Verständnisfrage: Aufbau PiHole

0xffff
Goto Top
Hallo zusammen,

ich möchte mich gerne mal bei Euch absichern, ob mein Gedankengang so in Ordnung wäre:

  • DC hält DNS und DHCP Rolle.
      • DNS-Service hat Weiterleitung auf PiHole(s)
  • PiHole(s) leiten intern auf einen Unbounddienst weiter. (an 1.1.1.1 DNSoverTLS)
  • Clients bekommen via DHCP die DNS IP vom DC.

PiHole Settings:
  • Allow only local requests -> Checked
  • Never forward non-FQDN A and AAAA queries -> Checked
  • Never forward reverse lookups for private IP ranges -> Unchecked
  • Use DNSSEC -> Checked
  • Use Conditional Forwarding -> Checked

  • IP address of your DHCP server (router) -> IP von DC
  • Local domain name (optional) -> domain.tld

Das klappt in meiner Testumgebung soweit reisbungslos. Es werden alle Seiten aufgelöst, gecached etc.

Nun meine Fragen:
  • Macht das Setup so Sinn? Lokal sowie extern werden aufgelöst und recht schnell weitergeleitet
  • Ich sehe leider nur den DC, den 2ten DC und den pihole selbst als anfragende Clients(Top Clients) - gerne würde ich aber die ClientPC Anfragen sehen wollen.


Oder sollte ich es eher andersherum aufspannen?

Clients bekommen via DHCP die IPs der beiden PiHoles. (damit würde ich die Clients in der Übersicht sehen)
PiHole wiederum fragt den DC/DNS-Server an für interne Anfragen; wenn extern, dann direkt weiter an unbound.
DNS-Service vom DC nutzt Weiterleitung auf StammDNSServer. [Edit: macht keinen Sinn ...]

Ich freue mich auf Euren Input.

Danke + Grüße
/65k

Content-Key: 2954226649

Url: https://administrator.de/contentid/2954226649

Ausgedruckt am: 15.08.2022 um 18:08 Uhr

Mitglied: altmetaller
altmetaller 01.06.2022 um 09:25:42 Uhr
Goto Top
Hallo,

wenn der DNS den pi-Hole nutzt dann funktionieren die Statistiken - natürlich - nicht (z.B. Top 10 Clients usw.)

Gruß,
Jörg
Mitglied: SlainteMhath
SlainteMhath 01.06.2022 um 09:26:09 Uhr
Goto Top
Moin,

gerne würde ich aber die ClientPC Anfragen sehen wollen.
Die musst du dir an dem/den DC(s) ansehen - und vorher die entsprechende Aufzeichnung am DNS Server konfigurieren.

lg,
Slainte
Mitglied: Xerebus
Xerebus 01.06.2022 um 09:36:37 Uhr
Goto Top
Hallo,

genau das Problem hatte wir vor zwei-drei Wochen schon.
Die Statistik funktioniert nur denn die Clients direkt beim Pihole anfragen.
Mitglied: 0xFFFF
0xFFFF 01.06.2022 aktualisiert um 09:40:09 Uhr
Goto Top
Danke für Euer reply face-smile

wenn der DNS den pi-Hole nutzt dann funktionieren die Statistiken - natürlich - nicht (z.B. Top 10 Clients usw.)
Jau - darum die Frage an Euch, welches Setup sinniger ist. So wie aktuell in der Testumgebung oder die Überlegung, alles auf den PiHole zu leiten (Clientseitig).

Die musst du dir an dem/den DC(s) ansehen - und vorher die entsprechende Aufzeichnung am DNS Server konfigurieren.
Das ist soweit eingerichtet, finde ich aber recht umständlich.

genau das Problem hatte wir vor zwei-drei Wochen schon.
Mächtiges Sorry - hatte die Suche bemüht, aber offensichtlich nicht hart genug. face-smile

Die Statistik funktioniert nur denn die Clients direkt beim Pihole anfragen.
Jep, genau. Daher auch die Frage, was sinnvoller/richtiger ist als Setup.
Client => DC => PiHole
Client => PiHole => DC

Liebe Grüße
Mitglied: EliteHacker
EliteHacker 01.06.2022 um 09:44:08 Uhr
Goto Top
Hallo

Ich würde die IP-Adresse des Pi-Holes über DHCP verteilen lassen und dann alle DNS-Anfragen, welche nicht ans Pi-Hole gehen durch eine Firewall filtern.

Das Pi-Hole holt sich dann rekursiv beim Upstream-DNS-Server (DC) die Daten. Ich würde da nicht zu viel Kaskaden reinschalten sonst wird es unübersichtlich.

Der Rest ergibt Sinn.

Gruss
Mitglied: Xerebus
Xerebus 01.06.2022 um 09:46:04 Uhr
Goto Top
Und als sec. Dns dann gleich den server als backup ohne filter nehmen.
Mitglied: SlainteMhath
Lösung SlainteMhath 01.06.2022 um 10:31:00 Uhr
Goto Top
Client => PiHole => DC
Damit schaffst du dir nur Probleme im AD.

Client => DC => PiHole
So muss das sein. Wenn du Statistiken über Internetzugriffe der Clients willst, bemühe deine Firewall.
Mitglied: manuel-r
manuel-r 01.06.2022 um 11:30:24 Uhr
Goto Top
Zitat von @SlainteMhath:
Client => DC => PiHole
So muss das sein. Wenn du Statistiken über Internetzugriffe der Clients willst, bemühe deine Firewall.

Läuft hier seit geraumer Zeit genau so und funktioniert astrein. Lediglich halt ohne aussagekräftige Statistiken. Die sagt mir nur über welchen DC eine Anfrage kam.
Ich persönlich kann auf die Statistiken aber auch verzichten. Das einzige was mich interessiert ist was überhaupt geblockt wurde und wieviel das ist.

Manuel
Mitglied: 0xFFFF
0xFFFF 01.06.2022 aktualisiert um 11:34:52 Uhr
Goto Top
Nochmals: Danke für eure Antworten face-smile

Damit schaffst du dir nur Probleme im AD.
Das wollte ich erfahren bzw. validieren, wunderbar. Ich danke Dir face-smile

So muss das sein. Wenn du Statistiken über Internetzugriffe der Clients willst, bemühe deine Firewall.
Sehr schön, dann bin ich mit meinen Gedankengängen ganz zufrieden und Dir dankbar für deine Info.

Für mich gegessen und als erledigt abgehakt.

Viele Grüße

Edita: Danke @manuel-r für dein Feedback - genauso beobachte ich jenes aktuell in der Testumgebung. face-smile
Mitglied: 148523
Lösung 148523 01.06.2022 aktualisiert um 11:47:12 Uhr
Goto Top
OT: Vielleicht alternativ einmal einen Blick auf AdGuard werfen was ebenso auf dem RasPi und anderen Plattformen rennt:
https://github.com/AdguardTeam/AdGuardHome
Das hat ein deutlich besseres GUI und deutlich bessere Optionen in Bezug auf Safe Browsing und Poxxx Filtern als der etwas in die Jahre gekommen PiHole.
Auch kann man über ein einfaches GUI viele zweifelhafte Apps Netz zu filtern.
https://www.heise.de/ratgeber/DNS-Filter-als-Adblocker-einrichten-AdGuar ...
Weiterer Vorteil: Es supportet DoH und DoT out of the box ohne Zusatzfrickelei.
Und selbstredend arbeitet es auch mit den PiHole Filtern.
Mitglied: 0xFFFF
0xFFFF 01.06.2022 um 11:50:34 Uhr
Goto Top
@148523

Danke Dir für den Wink. Scheint auch interessant zu sein, vor allem unter dem Open Source -Aspekt.

Schaue ich mir an, ggf, wird das PiHole dadurch sogar ersetzt.

Viele Grüße
Mitglied: 0xFFFF
0xFFFF 01.06.2022 um 14:01:05 Uhr
Goto Top
OT: Vielleicht alternativ einmal einen Blick auf AdGuard werfen was ebenso auf dem RasPi und anderen Plattformen rennt:


Habe das Ding mal aufgesetzt als VM.
Gefällt mir ausgesprochen gut. Den 2ten baue ich aktuell auf Blech auf und dann mal 2 Wochen beobachten.

Danke für den wertvollen Tipp @148523

VG
Mitglied: 148523
148523 02.06.2022 um 09:07:34 Uhr
Goto Top
Gerne! 🙂
Hab den PiHole auch ersetzt damit.
Mitglied: altmetaller
altmetaller 02.06.2022 um 16:03:07 Uhr
Goto Top
Hallo,

Zitat von @SlainteMhath:

Damit schaffst du dir nur Probleme im AD.

Kann man nicht via Gruppenrichtlinien zwei DNS verteilen, die dann abhängig von der abgefragten Zone genutzt werden?

Gruß,
Jörg