Um schreiben oder kommentieren zu können, benötigen Sie ein Benutzerkonto.
Sie haben schon ein Benutzerkonto? Melden Sie sich hier an.
Jetzt anmeldenHier können Sie ein neues Benutzerkonto erstellen.
Neues Benutzerkonto erstellen
Es gibt 95 Antworten in diesem Thema, welches 12.546 mal aufgerufen wurde. Der letzte Beitrag () ist von thghh.
Ich hab n Pi4 mit Pihole und Unbound (alles auf ner SSD installiert, ohne SD Karte im Pi) an der UDR. Installation ist sehr gut erklärt und simpel.
Ich habe gedacht, ich hätte mit meinen 4 Millionen in der Blockliste schon übertrieben... aber du topst das 
Ich habe gedacht, ich hätte mit meinen 4 Millionen in der Blockliste schon übertrieben... aber du topst das
ich hab einfach am Anfang beim installieren mal einige Listen rein genommen. war wohl etwas gut gemeint aber mit SSD als Bootlaufwerk läuft der pi sehr gut, und macht neben unbound(natürlich) auch noch GPS mit.
hab zu 98% auch keine Blockierungen (ausser Google Ads, aber das stört mich nicht). Und wenn mal wirklich was blockiert ist, was mich interessiert geh ich kurz in den Tab wo das Pihole interface offen ist, und gebe den A&www Record manuell frei. dauert ja keine 5 Sekunden.
aber mit SSD als Bootlaufwerk läuft der pi sehr gut, und macht neben unbound(natürlich) auch noch GPS mit.
Bei mir laufen 2 PiHoles mit Stubby und DoT parallel auf meinem Proxmox. Ich finde das die Performance mit 2 PiHoles besser ist als mit einem.
Habe in meinen VLANs auch immer im Wechsel Primary/Secondary die beiden PiHoles drin.
das setup musst mir mal erklären.
Was meinst du genau?
Proxmox ist der Host wo zwei separate LXC Container laufen:
Pihole-01 - 10.9.9.98
Pihole-02 - 10.9.9.99
Die Anfragen gehen an die Piholes diese wiederum Fragen dann unverschlüsselt bei ihren laufenden Stubbyinstanzen an, Stubby wiederum verschlüsselt dann mit TLS und validiert über DNSSEC beim Resolver der Wahl, vorausgesetzt dieser unterstützt DoT und DNSSEC.
Management LAN
Primary DNS 10.9.9.98
Secondary DNS 10.9.9.99
Home LAN
Primary DNS 10.9.9.99
Secondary DNS 10.9.9.98
IoT LAN
Primary DNS 10.9.9.98
Secondary DNS 10.9.9.99
usw. immer im Wechsel.
Gibt es sowas als Stack für Docker Container?
Gibt es sowas als Stack für Docker Container?
Das kann ich dir nicht beantworten, aber du kannst dir ja zwei Container aufsetzen und dann das Tutorial von mir benutzen:
DNS | PiHole mit DoT+DNSSEC oder DoH - ubiquiti - Deutsches Fan Forum
Cool, habe gerade einen Pihole neu aufgesetzt mit Unbound... Anleitung war ja auf der Pihole Webseite.
Passt alles und das Netz ist schon drauf eingestellt. Mal sehen wann meine Familie meckert 
Hatte noch einen 4er der gerade nicht im Netz ist und hier herumlag.
Die Familie wird das nicht merken, zu mindestens nicht negativ
Die Familie wird das nicht merken, zu mindestens nicht negativ
Oh doch die ganzen schönen Werbeseiten bei Google in der Suche gehen auf einmal nicht mehr usw...
Ich habe den Pi Hole ja auch schon eine Zeit in meinem UDM SE System am laufen. Alles super und läuft gut.
Jetzt will ich aber den so schützen, dass wirklich alle Anfragen aus dem Netzwerk über den Pi Hole laufen "müssen".
Ich habe hier online eine alte Anleitung gefunden für die USG - aber so richtig warm wurde ich damit nicht.
Aktuell habe ich die Firewall Rules so gesetzt:
- LAN IN > Accept TCP/UDP > Source Any,Any > Dest. Pi-Hole-IP, Port 53
- LAN IN > Accept TCP/UDP > Source Pi-Hole-IP, Port 53 > Dest. Any,Any
Was mir jetzt fehlt ist die Block Regel(n). Einmal für DNS und dann auch für DoT.
DoH will ich jetzt erst irgendwann mal umsetzen, da noch etwas mehr arbeit.
Wenn mir hier jemand helfen könnte, würde ich mich freuen. (Hoffe meine bisherigen Regeln > auch wenn sie so noch nichts bringen, sind soweit ok?)
Jetzt will ich aber den so schützen, dass wirklich alle Anfragen aus dem Netzwerk über den Pi Hole laufen "müssen".
Wäre mit DNAT recht easy, ist bei UI aber nicht im WebIF integriert, müsste aber über console gehen musst du mal googlen.
Es gibt auch Geräte die hardcoded DNS integriert haben die dann vermutlich nicht mehr funktionieren werden.
Aktuell habe ich die Firewall Rules so gesetzt:
- LAN IN > Accept TCP/UDP > Source Any,Any > Dest. Pi-Hole-IP, Port 53
- LAN IN > Accept TCP/UDP > Source Pi-Hole-IP, Port 53 > Dest. Any,Any
laufen die PiHoles in einem eigenen VLAN?
Einmal für DNS und dann auch für DoT.
DoH will ich jetzt erst irgendwann mal umsetzen, da noch etwas mehr arbeit.
Ist dir die Funktion von DoH und DoT bekannt?
Was willst du da blocken?
laufen die PiHoles in einem eigenen VLAN?
Ist dir die Funktion von DoH und DoT bekannt?
Was willst du da blocken?
Der PiHole läuft im Admin Netz. (Default)
DoH und DoT ist durchaus bekannt. Natürlich.
Ich will sozusagen erreichen, dass alle Clients über den Pi-Hole gehen müsse.
Dann musst du es über die Console mit DNAT machen, da gibts bei UI keine Möglichkeit das übers Web IF zu machen.
Jetzt will ich aber den so schützen ...
???? Vor was willst du denn den Pihole schützen? Der sitzt doch schon hinter der Firewall und macht nichts weiter, als als DNS-Resolver an ihn gestellte Fragen zur Namensauflösung (FQDN --> IP) entweder selbst (Cach) oder bei DNS-Server (i.d.R.) im Internet zu beantworten. Dazu muss er aus dem LAN ins WAN können und dies lässt (incl. der Antworten aus dem WAN) jede Firewall standardmäßig zu. Vor Anfragen aus dem WAN auf dem DNS-Port (53) ist der Pihole also automatisch geschützt, da gibt es nichts zu verbessern.
... dass wirklich alle Anfragen aus dem Netzwerk über den Pi Hole laufen "müssen".
Hierfür gibet es in der Regel zwei Möglichkeiten - entweder Du sagts jedem Host/Client im LAN persönlich, dass er gefälligst zwecks Namensauflösung den Pihole fragen soll, oder Du teilst dies mittels DHCP mit. Hierbei ist es Wurst, wer nun DHCP-Server spielt, wichtig ist nur dass bei diesem der den Hosts/Clients mitzuteilende DNS-Server festgelegt werden, daher hier der Pihole eingetragen werden kann. Oder Du benutzt gleich den Pihole auch als DHCP-Server.
Bei der Verwendung von Vlans musst Du natürlich in beiden Fällen (DNS+DHCP) dafür sorgen, dass der Pihole auch aus allen Netzen erreicht werden und Anworten schicken kann.
Hierfür gibet es in der Regel zwei Möglichkeiten - entweder Du sagts jedem Host/Client im LAN persönlich, dass er gefälligst zwecks Namensauflösung den Pihole fragen soll, oder Du teilst dies mittels DHCP mit.
soweit ich das verstehe, geht es ihm um hardcoded DNS und das wird er nur mit DNAT auf der Console über SSH hinbekommen.
soweit ich das verstehe, geht es ihm um hardcoded DNS und das wird er nur mit DNAT auf der Console über SSH hinbekommen.
Ja genau. Darum geht's.
Im Grunde hierum nur halt für die UDM SE:
DNS | Traffic immer an PiHole umleiten (USG-only) - ubiquiti - Deutsches Fan Forum
Oder ist die Anleitung dann auch nicht "wirksam"?
die gilt nur fürs USG... bei der UDM hast du keine config.gateway.json
du musst halt hergehen und es über ssh machen, am besten mittels script was beim booten geladen wird.
Dürfte ich erfahren was daran so schlimm wäre, wenn doch ein Endgerät/User an dem pi-hole vorbei gehen würde?
Was wäre das Risiko für wen?
Dürfte ich erfahren was daran so schlimm wäre, wenn doch ein Endgerät/User an dem pi-hole vorbei gehen würde?
Was wäre das Risiko für wen?
Risiko ist nicht direkt vorhanden. Doch mag ich gerne, dass ich den ganzen IoT Devices das nicht ermöglichen.
Wenn ich schon sehe, was so ein Philips Hue System an Daten in die weite Welt schickt - das würde ich gerne blockieren bzw. versuchen etwas zu steuern.
Von daher das Setup.
zur Zeit sind 60 Mitglieder (davon 2 unsichtbar) und 269 Gäste online - Rekord: 129 Benutzer ()
