Docker mit pihole aktiviert - Webserver jetzt deutlich langsamer

[Mettigel]

Hallo zusammen,

ich habe Docker auf meiner DS220+ installiert und lasse pihole laufen. Funktioniert auch eigentlich ganz gut. Aber seit wenigen Minuten ist die Oberfläche von Pihole extrem langsam. Allgemein kommt mir alles auf der DS220+ im Browser deutlich langsamer vor.
Begonnen hat es, nachdem ich in den Netzwerkeinstellungen im DSM den DNS-Server von der alten IP (pihole auf dem Raspberry) auf die eigene IP (!!! ist das überhaupt erlaubt???) eingestellt habe.

Wenn pihole im Docker auf der NAS läuft, welchen DNS muss ich im DSM einstellen? Muss hier ebenfalls die IP von Pihole, also die IP der NAS, eingestellt werden?
Pihole selber hat als DNS 1.1.1.1 eingestellt.

 

[Synchrotron]

Da würde ich mir erst mal im Aktivitätsmonitor anschauen, ob nicht irgendwas im Hintergrund läuft, was mit dem PiHole nichts zu tun hat.

Anmerkung: Persönlich halte ich diese Neigung, alles mögliche zusätzlich auf die DS zu packen für Unfug. Die DS ist als Fileserver der zentrale Dreh- und Angelpunkt im Heimnetzwerk.

Jede zusätzliche Anwendung öffnet Zugänge auf die DS, schafft Risiken und erhöht den Admin-Aufwand.

Das Anfangssetup klang für mich vernünftig: Einen Raspi für die vielen kleinen Jobs im Netz, die DS als File Server und alles, was mit Speicherplatz abgestützt werden muss.

Aber ich bin da vermutlich etwas altmodisch unterwegs … gegen den Marketingsprech von den Synology- Schlangenölverkäufern kommt man halt nicht an. Packt drauf, was geht, Intel CPUs sind eh gut zum Heizen.

 

[Mettigel]

Ja, bisher hatte ich pihole auf nen Raspberry laufen. Da ich mit dem aber auch öfters "spiele" nervt es meine Familie (und mich) gewaltig, wenn ich wieder was zerschossen habe und das Internet nicht mehr geht. Deshalb möchte ich nun pihole auf der DS laufen lassen. Die DS ist potent genug und läuft sowieso 24/7.
Pihole auf dem Pi habe ich irgendwie "zerschossen". Ich konnte diverse Seiten nicht mehr öffnen -> "Not found on any blocklist". Habe dann alles mögliche versucht um pihole zu reparieren, aber am Ende musste ich ein altes Image vom Pi aufsetzen.

Falls bei pihole auf der DS was schief geht lösche ich einfach den Container und setze pihole neu auf. 5 Minuten Arbeit und das Internet läuft wieder. Das ist schon ein riesen Vorteil von Docker. Das war auch für mein oben beschriebenes Problem die Lösung. Jetzt läuft alles wieder zügig im Browser, wobei es auf dem Pi trotzdem flüssiger war.

 

[Synchrotron]

Man sollte vom Pi halt ein Backup haben, dass man wieder einspielen kann.

 

[NormalZeit]

Ich kann Synchrotron nur zustimmen – es muss nicht alles auf der Synology konzentriert werden.

Und zum „Spielen“ würde ich mir halt einen zweiten Raspberry zulegen, der kostet ja kaum was – verglichen mit dem Ärger und dem Zeitaufwand den Du so hast.

BTW: Die Synology ist ein prima BackUp-Ziel auch für den (die) Raspberrys.

 

[tproko]

Genau. Man kann eine 1:1 Kopie gut mit dem Tool von User @framp erzeugen und einfach auf der ds oder sonst wo ablegen.

Würde es am pi weiter laufen lassen. Die Config (oder gleich der pi) sollte halt täglich gesichert werden.

https://www.linux-tips-and-tricks.de/de/raspibackup/

PS. Docker wäre auch am pi möglich.

 

[Mettigel]

Mit altem Image aufspielen meinte ich ein altes Backup aufspielen. Mein Pi sichert monatlich auf die DS. Das passt schon. Aber es ist halt nervig, wenn das Internet nicht geht, weil ich wieder was verbockt habe.
Gestern hat das Backup wiederherstellen ca. 45 Minuten gedauert.
Vielleicht lasse ich das Haupt-Pihole auf dem Pi und zus. einen Docker als Ersatz-DNS für das "normale" Netzwerk. Die IoT Smarthome-Geräte im anderen VLAN können auch gerne mal ein paar Stunden offline sein.

Eine Frage habe ich dann aber doch: wenn man nicht alles auf die DS packen soll, für was nutzt ihr eure potenten DS? Ich dachte ein Hauptanwendungsfall der stärkeren DS wäre gerade die Virtualisierung inkl. Docker usw.
Als reines NAS muss es doch keine +Version sein.

 

[peterhoffmann]

für was nutzt ihr eure potenten DS?

Ich habe das auch so wie du mal probiert. Nach dem Motto: Ich habe ein fettes NAS, das soll auch was tun für sein Geld.
Inzwischen bin ich von dem Trip umgekehrt.

In meinem Netzwerk laufen zwei Raspberrys (Pi4). Auf einem ist Pi-hole, Docker, iobroker, usw., der anstandslos seine Arbeit verrichtet. Der macht täglich von den wichtigsten Dateien eine Sicherung auf das NAS, einmal pro Woche dann eine umfangreiche Komplettsicherung.
Der zweite Raspberry ist das Spielzeug. Der wird ab und zu mal neu aufgesetzt und ist sozusagen das Testobjekt.

Meine DS716+ mit 8GB RAM langweilt sich seitdem. Aber das stört mich nicht mehr. Beim nächsten Kauf werde ich auch ein kleineres Modell nehmen. Wohl wieder ein Plusmodell, weil ich auf dem NAS synOCR (papierloses Büro) benutze und dafür Docker zwingend erforderlich ist.

Als reines NAS muss es doch keine +Version sein.

Richtig. Da reicht ein J-Modell. Einfach ein Datengrab.
Hier im Forum gibt es einen User, der sich professionell in diesem Umfeld bewegt, bei Kunden richtig dicke NASen betreut, selbst aber nur ein J-Modell zu Hause stehen hat. Das war der Punkt, der auch mir zu denken gab. Weniger ist manchmal mehr.

(Mein) Fazit: In allererster Linie ist ein NAS ein Datengrab. Und dann kommt lange, lange nichts.

 

[tproko]

für was nutzt ihr eure potenten DS

Ich habe auf meiner DS920+ noch für meine Frau eine Postgres und Anwendungsserver (wildfly) laufen für eine Schnittmuster Verwaltung.

Und einen wow private Server mit Wrath of the Lich King als Spielerei ?

Aber das läuft alles nur intern im LAN. Und sind nur Spielereien.

 

[DrDeath]

Ich nutze einen Pi mit normaler Pi-Hole Installation und zusätzlich einen Pi-Hole unter Docker auf meiner DS218+

Der DHCP Server im Router vergibt beide Pi-Hole IPs als DNS Server.

Somit fällt nichts aus, wenn mal auf dem Pi oder Synology NAS etwas geschraubt wird.
Zusätzlich laufen noch Unbound DNS Instanzen auf dem Pi der dem Synology NAS.

 

[peterhoffmann]

Der DHCP Server im Router vergibt beide Pi-Hole IPs als DNS Server.

Zwei DNS-Server, das ist die schönste Variante.
Bei manchen Routern ist leider die Eingabe eines zweiten DNS nicht möglich (z.B. Fritzbox). Alternativ kann man dann den DHCP-Server vom Pi-hole benutzen. Wenn der aber mal ausfällt... oh... *lach*.
Ok, man könnte es auch auf die Spitze treiben und auf beiden Pi-Hole-Systemen einen DHCP betreiben, die verschiedene IP-Ranges haben.
Nun bin ich aber beim Schießen mit Kanonen auf die Spatzen. ;-)

 

[Ulfhednir]

Bei manchen Routern ist leider die Eingabe eines zweiten DNS nicht möglich (z.B. Fritzbox). Alternativ kann man dann den DHCP-Server vom Pi-hole benutzen. Wenn der aber mal ausfällt... oh... *lach*.

Ich will kein Miesepeter sein, aber zwei DNS gehen doch?!

 

[peterhoffmann]

Das sind die DNS-Server, die die Fritzbox benutzt.

Bei der Verteilung (DHCP) werden die aber nicht an die Endgeräte weitergereicht, sondern der angegebene DNS-Server unter:
Heimnetz => Netzwerk => Netzwerkeinstellungen => IPv4-Einstellungen => Lokaler DNS-Server


Normalfall ohne Pi-hole: Dort steht die IP der Fritzbox. DNS-Anfragen der Endgeräte wandern über Port 53 zur Fritzbox und werden dann weitergereicht an die DNS-Server, die du gepostet hast. Die Antwort wird dann wieder von der Fritzbox an das Endgerät zurückgegeben.

Nun kommt aber ein DNS-Server (Pi-hole) zum Einsatz, der im eigenen Netzwerk steht, seine eigene (interne) IP hat und unterschiedlich zum Gateway ist. Also muss dort die IP vom Pi-hole rein, damit die Endgeräte ihre Anfragen direkt dahin senden. So kann man auch im Pi-hole sehen, welcher Client was, wann angefragt hat.

Es gibt eine Krückenlösung:
Man lässt den DNS der Endgeräte weiterhin auf die Fritzbox zeigen und trägt dort (dein Screenshot) die beiden internen DNS-Server ein. Endgeräte fragen die Fritzbox, die Fritzbox fragt eines der beiden Pi-holes, das Pi-hole fragt bei seinen hinterlegten DNS-Servern, die Antwort geht zurück vom Pi-hole, zur Fritzbox, zuletzt zum Endgerät.
Die Nachteile: Der Rattenschwanz ist länger, mehr Geräte sind involviert und das Pi-hole weiß nicht mehr, welches Endgerät die Anfrage gestellt hat. In der Statistik vom Pi-hole steht immer nur die Fritzbox drin. Die ist ja das einzige Gerät, was beim Pi-hole nachfragt.

 

[Mettigel]

Ich habe jetzt auch zwei pihole laufen. Leider komme ich vom VLAN xxx nur auf den Raspberry, nicht aber auf das pihole im Docker. Port 53 ist zweimal weitergeleitet (geht das überhaupt?) Raspberry und DS sind im gleichen VLAN yyy.

Also:
VLAN xxx any auf Port 53 yyy Raspberry
VLAN xxx any auf Port 53 yyy DS

Habe zum Testen auch mal die Regel zum Raspberry gelöscht oder auch mal nach der Regel zur DS aufgerufen, ging trotzdem nicht. Laut tcping.exe geht Port 53 aber durch.

Im normalen VLAN laufen jetzt zumindest beide pihole erfolgreich.

Edit:
Alleine für die PhotoStation hat sich das Upgrade von der DS215j auf die DS220+ gelohnt.

 

[blurrrr]

Ich habe jetzt auch zwei pihole laufen.

?! Klar.... 2 xVLANs, 2x pihole... KANN man machen... was ich dazu meine, muss ich hoffentlich nicht kundtun.... Das ist einfach nur <hier stehen jetzt Comic-artige Sonderzeichen ?>... ?

Der vernünftigere Weg (da die pihole-Dinger auch sicherlich nicht als Cluster laufen, das wäre wenigstens noch ein Grund 2 davon zu haben...) wäre wohl eher, dass man hingeht (unter Beachtung der bisherigen Netzsegmentierung!) und einfach ein "3." VLAN aufmacht (für den pihole), worauf dann beide Netze zugreifen können (53/UDP). Zwecks Management halt noch 22/443 (o.ä.) von einem bestimmten Host aus, oder von einem bestimmten Netzwerk. Somit ist auch die Trennung zwischen den beiden ursprünglichen VLANs gewahrt und Ressourcen hat man auch noch direkt gespart.

 

[Mettigel]

Nein, das hast du falsch verstanden. Es laufen zwei pihole im gleichen VLAN. Die anderen VLAN sollen im Idealfall beide pihole erreichen können.

Bisherige Situation:

• pihole auf dem Raspberry
• VLAN Port 53 weitergeleitet auf Raspberry
• Ergebnis: alle Geräte in den unterschiedlichen VLAN nutzen den Raspberry als DNS

Aufgrund der Verfügbarkeit wollte ich pihole auf dem NAS im Docker, weil die NAS immer läuft und ich auf dieser nicht "spiele":

• pihole auf der DS
• VLAN Port 53 Weiterleitung auf Raspberry gelöscht
• VLAN Port 53 auf DS weitergeleitet, Reihenfolge der Regeln beachtet (mit dem Pi gings auch)
• DNS in allen VLAN auf IP der NAS geändert und kontrolliert
• Portweiterleitung mit tcping.exe geprüft
• Firewall auf der NAS deaktiviert
• Ergebnis: Geräte aus anderen VLAN bekommen keine Antwort vom DNS-Server, im gleichen VLAN läuft es

Ideale Ausbaustufe:

• pihole auf Raspberry und NAS für alle VLAN erreichbar
• Kann man den Port 53 auf zwei unterschiedliche Adressen weiterleiten? evtl. über Regel "alles blockieren ausser..."
• NAS und Raspberry Pi sollen aus diversen Gründen im normalen Benutzer-VLAN bleiben

Die Vergangenheit zeigte, dass in meinem Fall pihole auf dem Raspberry nicht die ideale Lösung ist.
Verfügbarkeit Raspberry ~95%
Verfügbarkeit DS ~99%

Die 4% machen einen riesen Unterschied im WAF

 

[tproko]

WAF ist definitiv wichtig.
Wenn dann Kiddies auch noch dazukommen, dann fällt das wahrscheinlich so 5 Sekunden nach Ausfall auf ?. Also CAF oder so ähnlich

 

[blurrrr]

Ergebnis: Geräte aus anderen VLAN bekommen keine Antwort vom DNS-Server, im gleichen VLAN läuft es

Ein Schelm, wer jetzt an die Firewall denkt, oder irgendwelche Zugriffsregeln auf dem piHole (die Netze betreffend).

Die Vergangenheit zeigte, dass in meinem Fall pihole auf dem Raspberry nicht die ideale Lösung ist.

Das ist alles nicht die ideale Lösung, weil Du den Krempel nicht geclustert bekommst. Somit hast Du auch immer 2 unterschiedliche Systeme mit unterschiedlichen Events/Logs und musst auch immer 2 Systeme anpassen/pflegen.

 

[peterhoffmann]

Verfügbarkeit Raspberry ~95%

Vorweg, der Raspberry ist kein Profigerät, sondern eher die Bastelkiste.

Dennoch kann ich sagen, dass mein Raspberry mit Pi-hole seit über 2 Jahren eine Verfügbarkeit von 100% an den Tag (und die Nacht) legt.
Dazu gehört aber nicht nur ein Raspberry, sondern ein Metallgehäuse (Flirc oder Iuniker), welches die Wärme auch nach außen abführt, eine ordentliche SD-Karte (oder SSD), sowie ein stabiles Netzteil. Dann läuft das Ding auch 24/7 durch.

 

[blurrrr]

Dennoch kann ich sagen, dass mein Raspberry mit Pi-hole seit über 2 Jahren eine Verfügbarkeit von 100% an den Tag (und die Nacht) legt.

Das heisst dann wohl kurzum, dass Du keine Updates machst, Du Schlingel... ??