PI Hole mit UDM SE nutzen

Es gibt 95 Antworten in diesem Thema, welches 12.508 mal aufgerufen wurde. Der letzte Beitrag () ist von thghh.

    Zitat von defcon

    Ich habe gedacht, ich hätte mit meinen 4 Millionen in der Blockliste schon übertrieben... aber du topst das :grinning_squinting_face:

    Jupp! Ich traue mich ja fast nicht zu sagen, dass ich bei nur 400k bin.


    Ich glaube ich muss dringend "aufrüsten" :winking_face:

    Zitat von opensec

    Risiko ist nicht direkt vorhanden. Doch mag ich gerne, dass ich den ganzen IoT Devices das nicht ermöglichen.


    Wenn ich schon sehe, was so ein Philips Hue System an Daten in die weite Welt schickt - das würde ich gerne blockieren bzw. versuchen etwas zu steuern.


    Von daher das Setup.

    dann verbiete doch den ganzen zugang zum Zaubernetz

    Gruß

    defcon

    Zitat von opensec

    Risiko ist nicht direkt vorhanden. Doch mag ich gerne, dass ich den ganzen IoT Devices das nicht ermöglichen.


    Wenn ich schon sehe, was so ein Philips Hue System an Daten in die weite Welt schickt - das würde ich gerne blockieren bzw. versuchen etwas zu steuern.


    Von daher das Setup.


    Hm ok aber das hat doch nur Auswirkungen auf IoT Geräte die die IP Adresse fest eingetragen haben. Kennst du IoT Geräte die das machen?

    Ok aber dann müssen auch die Block Listen dazu passen.


    Wenn du nun eine Umleitung des gesamten DNS Verkehrs auf den pi-hole machst, laufen die IP Adressen dennoch durch den pi-hole? Ich weiß nicht wie er damit umgeht.

    Gefällt mir 1
    Zitat von thghh

    Ok aber dann müssen auch die Block Listen dazu passen.


    Wenn du nun eine Umleitung des gesamten DNS Verkehrs auf den pi-hole machst, laufen die IP Adressen dennoch durch den pi-hole? Ich weiß nicht wie er damit umgeht.

    Ich verstehe nicht, was du meinst.


    Das Ziel von PiHole ist ja, sich bei der DNS-Auflösung dazwischen zu setzen und unerwünschte Auflösungen (nach Domains, die größtenteils nur Werbung oder Malware ausliefern) einfach zu unterbinden.

    Wenn jetzt IoT-Geräte gar nicht per DHCP nach den DNS-Resolver der Wahl fragen, sondern stumpf bei 1.1.1.1 oder 8.8.8.8 nachfragen, umgehen sie damit die Werbeblockade des PiHoles.

    Wenn man es schafft, DNS-Anfragen an bspw. 1.1.1.1 abzufangen und doch an den PiHole zu leiten, dann ist der wieder in der Lage, ungewollte DNS-Auflösungen zu blockieren.

    Was du vor hast wird NUR über iptables dnat auf der console funktionieren... keine Ahnung wie oft ich das hier noch schreiben soll... ausgenommen natürlich alle Geräte die keinen hardcoded DNS haben und du hast in deinen LANs den PiHole als DNS Server eingestellt.


    Wir nehmen mal an, dein PiHole hat die IP 10.0.10.20 und du hast ein VLAN mit deinen IoT Geräten 10.0.50.0/24 dann müsste es so aussehen:

    Code
    iptables -t nat -A PREROUTING ! -s 10.0.10.20 -p tcp --dport 53 -j DNAT --to 10.0.10.20
iptables -t nat -A PREROUTING ! -s 10.0.10.20 -p udp --dport 53 -j DNAT --to 10.0.10.20
iptables -t nat -A POSTROUTING -m iprange --src-range 10.0.50.1-10.0.50.254 -j MASQUERADE


    Ich habe fertig!

    Gruß

    defcon

    Danke 1

    Danke. Evtl. sollte daraus mal ein Wiki Eintrag gemacht werden. Für jemand mit weniger aktiver Beteiligung hier ist es wirklich schwierig das in den ganzen Beiträgen zu finden.

    Habe vorher die Suche auch benutzt und wirklich es probiert zu finden.

    Zitat von defcon

    hardcoded DNS

    ??? Was soll das denn sein? Etwa in irgendwelche pillepalle IoT-Schachteln fest hinerlegte, nicht änderbare Einträge für DNS-Server? Durfte ich bisher noch nicht kennenlernen und eigentlich gehört so ein Schrott dann in die Tonne.


    An sonst ja - ein DNAT-Eintrag im Standardgateway für Port 53 auf die IP des (hier) Piholes sollte das Problem lösen.


    Zitat von opensec

    Wenn ich schon sehe, was so ein Philips Hue System an Daten in die weite Welt schickt - das würde ich gerne blockieren bzw. versuchen etwas zu steuern.

    Irgendwie verstehst Du die ganze Sache noch nicht. Der Pi macht nichts weiter, als die Frage eines Hosts/Clients "sag mir mal, welche IP hat denn die Seite ubiquiti-networks-forum.de denn eigentlich, ich will mich mit der verbinden" zu beantworten, daher die IP zu liefern - dies genau so, wir auch die DNS-Server im Internet.


    Verhindern/blocken, "was so ein Philips Hue System an Daten in die weite Welt schickt" kann er nicht und dazu ist er auch nicht gedacht. Verhindern/blocken tut er lediglich die Namensauflösung von nicht gewollten Seiten (an Hand der Blockliste), welches nach deren IP das Philips Hue System vielleicht fragt, dieses bekommt dann ganz einfach keine IP gemeldet und kann sich daher auch nicht mit diesen Seiten verbinden. Willst Du dann mehr, musst du an die Firewall ran.

    Zitat von bic

    Irgendwie verstehst Du die ganze Sache noch nicht. Der Pi macht nichts weiter, als die Frage eines Hosts/Clients "sag mir mal, welche IP hat denn die Seite ubiquiti-networks-forum.de denn eigentlich, ich will mich mit der verbinden" zu beantworten, daher die IP zu liefern - dies genau so, wir auch die DNS-Server im Internet.


    Verhindern/blocken, "was so ein Philips Hue System an Daten in die weite Welt schickt" kann er nicht und dazu ist er auch nicht gedacht. Verhindern/blocken tut er lediglich die Namensauflösung von nicht gewollten Seiten (an Hand der Blockliste), welches nach deren IP das Philips Hue System vielleicht fragt, dieses bekommt dann ganz einfach keine IP gemeldet und kann sich daher auch nicht mit diesen Seiten verbinden. Willst Du dann mehr, musst du an die Firewall ran.

    Das ist mir schon klar. Aber genau damit erfüllt er (zumindest für mich) seine Zwecke. Und das nicht nur für das Hue System.

    Zitat von bic

    ??? Was soll das denn sein? Etwa in irgendwelche pillepalle IoT-Schachteln fest hinerlegte, nicht änderbare Einträge für DNS-Server?

    Der global Player google macht das z.B. :grinning_face_with_smiling_eyes: und viele billig IoT hersteller auch

    Gruß

    defcon

    Muss ich was beachten, wenn ich nen pi-hole aufn vserver installiere?

    ⢀⣴⠾⠻⢶⣦⠀ Debian - The universal operating system user
    ⣾⠁⢠⠒⠀⣿⡁ https://www.debian.org
    ⢿⡄⠘⠷⠚⠋⠀
    ⠈⠳⣄⠀

    :right_arrow: Dumme Gedanken hat jeder, nur der Weise verschweigt sie. (Wilhelm Busch) :left_arrow:

    Zitat von bic

    Welchen?

    zB: bei OVH

    ⢀⣴⠾⠻⢶⣦⠀ Debian - The universal operating system user
    ⣾⠁⢠⠒⠀⣿⡁ https://www.debian.org
    ⢿⡄⠘⠷⠚⠋⠀
    ⠈⠳⣄⠀

    :right_arrow: Dumme Gedanken hat jeder, nur der Weise verschweigt sie. (Wilhelm Busch) :left_arrow:

    warum sollte das nicht gehen - einer meiner ist als Flightradar Server und Unifi Homekit übersetzer im Einsatz. Musst halt bei Updates immer aufpassen das du die richigen Ports setzt sonst kommst du nicht mehr an die Configs wenn du im Webbrowser konfigurierst.