141986
01.06.2022, aktualisiert um 08:39:54 Uhr
2390
14
0
Verständnisfrage: Aufbau PiHole
Hallo zusammen,
ich möchte mich gerne mal bei Euch absichern, ob mein Gedankengang so in Ordnung wäre:
PiHole Settings:
Das klappt in meiner Testumgebung soweit reisbungslos. Es werden alle Seiten aufgelöst, gecached etc.
Nun meine Fragen:
Oder sollte ich es eher andersherum aufspannen?
Clients bekommen via DHCP die IPs der beiden PiHoles. (damit würde ich die Clients in der Übersicht sehen)
PiHole wiederum fragt den DC/DNS-Server an für interne Anfragen; wenn extern, dann direkt weiter an unbound.
DNS-Service vom DC nutzt Weiterleitung auf StammDNSServer. [Edit: macht keinen Sinn ...]
Ich freue mich auf Euren Input.
Danke + Grüße
/65k
ich möchte mich gerne mal bei Euch absichern, ob mein Gedankengang so in Ordnung wäre:
- DC hält DNS und DHCP Rolle.
- DNS-Service hat Weiterleitung auf PiHole(s)
- PiHole(s) leiten intern auf einen Unbounddienst weiter. (an 1.1.1.1 DNSoverTLS)
- Clients bekommen via DHCP die DNS IP vom DC.
PiHole Settings:
- Allow only local requests -> Checked
- Never forward non-FQDN A and AAAA queries -> Checked
- Never forward reverse lookups for private IP ranges -> Unchecked
- Use DNSSEC -> Checked
- Use Conditional Forwarding -> Checked
- IP address of your DHCP server (router) -> IP von DC
- Local domain name (optional) -> domain.tld
Das klappt in meiner Testumgebung soweit reisbungslos. Es werden alle Seiten aufgelöst, gecached etc.
Nun meine Fragen:
- Macht das Setup so Sinn? Lokal sowie extern werden aufgelöst und recht schnell weitergeleitet
- Ich sehe leider nur den DC, den 2ten DC und den pihole selbst als anfragende Clients(Top Clients) - gerne würde ich aber die ClientPC Anfragen sehen wollen.
Oder sollte ich es eher andersherum aufspannen?
Clients bekommen via DHCP die IPs der beiden PiHoles. (damit würde ich die Clients in der Übersicht sehen)
PiHole wiederum fragt den DC/DNS-Server an für interne Anfragen; wenn extern, dann direkt weiter an unbound.
DNS-Service vom DC nutzt Weiterleitung auf StammDNSServer. [Edit: macht keinen Sinn ...]
Ich freue mich auf Euren Input.
Danke + Grüße
/65k
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 2954226649
Url: https://administrator.de/contentid/2954226649
Ausgedruckt am: 22.11.2024 um 08:11 Uhr
14 Kommentare
Neuester Kommentar
Hallo,
wenn der DNS den pi-Hole nutzt dann funktionieren die Statistiken - natürlich - nicht (z.B. Top 10 Clients usw.)
Gruß,
Jörg
wenn der DNS den pi-Hole nutzt dann funktionieren die Statistiken - natürlich - nicht (z.B. Top 10 Clients usw.)
Gruß,
Jörg
Hallo
Ich würde die IP-Adresse des Pi-Holes über DHCP verteilen lassen und dann alle DNS-Anfragen, welche nicht ans Pi-Hole gehen durch eine Firewall filtern.
Das Pi-Hole holt sich dann rekursiv beim Upstream-DNS-Server (DC) die Daten. Ich würde da nicht zu viel Kaskaden reinschalten sonst wird es unübersichtlich.
Der Rest ergibt Sinn.
Gruss
Ich würde die IP-Adresse des Pi-Holes über DHCP verteilen lassen und dann alle DNS-Anfragen, welche nicht ans Pi-Hole gehen durch eine Firewall filtern.
Das Pi-Hole holt sich dann rekursiv beim Upstream-DNS-Server (DC) die Daten. Ich würde da nicht zu viel Kaskaden reinschalten sonst wird es unübersichtlich.
Der Rest ergibt Sinn.
Gruss
Zitat von @SlainteMhath:
Client => DC => PiHole
So muss das sein. Wenn du Statistiken über Internetzugriffe der Clients willst, bemühe deine Firewall.Läuft hier seit geraumer Zeit genau so und funktioniert astrein. Lediglich halt ohne aussagekräftige Statistiken. Die sagt mir nur über welchen DC eine Anfrage kam.
Ich persönlich kann auf die Statistiken aber auch verzichten. Das einzige was mich interessiert ist was überhaupt geblockt wurde und wieviel das ist.
Manuel
OT: Vielleicht alternativ einmal einen Blick auf AdGuard werfen was ebenso auf dem RasPi und anderen Plattformen rennt:
https://github.com/AdguardTeam/AdGuardHome
Das hat ein deutlich besseres GUI und deutlich bessere Optionen in Bezug auf Safe Browsing und Poxxx Filtern als der etwas in die Jahre gekommen PiHole.
Auch kann man über ein einfaches GUI viele zweifelhafte Apps Netz zu filtern.
https://www.heise.de/ratgeber/DNS-Filter-als-Adblocker-einrichten-AdGuar ...
Weiterer Vorteil: Es supportet DoH und DoT out of the box ohne Zusatzfrickelei.
Und selbstredend arbeitet es auch mit den PiHole Filtern.
https://github.com/AdguardTeam/AdGuardHome
Das hat ein deutlich besseres GUI und deutlich bessere Optionen in Bezug auf Safe Browsing und Poxxx Filtern als der etwas in die Jahre gekommen PiHole.
Auch kann man über ein einfaches GUI viele zweifelhafte Apps Netz zu filtern.
https://www.heise.de/ratgeber/DNS-Filter-als-Adblocker-einrichten-AdGuar ...
Weiterer Vorteil: Es supportet DoH und DoT out of the box ohne Zusatzfrickelei.
Und selbstredend arbeitet es auch mit den PiHole Filtern.
Gerne! 🙂
Hab den PiHole auch ersetzt damit.
Hab den PiHole auch ersetzt damit.
Hallo,
Kann man nicht via Gruppenrichtlinien zwei DNS verteilen, die dann abhängig von der abgefragten Zone genutzt werden?
Gruß,
Jörg
Kann man nicht via Gruppenrichtlinien zwei DNS verteilen, die dann abhängig von der abgefragten Zone genutzt werden?
Gruß,
Jörg