Pihole + Unbound Probleme

Carbonide · August 14, 2024 at 12:25 PM

Ich habe seit Jahren eine Pihole Instanz in einem Docker Container auf einer Synology NAS laufen. Ich wollte aus Redundanzgründen aber noch einen zweiten DNS Server im lokalen Netz betreiben und dabei auch gleich die Variante Pihole plus Unbound ausprobieren.

Nach einigen mehr oder minder erfolglosen Versuchen dafür zwei Docker Container (einen für Pihole und einen für Unbound) zu erstellen, habe ich eine Variante gefunden die beides in einem Container vereinigt und somit die Konfiguration sehr vereinfacht. Hier ist die Compose Datei die ich dazu benutze:

Code

version: '3.0'
services:
  pihole:
    container_name: pihole-unbound
    image: cbcrowe/pihole-unbound:latest
    hostname: pihole-unbound
    domainname: pihole-unbound.shaddai
    ports:
      - 4443:443/tcp
      - 53:53/tcp
      - 53:53/udp
      - 8880:80/tcp #Allows use of different port to access pihole web interface when other docker containers use port 80
      # - 5335:5335/tcp # Uncomment to enable unbound access on local server
      # - 22/tcp # Uncomment to enable SSH
    environment:
      - FTLCONF_LOCAL_IPV4=192.168.1.55
      - TZ=Europe/Brussels
      - WEBPASSWORD=password
      - REV_SERVER=true
      - REV_SERVER_TARGET=192.168.1.1
      - REV_SERVER_DOMAIN=mydomain
      - REV_SERVER_CIDR=192.168.0.0/16
      - PIHOLE_DNS_=127.0.0.1#5335
      - DNSSEC="true"
      - DNSMASQ_LISTENING=single
    volumes: 
      - '/volume1/docker/pihole-unbound/pihole:/etc/pihole'
      - '/volume1/docker/pihole-unbound/dnsmasq.d:/etc/dnsmasq.d'
    restart: unless-stopped

Display More

(192.168.1.55 ist das NAS)

Dies funktioniert auch, aber die erste Namensauflösung dauert immer sehr lang (wenigstens 15 Sekunden), danach geht es relativ flott (aber gefühlt immer noch langsamer als mit Pihole allein). Ausserdem gehen einige Sites gar nicht, obwohl im Log nichts von einer eventuellen Blockierung steht. Ich benutze die gleichen (standard) Blocklisten in den beiden Varianten. Des weiteren scheint dies individuell für jeden Client zu gelten (d.h auch wenn google.com schon für Client 1 aufgelöst wurde, dauert die erste Anfrage von Client 2 auch länger).

Mittels P+U sehe ich auch nur folgendes als Clients (Pihole allein listet die Anfragen getrennt für die einzelnen Clients auf):

**anton** · August 14, 2024 at 12:44 PM

ich kenn mich mit docker Config nicht so aus, aber wenn ich das richtig lese, ist unbound ja auskommentiert (Zeile 13)

Tomcat · August 14, 2024 at 12:52 PM

Quote from anton

ich kenn mich mit docker Config nicht so aus, aber wenn ich das richtig lese, ist unbound ja auskommentiert (Zeile 13)

Ja, das sich genauso, wenn Unbound genutzt werden soll, muss der auch einen eigenen Port haben, egal ob im selben Container oder auf dem selben Host.

Vermuttlich versucht PiHole den anzufragen, geht in Timeout und nutzt dann einen fallbackweg für DNS-Anfragen - daher dauert das bei ersten Anfragen solange

jkasten · August 14, 2024 at 2:25 PM

Als Tipp, nutz den Container hier: https://github.com/devzwf/pihole-dot-doh

Da hast du Unbound, DOT und DOH in einem und musst nicht wirklich viel konfigurieren.

Carbonide · August 14, 2024 at 3:19 PM

Quote from jkasten

Als Tipp, nutz den Container hier: https://github.com/devzwf/pihole-dot-doh
Da hast du Unbound, DOT und DOH in einem und musst nicht wirklich viel konfigurieren.

Super, da hat man ja wirklich alles wichtige in einem einzigen Container und den habe sogar ich gleich zum Laufen gebracht 😄

Aber 2 Sachen die mir aufgefallen sind:

auch hier werden alle Clients in einen Topf geworfen und ich sehe nicht individuell was welcher Client angefragt hat
zu Testzwecken habe ich diesen Pihole Container noch nicht für alle Geräte im UniFi Gateway eingetragen sondern nur auf meinem iMac. Sobald ich dies tue, meckert der Computer dass iCloud Private Relay nicht mehr verfügbar ist (war auch schon bei der Pihole+Unbound Konfiguration so, nur nicht wenn Pihole alleine läuft)

jkasten · August 14, 2024 at 4:52 PM

Quote from Carbonide

Super, da hat man ja wirklich alles wichtige in einem einzigen Container und den habe sogar ich gleich zum Laufen gebracht 😄
Aber 2 Sachen die mir aufgefallen sind:
auch hier werden alle Clients in einen Topf geworfen und ich sehe nicht individuell was welcher Client angefragt hat
zu Testzwecken habe ich diesen Pihole Container noch nicht für alle Geräte im UniFi Gateway eingetragen sondern nur auf meinem iMac. Sobald ich dies tue, meckert der Computer dass iCloud Private Relay nicht mehr verfügbar ist (war auch schon bei der Pihole+Unbound Konfiguration so, nur nicht wenn Pihole alleine läuft)

Die Clients sind alle in einem Topf wenn du den Pihole im WAN einträgst und nicht im DHCP.

Das ist auch klar, die meisten Blocklisten haben den Privaterelay quatsch mit drin und blocken das weg.

**anton** · August 14, 2024 at 6:06 PM

Ich hab mit Private Relay keinen Stress bei meinen Pi Holes. Trotz 1,8 Mio Domains in der Blacklist

Carbonide · August 14, 2024 at 6:11 PM

Quote from jkasten

Die Clients sind alle in einem Topf wenn du den Pihole im WAN einträgst und nicht im DHCP.

Ich habe den Pihole aber unter DHCP eingetragen:

Das ist in der DHCP Sektion von der Konfiguration des default Netzwerkes.

jkasten · August 14, 2024 at 6:15 PM

Dann zeigt der auch alle clients an sobald die sich den dns gezogen haben.

Carbonide · August 15, 2024 at 1:47 PM

Komisch, bei mir wird alles als aus dem 172er Netz kommend angezeigt.

So sieht's beim alten Pihole aus:

Die einzige Änderung die ich in den Settings des neuen Pihole vorgenommen habe ist der Eintrag der Router Adresse, damit die lokalen Namen angezeigt werden anstelle der blossen IP Adressen (wie auch in Pihole 1):

jkasten · August 15, 2024 at 1:49 PM

Wer ist denn die 172.23.0.1? Wenn das die UDM ist, dann steht der DNS da im WAN und nicht im LAN bei DHCP.

Die Endgeräte werden dann die 172.23.0.1 als DNS drin stehen haben und entsprechend hast du da nur die Adresse im Pihole.

Carbonide · August 15, 2024 at 3:54 PM

Das ist das intern vom Container benutzte Netzwerk (meine UDM SE benutzt 192.168.1.1).

(jetzt 24 da ich den Container komplett gelöscht und neu erstellt habe). Nochmailge Neuerstellung des Containers ergibt:

Der Synology Container Manager scheint da bei jedem neuen Container einfach nur raufzuzählen. Hier ist der Inhalt der Compose Datei:

Code

version: '3.0'

services:
  pihole:
    container_name: pihole-dot-doh-unb
    image: devzwf/pihole-dot-doh:latest
    hostname: pihole2
    ports:
      - "53:53/tcp"
      - "53:53/udp"
      - "67:67/udp"
      - "82:80/tcp"
    environment:
      TZ: 'Europe/Brussels'
      WEBPASSWORD: 'password'
      #PIHOLE_DNS_: '127.1.1.1#5153;127.2.2.2#5253'
      PIHOLE_DNS_: '127.0.0.1#5335'
      #INTERFACE: 'br0'
      FTLCONF_LOCAL_IPV4: '192.168.1.55'
      FTLCONF_LOCAL_IPV6: ''
      IPv6: 'False'
      DNSMASQ_LISTENING: 'all'
      # Use boxed layout (helpful when working on large screens)
      #WEBUI BOXED LAYOUT: 'boxed'
    # Volumes store your data between container upgrades
    volumes:
      - '/volume1/docker/pihole-dot-doh-unb/pihole:/etc/pihole/'
      - '/volume1/docker/pihole-dot-doh-unb/dnsmasq.d:/etc/dnsmasq.d/'
      - '/volume1/docker/pihole-dot-doh-unb/config/:/config'
      - '/volume1/docker/pihole-dot-doh-unb/log/pihole/:/var/log/pihole'
      # Unbound Log if you need it
      #- '/volume1/docker/pihole-dot-doh-unb/log/unbound/:/var/log/unbound'
    cap_add:
      - NET_ADMIN
    restart: unless-stopped

Display More

jkasten · August 15, 2024 at 4:00 PM

Dann musst du das Netzwerk umstellen vom Container auf Bridge. Der Pihole braucht ja auch ne IP aus deinem Netz.

Sehe gerade das steht schon auf Bridge.... Aber warum nimmt der dann ein Docker Netzwerk und nicht dein UDM? Das muss jemand anders erklären, hab Docker nicht auf meinem NAS laufen.

**razor** · August 28, 2024 at 4:06 AM

Quote from Carbonide

Mittels P+U sehe ich auch nur folgendes als Clients (Pihole allein listet die Anfragen getrennt für die einzelnen Clients auf):

Damit Du die echten Clients sehen kannst musst Du pi-hole in jedem VLAN als DNS-Server hinterlegen. Dann sollte das bei Dir auch so aussehen:

Carbonide · August 28, 2024 at 9:43 AM

Der Pihole befindet sich im Hauptnetzwerk auf das die VLANs nicht direkt zugreifen können. Muss ich in der Firewall neue Regeln dafür anlegen?

DoPe · August 28, 2024 at 10:15 AM

Quote from Carbonide

Der Pihole befindet sich im Hauptnetzwerk auf das die VLANs nicht direkt zugreifen können. Muss ich in der Firewall neue Regeln dafür anlegen?

Ja, am besten eine Regel für alle Geräte den Zugriff auf die IP des Pi auf Port 53 tcp/udp erlauben. Und natürlich auch die IP des Pihole in den DHCP Optionen der einzelnen VLANs als DNS eintragen. Bei fest konfigurierten Geräten natürlich auch anpassen.

Carbonide · August 28, 2024 at 10:58 AM

OK, ich hab das mal so konfiguriert:

zuerst eine Port Gruppe nur für DNS:

dann eine IP Gruppe nur für die Piholes (2 Docker Instanzen auf 2 Synology NAS):

hier die eigentliche Firewall Regel:

und diese natürlich noch vor die Block Regeln verschoben:

Ist das soweit OK?

**razor** · August 28, 2024 at 11:52 AM

Quote from Carbonide

Der Pihole befindet sich im Hauptnetzwerk auf das die VLANs nicht direkt zugreifen können. Muss ich in der Firewall neue Regeln dafür anlegen?

Falls Du keine BLOCK-Regeln angelegt hast brauchst Du das nicht machen, denn die inter-VLAN-Kommunikation ist im Standard erlaubt.

DoPe · August 28, 2024 at 12:48 PM

Quote from Carbonide

Ist das soweit OK?

Protocoll von All auf TCP/UDP

Source kannst Du auf Any/Any einstellen, falls Du mal ein VLAN dazu packst, musst Du nicht die "Local Adresses" Gruppe editieren, je nachdem wofür Du die sonst noch nutzt. Falls die sowieso wegen anderen Regen bearbeitet werden muss lässt es wie es jetzt ist.

Quote from razor

Falls Du keine BLOCK-Regeln angelegt hast brauchst Du das nicht machen, denn die inter-VLAN-Kommunikation ist im Standard erlaubt.

Er hat doch geschrieben dass es eine Block Regel gibt und er die DNS Regel davor geschoben hat

Carbonide · August 28, 2024 at 12:56 PM

Ja, Block Regeln sind da, sonst wären die VLANs nicht sehr hilfreich 😄 . Protocol habe ich auf TCP/UDP umgestellt, die local IP Adressen sind die RFC1819 Adressen, damit wären also auch alle zukünftigen VLANs eingeschlossen.

Participate now!