Container Manager: Pi-Hole mit oder ohne macvlan / Fehler 500 im Portainer

[ChrisH]

Hallo zusammen,

ich bin newb im Bereich Virtualisierung / Docker etc. Nach dem Upgrade auf DSM 7.2 wollte ich einmal den Container Manager ausprobieren und dazu Pi-Hole zum Laufen bekommen. Da ich keine Ahnung vom Thema habe, hatte ich mich an der Anleitung von Navigio orientiert (https://youtu.be/JCqIsIt6jEA?si=L3rPgiQd1-fVeuTX
Das Konzept mit den per macvlan direkt adressierbaren Containern fand ich attraktiv. Als Tool habe ich Portainer verwendet. Allerdings: jedes mal, wenn ich die Konfiguration abgeschlossen hatte, gab es beim Deployen (oben rechts) Fehler 400 oder 500 und alle Eingaben waren weg. Kein Hinweis auf irgendeine Inkonsistenz... nichts. Ich hätte gerne im ersten Schritt herausgefunden, ob das macvlan richtig konfiguriert ist. Gibt es dafür ein Simpel-Image das letztendlich nur einen Ping zurück gibt, so dass man weiss, ob das Netz funktioniert?

Letztendlich habe ich Pi-Hole über eine alternative Installation (eher straightforward) zum Laufen bekommen Alternative Installation:. Ich würde aber gerne noch den ersten Ansatz zum Fliegen bekommen.

Vielen Dank im Voraus!

ChrisH

 

[plang.pl]

Lass das mit dem MACVLAN besser sein und installiere pi-hole einfach im Hostnetz der DS.
Am Einfachsten geht das per Compose Befehl im Aufgabenplaner

 

[alexhell]

Ich würde auch von MACVLAN abraten. Das macht am Ende mehr Probleme als es einem nützt.

 

[ChrisH]

Vielen Dank! Ich fand das Konzept von macvlan eigentlich ganz attraktiv. Welche Art von Problemen gibt es bei der Nutzung?

 

[alexhell]

Zum Beispiel kann der Host nicht den Container erreichen. Das geht nur umständlich über eigene Routen anlegen.

 

[haydibe]

Für Anwendungen die http bzw. https sprechen ist der Zugriff über einen Reverse Proxy mit Subdomain zu Container-Weiterleitung viel attraktiver und einfacher.

Ein Kernel Sicherheitsfeature unterbindet direkte Kommunikation zwischen dem macvlan Parent-Interface (=Host-Inferface) und den Child-Interfaces (=die der Container). Das ist keine Einschränkung die Docker verursacht, sondern einfach nur wie macvlan in Linux implementiert ist.

Ein Macvlan Container kann auch nicht einfach mit normal bridge Containern sprechen.

Macvlan ist so lange charmant, bis man es anfängt zu benutzen ^^

 

[ChrisH]

Ich habe jetzt einen Reverse Proxy (DSM) angelegt. Ich komme jetzt auf die DSM ohne die Eingabe von :5001. Außerdem habe ich schon (zu Testzwecken meine WebCam sowie Photos eingebunden. Der RP funktioniert also.

Allerdings schaffe ich es nicht PI-Hole hier anzusprechen. Das läuft im Container Manager. Als Fehlermeldung bekomme ich 403 forbidden.

Hier die RP Konfiguration:

Name: PI-Hole
Quelle:
Https
pihole.DSMName.synology.me
443

Ziel:
HTTP
localhost (hier habe ich auch schon die IP Adresse der DS und 127.0.0.1 ausprobiert
8080

Zertifikat ist zugeordnet.

Wo liegt der Fehler?

Vielen Dank im Voraus

ChrisH

 

[alexhell]

Musst du nicht pihole.DSMName.synology.me/admin aufrufen? Oder kommt dabei der 403?

 

[ChrisH]

eigentlich muss ich

vor dem /admin/ noch den Port :8080 setzen. also interneIP:8080/admin/

Das kann ich da nur nicht eintragen. Das Feld Port nimmt nur Ziffern

In den Hostnamen darf man (nach meinem Verständnis) das /admin/ auch nicht einsetzen.

 

[plang.pl]

Das geht auch nicht. Du musst dann den RP so aufrufen: pihole.DSMName.synology.me/admin

 

[alexhell]

Nein darf er auch nicht. Deshalb musst du ja auch den Aufruf im Browser mit /admin machen.
Wenn du die Config selber bearbeitest, dann wär es auch ohne /admin möglich. Aber über die UI halt nicht

 

[ChrisH]

Ich habe es nicht verstanden: bedeutet das, dass ich über den RP hier nicht weiterkomme?

 

[alexhell]

Doch, aber du musst das /admin mit im Browser eintippen

 

[ChrisH]

OK, danke (habe ich gerade ausprobiert) ! Würde es mit dem Macvlan Ansatz gehen und dann die IP Adresse im RP verwenden?

 

[alexhell]

Mit MACVLAN wirst du viel mehr Probleme haben. Da würde ich dir eher empfehlen die Config vom Reverse Proxy mit SSH anzupassen

 

[plang.pl]

Ein MACVLAN ändert nix an der Tatsache, dass du zum FQDN noch ein Verzeichnis mitgegeben muss.

 

[ChrisH]

OK, danke. Mir ging es in erster Linie darum, die Ursache für das Problem mit Pi-Hole zu finden. Die jetzige Lösung ist für mich völlig ausreichend.