Pi-Hole auf Docker | Zugriff auf Weboberfläche geblockt

Status
Für weitere Antworten geschlossen.

peterhoffmann

Benutzer
Sehr erfahren
Mitglied seit
17. Dez 2014
Beiträge
5.525
Punkte für Reaktionen
1.360
Punkte
234
Jetzt frag ich mich nur noch wie ich in der FritzBox einen zweiten lokalen DNS eintragen kann der per DHCP verteilt wird, falls Pi-Hole mal offline ist geht sonst ja nichts mehr :(
Jemand eine Idee wie ich das lösen kann?
Nein, ich habe auch schon in anderen Foren quergelesen und nichts gefunden.
Unter "Heimnetz => Heimnetzübersicht => Netzwerkeinstellungen => IPv4-Adresse => Lokaler DNS-Server" kann man nur einen DNS eintragen.
 

DKeppi

Benutzer
Mitglied seit
01. Apr 2011
Beiträge
3.207
Punkte für Reaktionen
62
Punkte
114
Schade :-(
Ist irgendwie total doof so...aber danke für die Info!
 

joku

Benutzer
Mitglied seit
06. Mrz 2011
Beiträge
6.664
Punkte für Reaktionen
2
Punkte
164
Jetzt frag ich mich nur noch wie ich in der FritzBox einen zweiten lokalen DNS eintragen kann der per DHCP verteilt wird, falls Pi-Hole mal offline ist geht sonst ja nichts mehr :(
Das hier hilft Dir nicht ?
DNS.jpg

Gruß Jo
 

peterhoffmann

Benutzer
Sehr erfahren
Mitglied seit
17. Dez 2014
Beiträge
5.525
Punkte für Reaktionen
1.360
Punkte
234
Das hier hilft Dir nicht ?
Damit geht es nicht. (Link)

Es geht nur hier:
Rich (BBCode):
Heimnetz => Heimnetzübersicht => Netzwerkeinstellungen => IPv4-Adresse => Lokaler DNS-Server
Und da kann man nur einen Server eintragen.
 

iLion

Benutzer
Mitglied seit
07. Okt 2008
Beiträge
355
Punkte für Reaktionen
4
Punkte
18
DietPi mit PiHole läuft, allerdings erst nach einem Repair mittel pihole -r ;)
Damit hat das Teil jetzt auch eine eigene IP!

Bei mir lief Pi-hole direkt, eine Reparatur war zum Glück nicht notwendig. Zwei Aktualisierungen mit pihole -up liefen auch schon sauber durch.

Tipp: (eben vom Synology-Support Taiwan erfahren): apt-get install qemu-guest-agent

... und Du hast im VMM auch die IP Deines DietPi stehen. Damit ist der Schönheitsfehler auch weg. Wenn man jetzt noch den Arbeitsspeicher reduzieren könnte.
 

msa1989

Benutzer
Mitglied seit
17. Dez 2015
Beiträge
4
Punkte für Reaktionen
0
Punkte
0
Hallo zusammen,

ich habe heute versucht PiHole in Docker auf meiner Diskstation (DS216+II) zu installieren. Das ganze hat am Ende auch funktioniert, nur bekomme ich jetzt beim surfen ein Problem. Wenn ich eine Website öffne die SSL verschlüsselt Werbung laden will, leitet PiHole den Verkehr zu meiner Diskstation. Die hat natürlich für die Domain nicht das passende SSL Zertifikat und ich bekomme SSL-Fehlermeldungen. Die PiHole-Installation auf meinem Raspberry Pi blockiert diese Anfragen weshalb es da nicht zu Problemen gekommen ist.

Ich hatte nun die Idee der Diskstation eine weitere IP zu geben (ich habs nicht geschafft) um dann dem Docker Container ebenfalls eine eigene IP zu geben, so dass dann PiHole den Verkehr ablehnen kann und nicht der Synology Webserver angesprochen wird (ich habs nicht geschafft).

Hat das Problem schon jemand lösen können und kann mir sagen was ich tun muss?

Viele Grüße
Michi
 

whitbread

Benutzer
Mitglied seit
24. Jan 2012
Beiträge
1.294
Punkte für Reaktionen
54
Punkte
68
Also ich habe mich auch - nach erfolglosen Versuchen mit Docker - auf die DietPi Variante eingeschossen.
Das Ganze läuft jetzt soweit stabil.

Ein bisschen überascht bin ich von der geringen Blocking-Quote von 1,5% (200 von 13.500 Anfragen) und das obwohl ich die Blocklists noch erweitert habe und knapp 700.000 Einträge darin habe...
 

frankyst72

Benutzer
Mitglied seit
01. Jun 2015
Beiträge
1.955
Punkte für Reaktionen
3
Punkte
58
bei mir sind es so 4% ohne erweiterte Listen. wird aber stark am persönlichen Surfverhalten abhängen (läuft auf Pi 3)
 

Tommes

Benutzer
Sehr erfahren
Maintainer
Mitglied seit
26. Okt 2009
Beiträge
9.088
Punkte für Reaktionen
1.072
Punkte
314
Ich experimentiere zur Zeit auch mit Pi-Hole auf einem Raspberry Pi 3 rum und bin total begeistert. Da ich auch eine FritzBox (7590) habe und von dem DNS Rebindschutz betroffen bin, habe ich erstmal mein Laptop über die Adaptereigenschaften von IPv4 und IPv6 mit dem DNS-Server des Pi-Holes verbunden.

Ich verwende deshalb einen Pi weil der kaum Strom verbraucht und ich meine produktiv DS nicht mit sowas belasten will.

Tommes
 

williserver

Benutzer
Mitglied seit
06. Okt 2016
Beiträge
98
Punkte für Reaktionen
1
Punkte
14
Ist der Port 53 nicht für den DNS Server reserviert.....??
 

whitbread

Benutzer
Mitglied seit
24. Jan 2012
Beiträge
1.294
Punkte für Reaktionen
54
Punkte
68
Nur wenn er läuft.
Bei mir verteilt der DHCP-Server des Routers (Fritzbox ist kein Router!) die IP des DNS-Servers. Dieser fragt dann den internen DNS auf der Syno (VDSM) und der fragt freie DNS-Server ab. Da kommt die Fritte gar nicht ins Spiel.

Daher musste ich auch auf DietPi ausweichen, da Docker bei mir auch nur auf der VDSM-Instanz läuft und somit ein Portkonflikt entstanden wäre.
 

peterhoffmann

Benutzer
Sehr erfahren
Mitglied seit
17. Dez 2014
Beiträge
5.525
Punkte für Reaktionen
1.360
Punkte
234
Bei mir läuft Pi-Hole auf einem Raspberry Pi3 seit April 2017 völlig problemlos (Link). Der Raspberry ist superstabil und langweilt sich zu Tode. 2 Watt Verbrauch.

861.345 Domains werden gefiltert, der Prozentsatz liegt meist bei ca. 30%.
Da steht aber auch Facebook, Twitter und Co. drauf. Alleine wenn man schon große Nachrichtenseiten liest, ist auf jeder Seite mindestens einer, meist mehrere Zugriffe auf FB, Twitter und Co., die verhindert werden. Das treibt den Wert zusätzlich hoch, manchmal bis auf knapp 50%.
 
Zuletzt bearbeitet:

Oilinga

Benutzer
Mitglied seit
14. Okt 2014
Beiträge
137
Punkte für Reaktionen
8
Punkte
18
Hallo,
habe auf meiner DS415+ nun den diginc-pihole und soweit alles nach Vorgaben eingerichtet.
Habe hier eine Fritzbox 7490 und die DNS Einstellung soweit umgesetzt und die Ports 53 weitergeleitet. Im Terminal des pihole Containers sehe ich auch das der pihole arbeitet und ordentlich aussortiert.
Was mir aber partout nicht gelingen will ist der Aufruf der pihole Admin Seite.
Sobald ich dies Adresse (die normalerweise so klappen müsste) eingebe: 192.168.xxx.xxx:8080/admin erhalte
diese Meldung: "Failed Host Check: 192.168.xxx.xxx vs 0.0.0.0, 0:0:0:0:0:0, dockerpi.hole, pi.hole, localhost"

An was könnte das liegen.
Würde mich freuen
Oilinga
 
Zuletzt bearbeitet:

haydibe

Benutzer
Sehr erfahren
Mitglied seit
12. Apr 2016
Beiträge
1.468
Punkte für Reaktionen
356
Punkte
103
@Whitebread: könntest Du bitte erläutern warum die Fritzbox nach deiner Wahrnehmung kein Router sein soll?
Ohne Erläuterung ist deine Formulierung missverständlich, denn die Fritzbox agiert als Router sobald NAT zwischen WAN und LAN übersetzt.
Zudem ist die Fritzbox auch ein managed Switch, man könnte je Port unterschiedliche Netze betreiben und die Routing-Regeln zwischen den Netzen definieren.

Oder sollte es heissen, dass du ein anderes Gerät als Router verwendest und Fritzbox nur als Modem?
 

Puppetmaster

Benutzer
Sehr erfahren
Mitglied seit
03. Feb 2012
Beiträge
18.981
Punkte für Reaktionen
619
Punkte
484
Es sollte wohl heißen, dass eine Fritzbox keinen professionellen Ansprüchen an einen dedizierten Router genügt. ;)

Aber das verlangt ja auch kein Heimanwender.
 

Piti61

Benutzer
Mitglied seit
20. Nov 2014
Beiträge
168
Punkte für Reaktionen
3
Punkte
18
Das hier hilft Dir nicht ?
Anhang anzeigen 37128

Gruß Jo

Dazu eine Frage: was gibt man denn als "Alternativen DNSv4-Server" ein und was gibt man bei den DNSv6-Servern ein? Ich stelle hier immer wieder fest, das die FritzBox schnell den "aktuell genutzt für Standardanfragen"-Server umstellt und nicht mehr das Ras-Pi mit Pi-Hole nutzt. Und dann habe ich den Salat bzw, die Werbung wieder.
 

whitbread

Benutzer
Mitglied seit
24. Jan 2012
Beiträge
1.294
Punkte für Reaktionen
54
Punkte
68
Eine Fritzbox ist ein DSL-(NAT-)Router aber eben kein (Netzwerk-)Router, und schon gar nicht ein Switch. Ein Router routed traffic zwischen unterschiedlichen Netzen und filtert diesen Traffic optional - dann kann man es auch Firewall nennen. Und ein Switch switched traffic innerhalb eines Netzes (die Fritte bridged Traffic). Der Begriff des managed switch ist nicht wirklich klar abgegrenzt, aber im Endeffekt sprechen wir hier von Geräten, die zusätzliche Konfiguration und Sicherheit bieten, u.a. die Netzwerksegmentierung durch VLAN.
Die Fritte kann von allem etwas, aber nix richtig; was mir immer übel aufstösst ist halt Folgendes: Der Heimanwender stellt sich die Fritte hin und steckt da seinen Rechner und seine NAS hinein und benutzt gar noch das WLAN der Box. Solange man keinerlei Dienste im Internet verfügbar macht, mag das Ganze auch noch akzeptiert sein, sobald aber Traffic ins LAN ermöglicht wird, geht das so imho aber eben nicht mehr.
Deshalb gehört für mich hinter die Fritte, wenn man sie denn verwendet, mind. 1 Router als Firewall und - wenn benötigt - ein separater AP. Eine NAS mit Diensten im www gehört in ein eigenes Netzwerksegment, genauso wie WLAN-Clients. Mit ein paar einfachen Regeln für die Kommunikation zwischen den Netzen hat man schon einen ordentlichen Sicherheitsgewinn. Für mich gehört zudem die Reglementierung des ausgehenden Traffics (also ins Internet) ebenso zum Basis-Setup.
In den Fritten sind halt nützliche und sinnvolle Funktionen fürs Heimnetz mit den Funktionen des (V)DSL-Modems und NAT-Routers in einer Box vereint - und das birgt ungeahnte Sicherheitsrisiken. Der Fritzbox fanboy könnte ja folgendes Setup wählen Fritzbox A zur Einwahl, dahinter einen kleinen Router und dann Fritzbox B fürs Heimnetz.
 

Puppetmaster

Benutzer
Sehr erfahren
Mitglied seit
03. Feb 2012
Beiträge
18.981
Punkte für Reaktionen
619
Punkte
484
Solange man keinerlei Dienste im Internet verfügbar macht, mag das Ganze auch noch akzeptiert sein, sobald aber Traffic ins LAN ermöglicht wird, geht das so imho aber eben nicht mehr.

Ja, "imho" mag da sicher gelten, aber daraus lässt sich eben noch keine allgemeingültige Aussage ableiten.
Sicher kann man vieles immer noch besser machen, aber notwendig ist es eben nicht unbedingt, sondern kommt immer auf die jeweilige Betrachtung an, imho. :)
 

peterhoffmann

Benutzer
Sehr erfahren
Mitglied seit
17. Dez 2014
Beiträge
5.525
Punkte für Reaktionen
1.360
Punkte
234
Eine Fritzbox ist ein DSL-(NAT-)Router aber eben kein (Netzwerk-)Router, und schon gar nicht ein Switch. [...] Der Heimanwender stellt sich die Fritte hin und steckt da seinen Rechner und seine NAS hinein und benutzt gar noch das WLAN der Box. Solange man keinerlei Dienste im Internet verfügbar macht, mag das Ganze auch noch akzeptiert sein, sobald aber Traffic ins LAN ermöglicht wird, geht das so imho aber eben nicht mehr.
Das ist ja alles gut und schön.
Skizziere doch mal eine gute Lösung (Hardware, Aufbau u. Konfi) für ein typisches Szenario, z.B. für eine Familie, die im Haus VDSL hat, ein NAS für seine Daten betreibt und auch hier und da ein paar externe Dienste (z.B. WebDav für den Fotoupload) betreibt.
 

whitbread

Benutzer
Mitglied seit
24. Jan 2012
Beiträge
1.294
Punkte für Reaktionen
54
Punkte
68
Ist ja immer alles imho - kann ja schlecht für andere sprechen ;-)

Für mich sind zwei Dinge besonders wichtig:
1) Schutz der wichtigen Daten vor Zugriff, also stets Annahme, dass public devices (NAS) durch einen Exploit verwundbar ist.
2) Schutz vor Tracking / Spione im eigenen Hause, also Unterbindung des Nach-Hause-Telefonierens diverser Geräte.

Einfachste Lösung habe ich oben skizziert:
A) Fritzbox I als Modem / Einwahl-Router
B) Router / Firewall: Hier muss halt jeder selber wissen, womit er zurecht kommt. Von MikroTik über Ubiquity über pfSense oder Sophos UTM, etc.
C) Fritzbox II als "Switch" und AP, alt. ein beliebiger Access-Point und oder Switch bzw. Router mit Switching-Chip

Bei mir sieht es so aus:
Rich (BBCode):
Fritte - Gateway Router - Sophos UTM - LAN-Firewall - WLAN (APs)
                |                            |
            Public NAS                 LAN u. private NAS
Die Fritzbox ist Modem und Telefonie-Adapter (noch!).
Der Gateway-Router filtert den eingehenden Verkehr und stellt VPN-Dienste bereit.
Die Sophos UTM dient primär der Steuerung des ausgehenden Verkehrs.
Die LAN-Firewall trennt LAN und WLAN voneinander und vom Uplink (Zugriff von aussen in LAN und WLAN wird unterbunden; Zugriff vom LAN/WLAN wird zugelassen).
Eigentlich ein klassisches Setup - und das zu einem Preis unterhalb einer 7490 (excl. Sophos UTM).

Wer es etwas einfacher mag, kombiniert Gateway-Router und LAN-Firewall (und ggf. sogar die UTM) in einem Gerät (bspw. pfSense)...
 
Zuletzt bearbeitet:
Status
Für weitere Antworten geschlossen.
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat