[How To] 2x NanoPi Zero2 | Debian 12 | Pi-Hole | WireGuard

De FriendlyElec NanoPi Zero2 voorzien van Debian 12:

Allereerst: Waar haal je een Zero2 vandaan? Ik had graag er twee direct bij FriendlyElec gekocht maar de gun-factor woog niet op tegen forse verzendkosten. Dus kom je uit bij Ome Ali. Er zijn meerdere aanbieders op AliExpress. De versie die ik gebruik met metalen behuizing, 2 GB ram, 32 GB eMMC en géén WiFi zit ergens rond de €40-45.

De productpagina: https://www.friendlyelec....ct&path=69&product_id=304



Het dingetje komt kant-en-klaar gemonteerd (PCB en eMMC module al in de metalen behuizing) en … dit klinkt gek voor apparatuur, maar je kan het kleinood bijna schattig noemen, zo klein:



Ik heb voor Debian 12, a.k.a. Debian Bookworm, gekozen omdat de Pi-hole voorganger (op een NanoPi Zero) Debian draaide. Er is niet strikt een reden om per sé voor Debian te kiezen en er staan ook images voor andere OpenWRT en Ubuntu.

Deze How-To volgt sectie 4.4.3.3 Option 3: Install OS via USB van FriendlyElec.
Zie https://wiki.friendlyelec...p/NanoPi_Zero2#Install_OS

Via https://download.friendlyelec.com/NanoPiZero2 kan je de FriendlyElec Google Drive benaderen, waar de benodigde bestanden staan.

Er zijn twee bestanden nodig:
De Windows drivers om de eMMC van de Zero2 direct te kunnen beschrijven.
Het Debian Bookworm image voor USB naar eMMC

Die eerste is te vinden in 05_Tools -> DriverAssitant_v5.12.zip
De tweede is 01_Official images -> 03_USB upgrade images -> rk3528-usb-debian-bookworm-core-6.1-arm64-(datum).zip

Download de drivers en installeer deze. Download het Debian Bookworm image dat gemaakt is voor direct via USB naar eMMC schrijven en pak deze uit.

In de uitgepakte folder van het image staat RKDevTool.exe. Start deze executable direct vanuit de uitgepakte folder.

Hou met een pen de "mask" pin ingedrukt en sluit de Zero2 aan met een USB kabel op de PC. Gebruik hiervoor de USB-C poort op de Zero2. Na een seconde of 4 kan je de MASK knop loslaten. De kabel voorziet zowel in data-overdracht als voeding.

Als dit goed is gedaan verschijnt in de Rockchip applicatie de melding “Found One MASKROM Device”. Omdat je de executable direct vanuit de folder start is het selecteren van een image niet nodig, dat staat al klaar. Schrijf het image naar device met “Run” op het tabblad “Download Image”.

Wanneer dit schrijfproces voltooid is: ontkoppel de Zero2 van de PC, prik de netwerkkabel erin en sluit de Zero2 aan op de USB voeding, op de USB-C poort. Booten duurt circa 10 seconden.

Ping NanoPi-Zero2 om het door DHCP toegewezen IP adres te achterhalen, of gebruik een LAN scanner voor het nieuw toegevoegde apparaat en bijbehorend IP adres. Heb je Pi-Hole al draaien? Daar kan je ook devices inzien. (DNS voor LAN werkt hier niet lekker, dus pingen had bij mij geen resultaat.) Als je modem DHCP diensten op zich neemt kan je ook daar in de beheerpagina het IP adres achterhalen.

Maak verbinding PuTTY middels SSH naar het DHCP-toegewezen IP adres.

Log in met user “pi” en wachtwoord “pi”

Wissel naar “root” met

Het standaard wachtwoord voor “root” is “fa”

Wijzig voor zowel "pi" als voor "root" de wachtwoorden (en bewaar deze goed)


Optioneel: edit /etc/apt/sources.list zodat ze verwijzen naar Nederlandse repositories. Haal de bestaande tekst weg en vervang door:


Update Apt:

Update Debian zelf:

Stel de tijdzone in:

Op dit moment is de Zero2 gereed voor installatie van Pi-hole of Wireguard, ware het niet dat er nog wel een vast IP adres moet worden opgegeven. Beide services hebben een vast IP adres nodig.

De DHCP server (lees: in mijn geval de modem) deelt adressen uit tot en met 192.168.1.200 dus daarboven kunnen handmatig IP adressen worden uitgedeeld.

In de twee hieronder volgende posts komen installatie van Pi-hole en WireGuard aan bod, waar het vastzetten van IP adres bij beide wordt getoond. Let hierbij op dat je bij bepaalde specifieke dingen gaat afwijken van wat er in de FriendlyElec wiki aan instructies staat.

Hier wordt als voorbeeld uitgegaan van het volgende:
De WireGuard server krijgt 192.168.1.227
De PiHile server dient als DNS server en krijgt vast IP adres 192.168.1.233

Uiteraard kan je voor 227 en 233 andere getallen gebruiken, zolang ze maar niet in het toegewezen DHCP bereik vallen en geen conflict vormen met andere al gebruikte IP adressen.

[ Voor 100% gewijzigd door JumpStart op 30-10-2025 15:21 ]

Pi-hole installeren:

Zoals al is aangegeven: de eerste stap is het geven van een vast IP adres aan de Zero2. Hierbij gaan we uit dat eth0 de netwerk interface is van de bedrade netwerkaansluiting, met de naam “Wired connection 1”

Dit controleer je met

Vervolgens voer je de volgende aanpassingen door:




En nu kijken of alles gewerkt heeft: Reboot het apparaat

Maak met PuTTY een SSH verbinding naar het nieuwe vaste IP adres dat je hebt ingesteld en log opnieuw in met “pi” (en dan su root) of log direct in als “root”.

Optioneel: verander de hostname naar Pi-hole.

In /etc/ edit je het bestand genaamd “hostname” en vervang daarin “NanoPi-Zero2” door “Pi-hole”.

Installatie van Pi-hole: Zie https://dchan.tech/books/...ll-pi-hole-6-on-debian-12

Je dient het installatiescript voor Pi-hole binnen te halen met

Het installatiescript uitvoeren doe je met

Twee keer “OK”, dan bevestigen dat je snapt dat je een statisch IP adres nodig hebt, dan een upstream DNS provider kiezen, een hostlist kiezen, drie keer de "recommended” optie kiezen en kiezen wat er gelogd mag worden. Vergeet ook niet het wachtwoord voor de webinterface over te nemen.

Pi-hole updaten met onderstaande, maar is bij verse installatie nog niet nodig.

Het installatiescript voegt automatisch opstarten van Pi-hole toe. In de web-interface is er één aanpassing nodig om te zorgen dat WireGuard DNS verzoeken worden geaccepteerd door Pi-hole. Dit doe je via de web-interface, http://192.168.1.233/admin/ bij “Interface settings” settings -> DNS -> toggle Basic naar Expert settings. Er dient “permit all origins” aan te staan. Zo lang poort 53 van de Pi-hole server niet gedeeld is met de buitenwereld is dit geen veiligheidsrisico. Zorg dat de aanpassing wordt opgeslagen.

Het verder configureren van Pi-hole (toevoegen van blacklists, maken van whitelists, etc.) valt buiten deze How To. (Maar daar is bijvoorbeeld [Pi-Hole] Ervaringen & discussie voor)

Het allerbelangrijkste is wel dat Pi-hole werkt door als DNS te dienen. Je hebt dus alleen baat bij Pi-hole als je deze dus als Domain Name Server gebruikt. Als DHCP gewoon nog zelf DNS'je speelt, dan is Pi-hole dus zinloos. Je zal DHCP dus wel het IP adres van de Pi-hole server als DNS moeten laten uitdelen.

[ Voor 105% gewijzigd door JumpStart op 31-10-2025 11:12 ]

WireGuard installeren:

De Zero2 die WireGuard gaat draaien moet hetzelfde proces doorlopen voor de installatie van het OS zoals hierboven al was weergegeven.

De stappen die hierin staan voor installatie van WireGuard komen uit een tutorial van de Hetzner community voor WireGuard installatie op Ubuntu: https://community.hetzner...d-configure-wireguard-vpn

Als eerste zal je nu ook na OS installatie het door DHCP toegewezen IP adres moeten achterhalen en met PuTTY en SSH verbinding leggen. Inloggen als root, of als gebruiker en dan alsnog root worden.

Eerst dus ook hier een vast IP adres instellen:




Optioneel: verander de hostname naar WireGuard. Navigeer naar /etc/, edit “hostname” en vervang “NanoPi-Zero2” door “WireGuard”.

Vervolg met een reboot (en daarna PuTTY naar het juiste IP adres leiden):

Als eerste IP Tables installeren:

Daarna Wireguard installeren:

De Wireguard interface, wg0, maak je aan met het volgende te plakken in de command line:

De volgende stap is Clients aanmaken.

Eerst de locatie aanmaken waar de client config files komen te staan:

Door het "script" in notepad te plakken, “client” te vervangen door "laptop", “chromebook”, “mobiel1” enzovoorts, en iedere keer weer met nieuwe client naam te plakken op de command line doe je dit gemakkelijk.

De clients moeten worden toegevoegd aan de interface config, wg0.conf. Ook dit gaat met een knip-en-plak-script, waarbij je ook nu vanuit notepad kan plakken na iedere keer “client.conf” aan te passen naar de al gemaakt client namen.

De client public keys moeten ook worden toegevoegd aan wg0.conf, op vergelijkbare wijze:

Bij [extern IP adres of domeinnnaam] behoort de bestemming te staan zoals zichtbaar vanaf het internet, dus je modem IP adres (of, als je zelf iets host en dus een domeinnaam hebt, de domeinnaam)

Na het toevoegen van alle clients moet je WireGuard opnieuw starten:

Om WireGuard automatisch te laten opstarten na reboot voer je dit uit:

Hou er ook rekening mee dat de modem network address translation (NAT) zo heeft staan dat poort 51820 geforward wordt naar het interne IP adres van de WireGuard server.

Om WireGuard clients op mobiele telefoons te configureren kan je met Qr codes werken. Om deze te maken moet Qr Encode geinstalleerd worden.

Genereer een Qr code voor iedere client.conf. Dus eentje voor laptop.conf, eentje voor chromebook.conf, mobiel1.conf, en zo voorts. Zorg dat je PuTTY venster vergroot is om de tekst-gegenereerde code in beeld te krijgen

Ook hier moet dus voor “client" de juiste namen geplakt worden. Maak foto's of screenshots van de Qr codes. Installeer op iPhone de WireGuard app vanuit de store, en evenzo voor Android toestellen en tablets. Beide apps hebben een Qr scanner voor importeren van configuraties.

Belangrijk om te weten: Op moment van schrijven is het af te raden om de WireGuard app te gebruiken op Chromebooks. In de regel heeft het Chromebook OS nu ondersteuning voor het WireGuard protocol en kan je bij de ingebouwde VPN configuratie aangeven dat het WireGuard protocol geldt. Je moet dan wel met de hand de public key van de server uit wg0.conf kopiëren en de public key en private key uit de Chromebook client config file(s) over te nemen.

Nog te doen: WG Dashboard

[ Voor 104% gewijzigd door JumpStart op 30-10-2025 15:49 ]