DNS instellen Edgerouter X

Zoals ik het lees wordt al je DNS verkeer via de router gestuurd. Voordeel is dat als je interne DNS server uitvalt, het vrij eenvoudig is om op je router het verkeer naar een werkende (publieke) DNS server te routeren. Nadeel van routeren via je router is dat je op je interne DNS server niet (meer) kan zien wie het DNS request gedaan heeft.

victoryo schreef op dinsdag 18 oktober 2022 @ 23:09:
Goedenavond,

Vandaag was ik wat aan het spelen met mijn netwerk met als doel een pi hole te koppelen.

Om dit te doen moet de DNS verwijzen naar deze machine. Uiteindelijk is dat allemaal gelukt maar vroeg ik mij het volgende af;

Bij de DHCP settings is het mogelijk om een DNS op te geven maar het is ook mogelijk om dit via services-> dns forwarding te doen.

De laatste optie is hoe ik het nu geconfigureerd heb, maar wat is nu het verschil?
Klopt het dat als je het via DHCP doet dat je in de ipconfig van de clients dan ook deze DNS server ziet en op de manier zoals ik het gedaan heb je het IP adres van de router als DNS ziet?

Bedankt!

Via de DHCP-server geef je een DNS-server mee. Dus als je daar het IP van de Pihole hebt staan dan doet een client rechtstreeks bij de Pihole een DNS-request.

Als je bij DHCP de router hebt als DNS en bij DNS forwarding de Pihole, dan doet een client een request bij de router die deze forward naar de Pihole.

Zoals lier zegt is bij de 2e situatie het nadeel dat je niet meer kan zien wie welke requests deed in de Pihole, omdat vanuit het perspectief van de Pihole alle DNS-requests door je router worden gedaan.

Een voordeel van DNS forwarding is dat je kan cachen. Dit levert een snelheidswinst op (sneller antwoord, want lokaal en je hoeft niet meerdere keren hetzelfde DNS-record op te vragen over het internet). Beide gevallen zijn niet interessant want die voordelen biedt de Pihole ook al. Ik zou dus via DHCP de Pihole configureren.

Een aantal dingen om rekening mee te houden:

Je kan natuurlijk alle DNS (UDP poort 53) blokkeren, behalve door de Pihole.

Sommige devices, bijvoorbeeld alles van Google, negeren de DNS van je DHCP-server en gaan altijd naar Google DNS zelf (8.8.8.8).

Het blokkeren van DNS zal de apparaten van bij voorbeeld Google niet meer laten werken. Wat je zou kunnen doen is al het DNS verkeer forwarded naar de Pihole, dus vanuit je Google Home lijkt het antwoord dan naar 8.8.8.8 te gaan, maar stiekem zit gewoon je Pihole erachter (kun je doen door middel van DNAT/SNAT geloof ik).

Al het bovenstaande is natuurlijk te omzeilen door DoH (DNS over HTTPS) te gebruiken, dus het is een kwestie van tijd voordat de Google’s van deze wereld dat implementeren.

IPv6 werkt DNS wat anders. Het simpelste is ok DNS gewoon niet via IPv6 te laten lopen.

victoryo schreef op woensdag 19 oktober 2022 @ 13:33:
Ah ik kom er net achter dat ik de clients sowieso nog niet ga zien omdat ik in een docker container draai op een Windows machine.

Docker of niet staat totaal los van of je de clients op IP adres kan identificeren of niet. Dus je conclusie is niet juist.

Ik vind dat echt vreemd...welk IP adres laat de PiHole dan zien van wie het request afkomstig is?

Klopt, dit was ook zo bij Pihole in Docker op m’n Synology. Dacht hier nog wel aan, maar wou het verhaal niet te ingewikkeld maken.

Met een Pi heb je dat probleem inderdaad niet.

Heb zelf mijn AdGuards (en hiervoor PiHoles) in Docker op een Synology draaien. Inderdaad hosted (maar nooit stil gestaan bij de beperking van bridged). Maar we raken een beetje out of scope.

victoryo schreef op donderdag 20 oktober 2022 @ 16:24:
Gaat het nog verschil maken als ik pi hole op een raspberry pi 4 zet of een 3b, ivm 1gb ethernet poort op de 4? Ik heb een 350mbit abbo van Ziggo en het is niet de bedoeling dat ik de boel vertraag haha

een pi 4 wordt heter, dus geef dat beestje een goede koeler en dan haal je met gemak je volle 350Mbit

goede vraag, het zal een klein beetje vertraging geven, maar niet voor je reguliere browse verkeer.
de daemon heet FTL en staat voor faster then lightning en de cache is goed snel.
de Pi4 is snel genoeg om DNS servertje te zijn. goede switch goede kabel, 100MBit full duplex aan beide kanten moet prima te doen zijn.

Rpi2 is voldoende

victoryo schreef op donderdag 20 oktober 2022 @ 16:24:
Gaat het nog verschil maken als ik pi hole op een raspberry pi 4 zet of een 3b, ivm 1gb ethernet poort op de 4? Ik heb een 350mbit abbo van Ziggo en het is niet de bedoeling dat ik de boel vertraag haha

Nee daar merk je niets van. Bij mij draait PiHole op een oude eerste Pi (model B geloof ik), da's een single core. Zelfs de web-interface is snel en snappy. Het hele netwerk is gigabit verder.