141986
Jun 01, 2022, updated at 06:39:54 (UTC)
2215
14
0
Verständnisfrage: Aufbau PiHole
Hallo zusammen,
ich möchte mich gerne mal bei Euch absichern, ob mein Gedankengang so in Ordnung wäre:
PiHole Settings:
Das klappt in meiner Testumgebung soweit reisbungslos. Es werden alle Seiten aufgelöst, gecached etc.
Nun meine Fragen:
Oder sollte ich es eher andersherum aufspannen?
Clients bekommen via DHCP die IPs der beiden PiHoles. (damit würde ich die Clients in der Übersicht sehen)
PiHole wiederum fragt den DC/DNS-Server an für interne Anfragen; wenn extern, dann direkt weiter an unbound.
DNS-Service vom DC nutzt Weiterleitung auf StammDNSServer. [Edit: macht keinen Sinn ...]
Ich freue mich auf Euren Input.
Danke + Grüße
/65k
ich möchte mich gerne mal bei Euch absichern, ob mein Gedankengang so in Ordnung wäre:
- DC hält DNS und DHCP Rolle.
- DNS-Service hat Weiterleitung auf PiHole(s)
- PiHole(s) leiten intern auf einen Unbounddienst weiter. (an 1.1.1.1 DNSoverTLS)
- Clients bekommen via DHCP die DNS IP vom DC.
PiHole Settings:
- Allow only local requests -> Checked
- Never forward non-FQDN A and AAAA queries -> Checked
- Never forward reverse lookups for private IP ranges -> Unchecked
- Use DNSSEC -> Checked
- Use Conditional Forwarding -> Checked
- IP address of your DHCP server (router) -> IP von DC
- Local domain name (optional) -> domain.tld
Das klappt in meiner Testumgebung soweit reisbungslos. Es werden alle Seiten aufgelöst, gecached etc.
Nun meine Fragen:
- Macht das Setup so Sinn? Lokal sowie extern werden aufgelöst und recht schnell weitergeleitet
- Ich sehe leider nur den DC, den 2ten DC und den pihole selbst als anfragende Clients(Top Clients) - gerne würde ich aber die ClientPC Anfragen sehen wollen.
Oder sollte ich es eher andersherum aufspannen?
Clients bekommen via DHCP die IPs der beiden PiHoles. (damit würde ich die Clients in der Übersicht sehen)
PiHole wiederum fragt den DC/DNS-Server an für interne Anfragen; wenn extern, dann direkt weiter an unbound.
DNS-Service vom DC nutzt Weiterleitung auf StammDNSServer. [Edit: macht keinen Sinn ...]
Ich freue mich auf Euren Input.
Danke + Grüße
/65k
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 2954226649
Url: https://administrator.de/contentid/2954226649
Printed on: May 10, 2024 at 22:05 o'clock
14 Comments
Latest comment
Hallo,
wenn der DNS den pi-Hole nutzt dann funktionieren die Statistiken - natürlich - nicht (z.B. Top 10 Clients usw.)
Gruß,
Jörg
wenn der DNS den pi-Hole nutzt dann funktionieren die Statistiken - natürlich - nicht (z.B. Top 10 Clients usw.)
Gruß,
Jörg
Moin,
lg,
Slainte
gerne würde ich aber die ClientPC Anfragen sehen wollen.
Die musst du dir an dem/den DC(s) ansehen - und vorher die entsprechende Aufzeichnung am DNS Server konfigurieren.lg,
Slainte
Hallo,
genau das Problem hatte wir vor zwei-drei Wochen schon.
Die Statistik funktioniert nur denn die Clients direkt beim Pihole anfragen.
genau das Problem hatte wir vor zwei-drei Wochen schon.
Die Statistik funktioniert nur denn die Clients direkt beim Pihole anfragen.
Danke für Euer reply 
Client => DC => PiHole
Client => PiHole => DC
Liebe Grüße
wenn der DNS den pi-Hole nutzt dann funktionieren die Statistiken - natürlich - nicht (z.B. Top 10 Clients usw.)
Jau - darum die Frage an Euch, welches Setup sinniger ist. So wie aktuell in der Testumgebung oder die Überlegung, alles auf den PiHole zu leiten (Clientseitig).Die musst du dir an dem/den DC(s) ansehen - und vorher die entsprechende Aufzeichnung am DNS Server konfigurieren.
Das ist soweit eingerichtet, finde ich aber recht umständlich.genau das Problem hatte wir vor zwei-drei Wochen schon.
Mächtiges Sorry - hatte die Suche bemüht, aber offensichtlich nicht hart genug. Die Statistik funktioniert nur denn die Clients direkt beim Pihole anfragen.
Jep, genau. Daher auch die Frage, was sinnvoller/richtiger ist als Setup.Client => DC => PiHole
Client => PiHole => DC
Liebe Grüße
Hallo
Ich würde die IP-Adresse des Pi-Holes über DHCP verteilen lassen und dann alle DNS-Anfragen, welche nicht ans Pi-Hole gehen durch eine Firewall filtern.
Das Pi-Hole holt sich dann rekursiv beim Upstream-DNS-Server (DC) die Daten. Ich würde da nicht zu viel Kaskaden reinschalten sonst wird es unübersichtlich.
Der Rest ergibt Sinn.
Gruss
Ich würde die IP-Adresse des Pi-Holes über DHCP verteilen lassen und dann alle DNS-Anfragen, welche nicht ans Pi-Hole gehen durch eine Firewall filtern.
Das Pi-Hole holt sich dann rekursiv beim Upstream-DNS-Server (DC) die Daten. Ich würde da nicht zu viel Kaskaden reinschalten sonst wird es unübersichtlich.
Der Rest ergibt Sinn.
Gruss
Und als sec. Dns dann gleich den server als backup ohne filter nehmen.
Client => PiHole => DC
Damit schaffst du dir nur Probleme im AD.Client => DC => PiHole
So muss das sein. Wenn du Statistiken über Internetzugriffe der Clients willst, bemühe deine Firewall.
2
Zitat von @SlainteMhath:
Client => DC => PiHole
So muss das sein. Wenn du Statistiken über Internetzugriffe der Clients willst, bemühe deine Firewall.Läuft hier seit geraumer Zeit genau so und funktioniert astrein. Lediglich halt ohne aussagekräftige Statistiken. Die sagt mir nur über welchen DC eine Anfrage kam.
Ich persönlich kann auf die Statistiken aber auch verzichten. Das einzige was mich interessiert ist was überhaupt geblockt wurde und wieviel das ist.
Manuel
1
Nochmals: Danke für eure Antworten
Für mich gegessen und als erledigt abgehakt.
Viele Grüße
Edita: Danke @manuel-r für dein Feedback - genauso beobachte ich jenes aktuell in der Testumgebung.
Damit schaffst du dir nur Probleme im AD.
Das wollte ich erfahren bzw. validieren, wunderbar. Ich danke Dir So muss das sein. Wenn du Statistiken über Internetzugriffe der Clients willst, bemühe deine Firewall.
Sehr schön, dann bin ich mit meinen Gedankengängen ganz zufrieden und Dir dankbar für deine Info.Für mich gegessen und als erledigt abgehakt.
Viele Grüße
Edita: Danke @manuel-r für dein Feedback - genauso beobachte ich jenes aktuell in der Testumgebung.
OT: Vielleicht alternativ einmal einen Blick auf AdGuard werfen was ebenso auf dem RasPi und anderen Plattformen rennt:
https://github.com/AdguardTeam/AdGuardHome
Das hat ein deutlich besseres GUI und deutlich bessere Optionen in Bezug auf Safe Browsing und Poxxx Filtern als der etwas in die Jahre gekommen PiHole.
Auch kann man über ein einfaches GUI viele zweifelhafte Apps Netz zu filtern.
https://www.heise.de/ratgeber/DNS-Filter-als-Adblocker-einrichten-AdGuar ...
Weiterer Vorteil: Es supportet DoH und DoT out of the box ohne Zusatzfrickelei.
Und selbstredend arbeitet es auch mit den PiHole Filtern.
https://github.com/AdguardTeam/AdGuardHome
Das hat ein deutlich besseres GUI und deutlich bessere Optionen in Bezug auf Safe Browsing und Poxxx Filtern als der etwas in die Jahre gekommen PiHole.
Auch kann man über ein einfaches GUI viele zweifelhafte Apps Netz zu filtern.
https://www.heise.de/ratgeber/DNS-Filter-als-Adblocker-einrichten-AdGuar ...
Weiterer Vorteil: Es supportet DoH und DoT out of the box ohne Zusatzfrickelei.
Und selbstredend arbeitet es auch mit den PiHole Filtern.
1
@148523
Danke Dir für den Wink. Scheint auch interessant zu sein, vor allem unter dem Open Source -Aspekt.
Schaue ich mir an, ggf, wird das PiHole dadurch sogar ersetzt.
Viele Grüße
Danke Dir für den Wink. Scheint auch interessant zu sein, vor allem unter dem Open Source -Aspekt.
Schaue ich mir an, ggf, wird das PiHole dadurch sogar ersetzt.
Viele Grüße
OT: Vielleicht alternativ einmal einen Blick auf AdGuard werfen was ebenso auf dem RasPi und anderen Plattformen rennt:
Habe das Ding mal aufgesetzt als VM.
Gefällt mir ausgesprochen gut. Den 2ten baue ich aktuell auf Blech auf und dann mal 2 Wochen beobachten.
Danke für den wertvollen Tipp @148523
VG
Gerne! 🙂
Hab den PiHole auch ersetzt damit.
Hab den PiHole auch ersetzt damit.
Hallo,
Kann man nicht via Gruppenrichtlinien zwei DNS verteilen, die dann abhängig von der abgefragten Zone genutzt werden?
Gruß,
Jörg
Kann man nicht via Gruppenrichtlinien zwei DNS verteilen, die dann abhängig von der abgefragten Zone genutzt werden?
Gruß,
Jörg
