Pi-Hole auf Docker | Zugriff auf Weboberfläche geblockt

[peterhoffmann]

Jetzt frag ich mich nur noch wie ich in der FritzBox einen zweiten lokalen DNS eintragen kann der per DHCP verteilt wird, falls Pi-Hole mal offline ist geht sonst ja nichts mehr
Jemand eine Idee wie ich das lösen kann?

Nein, ich habe auch schon in anderen Foren quergelesen und nichts gefunden.
Unter "Heimnetz => Heimnetzübersicht => Netzwerkeinstellungen => IPv4-Adresse => Lokaler DNS-Server" kann man nur einen DNS eintragen.

 

[DKeppi]

Schade :-(
Ist irgendwie total doof so...aber danke für die Info!

 

[joku]

Jetzt frag ich mich nur noch wie ich in der FritzBox einen zweiten lokalen DNS eintragen kann der per DHCP verteilt wird, falls Pi-Hole mal offline ist geht sonst ja nichts mehr

Das hier hilft Dir nicht ?


Gruß Jo

 

[peterhoffmann]

Das hier hilft Dir nicht ?

Damit geht es nicht. (Link)

Es geht nur hier:

Heimnetz => Heimnetzübersicht => Netzwerkeinstellungen => IPv4-Adresse => Lokaler DNS-Server

Und da kann man nur einen Server eintragen.

 

[iLion]

DietPi mit PiHole läuft, allerdings erst nach einem Repair mittel pihole -r
Damit hat das Teil jetzt auch eine eigene IP!

Bei mir lief Pi-hole direkt, eine Reparatur war zum Glück nicht notwendig. Zwei Aktualisierungen mit pihole -up liefen auch schon sauber durch.

Tipp: (eben vom Synology-Support Taiwan erfahren): apt-get install qemu-guest-agent

... und Du hast im VMM auch die IP Deines DietPi stehen. Damit ist der Schönheitsfehler auch weg. Wenn man jetzt noch den Arbeitsspeicher reduzieren könnte.

 

[msa1989]

Hallo zusammen,

ich habe heute versucht PiHole in Docker auf meiner Diskstation (DS216+II) zu installieren. Das ganze hat am Ende auch funktioniert, nur bekomme ich jetzt beim surfen ein Problem. Wenn ich eine Website öffne die SSL verschlüsselt Werbung laden will, leitet PiHole den Verkehr zu meiner Diskstation. Die hat natürlich für die Domain nicht das passende SSL Zertifikat und ich bekomme SSL-Fehlermeldungen. Die PiHole-Installation auf meinem Raspberry Pi blockiert diese Anfragen weshalb es da nicht zu Problemen gekommen ist.

Ich hatte nun die Idee der Diskstation eine weitere IP zu geben (ich habs nicht geschafft) um dann dem Docker Container ebenfalls eine eigene IP zu geben, so dass dann PiHole den Verkehr ablehnen kann und nicht der Synology Webserver angesprochen wird (ich habs nicht geschafft).

Hat das Problem schon jemand lösen können und kann mir sagen was ich tun muss?

Viele Grüße
Michi

 

[whitbread]

Also ich habe mich auch - nach erfolglosen Versuchen mit Docker - auf die DietPi Variante eingeschossen.
Das Ganze läuft jetzt soweit stabil.

Ein bisschen überascht bin ich von der geringen Blocking-Quote von 1,5% (200 von 13.500 Anfragen) und das obwohl ich die Blocklists noch erweitert habe und knapp 700.000 Einträge darin habe...

 

[frankyst72]

bei mir sind es so 4% ohne erweiterte Listen. wird aber stark am persönlichen Surfverhalten abhängen (läuft auf Pi 3)

 

[Tommes]

Ich experimentiere zur Zeit auch mit Pi-Hole auf einem Raspberry Pi 3 rum und bin total begeistert. Da ich auch eine FritzBox (7590) habe und von dem DNS Rebindschutz betroffen bin, habe ich erstmal mein Laptop über die Adaptereigenschaften von IPv4 und IPv6 mit dem DNS-Server des Pi-Holes verbunden.

Ich verwende deshalb einen Pi weil der kaum Strom verbraucht und ich meine produktiv DS nicht mit sowas belasten will.

Tommes

 

[williserver]

Ist der Port 53 nicht für den DNS Server reserviert.....??

 

[whitbread]

Nur wenn er läuft.
Bei mir verteilt der DHCP-Server des Routers (Fritzbox ist kein Router!) die IP des DNS-Servers. Dieser fragt dann den internen DNS auf der Syno (VDSM) und der fragt freie DNS-Server ab. Da kommt die Fritte gar nicht ins Spiel.

Daher musste ich auch auf DietPi ausweichen, da Docker bei mir auch nur auf der VDSM-Instanz läuft und somit ein Portkonflikt entstanden wäre.

 

[peterhoffmann]

Bei mir läuft Pi-Hole auf einem Raspberry Pi3 seit April 2017 völlig problemlos (Link). Der Raspberry ist superstabil und langweilt sich zu Tode. 2 Watt Verbrauch.

861.345 Domains werden gefiltert, der Prozentsatz liegt meist bei ca. 30%.
Da steht aber auch Facebook, Twitter und Co. drauf. Alleine wenn man schon große Nachrichtenseiten liest, ist auf jeder Seite mindestens einer, meist mehrere Zugriffe auf FB, Twitter und Co., die verhindert werden. Das treibt den Wert zusätzlich hoch, manchmal bis auf knapp 50%.

 

[Oilinga]

Hallo,
habe auf meiner DS415+ nun den diginc-pihole und soweit alles nach Vorgaben eingerichtet.
Habe hier eine Fritzbox 7490 und die DNS Einstellung soweit umgesetzt und die Ports 53 weitergeleitet. Im Terminal des pihole Containers sehe ich auch das der pihole arbeitet und ordentlich aussortiert.
Was mir aber partout nicht gelingen will ist der Aufruf der pihole Admin Seite.
Sobald ich dies Adresse (die normalerweise so klappen müsste) eingebe: 192.168.xxx.xxx:8080/admin erhalte
diese Meldung: "Failed Host Check: 192.168.xxx.xxx vs 0.0.0.0, 0:0:0:0:0:0, dockerpi.hole, pi.hole, localhost"

An was könnte das liegen.
Würde mich freuen
Oilinga

 

[haydibe]

@Whitebread: könntest Du bitte erläutern warum die Fritzbox nach deiner Wahrnehmung kein Router sein soll?
Ohne Erläuterung ist deine Formulierung missverständlich, denn die Fritzbox agiert als Router sobald NAT zwischen WAN und LAN übersetzt.
Zudem ist die Fritzbox auch ein managed Switch, man könnte je Port unterschiedliche Netze betreiben und die Routing-Regeln zwischen den Netzen definieren.

Oder sollte es heissen, dass du ein anderes Gerät als Router verwendest und Fritzbox nur als Modem?

 

[Puppetmaster]

Es sollte wohl heißen, dass eine Fritzbox keinen professionellen Ansprüchen an einen dedizierten Router genügt.

Aber das verlangt ja auch kein Heimanwender.

 

[Piti61]

Das hier hilft Dir nicht ?
Anhang anzeigen 37128

Gruß Jo

Dazu eine Frage: was gibt man denn als "Alternativen DNSv4-Server" ein und was gibt man bei den DNSv6-Servern ein? Ich stelle hier immer wieder fest, das die FritzBox schnell den "aktuell genutzt für Standardanfragen"-Server umstellt und nicht mehr das Ras-Pi mit Pi-Hole nutzt. Und dann habe ich den Salat bzw, die Werbung wieder.

 

[whitbread]

Eine Fritzbox ist ein DSL-(NAT-)Router aber eben kein (Netzwerk-)Router, und schon gar nicht ein Switch. Ein Router routed traffic zwischen unterschiedlichen Netzen und filtert diesen Traffic optional - dann kann man es auch Firewall nennen. Und ein Switch switched traffic innerhalb eines Netzes (die Fritte bridged Traffic). Der Begriff des managed switch ist nicht wirklich klar abgegrenzt, aber im Endeffekt sprechen wir hier von Geräten, die zusätzliche Konfiguration und Sicherheit bieten, u.a. die Netzwerksegmentierung durch VLAN.
Die Fritte kann von allem etwas, aber nix richtig; was mir immer übel aufstösst ist halt Folgendes: Der Heimanwender stellt sich die Fritte hin und steckt da seinen Rechner und seine NAS hinein und benutzt gar noch das WLAN der Box. Solange man keinerlei Dienste im Internet verfügbar macht, mag das Ganze auch noch akzeptiert sein, sobald aber Traffic ins LAN ermöglicht wird, geht das so imho aber eben nicht mehr.
Deshalb gehört für mich hinter die Fritte, wenn man sie denn verwendet, mind. 1 Router als Firewall und - wenn benötigt - ein separater AP. Eine NAS mit Diensten im www gehört in ein eigenes Netzwerksegment, genauso wie WLAN-Clients. Mit ein paar einfachen Regeln für die Kommunikation zwischen den Netzen hat man schon einen ordentlichen Sicherheitsgewinn. Für mich gehört zudem die Reglementierung des ausgehenden Traffics (also ins Internet) ebenso zum Basis-Setup.
In den Fritten sind halt nützliche und sinnvolle Funktionen fürs Heimnetz mit den Funktionen des (V)DSL-Modems und NAT-Routers in einer Box vereint - und das birgt ungeahnte Sicherheitsrisiken. Der Fritzbox fanboy könnte ja folgendes Setup wählen Fritzbox A zur Einwahl, dahinter einen kleinen Router und dann Fritzbox B fürs Heimnetz.

 

[Puppetmaster]

Solange man keinerlei Dienste im Internet verfügbar macht, mag das Ganze auch noch akzeptiert sein, sobald aber Traffic ins LAN ermöglicht wird, geht das so imho aber eben nicht mehr.

Ja, "imho" mag da sicher gelten, aber daraus lässt sich eben noch keine allgemeingültige Aussage ableiten.
Sicher kann man vieles immer noch besser machen, aber notwendig ist es eben nicht unbedingt, sondern kommt immer auf die jeweilige Betrachtung an, imho.

 

[peterhoffmann]

Eine Fritzbox ist ein DSL-(NAT-)Router aber eben kein (Netzwerk-)Router, und schon gar nicht ein Switch. [...] Der Heimanwender stellt sich die Fritte hin und steckt da seinen Rechner und seine NAS hinein und benutzt gar noch das WLAN der Box. Solange man keinerlei Dienste im Internet verfügbar macht, mag das Ganze auch noch akzeptiert sein, sobald aber Traffic ins LAN ermöglicht wird, geht das so imho aber eben nicht mehr.

Das ist ja alles gut und schön.
Skizziere doch mal eine gute Lösung (Hardware, Aufbau u. Konfi) für ein typisches Szenario, z.B. für eine Familie, die im Haus VDSL hat, ein NAS für seine Daten betreibt und auch hier und da ein paar externe Dienste (z.B. WebDav für den Fotoupload) betreibt.

 

[whitbread]

Ist ja immer alles imho - kann ja schlecht für andere sprechen ;-)

Für mich sind zwei Dinge besonders wichtig:
1) Schutz der wichtigen Daten vor Zugriff, also stets Annahme, dass public devices (NAS) durch einen Exploit verwundbar ist.
2) Schutz vor Tracking / Spione im eigenen Hause, also Unterbindung des Nach-Hause-Telefonierens diverser Geräte.

Einfachste Lösung habe ich oben skizziert:
A) Fritzbox I als Modem / Einwahl-Router
B) Router / Firewall: Hier muss halt jeder selber wissen, womit er zurecht kommt. Von MikroTik über Ubiquity über pfSense oder Sophos UTM, etc.
C) Fritzbox II als "Switch" und AP, alt. ein beliebiger Access-Point und oder Switch bzw. Router mit Switching-Chip

Bei mir sieht es so aus:

Fritte - Gateway Router - Sophos UTM - LAN-Firewall - WLAN (APs)
                |                            |
            Public NAS                 LAN u. private NAS

Die Fritzbox ist Modem und Telefonie-Adapter (noch!).
Der Gateway-Router filtert den eingehenden Verkehr und stellt VPN-Dienste bereit.
Die Sophos UTM dient primär der Steuerung des ausgehenden Verkehrs.
Die LAN-Firewall trennt LAN und WLAN voneinander und vom Uplink (Zugriff von aussen in LAN und WLAN wird unterbunden; Zugriff vom LAN/WLAN wird zugelassen).
Eigentlich ein klassisches Setup - und das zu einem Preis unterhalb einer 7490 (excl. Sophos UTM).

Wer es etwas einfacher mag, kombiniert Gateway-Router und LAN-Firewall (und ggf. sogar die UTM) in einem Gerät (bspw. pfSense)...