:strip_exif()/i/2002897482.png?f=thumbmini)
/u/19984/Link.PNG?f=community)
Current Pi-hole version is v5.14.2
:strip_icc():strip_exif()/u/72351/Toon_en_Len%25202015-02-02%252070x69.jpg?f=community)
Docker Tag 2022.11.2 Pi-hole v5.14.2 FTL v5.19.2 Web Interface v5.17:
[...]
Current Pi-hole version is v5.14.2
The problem with common sense is that sense never ain't common - From the notebooks of Lazarus Long
GoT voor Behoud der Nederlandschen Taal [GvBdNT
/u/363743/crop61aa1329d36b8_cropped.png?f=community)
sudo is een interactief commando, dat kun je dus niet gebruiken in een cronjob. Wat je wel kan doen is de cronjob uitvoeren als root gebruiker door crontab -e met sudo te openen:
code:
1
| sudo crontab -e |
en het dan zo toe te voegen:
code:
1
| 0 5 * * * "pihole -up" |
verder kun je altijd even kijken in de syslog en/of de mail directory om te zien of er foutmeldingen terugkomen
[ Voor 14% gewijzigd door mrdemc op 29-11-2022 10:22 ]
Hoi, ik gebruik al jaren pihole naar grote tevredenheid, maar ik heb sinds een aantal weken het probleem dat er opeens erg veel ads zichtbaar zijn, o.a. op nu.nl. Mijn nu.nl is vandaag volledig in het thema van ene koning toto 
Ik heb het volgende gedaan:
- Gecheckt of pihole wel staat ingesteld als DNS server voor mijn laptop (ja)
- Gravity geupdate
- Een hele bups extra strenge adlists toegevoegd (voorheen alleen de standaard + oisd)
- Upstream server op nextdns gezet als extra check
- Gekeken in de logs (niks geks te zien)
- Gekeken of er iets vreemds gewhitelist staat (nee, alleen een paar heel specifieke domeinen)
Verder *lijkt* pihole wel te werken, als ik de statistieken bekijk komt er flink wat verkeer overheen, en hij geeft aan dat 28% van de requests wordt geblocked.
Iemand nog een idee?
Ik heb het volgende gedaan:
- Gecheckt of pihole wel staat ingesteld als DNS server voor mijn laptop (ja)
- Gravity geupdate
- Een hele bups extra strenge adlists toegevoegd (voorheen alleen de standaard + oisd)
- Upstream server op nextdns gezet als extra check
- Gekeken in de logs (niks geks te zien)
- Gekeken of er iets vreemds gewhitelist staat (nee, alleen een paar heel specifieke domeinen)
Verder *lijkt* pihole wel te werken, als ik de statistieken bekijk komt er flink wat verkeer overheen, en hij geeft aan dat 28% van de requests wordt geblocked.
Iemand nog een idee?
Misschien IPv6 vs IPv4? Dus dat je alles via IPv6 binnenhaalt en dus ook een IPv6 DNS van je provider gebruikt i.p.v. de IPv4 DNS van jouw Pihole?:
Hoi, ik gebruik al jaren pihole naar grote tevredenheid, maar ik heb sinds een aantal weken het probleem dat er opeens erg veel ads zichtbaar zijn, o.a. op nu.nl. Mijn nu.nl is vandaag volledig in het thema van ene koning toto
Ik heb het volgende gedaan:
- Gecheckt of pihole wel staat ingesteld als DNS server voor mijn laptop (ja)
- Gravity geupdate
- Een hele bups extra strenge adlists toegevoegd (voorheen alleen de standaard + oisd)
- Upstream server op nextdns gezet als extra check
- Gekeken in de logs (niks geks te zien)
- Gekeken of er iets vreemds gewhitelist staat (nee, alleen een paar heel specifieke domeinen)
Verder *lijkt* pihole wel te werken, als ik de statistieken bekijk komt er flink wat verkeer overheen, en hij geeft aan dat 28% van de requests wordt geblocked.
Iemand nog een idee?
Misschien denk ik nu te makkelijk, maar kijk eens via een nslookup nu.nl of pihole gebruikt wordt?:
Hoi, ik gebruik al jaren pihole naar grote tevredenheid, maar ik heb sinds een aantal weken het probleem dat er opeens erg veel ads zichtbaar zijn, o.a. op nu.nl. Mijn nu.nl is vandaag volledig in het thema van ene koning toto
Ik heb het volgende gedaan:
- Gecheckt of pihole wel staat ingesteld als DNS server voor mijn laptop (ja)
- Gravity geupdate
- Een hele bups extra strenge adlists toegevoegd (voorheen alleen de standaard + oisd)
- Upstream server op nextdns gezet als extra check
- Gekeken in de logs (niks geks te zien)
- Gekeken of er iets vreemds gewhitelist staat (nee, alleen een paar heel specifieke domeinen)
Verder *lijkt* pihole wel te werken, als ik de statistieken bekijk komt er flink wat verkeer overheen, en hij geeft aan dat 28% van de requests wordt geblocked.
Iemand nog een idee?
/u/658914/crop5f7a5ee826414_cropped.png?f=community)
Ff wat dingen rechtzetten/corrigeren/aanvullen.
Zo lekker betweterig
Maar deze valt wel te wijzigen:
De Pi-hole devs/mods raden dit af.
En in het algemeen voor server software wil je niet automatisch updaten ivm problemen die kunnen onstaan daardoor.
Het Pi-hole Discourse forum staat vol met problemen waarbij de release notes niet werden gelezen (EDIT: inclusief ikzelf een keertje).
Dat kan ook zonder wachtwoord als sudo zodanig is geconfigureerd.
Voor Pi-OS hoef ik geen wachtwoord in te voeren voor de pi user vanwege onderstaande config:
En Pi-hole gebruikt ook scripted sudo met onderstaande config om zonder wachtwoord het pihole commando te kunnen uitvoeren:
Behalve natuurlijk als je crontab -e draait als niet root user.
Of als je de root user veranderd in onderstaande:
Hoe de client daarna gaat verbinden met het doel IP hangt af ofdat er een route bestaat naar het gevonden IPv6 of IPv4 IP adres.
Waarbij IPv6 de voorkeur heeft.
Zo lekker betweterig
Ja de default is 150 hardcoded.
Maar deze valt wel te wijzigen:
pi@ph5b:~ $ man dnsmasq
[..]
-0, --dns-forward-max=<queries>
Set the maximum number of concurrent DNS queries. The de‐
fault value is 150, which should be fine for most setups.
The only known situation where this needs to be increased
is when using web-server log file resolvers, which can gen‐
erate large numbers of concurrent queries.Waarom?
De Pi-hole devs/mods raden dit af.
En in het algemeen voor server software wil je niet automatisch updaten ivm problemen die kunnen onstaan daardoor.
Het Pi-hole Discourse forum staat vol met problemen waarbij de release notes niet werden gelezen (EDIT: inclusief ikzelf een keertje).
Bedoel je met "interactief" het wachtwoord invoeren?
Dat kan ook zonder wachtwoord als sudo zodanig is geconfigureerd.
Voor Pi-OS hoef ik geen wachtwoord in te voeren voor de pi user vanwege onderstaande config:
pi@ph5b:~ $ sudo cat /etc/sudoers.d/010_pi-nopasswd pi ALL=(ALL) NOPASSWD: ALL
En Pi-hole gebruikt ook scripted sudo met onderstaande config om zonder wachtwoord het pihole commando te kunnen uitvoeren:
pi@ph5b:~ $ sudo cat /etc/sudoers.d/pihole # Pi-hole: A black hole for Internet advertisements # (c) 2017 Pi-hole, LLC (https://pi-hole.net) # Network-wide ad blocking via your own hardware. # # Allows the WebUI to use Pi-hole commands # # This file is copyright under the latest version of the EUPL. # Please see LICENSE file for your rights under this license. # www-data ALL=NOPASSWD: /usr/local/bin/pihole
Alle cronjobs in de /etc/cron* folders worden al standaard als root user uitgevoerd dus is sudo daar overbodig.
Behalve natuurlijk als je crontab -e draait als niet root user.
Of als je de root user veranderd in onderstaande:
pi@ph5b:~ $ cat /etc/cron.d/pihole [..] 3 3 * * 7 root PATH="$PATH:/usr/sbin:/usr/local/bin/" pihole updateGravity >/var/log/pihole/pihole_updateGravity.log || cat /var/log/pihole/pihole_updateGravity.log
Voor DNS maakt het niet uit ofdat je namen naar IP oplost via IPv4 of IPv6 DNS.
pi@ph5b:~ $ dig +short @127.0.0.1 tweakers.net a 31.22.80.152
pi@ph5b:~ $ dig +short @:: tweakers.net a 31.22.80.152
pi@ph5b:~ $ dig +short @127.0.0.1 tweakers.net aaaa 2001:9a8:0:e:1337:0:80:1
pi@ph5b:~ $ dig +short @:: tweakers.net aaaa 2001:9a8:0:e:1337:0:80:1
Hoe de client daarna gaat verbinden met het doel IP hangt af ofdat er een route bestaat naar het gevonden IPv6 of IPv4 IP adres.
Waarbij IPv6 de voorkeur heeft.
There are only 10 types of people in the world: those who understand binary, and those who don't
:
Hoi, ik gebruik al jaren pihole naar grote tevredenheid, maar ik heb sinds een aantal weken het probleem dat er opeens erg veel ads zichtbaar zijn, o.a. op nu.nl. Mijn nu.nl is vandaag volledig in het thema van ene koning toto
Ter aanvulling, Pi-hole heeft daar een FAQ voor:
https://discourse.pi-hole...an-ad-is-coming-from/1522
[ Voor 27% gewijzigd door deHakkelaar op 29-11-2022 19:18 ]
There are only 10 types of people in the world: those who understand binary, and those who don't
/u/189310/crop571f5b38cbd6b_cropped.png?f=community)
@Raymond P , elke keer als ik de man pages raadpleeg leer ik weer wat nieuws
Ter info voor de anderen, je kunt de dnsmasq man page installeren met volgende:
Is maar een paar KB's en je hoeft niet bang te zijn dat deze automatisch gaat draaien want de nodige bestanden daarvoor zitten in een andere package en is geen "dependency":
Of op het net als dat je voorkeur heeft:
https://thekelleys.org.uk/dnsmasq/docs/dnsmasq-man.html
Ter info voor de anderen, je kunt de dnsmasq man page installeren met volgende:
code:
1
| sudo apt install dnsmasq-base |
Is maar een paar KB's en je hoeft niet bang te zijn dat deze automatisch gaat draaien want de nodige bestanden daarvoor zitten in een andere package en is geen "dependency":
pi@ph5b:~ $ apt-file list dnsmasq [..] dnsmasq: /etc/init.d/dnsmasq dnsmasq: /etc/insserv.conf.d/dnsmasq [..] dnsmasq: /lib/systemd/system/dnsmasq.service dnsmasq: /lib/systemd/system/dnsmasq@.service
pi@ph5b:~ $ apt depends dnsmasq-base
dnsmasq-base
Depends: adduser
Depends: libc6 (>= 2.28)
Depends: libdbus-1-3 (>= 1.9.14)
Depends: libgmp10
Depends: libhogweed6 (>= 2.4-3)
Depends: libidn2-0 (>= 2.0.0)
Depends: libnetfilter-conntrack3 (>= 1.0.1)
Depends: libnettle8 (>= 2.4-3)
Conflicts: dnsmasq-base-lua
Breaks: dnsmasq (<< 2.63-1~)
Recommends: dns-root-data
Replaces: dnsmasq (<< 2.63-1~)
Replaces: dnsmasq-base
dnsmasq-base-luaOf op het net als dat je voorkeur heeft:
https://thekelleys.org.uk/dnsmasq/docs/dnsmasq-man.html
[ Voor 25% gewijzigd door deHakkelaar op 29-11-2022 19:29 . Reden: + depends ]
There are only 10 types of people in the world: those who understand binary, and those who don't
Met interactief bedoel ik inderdaad dat je interactie moet geven. En ja je kunt aangeven dat je als sudoer geen wachtwoord hoeft aan te geven en dat is inderdaad bij de raspberry pi standaard, maar ik ga daar niet vanuit omdat er in dit geval problemen werden ervaren. Dan is dat in ieder geval de eerste onnodige schakel die weggehaald kan worden, want een command onder root heeft geen sudo nodig en een command dat met root uitgevoerd moet worden, voer je niet uit onder user. dan kun je het wel met sudo, zonder ww, in de user context uitvoeren, maar dat is een beetje raar... Daarnaast vind ik ook dat sudo op je systeem zetten en vervolgens geen wachtwoord gebruiken een beetje onzinnig; wees dan gewoon root.:
Ff wat dingen rechtzetten/corrigeren/aanvullen.
Zo lekker betweterig
[...]
Bedoel je met "interactief" het wachtwoord invoeren?
Dat kan ook zonder wachtwoord als sudo zodanig is geconfigureerd.
Voor Pi-OS hoef ik geen wachtwoord in te voeren voor de pi user vanwege onderstaande config:
pi@ph5b:~ $ sudo cat /etc/sudoers.d/010_pi-nopasswd pi ALL=(ALL) NOPASSWD: ALL
En Pi-hole gebruikt ook scripted sudo met onderstaande config om zonder wachtwoord het pihole commando te kunnen uitvoeren:
pi@ph5b:~ $ sudo cat /etc/sudoers.d/pihole # Pi-hole: A black hole for Internet advertisements # (c) 2017 Pi-hole, LLC (https://pi-hole.net) # Network-wide ad blocking via your own hardware. # # Allows the WebUI to use Pi-hole commands # # This file is copyright under the latest version of the EUPL. # Please see LICENSE file for your rights under this license. # www-data ALL=NOPASSWD: /usr/local/bin/pihole
Ik heb niet gelezen dat de cronjob in /etc/cron* is opgeslagen. Best-practise is gebruik maken van crontab -e wanneer je cronjobs toevoegd en best-practise is ook het gebruik van least privilege principe. Dit in combinatie met het feit dat sudo is gebruikt in de crontab geeft mij de indruk dat er dus root rechten aan het commando doorgegeven moeten worden; waarom zou je anders een command sudo-en als je al root bent?
Je gaat een beetje voorbij nu aan het probleem. In dit geval worden advertenties geserveerd terwijl de gebruiker wel aangeeft pi-hole te gebruiken en geconfigureerd te hebben. Dan ga je troubleshooten en dan is het heel normaal om te kijken via verschillende routes en bekende fouten wat er mis gaat. Mijn opmerking over IPv6 gaat er vooral over dat ik al meerdere keren heb gezien dat mensen vergeten dat IPv6 is geconfigureerd, IPv4 helemaal ingesteld hebben, maar dat vervolgens, zoals ik in diezelfde post ook aanhaal, de IPv6 DNS nog via de provider loopt i.p.v. op het IPv6 adres van je pihole-omgeving.
Ja dat ben ik met je eens.
Maar ik geloof dat met Pi-OS bewust deze keuze is gemaakt om voor instappers ea te vergemakkelijken.
Ik wou ook alleen duidelijk maken dat je wel zeker sudo ook non-interaktief kunt draaien zonder ww.
Dat komt omdat @MJV niet heeft aangegeven hoe/waar de cronjob is aangemaakt.
Of via een config bestandje of via crontab -e.
Daar zit verschil in.
Weet ik!
Maar jou text was een beetje onduidelijk over dit aspect ... voor mij
There are only 10 types of people in the world: those who understand binary, and those who don't
Is daar op netwerkniveau nog iets aan te doen? Ip adres van googlesafebrowsing.com blocken in mn firewall?of in de pihole?
Verbaast me dat niet veel meer mensen hierover vallen, en ook dat ik er vroeger nooit last van had? Is safe browsing bij 1 of andere recente chrome update default aangezet?
Edit: lekker dat mijn kidsfiltering al die tijd niet blijkt te werken ook.
[ Voor 7% gewijzigd door xilent_xage op 29-11-2022 22:34 ]
Chrome heeft naar mijn weten nog geen kanarie domein zoals Mozilla Firefox en iPads/Phones etc wel toepassen::
Is daar op netwerkniveau nog iets aan te doen? Ip adres van googlesafebrowsing.com blocken in mn firewall?of in de pihole?
https://support.mozilla.o...ks-disable-dns-over-https
https://developer.apple.c...-for-icloud-private-relay
Pi-hole adverteert default OOTB al voor deze dat DoH niet wenselijk is voor het huidige verbonden netwerk:
https://docs.pi-hole.net/ftldns/configfile/#mozilla_canary
https://docs.pi-hole.net/...ile/#icloud_private_relay
There are only 10 types of people in the world: those who understand binary, and those who don't
:strip_icc():strip_exif()/u/144633/crop643e593ea432f_cropped.jpg?f=community)
Noem me paranoia... maar toch... adblockers (en dus ook Pihole) bestaan eigenlijk bij de gratie van big-tech - die hebben altijd het laatste woord. Wat in de praktijk wil zeggen dat wanneer ze ergens substantieel geraakt worden in hun omzet (positief of negatief) gaan ze aanpassingen maken in hun producten. Die aanpassingen zorgen er voor dat hun omzet minimaal op peil blijft (maar in de meest gevallen omhoog gaat).
Een van de "side-effects" is dat het op zijn minst lastiger wordt om (in dit bijvoorbeeld) adblockers te blijven gebruik - met DoH als het ultieme(?) voorbeeld. Gebruikers van systemen als pihole/adguard/nextdns/etc plukken daar dan de (wrange?) vruchten van.
Ik kan meer voorbeelden geven van deze "side-effects". Maar dan gaan we redelijk off-topic... zo is mijn inschatting...
En dus aan jou (of beter aan jouw bezoekers en familieleden) de keus... gaan ze ad-vrij gebruik willen maken van jouw Internet diensten, dan vereist dat "obscure" aanpassingen. Zijn die aanpassingen geen optie? Dan zullen ze die ads voor lief moeten nemen...
makes it run like clockwork
:strip_icc():strip_exif()/u/25009/crop65f1e3109d1b7_cropped.jpg?f=community)
Eeehhh - ik weet niet of ik je vragen goed "lees". Maar weet dat https doorgaans gebruik maakt van poort 443. En dus DNS-over-HTTPS (d.w.z. DoH) ook. Als je daar mee gaat knoeien/stoeien, wat blijft er dan nog werken?
[ Voor 3% gewijzigd door Airw0lf op 30-11-2022 09:31 ]
makes it run like clockwork
:strip_icc():strip_exif()/u/707163/crop58b01c2398b01_cropped.jpeg?f=community)
:strip_icc():strip_exif()/u/99951/Eye.jpg?f=community)
Dat begrijp ik. Ik bedoelde dan ook eigenlijk niet daadwerkelijk blokkeren maar via je router een doorverwijzing naar je eigen doh servertje. Dat kan via pihole en dan heb je toch meteen het hele probleem opgelost? Althans, zolang als de ip adressen van de doh server van google niet wijzigen (of de domeinen):
[...]
Eeehhh - ik weet niet of ik je vragen goed "lees". Maar weet dat https doorgaans gebruik maakt van poort 443. En dus DNS-over-HTTPS (d.w.z. DoH) ook. Als je daar mee gaat knoeien/stoeien, wat blijft er dan nog werken?
Als je al met een firewall bezig bent dan heb je betere opties.
Ik zie niet wat RPZ daaraan toe zou voegen maar wellicht kijk ik ergens overheen.
Een eigen DOH/DOT server gebruiken overruled (momenteel) alle configurables, dat is m.i. een prima first line.
Moeilijk is dat tegenwoordig ook niet meer, een beetje hippe resolver downstream en je bent klaar.
DOQ kan je idd (nog) UDP blokkeren, hoe lang nog ligt aan hoe snel een significant deel van het internet gehost wordt over HTTP/3 (zonder fallback, zoals dus klaarblijkelijk whatsapp).
Ik zie niet wat RPZ daaraan toe zou voegen maar wellicht kijk ik ergens overheen.
Een eigen DOH/DOT server gebruiken overruled (momenteel) alle configurables, dat is m.i. een prima first line.
Moeilijk is dat tegenwoordig ook niet meer, een beetje hippe resolver downstream en je bent klaar.
DOQ kan je idd (nog) UDP blokkeren, hoe lang nog ligt aan hoe snel een significant deel van het internet gehost wordt over HTTP/3 (zonder fallback, zoals dus klaarblijkelijk whatsapp).
[ Voor 3% gewijzigd door Raymond P op 30-11-2022 13:23 ]
- knip -
behoudens het feit dat zowat alle resolvers (unbound, knot-resolver, bind, infoblox, ...) het aanbieden als optie, zijn er de aanbieders van RPZ lijsten, zoals bv. spamhaus (https://urlhaus.abuse.ch/downloads/rpz - iedere 5 minuten geupdate - zie SOA info), die, mijns inziens, een hoge toegevoegde waarde hebben.:
Als je al met een firewall bezig bent dan heb je betere opties.
Ik zie niet wat RPZ daaraan toe zou voegen maar wellicht kijk ik ergens overheen.
DOH/DOT vóór pihole plaatsen: hopen dat de clients geen hardcoded DOH domain of IP gebruiken, anders word je DOH/DOT server nooit aangesproken.
DOH/DOT achter pihole plaatsen: lees de gedachtengang van de lead pihole-FTL developper in dit topic, hij zegt, TLDR; don't!
Ik ga er vanuit dat het geen goed idee is, iets niet te implementeren (beveiligen), omdat het morgen misschien niet meer werkt. Tech en security evolueert razend snel, je bent er nooit klaar mee.
Mij lijkt een good-ip-list handiger. En dan regelmatig valideren.
Idealiter i.c.m. met een implicit-bad-ip voor alle anderen.
In ieder geval om mee te beginnen.
Of ga ik dan ergens de plank misslaan...?
makes it run like clockwork
Ik weet niet wat een DNS Redirect is, maar dit maakt gewoon een A record aan. Zolang het interne ip adres bereikbaar is, lijkt me dat een prima oplossing (ik heb hier thuis iets vergelijkbaars draaien).:
[...]
Kleine bump
:strip_exif()/u/3443/lizard.gif?f=community)
Alle software kan resolvconf aanroepen om de DNS servers etc in het resolv.conf bestandje aan te passen.
Voor Pi-OS is de default network manager dhcpcd.
Als deze via DHCP de DNS servers ontvangt, worden deze toegepast via resolvconf.
Meestal als resolvconf niet is geinstalleerd, dan zullen de network managers vaak direct naar het resolv.conf bestandje schrijven.
Als ja daarna bv een VPN dialer start, zal deze via resolvconf de lokale DNS servers aanpassen naar die van de VPN provider/server.
De Unbound package heeft ook een systemd unit welke via resolvconf de DNS servers aanpast:
pi@ph5b:~ $ systemctl cat unbound-resolvconf.service # /lib/systemd/system/unbound-resolvconf.service [Unit] Description=Unbound DNS server via resolvconf [..]
Voorbeeldje hoe:
deHakkelaar in "[Pi-Hole] Ervaringen & discussie"
Eigenlijk is dit allemaal bedoeld voor dynamische configuraties zoals bv je laptop die je in verschillende netwerken kunt hangen.
Voor servers heeft dit meestal weinig nut omdat je daar al het meeste statisch configureert.
Net zoals dhcpcd en welk andere network manager weinig toevoegt voor een server.
Maar we zijn vaak te lui om deze bloat eraf te knikkeren
There are only 10 types of people in the world: those who understand binary, and those who don't
:
[...]
Kleine bump
Vermoedelijk een CNAME DNS record oftewel een alias:
pi@ph5b:~ $ man dnsmasq
[..]
--cname=<cname>,[<cname>,]<target>[,<TTL>]
Return a CNAME record which indicates that <cname> is re‐
ally <target>. There is a significant limitation on the
target; it must be a DNS record which is known to dnsmasq
and NOT a DNS record which comes from an upstream server.
The cname must be unique, but it is permissible to have
more than one cname pointing to the same target. Indeed
it's possible to declare multiple cnames to a target in a
single line, like so: --cname=cname1,cname2,target
If the time-to-live is given, it overrides the default,
which is zero or the value of --local-ttl. The value is a
positive integer and gives the time-to-live in seconds.EDIT: Dit stukje is belangrijk voor CNAME records:
Kan via de Pi-hole GUI:
http://pi.hole/admin/cname_records.php
http://pi.hole/admin/dns_records.php
Voor de rest geen ervaring met Traefik.
[ Voor 27% gewijzigd door deHakkelaar op 01-12-2022 19:37 ]
There are only 10 types of people in the world: those who understand binary, and those who don't
Bedankt voor de tips - inmiddels een ietwat andere marsroute bewandeld voor alle servers/server-vm’s:
- SystemD resolver gestopt en uitgeschakeld (de forwarding functie werd toch al niet gebruikt)
- Avahi en resolvconf verwijderd (voor zover al geinstalleerd)
- De link “/etc/resolv.conf” verwijderd
- Bestand “/etc/resolv.conf” aangemaakt met daarin het domein en de DNS-server van het management v-lan
- Van pihole de caching parameters aangepast/verlengd
- Via /etc/network/interfaces en pihole alle servers op MAC-based DHCP gezet (behalve pihole
) - Van alle (Linux/Ubuntu-)servers het bestand “/etc/dhcp/dhclient.conf” aangevuld met:
code:
1
2
3
4
5
| request subnet-mask, broadcast-address, time-offset, routers,
domain-name, domain-name-servers, host-name,
interface-mtu, rfc3442-classless-static-routes, ntp-servers;
supersede domain-name "itv.lan";
supersede domain-name-servers 192.168.139.235; |
Om vervolgens af te sluiten met een reboot. Waarna alle “/etc/resolv.conf”-bestanden dezelfde waardes (die van het management vlan). En dat is op zijn beurd weer gekoppeld aan de eerder genoemde parameters in “/etc/dhcp/dhclient.conf”.
Tot nu toe geen verassingen meer…
Alleen weet ik niet zeker wat nu de DNS-lookups voor zijn rekening neemt.
Waarschijnlijk een onderdeel van de dhclient-service.
Die zie ik met "ss -tulpn" een paar keer langskomen op udp poort 68 - net zo vaak als er vlans zijn. Die vlans zijn weer aangemaakt via "/etc/network/interfaces".
Maar als het anders is hoor ik dat graag!
makes it run like clockwork
De binaries/programa's gebruiken functies uit ik geloof de libc6 library::
n weet ik niet zeker wat nu de DNS-lookups voor zijn rekening neemt.
Waarschijnlijk een onderdeel van de dhclient-service.
https://tldp.org/LDP/nag2/x-087-2-resolv.library.html
pi@ph5b:~ $ apt list --installed "*libc6*" Listing... Done libc6-dbg/now 2.31-13+rpt2+rpi1+deb11u2 armhf [installed,upgradable to: 2.31-13+rpt2+rpi1+deb11u4] libc6-dev/now 2.31-13+rpt2+rpi1+deb11u2 armhf [installed,upgradable to: 2.31-13+rpt2+rpi1+deb11u4] libc6/now 2.31-13+rpt2+rpi1+deb11u2 armhf [installed,upgradable to: 2.31-13+rpt2+rpi1+deb11u4]
pi@ph5b:~ $ apt show libc6 [..] Description: GNU C Library: Shared libraries Contains the standard libraries that are used by nearly all programs on the system. This package includes shared versions of the standard C library and the standard math library, as well as many others. N: There are 2 additional records. Please use the '-a' switch to see them.
EDIT:
pi@ph5b:~ $ dpkg -L libc6 [..] /lib/arm-linux-gnueabihf/libnss_compat-2.31.so /lib/arm-linux-gnueabihf/libnss_dns-2.31.so /lib/arm-linux-gnueabihf/libnss_files-2.31.so /lib/arm-linux-gnueabihf/libnss_hesiod-2.31.so
EDIT2:
pi@pi@ph5b:~ $ strings /lib/arm-linux-gnueabihf/libnss_dns-2.31.so | grep dns _nss_dns_gethostbyname3_r _nss_dns_gethostbyname2_r _nss_dns_gethostbyname_r _nss_dns_gethostbyname4_r _nss_dns_gethostbyaddr2_r _nss_dns_gethostbyaddr_r _nss_dns_getnetbyname_r _nss_dns_getnetbyaddr_r _nss_dns_getcanonname_r libnss_dns.so.2
[ Voor 69% gewijzigd door deHakkelaar op 01-12-2022 21:11 ]
There are only 10 types of people in the world: those who understand binary, and those who don't
Herinner je deze nog?:
[...]
Ik zie geen puntje op het einde
Dat puntje op het eind schijnt nodig te zijn voor Windows apparaten.
Staat dat er niet, dan zal Windows altijd het search domain erachter willen plakken.
Ook als de dns-naam al een fqdn is.
Bij de Linux/Ubuntu-systemen bleek de oorzaak te liggen bij de inhoud van /etc/hostname:
Daar had ik overal "<host-naam>.itv.lan" ingezet. Dat moet alleen "<host-naam>" zijn.
De rest wordt, afhankelijk van het vlan, aangevuld door pihole.
Ik heb dat puntje nu weggehaald en via de query-log gevalideerd dat dat het geval is.
En inderdaad... so be it... rare jongens daar bij MS-Windows... ;-)
Nadeel van dat puntje in de pihole config is dat als je via de webui een config-wijziging wil doorvoeren, dan verslikt ie zich in dat puntje. En voert de beoogde aanpassing niet uit.
Dat was hem weer voor nu.
makes it run like clockwork
Inderdaad, daar is het search/suffix domein voor bedoelt.
Ow wat ik eerder plaatste blijkt alweer "obsolete":
pi@ph5b:~ $ man gethostbyname
[..]
DESCRIPTION
The gethostbyname*(), gethostbyaddr*(), herror(), and hstrerror()
functions are obsolete. Applications should use getaddrinfo(3),
getnameinfo(3), and gai_strerror(3) instead.
[..]In plaats daarvan:
pi@ph5b:~ $ man getaddrinfo
[..]
DESCRIPTION
Given node and service, which identify an Internet host and a ser‐
vice, getaddrinfo() returns one or more addrinfo structures, each
of which contains an Internet address that can be specified in a
call to bind(2) or connect(2).
[..]Dingen gaan snel
There are only 10 types of people in the world: those who understand binary, and those who don't
ph34r my [WCG] Cows :P
:strip_exif()/u/49248/DPCkoeienUD.gif?f=community)
Je bent bekend met [Traefik - Proxy/Loadbalancer] Ervaringen & Discussie neem ik aan
Opzich zitten deze twee wel in de juiste richting :
En verder gok ik dat je twee Virtual Hosts zal moeten aanmaken om het maar effe in Apache Webserver taal te zeggen
De bijbehorende DNS Records kan je trouwens gewoon via de Local DNS Records optie van de Pi-Hole webGUI aanmaken
De "dirty fix" is Reverse NAT a.k.a. NAT Loopback te gebruiken, maar dat zou ik je eigenlijk flink af willen raden!
|| Stem op mooiere Topic Search linkjes! :) " || Pi-Hole : Geen advertenties meer voor je hele netwerk! >:) ||
Ja - ok - maar pihole vindt dat niet leuk.
Tenminste niet als ie in "setupVars.conf" gezet wordt en je op een later moment iets wil aanpassen via de webUI.
Hoe zie je dat?
edit : en Windows lijkt er zich niet veel van aan te trekken...
[ Voor 21% gewijzigd door Airw0lf op 01-12-2022 23:07 ]
makes it run like clockwork
Dank allen voor de antwoorden.:
[...]
Je bent bekend met [Traefik - Proxy/Loadbalancer] Ervaringen & Discussie neem ik aan
Opzich zitten deze twee wel in de juiste richting :
[...]
[...]
En verder gok ik dat je twee Virtual Hosts zal moeten aanmaken om het maar effe in Apache Webserver taal te zeggen
De bijbehorende DNS Records kan je trouwens gewoon via de Local DNS Records optie van de Pi-Hole webGUI aanmaken
De "dirty fix" is Reverse NAT a.k.a. NAT Loopback te gebruiken, maar dat zou ik je eigenlijk flink af willen raden!
Split DNS was inderdaad waar ik naar op zoek was en daardoor kan ik ook weer beter en gerichter zoeken
Traefik topic ken ik inderdaad, maar daar had ik mijn antwoord nog niet in gevonden.
Ik ga nog eens even verder spitten en grasduinen en zal hier laten weten waar ik op terecht ben gekomen
Dat is grappig, embedded dnsmasq kan dus wel omgaan met dat puntje op het einde maar de webGUI laat dit niet toe ... lijkt het.:
[...]
Ja - ok - maar pihole vindt dat niet leuk.
Tenminste niet als ie in "setupVars.conf" gezet wordt en je op een later moment iets wil aanpassen via de webUI.
Hoe zie je dat?
edit : en Windows lijkt er zich niet veel van aan te trekken...
Geen idee ook ofdat dit valide is voor een search/suffix domein omdat dit puntje niet wordt weergegeven met een dhcp-discover:
pi@ph5b:~ $ sudo nano /etc/dnsmasq.d/02-pihole-dhcp.conf [..] domain=home.dehakkelaar.nl. local=/home.dehakkelaar.nl./
pi@ph5b:~ $ pihole-FTL --test dnsmasq: syntax check OK.
pi@ph5b:~ $ sudo service pihole-FTL reload pi@ph5b:~ $
pi@ph5b:~ $ pihole-FTL dhcp-discover Scanning all your interfaces for DHCP servers [..] domain-name: "home.dehakkelaar.nl"
En ook niet op een Windhoos client:
C:\>ipconfig /renew [..] Connection-specific DNS Suffix . : home.dehakkelaar.nl
En als ik met tcpdump ga sniffen zie ik dat anker puntje ook niet in de DHCP reply:
pi@ph5b:~ $ sudo tcpdump -ntXi any port 67
[..]
eth0 In IP 10.0.0.11.68 > 10.0.0.4.67: BOOTP/DHCP, Request from 00:1e:0b:XX:XX:XX, length 300
[..]
eth0 Out IP 10.0.0.4.67 > 10.0.0.11.68: BOOTP/DHCP, Reply, length 338
[..]
0x0130: XXX .....home.dehakk
0x0140: XXX elaar.nlQ.......Misschien dat iemand anders dit kan verklaren waarom dat puntje wel effect had op jou setup?
En anders mogelijk ff op Pi-hole Discourse vragen?
EDIT: Of welk ander forum waar meer kennis aanwezig is.
There are only 10 types of people in the world: those who understand binary, and those who don't
leuk heh standaarden. Op zich kan ik mij verenigen met die flow, bij user input geen trailing dot...Mja, dat zou niet breaking moeten zijn.
- knip -
/u/669546/crop645389a7e3f72_cropped.png?f=community)
@Ben.Hahlen of een klasse B subnet instellen 172.16.0.0/16, dan heb je dat probleem niet, of A subnet 10.0.0.0/8
Dank!Laat ik het dan anders verwoorden:
Ik heb een supernet /23 gemaakt.
Vroeger, resolvede alles netjes dat in de 192.168.2.0 range zat. Nu volgens mij ook, alleen wordt hetgeen dat in 192.168.3.0 zit niet meer resolved in de Query log.
Ik heb in de docker_compose.yml de REV_SERVER_CIDR aangepast van 192.168.2.0/24 naar 192.168.2.0/23.
Dat is de Conditional Forwarding Local Network optie.
komt omdat je een klasse C subnet hebt, zie mijn vorige post, volgens mij klopt dat.:
[...]
Laat ik het dan anders verwoorden:
Ik heb een supernet /23 gemaakt.
Vroeger, resolvede alles netjes dat in de 192.168.2.0 range zat. Nu volgens mij ook, alleen wordt hetgeen dat in 192.168.3.0 zit niet meer resolved in de Query log.
Ik heb in de docker_compose.yml de REV_SERVER_CIDR aangepast van 192.168.2.0/24 naar 192.168.2.0/23.
Dat is de Conditional Forwarding Local Network optie.
zo niet, dan verneem ik dat graag
Hmm... Ok... Ik ga even uitzoeken wat het verschil is tussen een Klasse C en Klasse B subnet... Weer wat te leren:
[...]
komt omdat je een klasse C subnet hebt, zie mijn vorige post, volgens mij klopt dat.
ph34r my [WCG] Cows :P
:
@Ben.Hahlen of een klasse B subnet instellen 172.16.0.0/16, dan heb je dat probleem niet, of A subnet 10.0.0.0/8
Zo werkt dat niet : https://www.gns3network.c...-public-ip-address-space/:
komt omdat je een klasse C subnet hebt, zie mijn vorige post, volgens mij klopt dat.
Zie de tabel in de link:
Hmm... Ok... Ik ga even uitzoeken wat het verschil is tussen een Klasse C en Klasse B subnet... Weer wat te leren
|| Stem op mooiere Topic Search linkjes! :) " || Pi-Hole : Geen advertenties meer voor je hele netwerk! >:) ||
Daarom had ik er ook een "DNS record" linkje en waarschuwing bij geplaatst
There are only 10 types of people in the world: those who understand binary, and those who don't
ph34r my [WCG] Cows :P
Geen idee, waarschijnlijk dit blijkbaar :
Maar daar ging mijn reactie ook niet over!
|| Stem op mooiere Topic Search linkjes! :) " || Pi-Hole : Geen advertenties meer voor je hele netwerk! >:) ||
bild.de ook, andere browser gebruiken zonder adblocker terwijl pihole gewoon draait, detectie pihole door een site is toch wat ingewikkeld
Het probleem is, dat de site de Pi-Hole als een adblocker ziet.:
[...]
bild.de ook, andere browser gebruiken zonder adblocker terwijl pihole gewoon draait, detectie pihole door een site is toch wat ingewikkeld
The problem with common sense is that sense never ain't common - From the notebooks of Lazarus Long
GoT voor Behoud der Nederlandschen Taal [GvBdNT
ph34r my [WCG] Cows :P
Naast de suggesties van @dss58 zou je ook zoiets kunnen overwegen :
- Een apart VLAN zonder Pi-Hole daarin actief.
- Een apart WiFi SSID i.c.m. dat VLAN.
- Of gewoon effe snel een OpenVPN/Wireguard verbinding met dat VLAN opbouwen elke keer i.p.v. het een en ander wisselen/anders instellen
Beetje raar, maar het is iets om over na te denken...
|| Stem op mooiere Topic Search linkjes! :) " || Pi-Hole : Geen advertenties meer voor je hele netwerk! >:) ||