Stabilität PiHole im Container Manager (Docker)

[lukass2000]

Hallo,

ich bin absoluter Neuling auf dem Docker bzw Container Manager Bereich.
Nachdem meine neue DS920+ das aber wohl problemlos beherrschen soll, tun sich mir da einige Fragen auf

Seit kurzem nutze ich im Container Manager Vaultwarden und das läuft soweit echt prima

Nun habe ich gelesen, das gegebenenfalls auch PiHole damit realisiert werden könnte.
Habe bisher PiHole immer auf einem zusätzlichem Raspberry 3b am laufen, dachte mir aber, nachdem die DS eh 24/7 läuft, könnte man da doch PiHole auch per Docker dort realisieren und den Raspberry eigentlich "einsparen"?
Habe dann letztes Wochenende PiHole per Docker auf der DS installiert, läuft erstaunlicherweise gar nicht schlecht und gefühlt wesentlich schneller als am Raspberry.

Nun aber meine Bedenken:
Bin mir ja ziemlich sicher, das hier schon einige PiHole per Docker auf der DS nutzen?
Läuft das problemlos und stabil?
Wäre ja ziemlich blöd, wenn sich PiHole dann aufhängt oder abstürzt und das ganze LAN lahm legt.
Glaube der Unmut meiner Family wäre da ziemlich groß

Meine Stabilitätsbedenken kommen daher:
Ich habe der DS im Router ja eine fixe IP 192.168.1.11 vergeben.
Den DSN Server im Router habe ich dann auf eben diese IP 192.168.1.11 gesetzt.
Eine Anfrage im Webbrowser geht nun auf den Router, der leitet zur DS, dort übernimmt PiHole und gibt die Anfrage per konfiguriertem DNS Server weiter.....
Soweit mal ganz ganz einfach.

ABER, wenn nun der Router/DNS Server auf die DS weiterleitet, woher weis die DS das diese Anfrage nun an PiHole geleitet werden soll?
Wenn ich auf das Sybology Drive zugreifen will, ist ja ein eigenes Port dafür vergeben, da verstehe ich das.
Aber wie funktioniert das mit PiHole im Docker Container?

Bin da etwas misstrauisch, ob das dann auch wirklich so verlässlich wie am Raspberry klappt, da hatte der Raspberry eine fixe IP und dann sozusagen auch nur die PiHole Anwendung, nicht wie auf der DS wo ja sozusagen alle vorhandenen Anwendungen auf der DS mit identischeer IP angesprochen werden?

Oder sind meine Bedenken da unbegründet und das klappt alles ohne Probleme?
Wäre da echt dankbar für eine Erläuterung
Danke

 

[*kw*]

Anhand von persönlichen Erfahrung eines ehemaligen Nutzers, empfahl er nachfolgende Kombination. Gegenüber PiHole besser umzusetzen, inkl. eigenem DNS-Server.

AdGuard + Unbound

Schau einfach mal rein.

 

[Adama]

Ich hab jetzt gefühlt seit Ewigkeiten PiHole im Container am Laufen und bisher keine Probleme gehabt.

Was man aber nicht machen sollte, ist den PiHole-Container automatisch aktualisieren zu lassen. Das sollte aber auch für Adguard gelten. PiHole selbst rät jedenfalls davon ab.

Da die Netzwerk-Infrastruktur davon abhängig ist, sollte man solche Container immer manuell updaten, damit man sich nicht plötzlich den Teppich unter den Füssen wegzieht und kontrolliert wieder zurückgehen kann.

 

[alexhell]

Phiole oder Adguard ist Geschmackssache. Glaube da gibt es kein besser oder schlechter. Beide tun exakt das gleiche. Ich hatte es auch mal auf der DS laufen ohne Probleme.

 

[*kw*]

@alexhell: ich habe die Argumente von damals verstanden, ohne die Materie technisch näher beleuchten zu können. Heute verstehe ich's und weil's funktioniert, wollte ich nichts ändern.

Das sollte aber auch für Adguard gelten.

Bei den wenigen Containern könnte ich das generell händisch bewerkstelligen, wenn es denn ein funktionaler (Sicherheits)Vorteil ist.

 

[Adama]

Naja, der Grund ist ja ganz einfach in diesem Fall: Nachts um 1 gibt es ein neues Image, Watchtower schlägt zu. Nur, das Image hat einen Fehler und der Container startet nicht mehr. In diesem Fall ist das DNS tot und dein Internet arbeitet nicht.

Den Rest kannst du dir sicherlich selbst ausmalen.

Deswegen lasse ich mich bei zwei Containern von Watchtower nur benachrichtigen, dass da was neues ist: DNS (PiHole) und Datenbank (MariaDB).

Das kannst du durch das Label "com.centurylinklabs.watchtower.monitor-only" erreichen. Richtet man das ein und setzt man das auf "true", dann lädt Watchtower zwar das neue Image, gibt aber desweiteren nur eine Nachricht aus.

 

[*kw*]

Die Intension ist klar, aber ich dachte, es gibt nur "Sekt (an) oder Selters (aus)".

com.centurylinklabs.watchtower.monitor-only

Wohl eben nicht.

Wieder was gelernt, danke!

 

[Adama]

Da ich mich auch per Mail von Watchtower informieren lassen, kommt dann eine Mail mit folgendem Inhalt (als Beispiel):

"Found new mariadb:latest image (5bf2b86cbac5)"

 

[plang.pl]

Noch mal kurz mein Senf dazu:
Auf der DS läuft der unbound nicht in der latest. Sondern nur in der v17 (latest dürfte 18 sein). Warum ist das so? Weil Synology es nicht gebacken bekommt, einen aktuellen Linux Kernel unters DSM zu packen.
Ich nutze den AdGuard auch lieber als pihole. Ist aber Geschmackssache, wie schon geschrieben wurde.

 

[*kw*]

@Adama: FYI + #15

 

[Ulfhednir]

Phiole oder Adguard ist Geschmackssache. Glaube da gibt es kein besser oder schlechter. Beide tun exakt das gleiche. Ich hatte es auch mal auf der DS laufen ohne Probleme.

Das würde ich jetzt nicht in Gänze unterstreichen. Ich war lange Zeit pi-hole-Verfechter, muss aber sagen, dass ich jetzt seit geraumer Zeit auch zu Adguard gewechselt bin. Größer Vorteil von Adguard gegenüber dem Pihole sind aus meiner Sicht die Client spezifischen Einstellungen.
Wenn ich grundsätzlich Shopping-Seiten erlauben will, dann kann ich das grundsätzlich tun. Wenn ich nun aber Amazon bei meiner Frau auf dem Smartphone sperren wollte, kann ich das tun ohne mich selbst auszusperren.
Dazu kommt, dass Adguard spürbar besser in der UI flutscht. Pi-hole bremst sich einfach selbst aus. Das Ganze soll zwar mit Pi-hole V6 besser werden, aber gut.. die Ist noch Beta.

 

[plang.pl]

nun aber Amazon bei meiner Frau auf dem Smartphone sperren wollte

Jetzt sag nicht, dass du das nicht getan hast. Das ist doch der Traum eines jeden Mannes. Der Frau das shoppen zu verbieten. Und das auch noch per DNS-Sperre zu tun hat schon einen gewissen Stil
Den Geldbeutel freut es

 

[*kw*]

Bis meine Frau nach der Einführung von AdGuard kapiert hat, dass ich auch alles vom Tablet neben ihr managen kann, sind schon einige Flüche durch's Wohnzimmer.

 

[Adama]

FYI + #15

@*kw* Ich bin mir jetzt nicht sicher, worüber du mich da informieren willst.

Dazu kommt, dass Adguard spürbar besser in der UI flutscht.

@Ulfhednir Bist du so oft in der UI? Ich empfinde die UI im PiHole nicht als langsam, muss ich sagen.

 

[*kw*]

@Adama: bin um einen Post verrutscht. plang.pl hatte das Thema unbound angesprochen.

 

[Wiesel6]

@Adama ich kannte auch noch nicht, dass watchtower auch nur informieren kann. Muss ich am Wochenende direkt mal einrichten.

 

[Adama]

bin um einen Post verrutscht

Dann kann ich ja weiterschlafen...

 

[EinMensch]

Noch mal kurz mein Senf dazu:
Auf der DS läuft der unbound nicht in der latest. Sondern nur in der v17 (latest dürfte 18 sein). Warum ist das so? Weil Synology es nicht gebacken bekommt, einen aktuellen Linux Kernel unters DSM zu packen.
Ich nutze den AdGuard auch lieber als pihole. Ist aber Geschmackssache, wie schon geschrieben wurde.

Das ist so nicht richtig. Bei mit läuft der unbound in Combi mit Pihole in der latest auf der 920+ nach dem Video von Navigio in einem MacVlan.
Aber wie gesagt, ist alles Geschmackssache.
Und ich bin damit seit ca. 2 Jahren unterwegs ohne Probleme. Der Watchtower Tip at *KW* ist super, danke dafür.

 

[Ulfhednir]

@Ulfhednir Bist du so oft in der UI? Ich empfinde die UI im PiHole nicht als langsam, muss ich sagen.

Tatsächlich ja. Der innere Monk zwinkt mich regelmäßig zu prüfen, ob es verdächtige Aktivitäten in meinem Netzwerk gibt.

 

[Adama]

verdächtige Aktivitäten

Dieselben verdächtigen Aktivitäten, die *kw* hat? Frau, Amazon?