-gecompileerde versie. Dat laatste is geen eenvoudige - dependencies willen nogal eens problemen veroorzaken. En een upgrade naar een nieuwere Ubuntu-versie wil dan ook niet altijd probleemloos verlopen.

Overigens is het in ieder raadzaam een upgrade te doen naar 20.04.04. Daar zitten de nodig security fixes in.
Verbaasd me wel dat je een zo oude Ubuntu-versie gebruikt. Maar wel de laatste Unbound wil inzetten?!

nero355 schreef op vrijdag 3 juni 2022 @ 17:30:

Het juiste antwoord waar jullie naar op zoek zijn is dat de versie die je vermeld ziet staan misleidend is en eigenlijk niks zegt over de aanwezige patches van je software!

Zo was bijvoorbeeld DNSmasq heel vaak "outdated" als je naar de versie ervan keek, terwijl deze gewoon 100% up-to-date was en er niks aan de hand was in de periode voordat FTLDNS door het Pi-Hole Team werd bedacht!

Je had toen zoiets :
- Actuele versie 2.94 of zo...
- Geïnstalleerde versie 2.84 maar dan wel met alle patches erin die 2.94 ook heeft!


TL;DR : Niks aan de hand

Airw0lf schreef op vrijdag 3 juni 2022 @ 18:53:
Mmm... ik betwijfel of het allemaal zo zwart/wit is als je doet voorkomen.

Ubuntu 20.04-LTS heeft standaard Unbound 1.9.4 aan boord; de nodige Ubuntu-upgrades veranderen hier niets aan - tenminste niet voor Unbound. De enige manier om daar wat aan te doen is zelf een nieuwere versie ophalen, eventueel compileren en installeren.

In 22.04-LTS wordt standaard Unbound 1.13 meegeleverd en (desgewenst) geïnstalleerd met "apt install". Maar ook hier geldt dat er geen 1.16 geïnstalleerd wordt - tenzij je die zelf ophaalt en (eventueel) compileert.

Voor andere packages kan het inderdaad anders zijn - zoals bijvoorbeeld bij browsers. Maar ook hier geldt dat ze niet altijd alle tussenversies installeren als je gebruik maakt van de standaard Ubuntu repositories.

Kortom - it depends... en voor specifiek Unbound geldt dat een upgrade naar de laatste versie alleen mogelijk is door hem zelf op te halen, de oude Ubuntu-versie te verwijderen en de nieuwe te installeren - alles handmatig; ook voor toekomstige Unbound versies.

nero355 schreef op vrijdag 3 juni 2022 @ 19:18:

[...]

Als je aan het versie nummertje gehecht bent, maar verder wordt de boel gewoon netjes onderhouden op het gebied van Security issues!

Airw0lf schreef op zaterdag 4 juni 2022 @ 10:31:
[...]


Ik ben niet direct gehecht aan versienummers. Maar weet geen andere manier waaraan je kan herkennen dat een security update ook echt is uitgevoerd/geactiveerd. Suggesties?

[ Voor 12% gewijzigd door mrdemc op 04-06-2022 11:12 ]

Airw0lf schreef op zaterdag 4 juni 2022 @ 10:31:
Ik ben niet direct gehecht aan versienummers. Maar weet geen andere manier waaraan je kan herkennen dat een security update ook echt is uitgevoerd/geactiveerd. Suggesties?

1

apt changelog unbound

[ Voor 6% gewijzigd door deHakkelaar op 04-06-2022 13:10 ]

Airw0lf schreef op zaterdag 4 juni 2022 @ 10:31:
Ik ben niet direct gehecht aan versienummers. Maar weet geen andere manier waaraan je kan herkennen dat een security update ook echt is uitgevoerd/geactiveerd. Suggesties?

deHakkelaar schreef op zaterdag 4 juni 2022 @ 13:02:
[...]

Changelog toch
EDIT:

code:

1	apt changelog unbound

nero355 schreef op zaterdag 4 juni 2022 @ 14:30:
[...]

Dan heb je de Search link die ik je gaf niet goed gelezen!

[ Voor 24% gewijzigd door Airw0lf op 04-06-2022 17:23 ]

Airw0lf schreef op zaterdag 4 juni 2022 @ 17:20:
Ja - voor een (of een paar) is dat goed te doen.
Maar hoe zie je dat voor alle andere packages?

[ Voor 3% gewijzigd door ed1703 op 04-06-2022 18:12 ]

ed1703 schreef op zaterdag 4 juni 2022 @ 18:11:
[...]

Even hoor.. je gaat toch niet voor alle packages de release-notes lezen?
En alle packages waarvan er mogelijk de behoefte leeft om dit vanaf source te compilen, hoop ik voor je dat je over voldoende vrije tijd beschikt. Je bent namelijk veel meer tijd kwijt om het allemaal bij te houden.

Als dit alleen voor unbound is, valt het natuurlijk nog wel te overzien.

Package systemen zijn er niet voor niets gekomen

Ik heb het ooit wel eens gedaan met nginx, postfix, dovecot en nog wat andere server-software, maar het is allemaal een hoop werk

Airw0lf schreef op zaterdag 4 juni 2022 @ 18:17:
[...]


Nee - de release notes ga ik zeker niet allemaal lezen.
Ik zoek "iets" om te achterhalen of (en zo ja: welke) security patches niet geactiveerd zijn.

Webgnome schreef op zaterdag 4 juni 2022 @ 18:28:
@Remco Tr Een melding in de trend 'te ingewikkeld, pleh!' hebben wij natuurlijk net zoveel aan als jij. Dus wat heb je al geprobeerd. Waarin de, vrij duidelijke tutorial, liep je vast en wat lukt er nu dus nog niet?

ed1703 schreef op zaterdag 4 juni 2022 @ 18:29:
[...]

Dat iets is toch echt de release-notes lezen.. net zo goed of het voor jouw platform valide is om te upgraden vanaf source als er patch of compleet nieuwe versie is. Misschien heeft @deHakkelaar nog tips, maar ik ken ze niet.

ed1703 schreef op zaterdag 4 juni 2022 @ 18:29:
[...]

Dat iets is toch echt de release-notes lezen.. net zo goed of het voor jouw platform valide is om te upgraden vanaf source als er patch of compleet nieuwe versie is. Misschien heeft @deHakkelaar nog tips, maar ik ken ze niet.

Remco Tr schreef op zaterdag 4 juni 2022 @ 18:32:
[...]


Pleh! Je hebt gelijk. Nou eigenlijk liep ik nergens op vast. Heb hem niet werkend omdat ik hem mogelijk niet goed heb geconfigureerd. Is mij niet duidelijk welke gegevens je moet aanpassen op ie eigen config. Adressen en bv name= “clientname” moet ik clientname vervangen voor een eigen naam?

Remco Tr schreef op zaterdag 4 juni 2022 @ 18:32:
Adressen en bv name= “clientname” moet ik clientname vervangen voor een eigen naam?

deHakkelaar schreef op zaterdag 4 juni 2022 @ 18:45:
Ik vertrouw op de package maintainers en lees ze soms vluchtig.
Meeste ervan begrijp ik toch niet

ed1703 schreef op zaterdag 4 juni 2022 @ 18:11:
En alle packages waarvan er mogelijk de behoefte leeft om dit vanaf source te compilen, hoop ik voor je dat je over voldoende vrije tijd beschikt. Je bent namelijk veel meer tijd kwijt om het allemaal bij te houden.

Ik heb het ooit wel eens gedaan met nginx, postfix, dovecot en nog wat andere server-software, maar het is allemaal een hoop werk

deHakkelaar schreef op zondag 5 juni 2022 @ 14:34:
Off-topic, SSD's gaan al een poosje mee alleen niet te betalen toen

SSD SSD Pics/Benchmarks

Zie net pas dat de Raptors in die map staan... LOL! Die had ik dus vervangen met de SSD's

deHakkelaar schreef op zondag 5 juni 2022 @ 14:41:
Valt me tegen dat niemand dit eerder hier melde

PhilipsFan schreef op maandag 6 juni 2022 @ 04:02:
Ik heb een maf probleem met Pihole. Ik draai Pihole in een Docker container op een Raspberry Pi 4. Totnutoe werkte dat altijd feilloos. Ik gebruik Pihole niet als DHCP-server, dat doet m'n router nog, en ik heb ook niet het ip-nummer van de Pihole als standaard DHCP in de router. Daardoor kunnen de clients zelf kiezen of ze adblocking willen: wil je het niet, dan hoef je niks te doen. Wil je het wel, dan moet je handmatig even het adres van de DNS server veranderen in het lokale IP van de Raspberry Pi. Tot zover alles goed.

Maar de laatste tijd heb ik wat problemen. Ik kan op clients die als DNS de Raspberry Pi gebruiken, sommige websites niet meer openen. Op m'n iPad bijvoorbeeld, de spinner blijft maar draaien maar er komt geen data binnen. Als ik in de query log van Pihole kijk, dan staat daar niks bijzonders. Er worden geen domeinen geblokkeerd die tot het niet-inladen van de site kunnen leiden. Maar als ik Pihole op 'disabled' zet (en de wifi-verbinding van de iPad even verbreek) dan werkt het ineens wel. Als ik Pihole dan weer aan zet, dan werkt het na verloop van tijd niet meer.

De problemen zijn begonnen toen ik een tijdje met IPv6 heb gexperimenteerd. Mijn provider biedt dat sinds kort aan, dus ik heb dat even geprobeerd. De Raspberry Pi kreeg een IPv6 adres (de iPad ook) en dat werkte wel. Vanwege andere problemen heb ik IPv6 weer uitgezet in m'n netwerk, de iPad krijgt ook geen IPv6 adres meer en ik heb de IPv6 DNS server weggehaald bij de configuratie van het wifi-netwerk. Ik heb ook de IPv6 upstream servers weggehaald in de configuratie van Pihole.

Wat het extra vreemd maakt, is dat het wel werkt als ik de iPad opnieuw opstart. Dan zijn de sites normaal te benaderen, ook met Pihole enabled.

Dat is toch gek? Als Pihole iets blokkeert en het daardoor niet werkt, dan zou je toch een regel in de query log verwachten met welk domein geblokkeerd is?

Pihole V5.10, officiele Docker image met tag 2022.5, maar met de vorige Docker tag was het probleem ook al aanwezig. Op de iPad draait gewoon IOS15.5.

PhilipsFan schreef op maandag 6 juni 2022 @ 04:02:
Ik heb een maf probleem met Pihole. Ik draai Pihole in een Docker container op een Raspberry Pi 4. Totnutoe werkte dat altijd feilloos. Ik gebruik Pihole niet als DHCP-server, dat doet m'n router nog, en ik heb ook niet het ip-nummer van de Pihole als standaard DHCP in de router. Daardoor kunnen de clients zelf kiezen of ze adblocking willen: wil je het niet, dan hoef je niks te doen. Wil je het wel, dan moet je handmatig even het adres van de DNS server veranderen in het lokale IP van de Raspberry Pi. Tot zover alles goed.

Maar de laatste tijd heb ik wat problemen. Ik kan op clients die als DNS de Raspberry Pi gebruiken, sommige websites niet meer openen. Op m'n iPad bijvoorbeeld, de spinner blijft maar draaien maar er komt geen data binnen. Als ik in de query log van Pihole kijk, dan staat daar niks bijzonders. Er worden geen domeinen geblokkeerd die tot het niet-inladen van de site kunnen leiden. Maar als ik Pihole op 'disabled' zet (en de wifi-verbinding van de iPad even verbreek) dan werkt het ineens wel. Als ik Pihole dan weer aan zet, dan werkt het na verloop van tijd niet meer.

De problemen zijn begonnen toen ik een tijdje met IPv6 heb gexperimenteerd. Mijn provider biedt dat sinds kort aan, dus ik heb dat even geprobeerd. De Raspberry Pi kreeg een IPv6 adres (de iPad ook) en dat werkte wel. Vanwege andere problemen heb ik IPv6 weer uitgezet in m'n netwerk, de iPad krijgt ook geen IPv6 adres meer en ik heb de IPv6 DNS server weggehaald bij de configuratie van het wifi-netwerk. Ik heb ook de IPv6 upstream servers weggehaald in de configuratie van Pihole.

Wat het extra vreemd maakt, is dat het wel werkt als ik de iPad opnieuw opstart. Dan zijn de sites normaal te benaderen, ook met Pihole enabled.

Dat is toch gek? Als Pihole iets blokkeert en het daardoor niet werkt, dan zou je toch een regel in de query log verwachten met welk domein geblokkeerd is?

Pihole V5.10, officiele Docker image met tag 2022.5, maar met de vorige Docker tag was het probleem ook al aanwezig. Op de iPad draait gewoon IOS15.5.

nero355 schreef op zondag 5 juni 2022 @ 19:24:
[...]

Ik weet nog heel goed wanneer ik mijn 4 x 60 SSD's heb gekocht om in RAID 0 te zetten, maar de PC waarmee ik het een en ander deed was nóg ouder en uiteraard niet van een SSD van € 240 of zo voorzien om alleen af en toe wat te testen!

Foto en screenshot uit die tijd :

SSD SSD Pics/Benchmarks
[Afbeelding: RAID 0 4 Maal OCZ Vertex 60GB Windows/Boot]	[Afbeelding: Raptors onderin Stacker STC-T01]

_{Zie net pas dat de Raptors in die map staan... LOL! Die had ik dus vervangen met de SSD's}

offtopic:
En nu heb je maar één ssd nodig die daar zonder druppel zweet omheen rent

.... maar uhm, Vertex?

Miki schreef op maandag 6 juni 2022 @ 07:46:
[...]

Je vraag is al een paar keer voorbij gekomen

Bij de laatste updates heeft Apple private relay aangezet maw beperk ip tracking. Hierdoor loopt de boel in de soep met icm Pihole. Je kunt het vinkje onder het WiFi netwerk uitzetten en/of een filter regel toevoegen. Lees de laatste pagina’s van dit topic even terug of gebruik de zoekfunctie.

O085105116N schreef op maandag 6 juni 2022 @ 07:33:
[...]


Zet “beperk ip adres tracking” uit op je apple devices. Dat doe je in de settings van je netwerkdevice.

Raven schreef op maandag 6 juni 2022 @ 10:28:

offtopic:
En nu heb je maar één ssd nodig die daar zonder druppel zweet omheen rent

.... maar uhm, Vertex?

offtopic:
Zie : V&A aangeboden: OCZ Vertex Series SATA II 2.5" 60GB 60GB

Daarna alleen nog maar Intel 320 en Crucial M500 gekocht

nero355 schreef op maandag 6 juni 2022 @ 14:46:
[...]

offtopic:
Zie : V&A aangeboden: OCZ Vertex Series SATA II 2.5" 60GB 60GB

Daarna alleen nog maar Intel 320 en Crucial M500 gekocht

offtopic:
Die van mij ging binnen garantie stuk, gelukkig alleen VM's kwijtgeraakt. Dankzij reputatie en met kleine bijbetaling M4 genomen die sinds de komst van NVMe drives in pricewatch: Zalman ZM-VE300 Zwart zit

[ Voor 3% gewijzigd door jpgview op 06-06-2022 23:45 ]

jpgview schreef op maandag 6 juni 2022 @ 23:35:
Toch even aangeven dat ik reeds lange tijd QUIC block ( UDP port 80 & 443), zonder problemen; slechts een uitzondering: devices met whatsapp (port UDP/443), reden: voice calls.

[ Voor 22% gewijzigd door Verwijderd op 07-06-2022 09:21 ]

Zjemm schreef op dinsdag 7 juni 2022 @ 09:12:
nu tweakers zelf advertenties host, is het met pihole zeker ook niet meer mogelijk deze te blokkeren?
ik noem tweakters als voorbeeld, maar er zijn vast meer partijen die dat doen.

of kan dit op de een of andere manier alsnog met pihole

[ Voor 11% gewijzigd door mrdemc op 07-06-2022 09:24 ]

Zjemm schreef op dinsdag 7 juni 2022 @ 09:12:
nu tweakers zelf advertenties host, is het met pihole zeker ook niet meer mogelijk deze te blokkeren?
ik noem tweakters als voorbeeld, maar er zijn vast meer partijen die dat doen.

of kan dit op de een of andere manier alsnog met pihole

Webgnome schreef op dinsdag 7 juni 2022 @ 09:36:
[...]


Voor zolang het duurt, de adds zijn van een subdomein van tweakers. Die kun je dus eventueel blokkeren. Of je kunt dat niet doen en tweakers een beetje sponsoren. Een andere oplossing is natuurlijk een abbo.

deHakkelaar schreef op vrijdag 3 juni 2022 @ 19:51:
@MAdD , als je niet weet wat je doet zou ik gewoon de versies installeren die default met je package manager meekomen.
Belangrijke patches zoals voor security etc worden toch ge-backport zolang niet EOL.
En je raakt niet verdwaald in "dependency forrest" als je apt upgrade etc draait in de toekomst.

Pas als je je gaat verdiepen in welke changes er gemaakt zijn kun je een goede keuze maken ofdat je bepaalde nieuwe features of patches nodig hebt:
https://github.com/NLnetL...blob/master/doc/Changelog

code:

1	zless /usr/share/doc/unbound/changelog.Debian.gz

code:

1	zless /usr/share/doc/unbound/changelog.gz

Wel zou ik de major versie van je Unbuntu release up to date houden! (EDIT: als je hogere versies beschikbaar wilt hebben)

pi@ph5a:~ $ lsb_release -d
Description:    Raspbian GNU/Linux 10 (buster)

pi@ph5a:~ $ apt policy unbound
unbound:
  Installed: 1.9.0-2+deb10u2
  Candidate: 1.9.0-2+deb10u2

Vs:

pi@ph5b:~ $ lsb_release -d
Description:    Raspbian GNU/Linux 11 (bullseye)

pi@ph5b:~ $ apt policy unbound
unbound:
  Installed: 1.13.1-1
  Candidate: 1.13.1-1

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16

madd@pihole-01-10-20-40-50:~$ lsb_release -d
Description:    Ubuntu 20.04.4 LTS


madd@pihole-01-10-20-40-50:~$ apt policy unbound
unbound:
  Installed: 1.9.4-2ubuntu1.2
  Candidate: 1.9.4-2ubuntu1.2
  Version table:
 *** 1.9.4-2ubuntu1.2 500
        500 http://nl.archive.ubuntu.com/ubuntu focal-updates/universe amd64 Packages
        500 http://nl.archive.ubuntu.com/ubuntu focal-security/universe amd64 Packages
        100 /var/lib/dpkg/status
     1.9.4-2ubuntu1 500
        500 http://nl.archive.ubuntu.com/ubuntu focal/universe amd64 Packages
madd@pihole-01-10-20-40-50:~$

Stimulate14 schreef op woensdag 8 juni 2022 @ 10:42:
Ik heb hier een Pi4 over, ga deze wellicht inzetten als Hole. Eerst even goed inlezen.

Mr.Viper schreef op woensdag 8 juni 2022 @ 16:34:
Of in een docker-container draaien

[ Voor 21% gewijzigd door nero355 op 09-06-2022 15:05 ]

nero355 schreef op woensdag 8 juni 2022 @ 15:12:
[...]

Misschien handig om te weten :

Dingen zoals Pi-Hole of PiVPN hebben niet gelijk een Raspberry Pi nodig om te draaien!

Er is geen speciale dependency die aan de hardware gerelateerd is of zo...
Dus je kan ook gewoon een VM/LXC Container of een Intel Atom NUCje of zo ervoor gebruiken!

MAdD schreef op woensdag 8 juni 2022 @ 09:55:
voor nu laat ik even voor wat het is.... misschien een nieuwe VM opzetten om er mee te gaan spelen ..

pi@ph5b:~ $ apt depends unbound
unbound
  Depends: adduser
  Depends: dns-root-data
  Depends: lsb-base (>= 3.0-6)
  Depends: openssl
  Depends: unbound-anchor
  Depends: libc6 (>= 2.28)
  Depends: libevent-2.1-7 (>= 2.1.8-stable)
  Depends: libprotobuf-c1 (>= 1.0.1)
  Depends: libpython3.9 (>= 3.9.0~b4)
  Depends: libssl1.1 (>= 1.1.1)
  Depends: libsystemd0

pi@ph5b:~ $ apt depends openssl
openssl
  Depends: libc6 (>= 2.15)
  Depends: libssl1.1 (>= 1.1.1)

pi@ph5b:~ $ apt depends libssl1.1
libssl1.1
  Depends: libc6 (>= 2.28)
 |Depends: debconf (>= 0.5)
  Depends: <debconf-2.0>

pi@ph5b:~ $ apt depends libc6
libc6
  Depends: libgcc-s1
  Depends: libcrypt1

BladeSlayer1000 schreef op woensdag 15 juni 2022 @ 00:04:
Ik heb hier momenteel ook last van dat mijn Oneplus 8 Pro een 2de DNS server insteld met ip 8.8.8.8 de welbekende standaard google DNS...

Ik heb al private DNS uitgezet, en 2* het IP van mijn pihole server ingesteld als DNS server, maar dan blijft de google DNS server nog steeds actief.

Weet iemand hier een oplossing voor?

nero355 schreef op woensdag 15 juni 2022 @ 00:31:
DHCP van je Router meerdere keren het IP van Pi-Hole laten uitdelen : 2 tot 4 keer zelfs!

pi@ph5b:~ $ pihole-FTL dhcp-discover
Scanning all your interfaces for DHCP servers
[..]
   dns-server: 10.0.0.2
   dns-server: 10.0.0.4