Docker image (pihole / unbound) geen interne connectie

maandag 24 juni 2019 11:18

Acties:

0 Henk 'm!

Topicstarter

Ik probeer al enige tijd Pihole en unbound aan de gang te krijgen via een docker image op mijn Synology (1812+). Heb verschillende handleidingen gevolgd maar het lukt nog niet echt 100%.

Wat werkt is dat de dockers draaien en via macvlan driver een IP hebben in het interne netwerk die ik op mijn LAN gebruik. Ik kom op de admin portal van de Pihole. Ik kan instellingen maken en die worden opgeslagen.
Ik kan vanaf mijn vaste systeem een query doen naar de pihole. Vanaf de vaste pc kan ik ook een query doen naar unbound.
Dit leert mij dat netwerk verkeer goed verloopt. Ik kan namelijk ook een ping sturen naar de pihole en daar komt keurig antwoord op.

Wat niet werkt is het doen van een query vanaf de synology zelf. Of een ping sturen vanaf de synology zelf. Dit heeft al giga nadeel dat mijn interne lan (waar het DNS record op de synology staan) niet gequeried worden.

Doe ik bijv een 'ping synology.domain.local', dan komt er nu een timeout. Normaal zou je willen dat hij een query gaat doen naar de docker image, deze doet een forward naar de DNS van de synology omdat die als conditional forwarder ingesteld staat voor domain.local. Alleen er vindt geen netwerk communicatie tussen docker image en z'n host plaats.

Heb nog in IP tables gekeken op m'n synology, maar dat staat keurig op Forward Accept. En dat is dan ook logisch dat dat goed staat, want vanaf m'n vaste pc gaat gewoon goed.

Is er in Docker nog iets wat je moet doen om communicatie tussen host en docker image toe te staan?

dinsdag 25 juni 2019 15:41

Starck

Ja dit is een bekende "feature" van macvlan dat je niet vanaf de host het macvlan ip adres kan bereiken (komt door de manier waarop requests doorgezet worden in de netwerk stack)
Ik kan op mijn synology niet de pihole gebruiken als DNS server. Maar de rest van mijn netwerk kan wel prima bij de pihole komen.

Je kan ook een pihole gewoon in bridge draaien, maar dan zie je niet de losse ip's (maar alleen het bridge ip) voor de requests en DHCP in pihole werkt niet.

EDIT: Host mode is ook geen goed idee, want dat botst met poort 80 en 443. Die heeft Synology zelf geclaimed en zijn niet gemakkelijk aan te passen (en staan na update weer default)

[ Voor 18% gewijzigd door Starck op 25-06-2019 15:44 ]

dinsdag 25 juni 2019 15:15

Acties:

0 Henk 'm!

Sa1

Topicstarter

Wellicht even een beetje aanvullende informatie. Ik had verwacht dat het wellicht niet nodig zou zijn. Maar hier de inhoud van docker-compose.yaml

code:

version: '2'

services:
  pihole:
    container_name: pihole
    image: pihole/pihole:latest
    hostname: pihole
    domainname: xxx.nl
    mac_address: d0:ca:ab:cd:ef:05
    cap_add:
      - NET_ADMIN
    ports:
      - 443/tcp
      - 53/tcp
      - 53/udp
      - 67/udp # Uncomment if you want to use Pi-Hole for DHCP
      - 80/tcp
      - 22/tcp
    environment:
      ServerIP: 192.168.0.33
      VIRTUAL_HOST: pihole.xxx.nl
      WEBPASSWORD: ${WEBPASSWORD}
      DNS1: 192.168.0.34
      DNS2: 192.168.0.30
    volumes:
      - /volume1/docker/pihole-unbound/pihole/volume:/etc/pihole:rw
      - /volume1/docker/pihole-unbound/pihole/config/hosts:/etc/hosts:ro
      - /volume1/docker/pihole-unbound/pihole/config/resolv.conf:/etc/resolv.conf:ro
      - /volume1/docker/pihole-unbound/pihole/config/dnsmasq.conf:/etc/dnsmasq.d/02-network.conf:ro
      - /volume1/docker/pihole-unbound/pihole/config/pihole-FTL.conf:/etc/pihole/pihole-FTL.conf:ro
    networks:
      docker-home:
        ipv4_address: 192.168.0.33
    restart: unless-stopped
  unbound:
    container_name: unbound
    image: mvance/unbound:latest
    hostname: syn-unbound
    domainname: xxx.nl
    mac_address: d0:ca:ab:cd:ef:06
    ports:
      - 53/tcp
      - 53/udp
    environment:
      ServerIP: 192.168.20.34
      VIRTUAL_HOST: syn-unbound.xxx.nl
      WEBPASSWORD: ${WEBPASSWORD}
      DNS1: 192.168.0.34
      DNS2: 192.168.0.30
    networks:
      docker-home:
        ipv4_address: 192.168.0.34
    restart: unless-stopped

networks:
  docker-home:
    driver: macvlan
    driver_opts:
      parent: ovs_bond0
    ipam:
      config:
        - subnet: 192.168.0.0/24
          gateway: 192.168.0.1
          ip_range: 192.168.0.32/30 # 192.168.0.33 and 192.168.0.34

Wellicht dat daar een foutje in staat?

dinsdag 25 juni 2019 15:27

Acties:

0 Henk 'm!

Felix!

Misschien eens de 'host' network mode proberen i.p.v. macvlan?

No one is listening until you fart

dinsdag 25 juni 2019 15:31

Acties:

0 Henk 'm!

Sa1

Topicstarter

Felix! schreef op dinsdag 25 juni 2019 @ 15:27:
Misschien eens de 'host' network mode proberen i.p.v. macvlan?

kun je ook toelichten waarom dat een goed idee is? Want dan kom je toch met de port assignments in de knoop? 3x poort 53 openen lukt toch niet?

dinsdag 25 juni 2019 15:41

Acties:

Beste antwoord ✓
0 Henk 'm!

Starck

Ja dit is een bekende "feature" van macvlan dat je niet vanaf de host het macvlan ip adres kan bereiken (komt door de manier waarop requests doorgezet worden in de netwerk stack)
Ik kan op mijn synology niet de pihole gebruiken als DNS server. Maar de rest van mijn netwerk kan wel prima bij de pihole komen.

Je kan ook een pihole gewoon in bridge draaien, maar dan zie je niet de losse ip's (maar alleen het bridge ip) voor de requests en DHCP in pihole werkt niet.

EDIT: Host mode is ook geen goed idee, want dat botst met poort 80 en 443. Die heeft Synology zelf geclaimed en zijn niet gemakkelijk aan te passen (en staan na update weer default)

[ Voor 18% gewijzigd door Starck op 25-06-2019 15:44 ]

dinsdag 25 juni 2019 16:04

Acties:

0 Henk 'm!

Sa1

Topicstarter

Starck schreef op dinsdag 25 juni 2019 @ 15:41:
Ja dit is een bekende "feature" van macvlan dat je niet vanaf de host het macvlan ip adres kan bereiken (komt door de manier waarop requests doorgezet worden in de netwerk stack)
Ik kan op mijn synology niet de pihole gebruiken als DNS server. Maar de rest van mijn netwerk kan wel prima bij de pihole komen.

Je kan ook een pihole gewoon in bridge draaien, maar dan zie je niet de losse ip's (maar alleen het bridge ip) voor de requests en DHCP in pihole werkt niet.

EDIT: Host mode is ook geen goed idee, want dat botst met poort 80 en 443. Die heeft Synology zelf geclaimed en zijn niet gemakkelijk aan te passen (en staan na update weer default)

Ohw serieus! Dat staat dan weer nergens vermeld waar ik gelezen heb ;-). Wat ik gebruik is de conditional forwarder waar hij mijn interne domain via de DNS server op de synology laat resolven. Zelfde als dat ik de pihole ingesteld heb als forwarder voor die DNS server. Dus alles ging altijd via de pihole en interne domain alleen via de dns op de synology.

Als dat niet gaat werken, dan ga ik de pihole wel weer opnieuw configureren. Jammerlijk hoor.

Bridge modus vind ik niet zo handig want vind het juist wel handig om het per IP te zien, vwb host modus leek me dat al geen puik plan. Los dat ik gewoon 80 en andere poorten actief benut.

[ Voor 3% gewijzigd door Sa1 op 25-06-2019 16:05 ]

dinsdag 25 juni 2019 16:07

Acties:

0 Henk 'm!

Starck

Zo te zien heb je ook Virtual Machine Manager aan staan op jouw Synology. Je kan altijd nog een losse VM maken met daarin de pihole

Sa1 schreef op dinsdag 25 juni 2019 @ 16:04:
[...]

Ohw serieus! Dat staat dan weer nergens vermeld waar ik gelezen heb ;-). Wat ik gebruik is de conditional forwarder waar hij mijn interne domain via de DNS server op de synology laat resolven. Zelfde als dat ik de pihole ingesteld heb als forwarder voor die DNS server. Dus alles ging altijd via de pihole en interne domain alleen via de dns op de synology.

Als dat niet gaat werken, dan ga ik de pihole wel weer opnieuw configureren. Jammerlijk hoor.

Bridge modus vind ik niet zo handig want vind het juist wel handig om het per IP te zien, vwb host modus leek me dat al geen puik plan. Los dat ik gewoon 80 en andere poorten actief benut.

dinsdag 25 juni 2019 16:12

Acties:

0 Henk 'm!

Sa1

Topicstarter

Starck schreef op dinsdag 25 juni 2019 @ 16:07:
Zo te zien heb je ook Virtual Machine Manager aan staan op jouw Synology. Je kan altijd nog een losse VM maken met daarin de pihole

[...]

Niet dat ik weet ;-) vanwege dat virtualhost? geen idee dat stond in het voorbeeld.

dinsdag 25 juni 2019 16:17

Acties:

0 Henk 'm!

Starck

ovs_bond0

Zodra je VMM gebruikt krijg je een ovs_ prefix voor je netwerk interface.

Sa1 schreef op dinsdag 25 juni 2019 @ 16:12:
[...]
Niet dat ik weet ;-) vanwege dat virtualhost? geen idee dat stond in het voorbeeld.

dinsdag 25 juni 2019 16:19

Acties:

0 Henk 'm!

Sa1

Topicstarter

Starck schreef op dinsdag 25 juni 2019 @ 16:17:
ovs_bond0

Zodra je VMM gebruikt krijg je een ovs_ prefix voor je netwerk interface.

[...]

ja, had een x die open switch aangezet, maar weet niet meer precies waarom, volgens mij ook voor docker.

Baal er wel van, kan ik weer docker niet breder inzetten dan alleen m'n unifi controller. Maar nogmaals bedankt!

dinsdag 25 juni 2019 16:21

Acties:

0 Henk 'm!

Starck

Draai je verder niks in docker?

Ik heb: Unifi, UNMS, Pihole, TVHeadend en Smokeping.
Verder ook een tijdje Portainer (maar nu alles via docker-compose files). Ook LibreNMS en Cacti geprobeerd. Maar Ubiquiti spul ziet er leuker uit

Sa1 schreef op dinsdag 25 juni 2019 @ 16:19:
[...]
ja, had een x die open switch aangezet, maar weet niet meer precies waarom, volgens mij ook voor docker.

Baal er wel van, kan ik weer docker niet breder inzetten dan alleen m'n unifi controller. Maar nogmaals bedankt!

[ Voor 6% gewijzigd door Starck op 25-06-2019 16:23 ]

dinsdag 25 juni 2019 16:37

Acties:

0 Henk 'm!

Sa1

Topicstarter

Starck schreef op dinsdag 25 juni 2019 @ 16:21:
Draai je verder niks in docker?

Ik heb: Unifi, UNMS, Pihole, TVHeadend en Smokeping.
Verder ook een tijdje Portainer (maar nu alles via docker-compose files). Ook LibreNMS en Cacti geprobeerd. Maar Ubiquiti spul ziet er leuker uit

[...]

TVHeadend draai ik al een poos niet meer, maar draaide vlekkeloos native op de syno. UNMS ga ik wel is even bekijken inderdaad, dat is leuk. Smokeping misschien ook wel..

tnx

Onderwerpen

Vraag

Beste antwoord (via Sa1 op 25-06-2019 16:02)

Alle reacties