Pi-Hole auf Docker | Zugriff auf Weboberfläche geblockt

[steje43]

Nutze auch einen kleinen PI. Leider nur noch für meinen Rechner und meine Wlananbindungen.

Meine Familie war nur genervt von PIhole, dann ging dies nicht und dann das nicht, ich muss ständig url s und Dienste freigeben.
Das Iphone von meinem Sohn mochte Pihole gar nicht. Der hatte die meisten Probleme mit dem Netz.

Nun gut, nun nutze ich es für meinen Rechner, Fernseher und Handy geht auch.

 

[blinddark]

Hallo, ich muss das Thema noch einmal ausgraben. Wie konfiguriere ich dietpi? Komme ich unter windows via ssh auf die vmm oder gibt es eventuell eine Config, die ich zuvor in einem bestimten Ordner mit ablegen kann? UI kommt nicht in Frage, da ich blind bin. WebInterface geht.

 

[Tuxnet]

Hallo zusammen,
Ich habe hier das aktuelle pihole Image an laufen
Pihole/Pihole

Warum bekommt ich keine ip Adresse zugewiesen ?
Es steht dort nur 0.0.0.0

Ich kann mich auch leider nicht im Terminal anmelden.

 

[blinddark]

Hallo, ich habe nun dietpi erfolgreich als VM am laufen und auch pihole installiert. Eine Frage beschäftigt mich nun noch. Ich lasse über die FB allen clients den neuen DNS mitteilen und habe auch als ausgehende DNS-Server den dietpi hinterlegt. Nun möchte ich noch sicherstellen, dass man nicht einfach einen manuellen DNS-Eintrag am client setzt und somit die Filter umgeht. Hat dazu noch jemand eine Idee oder Lösung?

 

[Solear]

Hallo, das Stichwort lautet: "Hardcoded DNS" (Androidgeräte haben das wohl zum Teil und auch FireTV etc, die haben einen festen DNS-Server einprogrammiert und umgehen so die lokalen DNS Vorgaben).
Es gibt 2 Varianten: entweder am Router alle Anfragen am Port 53 ins WAN blocken außer für die Pihole IP, oder eben alle Port 53 ins WAN Anfragen außer von Pihole zu Pihole umleiten.
Zum Umleiten habe ich auf die Schnelle keine Fritzbox ANleitung gefunden, aber eine für den Edgerouter X, da siehst du das Prinzip: https://www.myhelpfulguides.com/2018/07/30/redirect-hard-coded-dns-to-pi-hole-using-edgerouter-x/

Das gibt zumindest ein paar Stichpunkte.

 

[blinddark]

Hallo und vielen Dank für deine Antwort. Ich denke, dass ich mit der FritzBox über die Profile port 53 für das Standardprofil blockieren kann und dem Pihole ein anderes zuweise. Das werde ich mal versuchen.

 

[Hoffy]

Hallo,

Ich möchte mich hier auch nochmal verspätet einklinken. Ich habe auf reddit eine interessante Anleitung gefunden, die ich gestern mal ausprobiert habe. Hierbei wird mit einer docker-compose.yml ein extra Netzwerk konfiguriert, dadurch bekommen die Container jeweils eigene IPs im Adressbereich der FritzBox. So kann man Pi-Hole und Unbound hintereinander benutzen (Begründung hier).
Ich bin leider absolut kein Docker-Experte, deswegen habe ich eine ganze Weile gekämpft - waren natürlich alles hausgemachte Probleme (vorallem Datei-Berechtigungen und Netzwerk-Config)

Obwohl ich die docker-compose.yml nur in ihren Grundzügen durchblicke, habe ich das Gefühl, dass hier noch optimiert werden kann. Vielleicht kann mir dabei jemand von euch helfen:

- Das von OpenVSwitch erstellte Netzwerk kann nur IPv4. Die FritzBox vergibt keine v6 Adressen an die Container, was ich aber schon gerne hätte. Wie in diesem Artikel habe ich versucht, “enable_ipv6: true” und das Subnetz zu ergänzen, aber docker-compose kann die erste Zeile nicht interpretieren und stürzt ab. Vermutlich weil DSM eine ältere Version von docker-compose benutzt?
- Der Unbound-Container muss für mein Verständnis nicht im Netz der FritzBox sein. Er braucht ja nur Internet-Zugang und einen Link zum Pi-Hole Container. Ich fände es “hübscher”, wenn der Unbound Container im Bridge-Netzwerk ohne Portfreigaben werkelt, und der Pi-Hole Container sowohl im home- als auch im Bridge-Netzwerk verbunden ist und einen Link zum Unbound-Container hat. Ich hab aber keine Ahnung, wie ich das umsetzen kann.

Ich wäre für jeden Tipp dankbar.

Grüße

 

[Hoffy]

Okay, also Punkt 2 habe ich doch selbst lösen können. Die Dokumentation ist echt gut, man muss sie halt nur mal lesen
Da steht, dass das Verlinken von 2 Containern nicht mehr gebräuchlich ist und in zukünftigen Versionen vl sogar ganz gestrichen wird. Stattdessen erstellt man ein extra bridge-Netzwerk für beide Container. Anders als im Standard bridge-Netzwerk sind hier alle Ports offen, die Container können frei kommunizieren.

Meine docker-compose.yaml sieht nun so aus:

version: '2'

services:
  pihole:
    container_name: pihole
    image: pihole/pihole:latest
    hostname: pi-hole
    mac_address: d0:ca:ab:cd:ef:01
    cap_add:
      - NET_ADMIN
    ports:
      - 443/tcp
      - 53/tcp
      - 53/udp
      # - 67/udp # Uncomment if you want to use Pi-Hole for DHCP
      - 80/tcp
    environment:
      ServerIP: 192.168.40.12
      WEBPASSWORD: ${WEBPASSWORD}
      TZ: Europe/Berlin
      DNS1: 172.18.0.3
      DNS2: 9.9.9.9
    volumes:
      - /volume1/docker/pihole-unbound/pihole/volume:/etc/pihole:rw
      - /volume1/docker/pihole-unbound/pihole/config/hosts:/etc/hosts:ro
      - /volume1/docker/pihole-unbound/pihole/config/resolv.conf:/etc/resolv.conf:ro
      - /volume1/docker/pihole-unbound/pihole/config/dnsmasq.conf:/etc/dnsmasq.d/02-network.conf:ro
      - /volume1/docker/pihole-unbound/pihole/config/pihole-FTL.conf:/etc/pihole/pihole-FTL.conf:ro
    networks:
      backend:
        ipv4_address: 172.18.0.2
      home:
        ipv4_address: 192.168.40.12
    restart: always
    depends_on:
            - "unbound"
  unbound:
    container_name: unbound
    image: mvance/unbound:latest
    # hostname: syn-unbound
    # mac_address: d0:ca:ab:cd:ef:02
    # ports:
    #   - 53/tcp
    #   - 53/udp
    volumes:
      - /volume1/docker/pihole-unbound/unbound/unbound.conf:/opt/unbound/etc/unbound/unbound.conf:rw
    networks:
      backend:
        ipv4_address: 172.18.0.3
    restart: always

networks:
  backend:
    driver: bridge
    ipam:
      config:
        - subnet: 172.18.0.0/16
          gateway: 172.18.0.1
  home:
    driver: macvlan
    driver_opts:
      parent: ovs_bond0
    ipam:
      config:
        - subnet: 192.168.40.0/24
          gateway: 192.168.40.1
          ip_range: 192.168.40.12/30

Ich musste das bridge-Netzwerk genau definieren, weil Pi-Hole keine Hostnamen als Upstream DNS annimmt sondern nur IPs.
Ich habe als Fallback noch Quad9 (9.9.9.9) in Pi-Hole eingetragen, falls mit Unbound irgendwas nicht stimmt. Im Moment teste ich es mit nur Unbound und es läuft echt gut.

Zu Punkt 1: Bei beiden Netzwerken (home und backend) ist IPv6 deaktiviert, und trotzdem sind knapp 50% aller Request an Pi-Hole IPv6, und er bearbeitet sie ganz normal Ich kann mir das nur so erklären, dass die FritzBox die Anfragen 6to4 tunnelt oder so

Grüße

 

[blinddark]

Die Geschichte mit dem DNS-Port konnte ich mit Hilfe der Filterlisten auf der Fritz!Box lösen. Nun habe ich noch ein Problem zu Lösen. Bei http-Seiten, die blockiert werden, bekomme ich ja den netten Hinweis von pihole, wo ich auch direkt eine Mail mit der URL an den Admin senden kann. Hat das auch jemand für ssl ans laufen bekommen? eine externe URL kann ich ja z. B. über den Reverse-Proxy einrichten. Wo hinterlege ich diese url dann im pihole und aktiviere SSL?

 

[Tuxnet]

Sehr interessant .
Wo kann ich das den mit der E-Mail einstellen ?

 

[blinddark]

Hallo,
im pihole unter Settings/API / Web interface. dort ganz unten gibt es ein Feld Administrator-e-mail. Rufst du nun eine blockierte Seite auf, erhältst du eine pihole-Seite, wo dir gesagt wird, dass diese domain blockiert ist, und du eine Mail an den Administrator senden kannst.

 

[blinddark]

Hallo, ich habe nun einen raspberry 3b+ bestellt. Dietpi bietet scheinbar noch kein x64-Image an. Welches nutzt ihr auf dem Pi in Verbindung mit pihole?

 

[peterhoffmann]

Welches nutzt ihr auf dem Pi in Verbindung mit pihole?

Ich bin vor 2 Jahren nach dieser Anleitung vorgegangen:
https://www.kuketz-blog.de/pi-hole-schwarzes-loch-fuer-werbung-raspberry-pi-teil1/
Die Anleitung ist auch gerade auf dem neuesten Stand gebracht worden.

raspberry 3b+ bestellt.

Soweit ich das (an)gelesen habe, verbraucht die neuere Plusvariante mehr Strom als der ältere 3b.

 

[geimist]

… Wenn man jetzt noch den Arbeitsspeicher reduzieren könnte.

Geht ja jetzt schön ab dem VMM 2.4.0 - selbst bis zu 128MB hinunter

 

[ElaCorp]

Habt ihr ein YouTube Tutorial wo ich sehen kann was ich da machen muss? Ich bin amateur und brauche hilfe. Eine genauere Anleitung würde mir helfen.

 

[ElaCorp]

Ist es nicht besser es auf https://discourse.pi-hole.net/t/how-do-i-install-pi-hole-on-a-synology-nas/289 zu installieren?
Da würden die Festplatten in den Ruhe Modus gehen, oder?

 

[ElaCorp]

Kann mir jemand sagen wo ich welche IP Adressen eintragen muss?

Synology:
Pi-Hole Einstellungen:
Fritzbox:

Bei mir funktioniert das nicht. Egal was ich versucht habe. =(

 

[geimist]

Meine Einstellungen in Verbindung mit VM DietPi:

• Pihole muss zunächst immer dieselbe IP zugewiesen bekommen - entweder direkt durch eine statische IP-Vergabe, oder indirekt, indem in den Clienteinstellungen der FritzBox unter PiHole der Haken "Diesem Netzwerkgerät immer die gleiche IPv4-Adresse zuweisen" setzen (Heimnetz > Mesh > PiHole suchen und auf "Details" klicken).

Die IP-Adresse deines DNS-Servers (was jetzt dein PiHole sein soll), muss in den Clients im Netzwerk bekannt gemacht, bzw. eingetragen werden.
Am einfachsten ist das via DHCP in der FritzBox:

• Heimnetz > Netzwerk > Netzwerkeinstellungen > Button IP4-Adressen > Lokaler DNS-Server: [IP DES PIHOLE EINTRAGEN]
• WLAN-Geräte einmal ab- und wieder anmelden

Du kannst auch die Adresse des PiHole direkt in den Endgeräten als DNS-Server eintragen. Mobile Geräte haben dann aber ein Problem, sobald sie nicht mehr im Heimnetz sind.

 

[ElaCorp]

Danke für deine Anleitung. Damit hat es funktioniert!
Richtig gut erklärt. Danke danke danke.

Foto: https://imgur.com/a/Mdyznip

Nur frage ich mich jetzt, wie ich darauf zugreife? Wie komme ich auf das Webinterface?

 

[linuxdep]

Danke für deine Anleitung. Damit hat es funktioniert!
...
Nur frage ich mich jetzt, wie ich darauf zugreife? Wie komme ich auf das Webinterface?

Na du gehst im Browser einfach auf die IP, die PiHole bekommen hat.
https://<IP>/admin/index.php