Pihole & Unbound in Portainer

[Runk]

Hallo,
ich habe VERMEINDLICH erfolgreich PiHole und Unbound auf meiner DS720+ via Protainer installiert. (Spoiler: geht aber nicht)

Ich habe bei Container über ein separat eingerichtetes MCVLAN laufen laufen. Damit sind die IP-Adressen zwar in der gleichen IP-Adressen-Range wie alle anderen Geräte meines Netzwerks, allerdings war die Hoffnung, dass sich die einzelnen Container keine Portstreitigkeiten liefern.

Ich habe bei Container nach folgenden Anleitungen eingerichtet:

PiHole
Unbound

Abgewichen bin ich lediglich bei den IP-Adressen und dem Parent Network. Hier habe ich ovs_eth1 stat eth0 gewähl, weil bei dem Test via ifconfig-Befehl hier die IP-Adresse meiner NAS angezeigt wurde...

Hier die Übersicht.




Nun die Problembeschreibnung.... 2 Phänomäne:

Ich bekomme folgende Meldung von der NAS via Mail:

"Eine Änderung der IP-Adresse wurde erkannt. Bitte gehen Sie zu DNS Server und vergewissern Sie sich, dass die IP-Adresse der A- und AAAA-Ressourceneinträge in derselben Zone korrekt ist, da Synology Directory Server nicht ordnungsgemäß funktioniert, wenn die IP-Adresse auf einen falschen Server verweist. Starten Sie Synology Directory Server nach Abschluss der Konfiguration bitte neu.

Von DS_720p"

Und:

Ich komme immernoch in den Genuss von Youtube-Werbung... damit bewerte ich die ganze Sache mit: "funktioniert noch nicht"

Kann mir hier jemand weiter helfen?

Vielen Dank im Voraus

 

[Runk]

Ergänzung: Ich habe aktuell auch noch eine eigene Domain über Synology Directory Server eingerichtet (Ist aber noch experimentell) Somit ist unter Systemeinstellungen > Domain/LDAP > DNS-Server die IP-Adresse der NAS eingestellt.

Auf der Fritzbox habe ich die IP-Adresse von PiHole eingetragen.

 

[Runk]

Pi-Hole einstellungen:

 

[haydibe]

Auf der Fritzbox habe ich die IP-Adresse von PiHole eingetragen.

Es gibt zwei Ort wo man das machen kann:
1. "Internet" -> "Zugangsdaten" -> Reiter "DNS-Server"
2. "Heimnetz"->"Netzwerk"->Tab "Netzwerkeinstellungen" -> "IPv4-Einstellungen" - hier muss der DCHP Server den DNS Server dann bekannt geben.

Wo ist der DNS Server vom NAS eingetragen und wie steht der Im Zusammenhang mit PiHole bzw. unbound. Vielleicht wäre hier ein Diagramm sinnvoll?

Ich fürchte Du must hier deutlich konkreter werden mit dem was Du wo wie eingestellt hat. Hinweise auf "ich hab es gemacht wie in Tutorial x" sind meistens Sinnfrei, da sie überhaupt nichts darüber aussagen, an welchen Stellen Du abweichst. Oder bist Du der Meinung das das Tutorial fehlerheft ist?
Dann macht es vielleicht mehr Sinn den Autor darauf aufmerksam zu machen.

 

[Mahoessen]

Ich komme immernoch in den Genuss von Youtube-Werbung... damit bewerte ich die ganze Sache mit: "funktioniert noch nicht"

Hi, die Werbevideos bei YT können nicht geblockt werden. Diese kommen vom YT Server, haben also die selbe IP wie die Videos selbst. Werden diese geblockt, laufen auch keine Videos.

siehe auch : block YT videos

pihole läuft seit ca 1 1/2 Jahren bei mir, blockt auch eine Menge, aber keine YT WerbeVideos trotz diverser Listen, die die Werbevideos angeblich blockieren sollen.

viele Grüße

 

[Runk]

Wo ist der DNS Server vom NAS eingetragen und wie steht der Im Zusammenhang mit PiHole bzw. unbound. Vielleicht wäre hier ein Diagramm sinnvoll?

Was meinst du mit Diagramm?

Ich habe hier mal Screenshots der einzelnen "Baustellen":

HIer habe ich die PiHole IP auf der Fritzbox eingetragen:



Hier habe ich Unbound mit dem PiHole verknüpft:
(Interface listening behavior habe ich umgestellt, weil ich das Netzwerk über ETH1 laufen lasse)



Das sind die Einstellungen des Netzwerk-Templates (MACVLAN):



Das ist der Grund, warum ich nicht eth1 sondern ovs_eth1 genommen habe:
(ifconfig)




Das sind die Einstellungen des fertigen Netzwerks:





Ich hoffe, dass ihr meinen Fehler hierdurch erkennt.

Vielen Dank und viele Grüße

 

[haydibe]

Das nenn ich mal vorbildliche Aufbereitung.

Folgendes ist zu erkennen:
1. Die FB kommuniziert via DHCP die MACVLAN-IP vom PiHole Container -> passt, jeder Rechner im Netzwerk verwendet PiHole zur DNS-Auflösung (mit Ausnahme des NAS selbst? - da ein MACVLAN client interface nicht mit seinem Parent kommunizieren darf - keine Ahnung ob ovs_eth1 das Problem umgeht.)
2. Unbound ist in PiHole als Upstream angegeben. Passt. Was nicht zu erkennen war, ist ob Du In den Advanced Settings ein Conditional Forwarding für die lokale IP-Range an die FB eingetragen hast - ohne werden die lokalen Hostnamen aus der FB nicht aufgelöst.
3. OVS_ETH? kommt durch das aktivieren für die OpenvSwitch -> VMM läuft ohne aktiver OVS nicht. Ist im Grunde nur eine Bridge auf dem ETH Interface. Sollte kein Problem darstellen.

Ansonsten: soweit alles korrekt.
Fehlt also nur die Frage, ob Du auch Blocklists verwendest, die die entsprechenden Quellen für Werbung, Malware, und was auch immer abdeckt?
Ich verwende z.B. die hier: https://v.firebog.net/hosts/lists.php, sehe in YT nach wie vor die Werbevideo.

 

[Runk]

uft seit ca 1 1/2 Jahren bei mir, blockt auch eine Menge, aber keine YT WerbeVideos trotz diverser Listen, die die Werbevideos angeblich blockieren sollen.

Dann hatte ich vielleicht einfach nur eine falsche Vorstellung vom PiHole

 

[Puppetmaster]

Ist doch eigentlich in der Dokumentation ganz gut erklärt, wie Blocking über DNS funktioniert. Da sollte es nicht weiter wundern, wenn, bleich gleicher IP, der content nicht separiert werden kann.

 

[Ramihyn]

Ich komme immernoch in den Genuss von Youtube-Werbung

Die wirst du auch mit Pihole nicht automatisch los, da sie nicht einfach per DNS blockiert werden kann (ist schliesslich direkt in die Videos eingebettet).
Gegen die Youtube-Werbung helfen nur härtere Mittel in Form geeigneter Addons (z.B. "Enhancer für Youtube" unter Chrome).

 

[Runk]

Ansonsten: soweit alles korrekt.
Fehlt also nur die Frage, ob Du auch Blocklists verwendest, die die entsprechenden Quellen für Werbung, Malware, und was auch immer abdeckt?
Ich verwende z.B. die hier: https://v.firebog.net/hosts/lists.php, sehe in YT nach wie vor die Werbevideo.

Ich habe deinen Link mal eingebunden und geupdatet. Die Anzahl der "Domains on Blocklist" hat sich nicht geändert.

 

[Runk]

Weiter währe auch noch die Frage, wie ich dieses Problem behebe:




Jeden Morgen (nach dem Neustart) bekomme ich eine Mail von der NAS... wie kann ich diesen Fehler ausmertzen?

Vielen Dank

 

[haydibe]

Der Link von vorher zeigt nur auf die Website mit Listen, aber ist nicht selber der Link für die Listen.

 

[Runk]

Wie binde ich dann die einzelnen Adressen ein?
Muss ich das mit jeder einzeln machen?

 

[DKeppi]

Verwende die

https://dbl.oisd.nl/

da hast du echt alles mögliche drinnen.

Aktuell sind da 1.643.216 Einträge enthalten und aktualisiert sich regelmäßig.

Lt. oisd.nl ist folgendes drinnen:
Ads, (Mobile) App Ads, Phishing, Malvertising, Malware, Spyware, Ransomware, CryptoJacking, Scam ... Telemetry/Analytics/Tracking (Where not needed for proper functionality)

Gibt auch eine basic List mit weniger Einträgen für pihole

https://dbl.oisd.nl/basic/

Ich fahre mit der schon länger ganz gut!

 

[haydibe]

Wie binde ich dann die einzelnen Adressen ein?
Muss ich das mit jeder einzeln machen?

Hätte gereich einen der Links einzutragen, die in der Übersicht sind. Dkeppi's Link hat aber mal eben den 7,5 fachen Umfang. Die werde ich mir auch nochmal anschauen. @DKeppi Danke dafür!

 

[Ramihyn]

Dkeppi's Link hat aber mal eben den 7,5 fachen Umfang.

Mehr Umfang ist allerdings nicht per se automatisch "besser". Habe nicht nur einmal festgestellt, dass dann auch der eine oder andere völlig legitime Aufruf geblockt wurde. Klar, kann man dann auch selbst whitelisten, macht aber wieder Arbeit.

 

[haydibe]

Guter Hinweis. Bei 1,6 Mio Einträgen macht händisches Whitelisten bestimmt wenig Freude...

 

[DKeppi]

Hatte bisher erst einmal ein Problem mit der Liste… ?

 

[Puppetmaster]

Habe knapp 5 Millionen Einträge in PiHole und insgesamt wenig Ärger mit geblockten Seiten.
Kommt aber immer drauf an, auf was man sowieso schon alles verzichtet. ;-)