Docker-Portainer Pi-Hole/unbound

EDvonSchleck

Gesperrt
Mitglied seit
06. Mrz 2018
Beiträge
4.703
Punkte für Reaktionen
1.120
Punkte
214
In der Firewall würde ich erst einmal ganz oben dein Heimnetzwerk und dein Dockernetzwerk eintragen.
Bei mir sieht das so aus:
1672144789514.png
Weitere Freigabe habe nicht. Konfiguriere erst einmal deine Firewall richtig!

Was Macvlan angeht, wird in der DS eine virtuelle Netzwerkkarte erzeugt, mit allen Vor- und Nachteilen. Ich rate nicht dazu auch ist ein VM übertrieben für 2 Container, die sehr einfach einzurichten sind. Eher ist das Problem von den selbst ernannten Profis, die es komplizierter machen als es ist.
 
  • Like
Reaktionen: mistertoi

mistertoi

Benutzer
Mitglied seit
01. Jul 2017
Beiträge
55
Punkte für Reaktionen
2
Punkte
14
na, die "selbsternannten Profis" geben hier doch die Antworten dachte ich ;)
Danke Dir aber für die Info - darauf wäre ich jetzt partout erstmal nicht gekommen!
 

MattCB

Benutzer
Mitglied seit
31. Jan 2012
Beiträge
386
Punkte für Reaktionen
74
Punkte
28
Docker-Compose legt standardmäßig selbstständig ein Bridge-Netzwerk an (in deinem angegebenen File wird allerdings ein MacVLAN angelegt), in dem dann die im Compose-File gestarteten Container arbeiten. Das hat u.a. den Vorteil, dass sich die Container untereinander mit den Containernamen ansprechen können, da das Netzwerk einen eigenen DNS-Dienst hat.
 

MattCB

Benutzer
Mitglied seit
31. Jan 2012
Beiträge
386
Punkte für Reaktionen
74
Punkte
28
Ja, eine VM für Pihole und Unbound ist ein wenig wie mit Kanonen auf Spatzen schießen. Aber wenn man die Ressourcen erübrigen kann, warum nicht? Es ist halt deutlich einfacher und "wartungsfreundlicher". Das NAS wird ja dadurch nicht übermäßig belastet.
 

EDvonSchleck

Gesperrt
Mitglied seit
06. Mrz 2018
Beiträge
4.703
Punkte für Reaktionen
1.120
Punkte
214
Wartungsfreundlicher als 1 Ordner anlegen (Pi-Hole), 2 Container mit einem Script installiert (Aufgabensteuerung/SSH) und mit Watchtower automatisch aktuell zu halten? Das glaube ich nicht. Selbst für einen Laien ist das in 5–10 Minuten zu schaffen, mit der „richtigen“ Anleitung.

Wenn etwas nicht funktioniert, habt ihr etwas falsch gemacht. Macvlan gibt zusätzlich Sand ins Getriebe.
 

mistertoi

Benutzer
Mitglied seit
01. Jul 2017
Beiträge
55
Punkte für Reaktionen
2
Punkte
14
Dem stimme ich zu bis zum Satz mit dem Sand.... Hier laufen pihole/unbound und watch tower... Nachher mal Mut den neuen Freigabe regeln der FW experimentieren.. Ich finde es generell schwierig, dass es zwar jede Menge Einführungen oder solche die es sein wollen in docker gibt, aber so ne richtige Grundlage find ich (als non-ITler) nicht...

So, habe jetzt mal die Firewall entsprechend konfiguriert und die Ändeurngen vorgenommen - Ergebnis: das gleiche, es läuft nicht, wie von @MattCB geschildert, der baut keine Seiten auf - das bridge-Netzwerk bleibt zumindest für pi-hole unerreichbar....
Im gleichen bridge ist ja auch portainer installiert, auf den kann ich zugreifen, aber selbst eine Übernahme der Einstellungen verwehrt den Verbindungsaufbau.... "dig läuft ins Leere"...
 

EDvonSchleck

Gesperrt
Mitglied seit
06. Mrz 2018
Beiträge
4.703
Punkte für Reaktionen
1.120
Punkte
214
Dem stimme ich zu bis zum Satz mit dem Sand.... Hier laufen pihole/unbound und watch tower...
Das ist doch dein Problem, warum es nicht läuft. Anstatt es erst einmal ohne Macvlan zu probieren, dokterst du immer weiter herum und behauptet, dass es läuft, was es ja nicht macht. Unter laufen verstehe ich, dass nicht nur der Container läuft, sondern auch seine Arbeit vorrichtet, wofür er da ist.

Auch kann ich die Aussage von @MattCB nicht empfehlen, da in der VM grundsätzlich der DS RAM weggenommen wird. Dieser steht denn nicht mehr der DS zur Verfügung im Gegensatz zu Docker. Außerdem ist Docker viel ressourcenschonender.
 

mistertoi

Benutzer
Mitglied seit
01. Jul 2017
Beiträge
55
Punkte für Reaktionen
2
Punkte
14
SORRY, wenn ich mich da falsch ausgedrückt habe bzw. wir uns missverstanden haben ---
die Container pihole/unbound laufen UND verrichten ihre Arbeit - der Werbeblocker funktioniert tadellos im macvlan

der Seitenaufbau ist nachgemessen, beim ersten Aufruf einer Internetseite mit ca. 0,3 sec langsam, sobald die Seite gecached ist, 0ms

die Werbung wird auch zuverlässig blockiert - die Whitelists funktionieren (sogar die BL*D_Zeitung lässt sich online lesen) - Seiten wie golem.de etc erscheinen ohne große Werbung.

Ich doktere auch nicht rum, sondern versuche zu verstehen, wo der Fehler ist bzw. die Erklärungen, die ich bislang habe, reichen mir nicht aus, um unbound im bridge funktionsfähig laufen zu lassen. Bei portainer funktioniert es ja auch...aber sobald ich unbound ins bridge schicke, sendet pihole keine DNS Anfragen mehr bzw. kommt keine Internetverbindung mehr zustande


pihole.png
 

mistertoi

Benutzer
Mitglied seit
01. Jul 2017
Beiträge
55
Punkte für Reaktionen
2
Punkte
14
"niemand hat vor eine VM zu installieren" 🙃
 

EDvonSchleck

Gesperrt
Mitglied seit
06. Mrz 2018
Beiträge
4.703
Punkte für Reaktionen
1.120
Punkte
214
Die Bridge meinst du unter der DS-IP? Also nicht Macvlan? Welchen Port verwendest du denn für Unbound?

Schreib einmal die IPs und Ports auf.
 

mistertoi

Benutzer
Mitglied seit
01. Jul 2017
Beiträge
55
Punkte für Reaktionen
2
Punkte
14
ok mal ganz detailiert, das hier ist meine compose für den aufruf von pihole/unbound - die auch ohne Einschränkungen funktioniert

Code:
services:
  
  pihole:
    container_name: pihole
    image: pihole/pihole:latest
    network_mode: mvl
    ports:
    - 53:53/tcp
    - 53:53/udp
    - 8081:8081/tcp
    environment:
      TZ: Europe/Berlin
      DNSMASQ_USER: root
      WEBPASSWORD: *****
      FTLCONF_LOCAL_IPV4: 192.168.178.100
      WEB_PORT: 8081
      INTERFACE: ovs_bond0
      DNSMASQ_LISTENING: local
      LOCAL_IPV4: 192.168.178.225
     volumes:
      - /volume1/docker/pihole/pihole:/etc/pihole
      - /volume1/docker/pihole/dnsmasq.d:/etc/dnsmasq.d
      - /volume1/docker/pihole/resolv.conf:/etc/resolv.conf
    restart: always
 
  unbound:
    container_name: unbound
    image: mvance/unbound:latest
    ports:
    - 5553:53/udp
    - 5553:53/tcp
    #volumes:
    #  - /volume1/docker/unbound:/opt/unbound/etc/unbound/
    network_mode: mvl
    restart: always

Wenn ich übrigens bei unbound die volumes freigebe (# entferne) spielt er auch nicht mehr mit mir....
 

mistertoi

Benutzer
Mitglied seit
01. Jul 2017
Beiträge
55
Punkte für Reaktionen
2
Punkte
14
Welches Problem?
die bridge compose sieht so aus:


Code:
version: '3'
networks:
dns_net:
  driver: bridge

services:
  unbound:
    container_name: unbound
    image: mvance/unbound:latest
    networks:
      dns_net:
        ipv4_address: 172.17.0.1
      volumes:
      - /volume1/docker/unbound:/opt/unbound/etc/unbound
    ports:
    - 5553:53/tcp
    - 5553:53/tcp

das funktioniert ebensogut -aber es lässt halt keine Verbindungen in Netz durch
 

EDvonSchleck

Gesperrt
Mitglied seit
06. Mrz 2018
Beiträge
4.703
Punkte für Reaktionen
1.120
Punkte
214
Hast du noch mehrere Container laufen? Warum gibst du die IP 172.17.0.1 an? Bei Docker sind die IPs egal, da eine Verbindung mehrere Container im gleichen Netzwerk mit den Namen angesprochen worden. Ich rate dir erst einmal beide Container zu installieren von #11 und #32. Wenn das funktioniert, kannst du darauf aufbauen. Ansonsten drehen wir uns im Kreis.
 

mistertoi

Benutzer
Mitglied seit
01. Jul 2017
Beiträge
55
Punkte für Reaktionen
2
Punkte
14
klar, hier laufen & funktionieren ingesamt 8 Container
die IP vergebe ich nur testweise, um zu schauen, ob es überhaupt darauf reagiert - das auszukommentieren ist ja kein Hexenwerk - aber Danke schonmal für die Infos wie Docker die Container anspricht - lese mich gerade in "Docker für Einsteiger, BMU Verlag" ein - da geht es inhaltlich zumindest in den ersten Kapiteln etwas behäbiger zu...
Wenn ich den Container so starte:

Code:
services:
  unbound:
    container_name: unb-test
    image: mvance/unbound:latest
    volumes:
    - /volume1/docker/unbound:/opt/unbound/etc/unbound
    ports:
    - 5553:53/tcp
    - 5553:53/udp
    
 
networks:
dns_net:
  driver: bridge


bekomme ich das hier:



unb_test.pngunb_test2.png
 

EDvonSchleck

Gesperrt
Mitglied seit
06. Mrz 2018
Beiträge
4.703
Punkte für Reaktionen
1.120
Punkte
214
Das Volume brauchst du bei Unbound nicht, es sei denn, du möchtest in der Config etwas umschreiben. Ich denke du denkst zu kompliziert und Portainer ist eher etwas für Fortgeschrittene. Fang einfach in der Docker GUI von Synology an. Dort kannst du sehr gut alles einsehen und erkennen, was wo hingehört.

Aktuell habe ich 17 Container und komme ohne Portainer oder Macvlan aus! Du weißt ja Sand im Getriebe. ;)
 
  • Like
Reaktionen: mistertoi

mistertoi

Benutzer
Mitglied seit
01. Jul 2017
Beiträge
55
Punkte für Reaktionen
2
Punkte
14
So jetzt hab ich @EDvonSchleck s Rat befolgt und die Container neu installiert - nebenher noch ein paar Infos organisiert und mein Problem eingrenzen können.

Die interne Verbindung von NAS zu Pihole scheiterte wohl daran, dass es aus "Gründen" wohl nicht möglich ist, dass ein Container via macvlan mit seinem Host kommuniziert. Das konnte ich jetzt über ein neu eingerichtetes docker-bridge Netzwerk lösen - die NAS hat eine virtuelle IP bekommen, der Router verteilt jetzt die Synology als DNS Server im Netz und Anfragen der Clients gehen den Weg NAS->PiHole->unbound....

man man man - da brennt mir schon der Schädel - jetzt würd ich gern mein Heimnetzwerk auflösen (NAS.meinnetzwerk.de // pihole.meinnetzwerk.de), das geht wohl mit dem Synology DNS-Server, vermute ich mal....

Am liebsten würde ich da meine "öffentliche" Domain nutzen - meine Geräte, bis auf die Website, aber nur aus dem lokalen Netz zugänglich haben - ok, ggf. macht es bei dem ein oder anderen Sinn, wenn ich von außen dran komme....gibt es da was zu beachten? Muss ich pihole darüber in Kenntnis setzen? Reicht der Syn DNS-Server? So wie ich das verstehe liegt es ja eigentlich nur an den freigegebenen Ports in meinem Router, ob das nach außen hin auch klappt, gell?....

so schon wieder so viele nervige Fragen für 2023 - frohes neues! :) und Danke für Infos ;)
 

EDvonSchleck

Gesperrt
Mitglied seit
06. Mrz 2018
Beiträge
4.703
Punkte für Reaktionen
1.120
Punkte
214
Das kannst du einfach machen - musst doch nur deine Domain als Umschreibung im Pi-Hole eintragen!

1672611559555.png
 

plang.pl

Benutzer
Contributor
Sehr erfahren
Mitglied seit
28. Okt 2020
Beiträge
15.028
Punkte für Reaktionen
5.405
Punkte
564
Also ich habe auf der DS einfach ein DDNS eingerichtet. Darüber ein LE-Zertifikat beantragt. Und dann intern diese DDNS-Adresse auf die lokale IP umgeleitet. Klappt super.
 

mistertoi

Benutzer
Mitglied seit
01. Jul 2017
Beiträge
55
Punkte für Reaktionen
2
Punkte
14
Du schreibst das immer so - als wäre es das Leichteste der Welt 😂🤣
was meinst Du mit Umschreibung in PiHole eintragen bzw. wo?

Für mich ist es schon ein Fest, wenn ich auf die NAS mit nas.meinedomain.de zugreifen kann
beim pihole klappt das nicht (vermutlich weil der ja über nen Port läuft) - und den kann ich im Syno DNS Server ja nicht angeben bei den Ressourcen für die Domäne....
 


 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat