Fragen zu Pi Hole und Einstellungen auf der UDM Pro

Es gibt 214 Antworten in diesem Thema, welches 55.551 mal aufgerufen wurde. Der letzte Beitrag () ist von defcon.

  • Hallo,

    ich wollte mal gerne einen Pi Hole aufsetzen und hätte einige Fragen dazu.

    1. Welche Upstream DNS Server sollte man nehmen, habe in einer Empfehlung gelesen man sollte den 5.9.164.112 von DigitalCorage und den 80.241.218.68 von Dismail nehmen.
    2. Des weiteren würden mich die Einstellungen in der UDM Pro interessieren.
    3. Sollte man den Pi Hole in ein separates VLAN packen oder eher in das Managed LAN?
    4. Gibt es noch Dinge die man beachten sollte?

    Ich denke das sind mal so meine Hauptfragen bis jetzt.

    • Offizieller Beitrag

    Habe bei mir Pi-hole mit Unbound installiert, dann macht der Pi-hole selbst (bzw. Unbound, indem er direkt bei den Root-Servern anfragt) den Upstream.

    Ein gut verständliches HowTo gibt es hier: https://strobelstefan.org/2021…ie-dns-anfragen-erhalten/


    Bei mir ist Pi-hole als erster DNS in den WAN-Eistellungen der UDM-P eingetragen und wird auch in den internen Netzen über DHCP Name Server verteilt.

    In welches Netz Pi-hole gepackt wird ist völlig egal, solange er aus allen Netzen erreichbar ist.


    Je nach Umfang der abonnierten Filterlisten solltest du anfangs das Query-Log des Pi-hole im Auge behalten, um ggf. noch einige Domains in die Whitelist schieben zu können.

    Mehr als Holsteiner kann der Mensch nicht werden :winking_face:

    • Offizieller Beitrag

    Gibt es eigentlich Geschwindigkeitseinbußen beim öffnen von Seiten damit?

    In den allermeisten Fällen geht es sogar erheblich schneller, da 1. Pi-hole bereits getätigte Anfrage zwischenspeichert und 2. Der ganze lästige Werbecontent (der auf manchen Seiten eine Großteil des Inhaltes ausmacht) nicht mehr über die Leitung geht.

    Mehr als Holsteiner kann der Mensch nicht werden :winking_face:

  • 1. Welche Upstream DNS Server sollte man nehmen, habe in einer Empfehlung gelesen man sollte den 5.9.164.112 von DigitalCorage und den 80.241.218.68 von Dismail nehmen.

    2. Des weiteren würden mich die Einstellungen in der UDM Pro interessieren.

    3. Sollte man den Pi Hole in ein separates VLAN packen oder eher in das Managed LAN?

    4. Gibt es noch Dinge die man beachten sollte?

    Ich schliesse mich dem vorgeschriebenem an:


    1. unbound installieren auf dme PiHole, dann nutzt der automatisch die root-Server ( wie steht in der PiHole-Doku erklärt und gut beschrieben )

    2. In der UDMPRo kommt unter DNS-Server eben die IP des PiHoles und zwar pro VLAN / Netz was du per DHCP versorgst

    3. Management-LAN auf keine Fall, extra VLAN kannst du machen, musst aber nicht, bei mir sind die im Server-VLAN drin

    4. nicht wirklich.


    Machst du eine VM oder sowas oder kommt der PiHole auf eine RaspPi ?

    Bei mir laufen zwei PiHole als Linux-Container unter Proxmox, da ich die automatisch update und das tageweise versetzt, hab ich eine Failback, falls mal was schief geht beim Update.

    • Offizieller Beitrag

    Oder auch bei uns im wiki: PiHole mit DoT+DNSSEC oder DoH

    Zum Thema:


    Mein pi-hole hängt zum Spaß in einem eigenen VLAN und ich habe ihn in den Netzwerken als ersten DNS-Server eingetragen. In den WAN-Einstellungen habe ich 8.8.8.8 und 9.9.9.9 eingetragen.

  • Danke erstmal für eure ganzen Antworten. So sieht es aktuell bei mir aus. Würde dann noch ein Netz dazu packen 192.168.60.0/x



    Zitat


    Management-LAN auf keine Fall, extra VLAN kannst du machen, musst aber nicht, bei mir sind die im Server-VLAN drin

    Hat das einen bestimmten Grund das ich den nicht in das Netz packe in dem ich die Unifi Geräte habe?


    Zitat


    Machst du eine VM oder sowas oder kommt der PiHole auf eine RaspPi ?

    Würde es auf einen Pi installieren.



    @Tuxtom007

    könnte man das ganze mit IPSymcon parallel laufen lassen?

  • könnte man das ganze mit IPSymcon parallel laufen lassen?

    Kommt drauf an, wie viel Zeug in deinen IP-Symcon eingerichtet ist und wie hoch der schon den Pi auslastet.


    Als Tip, ich würde auf eine SSD anstelle der SDCard umstellen, der PiHole schreibt viele Logs, wenn man die benötigt, ist recht schnell die SDCard kaputt geschrieben.

    Ausserdem man eine SSD den Pi auch direkt mal performanter.

  • Mich würde rein Informativ noch interessieren warum man dem Pi Hole nicht die 192.168.1.xxx geben kann, also wie die Unifi Geräte.


    Noch was anderes, gehört jetzt nicht direkt zum Beitrag. Ich habe allen Geräte per MAC Adresse eine Fixe IP zugewiesen.


    Als Beispiel VLAN 30:

    Da fange ich an mit der 192.168.30.30 aufwärts (Bei VLAN 40 -> 192.168.40.40 aufwärts) und in den DHCP Bereichen habe ich dann folgendes eingestellt:



    Ist das so korrekt oder sollte ich da was ändern?


    Bei meinem LAN Netzwerk sieht das anders aus. Da geht der DHCP Bereich erst ab 50 los und habe den Unifi Geräten 192.168.1.1, 192.168.1.2 usw. gegeben.

    2 Mal editiert, zuletzt von Stefan71 ()

  • Ist das so korrekt oder sollte ich da was ändern.

    Du solltest die festen IP-Adressen ausserhalb des DHCP-Pools vergeben, die Unifi-Teile haben da eine - sagen wir mal - etwas merkwürdige DHCP-Implementierung, die öfters mal Ärger macht bei solchen Konfigs.

  • Also würde ich am besten den DHCP Bereich einstellen in jedem VLAN ab 192.168.x0.100 bis 192.168.x0.254. Die fixen IP's wären dann bis 192.168.x0.99, wobei ich das ja begrenzen könnte, wer hat 254 Geräte im VLAN etc.

    ja, z.b. genauso so.

    Ich habe x.x.x.129 bis x.x.x.254 für DHCP und die festen IP's eben unterhalb .128


    .129 bis .254 eben, weil das genau ein /25 er Netz ist, könnte man einfacher dann über Regelwerke abfangen, noch brauche ich es nicht aber wer weiss.

  • Habe soeben mal Pi-Hole mit Unbound installiert nach der Anleitung von Post #2. Hat soweit alles wunderbar geklappt und dann auf der UDM Pro unter WAN bei DNS Server die IP des Pi's angegeben. In den VLANS kann man ja kein DNS Server angeben, somit sollte das ja alles sein. Sollte man noch eine Adresse bei DNS 2 eingeben? Hatte mal versucht die Seite t-online aufzumachen und geht nicht.


    Wie kann man das testen das alles ordnungsgemäß jetzt funktioniert?


    Das ist das Query Log:


    Wenn ich "systemct1 status unbound.service" eingebe kommt das:


    Dez 28 15:45:43 raspberrypi systemd[1]: Starting Unbound DNS server...

    Dez 28 15:45:43 raspberrypi unbound[16379]: [16379:0] info: start of service (unbound 1.13.1).

    Dez 28 15:45:43 raspberrypi systemd[1]: Started Unbound DNS server.



    Er bringt mir jetzt eine Meldung:

    2021-12-28 16:06:28RATE_LIMITClient 192.168.50.1 has been rate-limited (current config allows up to 1000 queries in 60 seconds)


    Die UDM Pro stellt jetzt keine Internetverbindung mehr her.

    2 Mal editiert, zuletzt von Stefan71 ()

  • … ich habe im WAN noch eine zweite DNS-Adresse angegeben - noch 9.9.9.9.


    In den VLANs kannst Du auch jedes Mal den DNS-Server hinterlegen, steht unter DHCP-Nameserver.


    Die Fehlermeldung spuckt er bei mir hin und wieder ebenfalls aus, warum und weshalb, ich weiß es aktuell auch nicht.


    Frage? Warum er keine Seiten anzeigt, kann fürs erste mehrere Ursachen haben. Sieht so aus wie ein Problem mit Unbound. Ich würde schrittweise vorgehen und dem Pi.hole erst einmal einen DNS aus der Liste geben, cloudflare z.B., wenn das geht, gibt es ein wirklich ein Problem mit der Unbound-Kopplung ( wie aktuell bei mir :angry_face:), da müssten wir dann weiter schauen.

  • Habe soeben mal Pi-Hole mit Unbound installiert nach der Anleitung von Post #2. Hat soweit alles wunderbar geklappt und dann auf der UDM Pro unter WAN bei DNS Server die IP des Pi's angegeben. In den VLANS kann man ja kein DNS Server angeben, somit sollte das ja alles sein. Sollte man noch eine Adresse bei DNS 2 eingeben? Hatte mal versucht die Seite t-online aufzumachen und geht nicht.

    Unter WAN trägst du irgendeinen DNS-Server aus dem Netz ein, 1.1.1.1 oder 9.9.9.9 oder beide.

    Den DNS-Server für die Clients trägt man in die DNS-Settings des jeweiligen LAN's ein, dem du das VLAN zugewiesen hast.


    Testen kannst du über das PiHole-Log. /var/log/pihole.log


    Code
    Dec 28 17:00:46 dnsmasq[378]: query[A] heise.de from 10.0.20.222
    Dec 28 17:00:46 dnsmasq[378]: forwarded heise.de to 127.0.0.1


    daszeigt ein Forward vom Pihole an unbound


    und wenn du das unbound Logging aktiviert hast, siehst du das dort auch nochmal:


    ( hier stern.de )


    Code
    [1640707510] unbound[172:0] info: Verified that unsigned response is INSECURE
    [1640707546] unbound[172:0] info: resolving stern.de. A IN
    [1640707546] unbound[172:0] info: response for stern.de. A IN
    [1640707546] unbound[172:0] info: reply from <.> 2a02:908:1481:e221:b8ff:cfff:fedd:7a94#53
    [1640707546] unbound[172:0] info: query response was ANSWER
    [1640707546] unbound[172:0] info: resolving stern.de. DS IN
    [1640707546] unbound[172:0] info: response for stern.de. DS IN
    ....
  • Testen kannst du über das PiHole-Log. /var/log/pihole.log


    Dec 28 17:00:46 dnsmasq[378]: query[A] heise.de from 10.0.20.222

    Dec 28 17:00:46 dnsmasq[378]: forwarded heise.de to 127.0.0.1


    daszeigt ein Forward vom Pihole an unbound

    Bei mir kommt nur dieses hier:



    Ich Sepp, hab vergessen den PC neu zu starten. Habe es mal auf dem Nuc probiert worauf Symcon läuft, nach dem neustart:




    Das kommt bei mir im Unbound Log:


  • Hallo,

    ich wollte mal gerne einen Pi Hole aufsetzen und hätte einige Fragen dazu.

    1. Welche Upstream DNS Server sollte man nehmen, habe in einer Empfehlung gelesen man sollte den 5.9.164.112 von DigitalCorage und den 80.241.218.68 von Dismail nehmen.
    2. Des weiteren würden mich die Einstellungen in der UDM Pro interessieren.
    3. Sollte man den Pi Hole in ein separates VLAN packen oder eher in das Managed LAN?
    4. Gibt es noch Dinge die man beachten sollte?

    Ich denke das sind mal so meine Hauptfragen bis jetzt.

    Digitalcourage e.V.


    IPv4: 46.182.19.48 / IPv6: 2a02:2970:1002::18 (für unverschlüsseltes DNS)


    Censurfridns Denmark (ak4a. UncensoredDNS)


    IPv4: 91.239.100.100 / IPv6: 2001:67c:28a4::

    IPv4: 89.233.43.71 / IPv6: 2a01:3a0:53:53:: (mit DNS-over-TLS)


    Freifunk München (nur DNS-over-TLS und DNS-over-HTTPS!)


    IPv4: 5.1.66.255 / IPv6: 2001:678:e68:f000:: / dot.ffmuc.net / doh.ffmuc.net

    IPv4: 185.150.99.255 IPv6: 2001:678:ed0:f000::


    google dns werden bei mir nicht eingesetzt. bei mir kommen im pihole aktuell nur DNSSEC zum einsatz

    cy@ froesch

    -

    UDM-PRO | USW-PRO-24 | 2x UAP-AC-PRO

    APC Smart-UPS X1500 | Racknex UM-SBC-204 mit Raspi3 (pihole & NTP), Raspi4 8gb | QNAP TS-432PXU | Synology 1815+ (RIP 23.12.21) | Synology 212j | Fritzbox 7490

  • Sollte man noch irgendwelche besonderen Listen installieren?


    Listen


    Zitat

    Bei mir ist Pi-hole als erster DNS in den WAN-Eistellungen der UDM-P eingetragen und wird auch in den internen Netzen über DHCP Name Server verteilt.

    In welches Netz Pi-hole gepackt wird ist völlig egal, solange er aus allen Netzen erreichbar ist.

    Hast du wirklich die IP des Pi Hole in den WAN Einstellungen eingetragen oder auch nur in den LAN Netzen?

    Einmal editiert, zuletzt von Stefan71 ()

  • Hast du wirklich die IP des Pi Hole in den WAN Einstellungen eingetragen oder auch nur in den LAN Netzen?

    Ja, als Primary DNS, als Secondary DNS dann noch 9.9.9.9 als Ausfallsicherung.

    Mehr als Holsteiner kann der Mensch nicht werden :winking_face: