[Pi-Hole] Ervaringen & discussie

Raymond P schreef op donderdag 8 december 2022 @ 17:08:
Als dat optioneel is dan kan een Firefox profiel met DNS settings: DOH > cloudflare natuurlijk ook, mits je die niet op netwerk niveau geblokkeerd hebt.

Verwijderd schreef op donderdag 8 december 2022 @ 09:26:
Weet iemand of er ook een manier is om adblocker detectie buiten de deur te houden?
Heb hier in toenemende mate last van op sites, bijvoorbeeld thingiverse staat je niet toe te downloaden als je hun advertenties niet slikt.

Cozm0 schreef op zaterdag 10 december 2022 @ 11:06:
Heb Pihole installed, DHCP & DNS, heb adlists toegevoegd, een aantal whitelists. Clients rebooted, lijkt allemaal netjes te draaien volgens het dashboard. Zie echter wel een enorme reclame van bol.com op nu.nl, wat heb ik gemist?

[ Voor 8% gewijzigd door Webgnome op 10-12-2022 11:11 ]

Webgnome schreef op zaterdag 10 december 2022 @ 11:09:
[...]


zelfde vraag als die ik aan @Buffalo gesteld heb. Controleer op je clients welke dns dat er gebruikt wordt. Verder welke browser gebruik je? Weet je zeker dat die browser niet stiekem over DOH gaat? wat gebeurd er als je in de terminal
nslookup tweakers.net doet. Gaat ie dan via je pihole?

En als je op linux zit als client. Wat is de output van

resolvectl status

[ Voor 24% gewijzigd door Cozm0 op 10-12-2022 11:48 ]

Webgnome schreef op vrijdag 9 december 2022 @ 18:36:
Het lijkt er dus op dat het in je netwerk zit. Blijkbaar als je via wireguard verbonden bent gaat je dns wel netjes via pihole maar als je wireguard uit zet dan niet. Als je in windows, zonder wireguard dit uitvoerd in een terminal?

nslookup fr12.nl wat krijg je dan te zien? Het ip adres van je pihole of iets anders? En als je dat doet via wireguard?

Church of Noise schreef op zaterdag 10 december 2022 @ 10:29:
Welke adressen staan ingesteld als dns servers op je laptop en op je router?
doet pi-hole je dhcp of doet je router dat ?

Buffalo schreef op zaterdag 10 december 2022 @ 11:44:
[...]

Met Wireguard zie ik dit:
C:\Users\xxxxx>nslookup fr12.nl
Server: pi.hole
Address: 10.15.xxx.xx

Non-authoritative answer:
Name: fr12.nl
Address: 138.xx.xxx.xx

Zonder Wireguard:
Server: UnKnown
Address: fd00::3ea6:xxxx:xxxx:xxxx

*** UnKnown can't find fr12.nl: No response from server

[...]

DNS, dus IP van PiHole staat in mijn router. Mijn router staat ook op DHCP en deelt de adressen uit.
Alle apparaten moeten dus automatisch de gegevens van de router krijgen.

[ Voor 3% gewijzigd door Airw0lf op 10-12-2022 11:51 ]

Buffalo schreef op zaterdag 10 december 2022 @ 11:44:
[...]

Met Wireguard zie ik dit:
C:\Users\xxxxx>nslookup fr12.nl
Server: pi.hole
Address: 10.15.xxx.xx

Non-authoritative answer:
Name: fr12.nl
Address: 138.xx.xxx.xx

Zonder Wireguard:
Server: UnKnown
Address: fd00::3ea6:xxxx:xxxx:xxxx

*** UnKnown can't find fr12.nl: No response from server

(server adressen maar even weggehaald)


[...]


DNS, dus IP van PiHole staat in mijn router. Mijn router staat ook op DHCP en deelt de adressen uit.
Alle apparaten moeten dus automatisch de gegevens van de router krijgen.

[ Voor 49% gewijzigd door Church of Noise op 10-12-2022 12:38 ]

sweetdude schreef op zaterdag 10 december 2022 @ 12:16:
[...]


Het lijkt er dus op dat je alleen een Ziggo modem hebt die niet in Bridgemodus staat.
De netwerkmogelijkheden zijn dan altijd beperkter. Zeker nu IPv6 steeds meer aangezet wordt op de Ziggo modems.

Een optie die je nodig hebt, maar het standaard Ziggo modem niet ondersteund is bijvoorbeeld om alle verkeer over de DNS poort via je pihole te routen.

De enige oplossing voor jou is om een eigen router ertussen te zetten, deze hoeft niet de hoofdprijs te kosten met OpenWRT erop. Deze biedt voldoende instelmogelijkheden.
Of je eigen kabelmodem neerzetten die meer opties heeft (deze optie is lastiger en duurder denk ik)

ewf schreef op zaterdag 10 december 2022 @ 12:59:
Draai hier een FritzBox! 6690 en geen problemen.
Je zou kunnen overwegen een FB 6600 of 6690 te nemen, heb je een stuk meer mogelijkheden en heb je ook Wifi-6. Draait hier prima op 1Gbps.

Maar ik denk dat het aan je configuratie ligt met Wireguard. Ik draai zonder WG met de laatste versie van Pihole en geen reclame (in ieder geval die jij noemt).
Bij een ipconfig /all moet je DNS server naar je Pihole verwijzen, als niet dan moet je dat aanpassen in je DHCP.

Succes

Buffalo schreef op vrijdag 9 december 2022 @ 18:22:
Eerder schreef ik in dit topic dat Chrome op Android (OnePlus 8 ) geen ads blokt via PiHole.
Nu is dit probleem nog steeds niet opgelost, maar is er ook een nieuw probleem bijgekomen.

Nu is het ook zo dat op mijn Windows 10 laptop ads niet meer geblokt worden in de browser. Ik gebruik standaard Chrome, maar heb nu ook Firefox en Edge draaien. In alle 3 de browsers heb ik ads.

Nu kan ik moeilijk beoordelen of geen enkele website adds toont. Want ik heb het idee dat bepaalde websites wel ads blokken.
Concreet zie ik op bijvoorbeeld fr12.nl ads, maar ad.nl, nu.nl tonen geen adds.

Ik heb ook Wireguard op de Pi draaien, en als ik die op mijn Windows laptop aanzet worden ads wel geblokt. Ieder geval op de website fr12.nl.

Wat kan hier nu misgaan met PiHole? Zit er iets in de configuratie?

Kan ik ergens duidelijk testen of er wel of geen ads worden geblokt/getoond?

Ik wordt er een beetje moedeloos van, vooral omdat het eigenlijk altijd goed gewerkt heeft.

Ander bijkomend vraagje: Op de PiHole Admin pagina heb je links een knop 'Tools'. Hier staat sinds een aantal updates ene getal bij. Als ik hier op klik en dan PiHole Diagnosis staan hier een boel Adlists die 'inaccessible during last gravity run' waren. Heeft dit er nog iets mee te maken? En hoe los ik die meldingen op?

Cozm0 schreef op zaterdag 10 december 2022 @ 11:06:
Heb Pihole installed, DHCP & DNS, heb adlists toegevoegd, een aantal whitelists. Clients rebooted, lijkt allemaal netjes te draaien volgens het dashboard.

Zie echter wel een enorme reclame van bol.com op nu.nl, wat heb ik gemist?

ewf schreef op zaterdag 10 december 2022 @ 12:59:
Draai hier een FritzBox! 6690 en geen problemen.
Je zou kunnen overwegen een FB 6600 of 6690 te nemen, heb je een stuk meer mogelijkheden en heb je ook Wifi-6. Draait hier prima op 1Gbps.

Maar ik denk dat het aan je configuratie ligt met Wireguard. Ik draai zonder WG met de laatste versie van Pihole en geen reclame (in ieder geval die jij noemt).

Buffalo schreef op zaterdag 10 december 2022 @ 17:23:
Nee, geen Ziggo hier, maar Caiway.

Ik heb een FRITZbox 7590, met daarvoor een TP Link media converter. Die zet alleen glasvezel om in RJ45 en die gaat naar de WAN van de FRITZbox.

Maar in de FRITZbox stel ik alleen het ip adres van Pihole in als DNS.

Wat kan ik nog meer op de Fritz instellen dan wat van belang kan zijn?
Zal straks nog even de ipconfig test doen als ik thuis ben.

Cozm0 schreef op zaterdag 10 december 2022 @ 19:50:
Een ipconfig /all geeft
DNS Servers . . . . . . . . . . . : 2001:b88:1002::10
2001:b88:1202::10
2001:730:3e42:1000::53
192.168.178.144 << Pi-hole
2001:b88:1002::10
2001:b88:1202::10
2001:730:3e42:1000::53
Mn Pi is netjes de DHCP en DNS (IPv4 en IPv6)
Is Dit Ziggo die, zoals hier boven aangegeven, gewoon de DNS settings overruled?
Over een paar maanden zit ik op Gbit van Delta, kan ik daar wel een eigen DNS server instellen?

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74

PS C:\WINDOWS\system32> ipconfig /all | more

Windows IP Configuration

   Host Name . . . . . . . . . . . . : pandora
   Primary Dns Suffix  . . . . . . . :
   Node Type . . . . . . . . . . . . : Hybrid
   IP Routing Enabled. . . . . . . . : No
   WINS Proxy Enabled. . . . . . . . : No
   DNS Suffix Search List. . . . . . : itv.lan

Unknown adapter OpenVPN-Wintun:

   Media State . . . . . . . . . . . : Media disconnected
   Connection-specific DNS Suffix  . :
   Description . . . . . . . . . . . : Wintun Userspace Tunnel
   Physical Address. . . . . . . . . :
   DHCP Enabled. . . . . . . . . . . : No
   Autoconfiguration Enabled . . . . : Yes

Ethernet adapter Ethernet:

   Connection-specific DNS Suffix  . : itv.lan
   Description . . . . . . . . . . . : Intel(R) Ethernet Connection I219-LM
   Physical Address. . . . . . . . . : 18-DB-F2-47-3E-B4
   DHCP Enabled. . . . . . . . . . . : Yes
   Autoconfiguration Enabled . . . . : Yes
   IPv4 Address. . . . . . . . . . . : 192.168.139.41(Preferred)
   Subnet Mask . . . . . . . . . . . : 255.255.255.0
   Lease Obtained. . . . . . . . . . : zaterdag, 10 december 2022 12:26
   Lease Expires . . . . . . . . . . : zaterdag, 17 december 2022 19:16
   Default Gateway . . . . . . . . . : 192.168.139.240
   DHCP Server . . . . . . . . . . . : 192.168.139.235
   DNS Servers . . . . . . . . . . . : 192.168.139.235
                                       192.168.139.235
   NetBIOS over Tcpip. . . . . . . . : Disabled

Unknown adapter Local Area Connection:

   Media State . . . . . . . . . . . : Media disconnected
   Connection-specific DNS Suffix  . :
   Description . . . . . . . . . . . : TAP-Windows Adapter V9
   Physical Address. . . . . . . . . : 00-FF-B8-87-E5-D5
   DHCP Enabled. . . . . . . . . . . : Yes
   Autoconfiguration Enabled . . . . : Yes

Wireless LAN adapter Wi-Fi:

   Media State . . . . . . . . . . . : Media disconnected
   Connection-specific DNS Suffix  . : hotspots
   Description . . . . . . . . . . . : Intel(R) Dual Band Wireless-AC 8260
   Physical Address. . . . . . . . . : 34-F3-9A-0C-D9-42
   DHCP Enabled. . . . . . . . . . . : Yes
   Autoconfiguration Enabled . . . . : Yes

Wireless LAN adapter Local Area Connection* 1:

   Media State . . . . . . . . . . . : Media disconnected
   Connection-specific DNS Suffix  . :
   Description . . . . . . . . . . . : Microsoft Wi-Fi Direct Virtual Adapter
   Physical Address. . . . . . . . . : 34-F3-9A-0C-D9-43
   DHCP Enabled. . . . . . . . . . . : Yes
   Autoconfiguration Enabled . . . . : Yes

Wireless LAN adapter Local Area Connection* 2:

   Media State . . . . . . . . . . . : Media disconnected
   Connection-specific DNS Suffix  . :
   Description . . . . . . . . . . . : Microsoft Wi-Fi Direct Virtual Adapter #2
   Physical Address. . . . . . . . . : 36-F3-9A-0C-D9-42
   DHCP Enabled. . . . . . . . . . . : No
   Autoconfiguration Enabled . . . . : Yes

PS C:\WINDOWS\system32>

deHakkelaar schreef op zaterdag 10 december 2022 @ 23:34:
@Cozm0 , als je IPv6 RA niet kunt wijzigen of IPv6 RA DNS uitschakelen, dan zit er maar één optie op en dat is namelijk IPv6 helemaal uitschakelen voor je LAN in de router instellingen.

Cozm0 schreef op zondag 11 december 2022 @ 14:31:
[...]

Thanks, dat wil helaas niet bij Ziggo op de Connectbox Giga.
ik blijf de IPv6 DNS'en ontvangen op mijn netwerk apparatuur.
Heb inmiddels wel op de Apple mobile devices de "extra" IPv6 DNS'en verwijderd en dat werkt prima.
Mijn win10 machine heeft een static ip adress met handmatige DNS maar blijft de IPv6 DNS ontangen.

Zoals gezegd over een paar maanden verhuis ik het netwerk naar Delta, dan maar eens verder klussen

Airw0lf schreef op zondag 11 december 2022 @ 14:38:
[...]


Zie ook mijn eerder geposte "ipconfig /all":
Onder Windows kan je IPv6 uitschakelen - kwestie van vinkje weghalen voor IPv6...

[ Voor 34% gewijzigd door Cozm0 op 11-12-2022 15:12 ]

Cozm0 schreef op zondag 11 december 2022 @ 14:42:
[...]

Je bedoelt dit? of mis ik iets?

Ahum, juist ja,
[Afbeelding]

[ Voor 3% gewijzigd door Airw0lf op 11-12-2022 15:21 ]

sweetdude schreef op zaterdag 10 december 2022 @ 12:16:
[...]
Een optie die je nodig hebt, maar het standaard Ziggo modem niet ondersteund is bijvoorbeeld om alle verkeer over de DNS poort via je pihole te routen.
...

1
2
3
4
5
6
7

#keep network on pi-hole
iptables -t nat -I PREROUTING -i lan -p tcp --dport 53 -j DNAT --to 192.168.0.9:53
iptables -t nat -I PREROUTING -i lan -p udp --dport 53 -j DNAT --to 192.168.0.9:53

#punch DNS hole for pi-hole
iptables -t nat -I PREROUTING -i lan -p tcp -s 192.168.0.9 --dport 53 -j ACCEPT
iptables -t nat -I PREROUTING -i lan -p udp -s 192.168.0.9 --dport 53 -j ACCEPT

Airw0lf schreef op zaterdag 10 december 2022 @ 20:00:
Mmm - kwee-nie - bij mij geeft "ipconfig /all" veel meer (zie ook hieronder).
Ik zou toch graag het complete plaatje willen zien...

Cozm0 schreef op zaterdag 10 december 2022 @ 19:50:
Een ipconfig /all geeft
DNS Servers . . . . . . . . . . . : 2001:b88:1002::10
2001:b88:1202::10
2001:730:3e42:1000::53
192.168.178.144 << Pi-hole
2001:b88:1002::10
2001:b88:1202::10
2001:730:3e42:1000::53
Mn Pi is netjes de DHCP en DNS (IPv4 en IPv6)

Is Dit Ziggo die, zoals hier boven aangegeven, gewoon de DNS settings overruled?

Over een paar maanden zit ik op Gbit van Delta, kan ik daar wel een eigen DNS server instellen?

Airw0lf schreef op zaterdag 10 december 2022 @ 22:31:
Misschien eens proberen met IPv6 uitgeschakeld?

Airw0lf schreef op zondag 11 december 2022 @ 14:38:
Onder Windows kan je IPv6 uitschakelen - kwestie van vinkje weghalen voor IPv6...

Cozm0 schreef op zondag 11 december 2022 @ 14:42:
Je bedoelt dit? of mis ik iets?

Ahum, juist ja,
[Afbeelding]

Cozm0 schreef op zondag 11 december 2022 @ 14:31:
Thanks, dat wil helaas niet bij Ziggo op de Connectbox Giga.
ik blijf de IPv6 DNS'en ontvangen op mijn netwerk apparatuur.
Heb inmiddels wel op de Apple mobile devices de "extra" IPv6 DNS'en verwijderd en dat werkt prima.
Mijn win10 machine heeft een static ip adress met handmatige DNS maar blijft de IPv6 DNS ontvangen.

Zoals gezegd over een paar maanden verhuis ik het netwerk naar Delta, dan maar eens verder klussen.

deHakkelaar schreef op zaterdag 10 december 2022 @ 20:31:
[...]

Is boven niet je router IP of mogelijk een ISP DNS server die niet via Pi-hole gaat?
Dit lijkt op een DNS server die afkomstig is van je router via IPv6 router advertisement of kort IPv6 RA.
Als goed is zou onder de naam moeten weergeven achter dat IPv6 IP (EDIT:wel het juiste IPv6 adres twee maal invullen onder zonder xxxx):

code:

1	nslookup fd00::3ea6:xxxx:xxxx:xxxx fd00::3ea6:xxxx:xxxx:xxxx

sweetdude schreef op zondag 11 december 2022 @ 16:46:
Door mijn eigen antwoord er plots achterkomen dat ik het zelf niet meer werkend heb.
In mijn OpenWRT had ik onderstaande (de meeste wel bekende) code in gebruik:

code:

1 2 3 4 5 6 7

#keep network on pi-hole iptables -t nat -I PREROUTING -i lan -p tcp --dport 53 -j DNAT --to 192.168.0.9:53 iptables -t nat -I PREROUTING -i lan -p udp --dport 53 -j DNAT --to 192.168.0.9:53 #punch DNS hole for pi-hole iptables -t nat -I PREROUTING -i lan -p tcp -s 192.168.0.9 --dport 53 -j ACCEPT iptables -t nat -I PREROUTING -i lan -p udp -s 192.168.0.9 --dport 53 -j ACCEPT

Echter, met de overstap van IPtables naar NFTtables in de laatste OpenWRT versies zijn deze komen te vervallen.
Zelf ben ik te weinig wegwijs in deze materie om dit te converteren.
Of is er nu een andere/ betere oplossing om dit te doen?

Ik had zelf deze guide gevonden. Echter ga ik nat [phun intended] op de NAT rule omdat ik daar geen destination port kan opgeven in Luci. Ik draai momenteel versie 22.3.

[ Voor 12% gewijzigd door nero355 op 11-12-2022 17:03 ]

nero355 schreef op zondag 11 december 2022 @ 16:53:
[...]

Je zou natuurlijk bij je IPv6 instellingen gewoon Pi-Hole als IPv6 DNS Server kunnen configureren!

Cozm0 schreef op zondag 11 december 2022 @ 17:09:
Dat werkt niet qua blocking van ads, de Ziggo IPv6 DNS lijkt over te nemen.

powerboat schreef op zondag 11 december 2022 @ 17:12:
Toch maar eens een vm'tje opgezet stond al langer op mijn wishlist, maar wil hem wel van buitenaf ook bereikbaar maken (nee niet via vpn).

Iemand hier ervaring mee en eventueel tips?

[ Voor 30% gewijzigd door nero355 op 11-12-2022 17:15 ]

powerboat schreef op zondag 11 december 2022 @ 17:12:
Toch maar eens een vm'tje opgezet stond al langer op mijn wishlist, maar wil hem wel van buitenaf ook bereikbaar maken (nee niet via vpn).

Iemand hier ervaring mee en eventueel tips?

sweetdude schreef op zondag 11 december 2022 @ 16:46:
Echter, met de overstap van IPtables naar NFTtables in de laatste OpenWRT versies zijn deze komen te vervallen.
Zelf ben ik te weinig wegwijs in deze materie om dit te converteren.
Of is er nu een andere/ betere oplossing om dit te doen?

powerboat schreef op zondag 11 december 2022 @ 17:12:
wil hem wel van buitenaf ook bereikbaar maken (nee niet via vpn).

nero355 schreef op zondag 11 december 2022 @ 17:14:
NIET DOEN!

[ Voor 33% gewijzigd door jpgview op 11-12-2022 17:47 ]

sweetdude schreef op zondag 11 december 2022 @ 16:46:
[...]


Door mijn eigen antwoord er plots achterkomen dat ik het zelf niet meer werkend heb.
In mijn OpenWRT had ik onderstaande (de meeste wel bekende) code in gebruik:

code:

1 2 3 4 5 6 7

#keep network on pi-hole iptables -t nat -I PREROUTING -i lan -p tcp --dport 53 -j DNAT --to 192.168.0.9:53 iptables -t nat -I PREROUTING -i lan -p udp --dport 53 -j DNAT --to 192.168.0.9:53 #punch DNS hole for pi-hole iptables -t nat -I PREROUTING -i lan -p tcp -s 192.168.0.9 --dport 53 -j ACCEPT iptables -t nat -I PREROUTING -i lan -p udp -s 192.168.0.9 --dport 53 -j ACCEPT

Echter, met de overstap van IPtables naar NFTtables in de laatste OpenWRT versies zijn deze komen te vervallen.
Zelf ben ik te weinig wegwijs in deze materie om dit te converteren.
Of is er nu een andere/ betere oplossing om dit te doen?

Ik had zelf deze guide gevonden. Echter ga ik nat [phun intended] op de NAT rule omdat ik daar geen destination port kan opgeven in Luci. Ik draai momenteel versie 22.3.

nero355 schreef op zondag 11 december 2022 @ 16:53:
[...]

Dat weet @Raven vast wel als nftables fan zijnde!

1
2
3
4
5
6
7
8
9

#!/usr/sbin/nft -f

#keep network on pi-hole
add rule ip nat PREROUTING iifname "lan" tcp dport 53 counter dnat to 192.168.0.9:53
add rule ip nat PREROUTING iifname "lan" udp dport 53 counter dnat to 192.168.0.9:53

#punch DNS hole for pi-hole
add rule ip nat PREROUTING iifname "lan" ip saddr 192.168.0.9 tcp dport 53 counter accept
add rule ip nat PREROUTING iifname "lan" ip saddr 192.168.0.9 udp dport 53 counter accept

1
2
3

Raven@debian11:~$ sudo iptables-translate -t nat -I PREROUTING -i lan -p tcp --dport 53 -j DNAT --to 192.168.0.9:53
nft insert rule ip nat PREROUTING iifname "lan" tcp dport 53 counter dnat to 192.168.0.9:53
Raven@debian11:~$

Raven schreef op zondag 11 december 2022 @ 18:55:
[...]


[...]

Zo uit mijn hoofd (heb zelf nog geen dergelijke regels om DNS naar PiHole te forceren) zou het dit moeten zijn:

code:

1 2 3 4 5 6 7 8 9

#!/usr/sbin/nft -f #keep network on pi-hole add rule ip nat PREROUTING iifname "lan" tcp dport 53 counter dnat to 192.168.0.9:53 add rule ip nat PREROUTING iifname "lan" udp dport 53 counter dnat to 192.168.0.9:53 #punch DNS hole for pi-hole add rule ip nat PREROUTING iifname "lan" ip saddr 192.168.0.9 tcp dport 53 counter accept add rule ip nat PREROUTING iifname "lan" ip saddr 192.168.0.9 udp dport 53 counter accept

Tip, zorg voor een Debian installatie waar je van de tool iptables-translate gebruik kunt maken. Die werkt alleen met sudo en verwacht als argument alles na "iptables", voorbeeld:

code:

1 2 3

Raven@debian11:~$ sudo iptables-translate -t nat -I PREROUTING -i lan -p tcp --dport 53 -j DNAT --to 192.168.0.9:53 nft insert rule ip nat PREROUTING iifname "lan" tcp dport 53 counter dnat to 192.168.0.9:53 Raven@debian11:~$

[ Voor 3% gewijzigd door sweetdude op 11-12-2022 19:44 ]

powerboat schreef op zondag 11 december 2022 @ 17:12:
Toch maar eens een vm'tje opgezet stond al langer op mijn wishlist, maar wil hem wel van buitenaf ook bereikbaar maken (nee niet via vpn).

Iemand hier ervaring mee en eventueel tips?

Raymond P schreef op zondag 11 december 2022 @ 20:01:
[...]


Port #53 lekker dicht houden.
Is DoT/DoH een optie? Dan ben je het gezeik met bijdrage aan amplification attacks op UDP al kwijt.
Gooi een wat meer mainstream package die dat ondersteunt als (exposed) entry point vóór pi-hole.
Firewall met geo-ip block voor de welbekende landen.

Als je niet van plan bent de meuk up to date te houden geldt hetzelfde als voor elk ander stukje server software: niet doen (thx in advance).

nero355 schreef op zondag 11 december 2022 @ 17:14:
[...]

Als jij ervoor zorgt dat Pi-Hole FTLDNS actief is op het Link-Local IPv6 van eth0 en daarna dat adres instelt bij de IPv6 Settings van je Windows PC dan moet dat IMHO goed komen!

[ Voor 6% gewijzigd door Cozm0 op 12-12-2022 08:22 ]

[ Voor 8% gewijzigd door Raymond P op 12-12-2022 08:32 ]

[ Voor 20% gewijzigd door Airw0lf op 12-12-2022 08:40 ]

sweetdude schreef op zondag 11 december 2022 @ 19:44:
[...]


Bedankt hiervoor.
Ik ben zoals gezegd niet heel handig hiermee. Ik heb ook niets op debian draaien buiten pihole waar ik met dank aan de heldere handleiding @jpgview ooit ben uitgekomen.

Ik heb dus werkelijk geen idee hoe ik die regels toegevoegd krijg in OpenWRT. voorheen was dit een optie om via de Luci interface deze gewoon te copy pasten. Maar blijkbaar zijn ze hier op de achtergrond nog hard aan het werk.

Wat trouwens ook raar is dat ik de optie mis om een destination port in te geven die in deze tutorial genoemd wordt om het NAT gedeelte in te stellen. Dit zou het probleem ook oplossen zonder met NFtables te rommelen.
De eerste regel zorgt voor een stortvloed aan DNS requests in PiHole. vermoedelijk door een loopje.

[ Voor 38% gewijzigd door Airw0lf op 12-12-2022 11:28 ]

Airw0lf schreef op maandag 12 december 2022 @ 11:09:
@Cozm0 - de schermafbeelding is niet volledig - ik mis de advanced DHCP-settings.

Wat me aan deze afbeelding opvalt is dat het IP adres van je pihole-server in de dhcp-range valt. Hoewel wellicht niet problematisch is het geen handige. Beter is om je pihole server buiten die DHCP-range te houden.

Nogmaals (sorry voor het spammen) - maar doe jezelf een plezier en zet IPv6 overal uit.
Het wordt in de praktijk zelden of nooit gebruik en geeft eigenlijk alleen maar "ruis".

Of het kan weet ik niet zo - maar DHCP uitzetten op het Ziggo-modem zal ook helpen.
Dan zou alles afgehandeld moeten worden door pihole.

[ Voor 5% gewijzigd door Cozm0 op 12-12-2022 11:48 ]

Airw0lf schreef op maandag 12 december 2022 @ 11:09:
@Cozm0 - de schermafbeelding is niet volledig - ik mis de advanced DHCP-settings.

Wat me aan deze afbeelding opvalt is dat het IP adres van je pihole-server in de dhcp-range valt. Hoewel wellicht niet problematisch is het geen handige. Beter is om je pihole server buiten die DHCP-range te houden.

Nogmaals (sorry voor het spammen) - maar doe jezelf een plezier en zet IPv6 overal uit.
Het wordt in de praktijk zelden of nooit gebruik en geeft eigenlijk alleen maar "ruis".

Of het kan weet ik niet zo - maar DHCP uitzetten op het Ziggo-modem zal ook helpen.
Dan zou alles afgehandeld moeten worden door pihole.

Airw0lf schreef op zaterdag 10 december 2022 @ 11:50:
[...]


Zou wel moeten - maar lijkt niet het gevalt te zijn...
Wat geeft (zonder wireguard) "ipconfig /all"?

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64

Windows IP Configuration

   Host Name . . . . . . . . . . . . : Notebook-Patrick
   Primary Dns Suffix  . . . . . . . :
   Node Type . . . . . . . . . . . . : Hybrid
   IP Routing Enabled. . . . . . . . : No
   WINS Proxy Enabled. . . . . . . . : No
   DNS Suffix Search List. . . . . . : fritz.box

Unknown adapter stormshield-tap:

   Media State . . . . . . . . . . . : Media disconnected
   Connection-specific DNS Suffix  . :
   Description . . . . . . . . . . . : TAP-Windows Adapter V9
   Physical Address. . . . . . . . . : 00-FF-xx-xx-xx-xx
   DHCP Enabled. . . . . . . . . . . : Yes
   Autoconfiguration Enabled . . . . : Yes

Wireless LAN adapter LAN-verbinding* 1:

   Media State . . . . . . . . . . . : Media disconnected
   Connection-specific DNS Suffix  . :
   Description . . . . . . . . . . . : Microsoft Wi-Fi Direct Virtual Adapter
   Physical Address. . . . . . . . . : 20-1E-xx-xx-xx-xx
   DHCP Enabled. . . . . . . . . . . : Yes
   Autoconfiguration Enabled . . . . : Yes

Wireless LAN adapter LAN-verbinding* 2:

   Media State . . . . . . . . . . . : Media disconnected
   Connection-specific DNS Suffix  . :
   Description . . . . . . . . . . . : Microsoft Wi-Fi Direct Virtual Adapter #2
   Physical Address. . . . . . . . . : 22-1E-xx-xx-xx-xx
   DHCP Enabled. . . . . . . . . . . : Yes
   Autoconfiguration Enabled . . . . : Yes

Wireless LAN adapter Wi-Fi:

   Connection-specific DNS Suffix  . : fritz.box
   Description . . . . . . . . . . . : Intel(R) Wireless-AC 9560
   Physical Address. . . . . . . . . : 20-1E-xx-xx-xx-xx
   DHCP Enabled. . . . . . . . . . . : Yes
   Autoconfiguration Enabled . . . . : Yes
   Link-local IPv6 Address . . . . . : fe80::fc36:xxxx:xxxx:xxx%10(Preferred)
   IPv4 Address. . . . . . . . . . . : 10.10.10.22(Preferred)
   Subnet Mask . . . . . . . . . . . : 255.255.255.0
   Lease Obtained. . . . . . . . . . : vrijdag 9 december 2022 19:47:43
   Lease Expires . . . . . . . . . . : donderdag 22 december 2022 08:23:17
   Default Gateway . . . . . . . . . : 10.10.10.1
   DHCP Server . . . . . . . . . . . : 10.10.10.1
   DHCPv6 IAID . . . . . . . . . . . : 85991048
   DHCPv6 Client DUID. . . . . . . . : 00-01-00-01-2A-79-E2-xx-xx-xx-xx-xx-xx-xx
   DNS Servers . . . . . . . . . . . : fd00::3ea6:xxxx:xxxx:xxxx
                                       10.10.10.37
   NetBIOS over Tcpip. . . . . . . . : Enabled

Ethernet adapter Bluetooth-netwerkverbinding:

   Media State . . . . . . . . . . . : Media disconnected
   Connection-specific DNS Suffix  . :
   Description . . . . . . . . . . . : Bluetooth Device (Personal Area Network)
   Physical Address. . . . . . . . . : 20-1E-xx-xx-xx-xx
   DHCP Enabled. . . . . . . . . . . : Yes
   Autoconfiguration Enabled . . . . : Yes

deHakkelaar schreef op zaterdag 10 december 2022 @ 20:31:
[...]

Is boven niet je router IP of mogelijk een ISP DNS server die niet via Pi-hole gaat?
Dit lijkt op een DNS server die afkomstig is van je router via IPv6 router advertisement of kort IPv6 RA.
Als goed is zou onder de naam moeten weergeven achter dat IPv6 IP (EDIT:wel het juiste IPv6 adres twee maal invullen onder zonder xxxx):

code:

1	nslookup fd00::3ea6:xxxx:xxxx:xxxx fd00::3ea6:xxxx:xxxx:xxxx

1
2
3
4
5

C:\Users\xxxx>nslookup fd00::3ea6:xxxx:xxx:xxxx
Server:  UnKnown
Address:  fd00::3ea6:xxxx:xxx:xxxx

*** UnKnown can't find fd00::3ea6:xxxx:xxx:xxxx: No response from server

Raymond P schreef op maandag 12 december 2022 @ 07:33:
@powerboat Dat werkt hier op die manier al minstens twee jaar.
Het kan met Nginx, Haproxy of direct met bijvoorbeeld Knot (allemaal gewoon enterprise-grade). Niet echt moeilijk meer dus.

Met DoH kan je bovenop de (sub)domain name als obfuscation ook leunen op basic auth of /secret-path/.
Zowel bij het hosten van DoT als DoH is simpelweg gescand worden al niet voldoende om in een open relay lijstje terecht te komen.

Imho een erg makkelijke manier om ook onderweg en op locatie je eigen DNS in handen te hebben zonder de rompslomp van verbinden met meerdere VPN's.

N.b. hier ziet men vooral enkel de puntige kant van de punaise.

Airw0lf schreef op maandag 12 december 2022 @ 12:42:
@Buffalo - lijkt allemaal goed te zijn.
Overweeg om verders om IPv6 zoveel mogelijk uit te schakelen...

[ Voor 38% gewijzigd door Cozm0 op 12-12-2022 14:17 ]

dss58 schreef op maandag 12 december 2022 @ 14:36:
Even voor te duiden ivm IPv6 discussie, ik heb op mijn fritzbox IPv6 uit gezet, de DHCP wijst naar pihole, in win10 IPv6 uit en raspberry pi's standaard uit, that simpel is het hier en werkt als een speer, alleen in pihole log kan ik nu niet meer zien welke client welke van welke client de DNS query komt, bij een kennis van me ook zo ingesteld zonder enkel probleem, daar kan ik het wel zien, kennelijk zit dat in de fritzbox maar is goed mee te leven

Cozm0 schreef op maandag 12 december 2022 @ 14:08:
Ziggo & Pihole, IPv6 overruled the DNS IPv4
Is alleen op te lossen door de Ziggo connect box in bridge modus te hangen en een eigen router er achter te draaien. Jammer maar helaas.

...

Airw0lf schreef op maandag 12 december 2022 @ 11:09:
@Cozm0 - de schermafbeelding is niet volledig - ik mis de advanced DHCP-settings.

Nogmaals (sorry voor het spammen) - maar doe jezelf een plezier en zet IPv6 overal uit.

Buffalo schreef op maandag 12 december 2022 @ 13:42:
[...]


Ga ik later uittesten. Nu bedenk ik nog iets. Momenteel werk ik thuis en ben via Stormshield VPN met werk verbonden. Ik log dan remote in op mijn PC op werk.
Als ik nu de Ipconfig /all uitvoer, zie ik 2 DNS servers staan bij de Stormshield verbinding. Toevallig in dezelfde reeks als mijn thuisnetwerk, namelijk 10.10.10.33 en 10.10.10.34. Mijn PiHole zit op 10.10.10.37.

Nu zie ik dus ook weer ads. Kan dit elkaar wellicht verstoren? Ik moet wel zeggen dat de eerdere tests allemaal waren gedaan zonder Stromshield ingeschakeld te hebben staan. Maar misschien dat er een vertraging inzit?

dss58 schreef op maandag 12 december 2022 @ 15:28:
[...]

Koepert schreef op maandag 12 december 2022 @ 15:37:
[...]


Volgens mij ging hier iets niet goed

Koepert schreef op maandag 12 december 2022 @ 14:46:
[...]


Ligt een beetje aan "wat" je naar je pihole wijst.

Doet je Pihole DHCP? Of heb je in je DHCP aangegeven dat Pihole de DNS doet?

Ik heb namelijk een Fritzbox, en pihole als DNS (dus geen DHCP) en die ziet prima alle clients. Ligt een beetje aan WAAR je naar je Pihole wijst.

dss58 schreef op maandag 12 december 2022 @ 16:38:
[...]

verdorie, ja, sukkel zeg, niet goed opgelet, nieuwe poging:


[...]

mijn antwoord was "ik weet niet wat ik anders naar pihole zou moeten sturen"

Raymond P schreef op maandag 12 december 2022 @ 16:47:
@dss58 Dat is het verschil tussen je gateway als resolver mee te geven aan DHCP met pihole als upstream van de gateway en direct pihole mee te geven als resolver aan DHCP.

sweetdude schreef op zondag 11 december 2022 @ 19:44:
Ik heb dus werkelijk geen idee hoe ik die regels toegevoegd krijg in OpenWRT. voorheen was dit een optie om via de Luci interface deze gewoon te copy pasten. Maar blijkbaar zijn ze hier op de achtergrond nog hard aan het werk.

Cozm0 schreef op maandag 12 december 2022 @ 08:20:
Ik mis ergens een stap.

DHCP is uitgeschakeld op de Ziggo modem, staat aan via PiHole en werkt.
Ad-blocking werkt zolang de IPv4 DNS gebruikt wordt, bij uitschakelen van IPv6 op de win10 bakken hebben ze geen ads meer maar krijg is netwerk issues (Plex connect niet meer).
Ergens in mijn IPv6 DNS setup gaat iets niet goed. Staan de settings niet goed in Pihole?
Pihole zelf heeft een static address en gebruikt de google DNS
[Afbeelding]

C:\Users\Cozm0>nslookup tweakers.net
Server: dns.google
Address: 2001:4860:4860::8888

Non-authoritative answer:
Name: tweakers.net
Addresses: 2001:9a8:0:e:1337:0:80:2
213.239.154.30

Wat ik in het Pihole topic op eerdere paginas vond was dat je in het geval van een Ziggo connect box je DHCP uitzet op de modem, DHCP aan in PiHole en klaar is

Cozm0 schreef op maandag 12 december 2022 @ 10:55:
Dat stond idd op SLAAC/NDRA in de ziggo modem, heb hem nu op DHCPv6 gezet.
Mijn netwerk kennis is nog uit het IPv4 tijdperk merk ik

Cozm0 schreef op maandag 12 december 2022 @ 10:58:
Updated pic DHCP Advanced settings:
[Afbeelding]

Airw0lf schreef op maandag 12 december 2022 @ 11:09:
@Cozm0 - de schermafbeelding is niet volledig - ik mis de advanced DHCP-settings.

Wat me aan deze afbeelding opvalt is dat het IP adres van je pihole-server in de dhcp-range valt. Hoewel wellicht niet problematisch is het geen handige. Beter is om je pihole server buiten die DHCP-range te houden.

Nogmaals (sorry voor het spammen) - maar doe jezelf een plezier en zet IPv6 overal uit.
Het wordt in de praktijk zelden of nooit gebruik en geeft eigenlijk alleen maar "ruis".

Airw0lf schreef op maandag 12 december 2022 @ 08:38:
@Cozm0 - heb je IPv6 eigenlijk wel nodig? Is niet gebruiken/instellen een optie?

Airw0lf schreef op maandag 12 december 2022 @ 12:42:
@Buffalo - lijkt allemaal goed te zijn.
Overweeg om verders om IPv6 zoveel mogelijk uit te schakelen...

Of het kan weet ik niet zo - maar DHCP uitzetten op het Ziggo-modem zal ook helpen.
Dan zou alles afgehandeld moeten worden door pihole.

Airw0lf schreef op maandag 12 december 2022 @ 12:55:
Ik heb met NAT nog nooit problemen gehad en draai al de nodige jaren met dubbel-nat achter een KPN router. En inclusief de nodige eigen services.

Raymond P schreef op maandag 12 december 2022 @ 13:18:
De schuld mag je imho leggen bij de all-in-one boxen van de providers en de beperkte configuratiemogelijkheden.
M.i. geen reden om een suggestie te geven het uit te zetten.

Buffalo schreef op maandag 12 december 2022 @ 13:42:
Ga ik later uittesten. Nu bedenk ik nog iets. Momenteel werk ik thuis en ben via Stormshield VPN met werk verbonden. Ik log dan remote in op mijn PC op werk.
Als ik nu de Ipconfig /all uitvoer, zie ik 2 DNS servers staan bij de Stormshield verbinding. Toevallig in dezelfde reeks als mijn thuisnetwerk, namelijk 10.10.10.33 en 10.10.10.34. Mijn PiHole zit op 10.10.10.37.

Nu zie ik dus ook weer ads. Kan dit elkaar wellicht verstoren? Ik moet wel zeggen dat de eerdere tests allemaal waren gedaan zonder Stromshield ingeschakeld te hebben staan. Maar misschien dat er een vertraging inzit?

Cozm0 schreef op maandag 12 december 2022 @ 14:08:
Ziggo & Pihole, IPv6 overruled the DNS IPv4
Is alleen op te lossen door de Ziggo connect box in bridge modus te hangen en een eigen router er achter te draaien. Jammer maar helaas.

https://community.ziggo.n...v6-en-Pihole/td-p/1014875

dss58 schreef op maandag 12 december 2022 @ 14:36:
Even voor te duiden ivm IPv6 discussie, ik heb op mijn fritzbox IPv6 uit gezet, de DHCP wijst naar pihole, in win10 IPv6 uit en raspberry pi's standaard uit, that simpel is het hier en werkt als een speer.

alleen in pihole log kan ik nu niet meer zien welke client welke van welke client de DNS query komt, bij een kennis van me ook zo ingesteld zonder enkel probleem, daar kan ik het wel zien, kennelijk zit dat in de fritzbox maar is goed mee te leven

W1ck1e schreef op maandag 12 december 2022 @ 15:16:
Bij mij is het voldoende om een eigen router met ipv6 gedisabled achter de modem/router van ziggo te zetten. Modem niet in bridge mode.

nero355 schreef op maandag 12 december 2022 @ 18:02:
[...]

Jou gaan ze geweldig vinden in Het grote IPv6 topic met die houding!

[...]

Dat het altijd goed heeft gewerkt betekent niet dat het voor altijd zal blijven werken!

Zo vaak gezien :
- Er gaat iets stuk...
- Meteen de reactie : "Ja, maar het heeft altijd zo gewerkt!"

LOL!

[...]

Gemiste kans om IPv6 zoals het hoort te implementeren op je netwerk!

Raymond P schreef op maandag 12 december 2022 @ 20:52:
Dat is nu exact de houding waardoor we in een tergend langzame transition zitten.

... Mja. Waarom zou je het uitzetten als het prima werkt ...

W1ck1e schreef op maandag 12 december 2022 @ 21:15:
[...]

Precies, voor mij werkt IPv4 prima. Waarom daar nu mee stoppen ?

[ Voor 23% gewijzigd door W1ck1e op 12-12-2022 21:24 ]

Raymond P schreef op maandag 12 december 2022 @ 20:52:
Dat is nu exact de houding waardoor we in een tergend langzame transition zitten.

Raymond P schreef op maandag 12 december 2022 @ 20:52:
Dat is nu exact de houding waardoor we in een tergend langzame transition zitten.

IPv6 is een uitgebreider protocol wat efficiënter te routen is.
Een hoge adoption rate is wel nodig om gebruik interessant te maken en producten te ontwikkelen.

In een topic over ads en tracking ontwijking mag privacy ook wel genoemd worden. Met SLAAC+privacy is het heel wat minder waarschijnlijk dat je op IP getracked wordt.

Voor een normale thuisgebruiker heeft het weinig directe voordelen, al laden webpages procenten sneller volgens Akamai.

Mja. Waarom zou je het uitzetten als het prima werkt (mits je heel even de tijd neemt een nieuw kunstje te leren en correct te configureren voor je pi-hole)?

En wel boze blikken naar Chrome als secure DNS default aan staat maar je ISP is helemaal ok als het niet eens mogelijk is DNS te configureren...

[ Voor 3% gewijzigd door Airw0lf op 12-12-2022 23:03 ]

Airw0lf schreef op maandag 12 december 2022 @ 22:51:
Ander dingetje is de beheer(s)inspanning: die verdubbelt ongeveer.
En ik zie niet direct een of meer substantiële voordelen... enlighten me!

Raymond P schreef op maandag 12 december 2022 @ 23:25:
Voor enlightenment kan je hier verder:
Het grote IPv6 topic

Het kip/ei verhaal is daar vast ook al besproken.

[ Voor 43% gewijzigd door Airw0lf op 13-12-2022 07:21 ]

deHakkelaar schreef op dinsdag 13 december 2022 @ 03:26:
[...]

Heb je wel de officiele gids gevolgd voor Fritzbox?

[...]