pi-hole zusammen mit Homebridge auf einem Raspi?

[lisanet]

Den "Baker" habe ich mal angeschaut. Sieht ja super aus. Runtergeladen ist er bereits.

Noch eine Frage zu deinem script: brauche ich das wirklich? Ich habe in der Anleitung zu ApplePi-Baker gelesen, dass er auch shrinken kann. Reicht das nicht bzw. was macht dein script anders besser? Oder auch: Um dein script zu verwenden, sollte man das shrinking überhaupt beim Baker einschalten?
Fragen über Fragen ....

naja, es gibt ja eigentlich nur eine Methode, ein ext2/3/4 image zu verkleinern. Wenn das dort schon enthalten ist, dann wird es das gleiche machen, wie das was ich mal vor 5 Jahren für den Mac angepasst habe.

Wenn das jetzt (endlich) auch mit ApplePi Baker geht, dann nimm das.

Ich mache zwischenzeitlich meine backups mit meinen 3 Raspis eh ganz anders. Aber das ist dann wirklich nichts mehr für Einsteiger.

 

[jteschner]

Bitte seht es mir nach aber ich habe noch eine pi-hole Einsteigerfrage an die Wissenden.
Beim Einlesen in das Thema bin ich auf folgende Konfigurationsanleitung für die Fritzbox gestoßen
https://docs.pi-hole.net/routers/fritzbox-de/

Demnach soll(ten) in der FB die ipv4 (DNS, LAN), upstream server (DNS, WAN) und die ipv6 Konfig eingestellt werden.
Ich habe aber nur den DNS für ipv4 im LAN auf den Raspi eingestellt - und es funktioniert ja wie ich im pihole-dashboard sehen kann.

Sind die anderen Einstellungen in der FB wirklich notwendig? Ich will da so wenig wie möglich falsch machen ... (verständlicherweise)

Edit: ich glaube inzwischen verstanden zu haben, dass die ipv4-Konfig für DNS im LAN reicht und die anderen Konfigs eher alternativ zu sehen sind. Richtig?

 

[lisanet]

Richtig?

Jaein...

Da du jetzt mit dem PiHole an einem zentralem Netzwerk-Dienst rum machst, musst du dich dringend mit dem Thema auseinander setzen. Alleine über ein Fragen hier im Forum wird das eine zähe Sache. Es gibt einfach zu viele Möglichkeiten mit PiHole, als dass man das einfach nur durchklickt.

Ein paar Grundlagen:

- Lese dich ein, wie DHCP funktioniert. Du brauchst 1 DHCP in deinem Netz. Je nach dem was du willst ist mal die FB sinnvoller, mal der Pi.
- Konfiguriere IPv4 und IPv6. IPv6 wird von macOs bevorzugt. Je nach ISP ist das auch essentiell für einen korrekten Betrieb. Ergo: du brauchsrt also 2 DNS Einträge: 1 x IPv4, 1 x IPv6
- lass erst mal alle anderen Settings im Pi sein. Kein conditional forwarding und so zeug

Wenn du den Pi nur üfr Werbeblocking willst:

- Lass die FB als DHCP im Netz.
- Setze in der FB für IPv4 den DNS der per DHCP verteilt wird auf die IP des PiHole. Nein ich weiß nicht wie das geht. ICh habe vor x Jahren die FB verkauft
- Für IPv6 aktiviere in der FB die sog. ULA, das sind interne feste IPv6-Adressen. Die dem Pi zugwiesenen IPv6 trägst du dann als IPv6-DNS im DHCP der FB ein. (ich habe keine FB, kann es dir nciht sagen). Hier ist aber ein beispielhafter Link zu ULA mit der FB und PiHole -> https://discourse.pi-hole.net/t/ipv6-mit-fritzbox/48423
- setze im PiHole die DNS-Server, die du künftige verwenden willst. Dafür gibts ja dort die entsprechende GUI-Seite. Für IPv4 und für IPv6
- fass alles anderen settings im PiHole nicht an. Erst dann, wenn dir die Begriffe was sagen und du dich eingelesen hast.

In allen clients lösche nun alle evetuell manuell eingetragenen DNS-Server und lasse alle clients per DHCP ihre Adressen beziehen. Aktiviere auch in allen clients IPv6. Setze das auf "automatisch"

Edit:

Zum Flow der DNS-Abfragen:

a) die clients kriegen via DHCP von der FB neben der IPv4/IPv6 auch die Adressen des PiHole als DNS geliefert. Automatisch. Daher darf keinesfalls in den clients ein DNS manuell eingetragen werden.
b) die clients fragen daher den PiHole bei der DNS-Auflösung
c) der PiHole fragt daraufhin die im Pihole eingetragen DNS-Server ab und filtert ggf. die Domains, die auf der blacklist sind

Edit 2:

Um zu prüfen, ob du IPv6 korrekt eingerichtet hast / hast lassen, gehe auf folgende Seite:

https://ipv6-test.com/

Du solltest auf den clients jeweils mindestens 17/20 erreichen.

 

[jteschner]

Jaein...

Da du jetzt mit dem PiHole an einem zentralem Netzwerk-Dienst rum machst, musst du dich dringend mit dem Thema auseinander setzen. Alleine über ein Fragen hier im Forum wird das eine zähe Sache. Es gibt einfach zu viele Möglichkeiten mit PiHole, als dass man das einfach nur durchklickt.

Ein paar Grundlagen:

- Lese dich ein, wie DHCP funktioniert. Du brauchst 1 DHCP in deinem Netz. Je nach dem was du willst ist mal die FB sinnvoller, mal der Pi.
- Konfiguriere IPv4 und IPv6. IPv6 wird von macOs bevorzugt. Je nach ISP ist das auch essentiell für einen korrekten Betrieb. Ergo: du brauchsrt also 2 DNS Einträge: 1 x IPv4, 1 x IPv6
- lass erst mal alle anderen Settings im Pi sein. Kein conditional forwarding und so zeug

Wenn du den Pi nur üfr Werbeblocking willst:

- Lass die FB als DHCP im Netz.
- Setze in der FB für IPv4 den DNS der per DHCP verteilt wird auf die IP des PiHole. Nein ich weiß nicht wie das geht. ICh habe vor x Jahren die FB verkauft
- Für IPv6 aktiviere in der FB die sog. ULA, das sind interne feste IPv6-Adressen. Die dem Pi zugwiesenen IPv6 trägst du dann als IPv6-DNS im DHCP der FB ein. (ich habe keine FB, kann es dir nciht sagen). Hier ist aber ein beispielhafter Link zu ULA mit der FB und PiHole -> https://discourse.pi-hole.net/t/ipv6-mit-fritzbox/48423
- setze im PiHole die DNS-Server, die du künftige verwenden willst. Dafür gibts ja dort die entsprechende GUI-Seite. Für IPv4 und für IPv6
- fass alles anderen settings im PiHole nicht an. Erst dann, wenn dir die Begriffe was sagen und du dich eingelesen hast.

In allen clients lösche nun alle evetuell manuell eingetragenen DNS-Server und lasse alle clients per DHCP ihre Adressen beziehen. Aktiviere auch in allen clients IPv6. Setze das auf "automatisch"

OK. Danke für deine Tips - ich weiss, dass ich mich noch genauer einlesen muss (was man ja an meinen Fragen merkt)
Ich habe bislang in der FB nur eingestellt bzw. es ist eingestellt:
- FB als DHCP Server
- pihole als ipv4 DNS Server

ipv6 habe ich wegen Unsicherheit noch nicht angefasst (habe ich mich auch noch nie wirklich mit beschäftigt) - aber inzwischen schon etwas gelesen. Ich habe schon eine gute Quelle gefunden, die Hintergründe beschreibt und auch die FritzBox Konfig enthält.
Das werde ich morgen in Angriff nehmen.

In den Clients ist alles auf "Standard" - keine manuellen DNS, DHCP automatisch, ... da habe ich bislang noch nie rumgefummelt ;-)

Und in pihole fasse ich nichts an, was ich nicht verstehe ...

 

[jteschner]

...

Edit:

Zum Flow der DNS-Abfragen:

a) die clients kriegen via DHCP von der FB neben der IPv4/IPv6 auch die Adressen des PiHole als DNS geliefert. Automatisch. Daher darf keinesfalls in den clients ein DNS manuell eingetragen werden.

in den Clients sind keine DNS manuell eingetragen (habe ich sowieso aus Unkenntnis noch nie gemacht)

b) die clients fragen daher den PiHole bei der DNS-Auflösung

ok, verstanden

c) der PiHole fragt daraufhin die im Pihole eingetragen DNS-Server ab und filtert ggf. die Domains, die auf der blacklist sind

ok. Da habe ich nun in der pihole GUI die Fritzbox (ipv4/ipv6) als upstream-DNS-server eingetragen. Dort werden dann, meinem Verständnis nach, die in den Internet Einstellungen eingetragenen DNS Server genommen. Diese habe (noch) nicht auf "manuell" geändert.
Sollte ich das? Ich scheue mich davor da irgendwelche Server anzugeben, sondern das steht auf "vom Internet Anbieter vorgegeben".

Edit 2:

Um zu prüfen, ob du IPv6 korrekt eingerichtet hast / hast lassen, gehe auf folgende Seite:

https://ipv6-test.com/

Du solltest auf den clients jeweils mindestens 17/20 erreichen.

Genau das passiert: 17/20 - zumindest mal auf meinem MBP und iPadPro

Also mal zusammengefasst wie es zT bei mir konfiguriert ist:
Fritzbox:
- statische Adresse ipv4 für pihole,
- ipv6: ULA immer zuweisen mit ULA-Präfix auf manuell (auf pihole neue Adresse geholt)
- pihole als DNS-Server für ipv4 und ipv6 eingestellt

pihole:
- Upstream DNS Servers: meine Fritzbox (ipv4/ipv6) (über DNS-Konfig-Gui eingestellt)
- Haken bei "Google (ECS, DNSSEC)" rausgemacht (war noch von der Installation drin)
- Conditional Forwarding für mein lokales Netz eingeschaltet

Für mich noch offen:
Sollte ich noch in der Fritzbox "DoT-fähige DNS Server" in den Internet-Einstellungen eintragen und DoT einschalten?
In der vorliegenden Beschreibung stehen zwei: unfiltered.adguard-dns.com und ddnsforge.de (die Adressen natürlich)
In anderen pihole-Konfig-Anleitungen steht davon nix. Ich verstehe wohl den Hintergrund, frage mich aber, ob das wirklich besser/notwendig ist oder einfach nur irgendwelcher Paranoia geschuldet ...

Ansonsten: pihole läuft, alle clients können noch ins Internet und es wird fleissig lt. QueryLog geblockt - auf ipv4 und ipv6

 

[lisanet]

Also mal zusammengefasst wie es zT bei mir konfiguriert ist:
Fritzbox:
- statische Adresse ipv4 für pihole,
- ipv6: ULA immer zuweisen mit ULA-Präfix auf manuell (auf pihole neue Adresse geholt)
- pihole als DNS-Server für ipv4 und ipv6 eingestellt

pihole:
- Upstream DNS Servers: meine Fritzbox (ipv4/ipv6) (über DNS-Konfig-Gui eingestellt)
- Haken bei "Google (ECS, DNSSEC)" rausgemacht (war noch von der Installation drin)
- Conditional Forwarding für mein lokales Netz eingeschaltet

Da ich die FB nicht kenne, kann ich das nicht beurteilen. Wenn der DNS-Eintrag in der FB derjenige ist, der mit DHCP augeleifert wird, dann wird es funktionieren, ist aber meines Erachtens einwenig zuviel an Weiterleitungen

Deine clients fragen den PiHole, der PiHole leitet das an die FB, die FB leitet das an den DNS des ISP.

Warum nicht im PiHole, so wie es voreingestellt ist, einen anderen DNS als den deines Providers nehmen? Das wäre dann: client fragt PiHole, PiHole leitet das an den eingestellten DNS. Zudem wäre dann ein mögliches Tracking des ISPs abgewendet.

Wenn du unbedingt die Statistiken betrachten willst mit Hostnamen, dann macht conditional forwarding Sinn. Ist halt reine Kosmetik und Netzwerkverkehr.

Zu doT/DoH

Das musst du dir selber beantworten. Meine Anregung: fokussiere dich nicht auf die falschen Bereiche.

Mit doH/DoT kann sich jemand, der es schafft, sich für DNS-Abfragen zwischen deiner FB und dem DNS-Server zu mogeln und die Anfragen mitzuschneiden, diese Anfragen dann lesen.

Was natürlich weiterhin möglich ist, dass der DNS-Server natürlich weiterhin weiß, welche Seiten du aufrufst. Die Webseite die du anwählst weiß auch weiterhin deine IP-Adresse.

Ich finde es ist sinnvoller sich über die Möglicheiten des Trackings der IP-Adresse Gedanken zu machen. Sowohl beim DNS-Betreiber, bei den Webseiten und bei den Werbetreibenden. Zuerst man-in-the-middle anzugehn und das andere nicht, ist für mich eine typische fehlerhafte Risikoeinschätzung. Das Risiko was kompliziert klingt und man noch nie gehört hat, wird oft als bedrohender eingeschätzt, als die Dinge, die einfach sind und häufig passieren.

 

[jteschner]

...Wenn der DNS-Eintrag in der FB derjenige ist, der mit DHCP augeleifert wird, dann wird es funktionieren, ist aber meines Erachtens einwenig zuviel an Weiterleitungen

Ja, das ist der "mitgelieferte" Eintrag.

Deine clients fragen den PiHole, der PiHole leitet das an die FB, die FB leitet das an den DNS des ISP.

Ja, genau so ist es gerade.

Warum nicht im PiHole, so wie es voreingestellt ist, einen anderen DNS als den deines Providers nehmen? Das wäre dann: client fragt PiHole, PiHole leitet das an den eingestellten DNS. Zudem wäre dann ein mögliches Tracking des ISPs abgewendet.

OK, Verstehe. Heisst also konkret:
ich habe den Haken bei "Google (ECS, DNSSEC)" rausgemacht und meine FB als Upstream-DNS (Custom DNS Server) konfiguriert.
Besser aber wäre, entweder...
1. die Haken bei "Google (ECS, DNSSEC)" oder einem anderen wie "OpenDNS (ECS, DNSSEC)" zu setzen
oder
2. andere "Custom DNS Server" einzutragen, wie die oben erwähnten "unfiltered.adguard-dns.com und ddnsforge.de" (deren ip-Adressen natürlich)

Ich würde Variante 1 bevorzugen - weil: einfacher und klarer

Wenn du unbedingt die Statistiken betrachten willst mit Hostnamen, dann macht conditional forwarding Sinn. Ist halt reine Kosmetik und Netzwerkverkehr.

Nee will ich eigentlich nicht wirklich Ich wollte mich noch schlau machen, wie ich denn das logging reduzieren kann. Mich interessieren Dinge von vielleicht gestern und heute oder maximal einem Monat (der Statisk wegen), aber nicht was vor 12 Monaten war.

zu doT/DoH

Das musst du dir selber beantworten. Meine Anregung: fokussiere dich nicht auf die falschen Bereiche. .....

Gekauft. So hatte ich mir das gedacht.

Wenn du mir noch die eine Einschätzung oben zu den 2 Varianten geben würdest, wäre das toll ... ;-)
Ich glaube aber, dass es fast egal ist und eher von den Laufzeiten und der Zuverlässigkeit des Anbieters abhängt

 

[oneOeight]

Wie hoch ist denn bei DoT/DoH die Wahrscheinlichkeit einer Man-in-the-middle Attacke verglichen mit DNSSEC?

DoH kann man eventuell wegen HTTPS auch fingerprinten.

 

[lisanet]

Ich würde 2. nehmen, da es keinen Vorteil bringt, erst noch die FB als DNS zu nehmen.

Zudem sind die DNS der ISP die wohl auch bei dir drin sind nicht die schnellsten. ZB sind die DNS von Vodafone bei mir oft ne Katastrophe, wenn ich die mal mit ner VM oder auf nicht macOS clients nutze.

Cloudflare würde ich persönlich bevorzugen.

 

[jteschner]

Ich würde 2. nehmen, da es keinen Vorteil bringt, erst noch die FB als DNS zu nehmen.

?? Misverständnis? Auch bei 1. ist die FB raus. Die "Haken" sind doch im pihole gesetzt ... so habe ich das gerade - OpenDNS ist bei mir nun Upstream-DNS-Server auf pihole.
FB ist da raus ... und das sehe ich auch in den pihole logs.
Also: Client->pihole->OpenDNS->...Client
Frage war: Standard-DNS aus pihole-Installation oder Custom-DNS aus "eigener" Quelle - wie zB AdGuard-DNS

Zudem sind die DNS der ISP die wohl auch bei dir drin sind nicht die schnellsten. ZB sind die DNS von Vodafone bei mir oft ne Katastrophe, wenn ich die mal mit ner VM oder auf nicht macOS clients nutze.

Sind bei mir bereits raus. s.o.

Cloudflare würde ich persönlich bevorzugen.

Ok, den hatte ich noch nicht auf dem Schirm. Warum? Schnell? Sicher? ...

 

[lisanet]

Ok, den hatte ich noch nicht auf dem Schirm. Warum? Schnell? Sicher?

Cloudflare soll den schnellsten DNS betreiben und wertet selbst keine Daten aus und verkauft auch keine Daten an Dritte Sie verkaufen auch Dienste wie Cloudflare Tunnels und andere eher Datenschutz orientierte Produkte.

Bitte aber keine Diskussion der Art "die können alles behaupten". An irgendeiner Stelle muss man immer Vertrauen aufbringen.

 

[jteschner]

Cloudflare soll den schnellsten DNS betreiben und wertet selbst keine Daten aus und verkauft auch keine Daten an Dritte Sie verkaufen auch Dienste wie Cloudflare Tunnels und andere eher Datenschutz orientierte Produkte.

Bitte aber keine Diskussion der Art "die können alles behaupten". An irgendeiner Stelle muss man immer Vertrauen aufbringen.

Alles gut - so etwas diskutiere ich nicht
Ich habe Cloudflare mal als DNS in pihole eingetragen - scheint echt schneller als OpenDNS zu sein - jedenfalls was das Query-Log in pihole sagt.
Nun habe ich, glaube ich, alles soweit konfiguriert
Für mich nur noch offen: wieviel logging ist in pihole sinnvoll - ich hatte gelesen, dass die FTL-db immer größer wird und auch ggf. durch die große Anzahl an Schreibzugriffen auf die SD-Karte deren Lebensdauer erheblich reduziert.
Aber da kümmere ich mich in den nächsten Tagen/Wochen drum ...

 

[tocotronaut]

Gibt Pro und Contra... https://www.reddit.com/r/HomeNetworking/comments/zlah7i/1111_or_9999/

 

[lisanet]

Für mich nur noch offen: wieviel logging ist in pihole sinnvoll - ich hatte gelesen, dass die FTL-db immer größer wird und auch ggf. durch die große Anzahl an Schreibzugriffen auf die SD-Karte deren Lebensdauer erheblich reduziert.

naja, dass eine SD-Karte kein unendliches Leben hat is eigentlich klar. ich habe bisher aber noch keine SD-KArte kaputt geschrieben. und sollte das passieren, habe ich ein backup. Eine neue SD-Karte von den Rapsi kostet einen 1-stelligen Euro Betrag.

Wenn du dir dennoch Gedanken machen willst, befasse dich mit "log2ram" oder "folder2ram"

Oder noch einfacher: schalte das logging ab.

Ich weiß eh nicht, was es bringen soll, wenn ich weiß, welcher client an welchem Tag wieviele Webseiten aufgerufen hat von denen der PiHole die Werbung nicht ausgeliefert hat. Für mich ist das in etwa so interessant, wie die durchschnittliche Erkrankungsquote an Fußpilz in China. Aber okay, es "ist ja alles so schön bunt hier" (1978, Nina Hagen)

 

[oneOeight]

Es gibt doch von Samsung die Endurance SD Karten, die halten angeblich 16 Jahre Dauerbeschreibung aus.

Und vielleicht dran denken, nur mit dem offiziellen Tool von Sdcard.org formatieren, damit die Karte auch ihr Wear Leveling richtig machen kann.

 

[jteschner]

naja, dass eine SD-Karte kein unendliches Leben hat is eigentlich klar. ich habe bisher aber noch keine SD-KArte kaputt geschrieben. und sollte das passieren, habe ich ein backup. Eine neue SD-Karte von den Rapsi kostet einen 1-stelligen Euro Betrag.

Wenn du dir dennoch Gedanken machen willst, befasse dich mit "log2ram" oder "folder2ram"

Oder noch einfacher: schalte das logging ab.

Ich weiß eh nicht, was es bringen soll, wenn ich weiß, welcher client an welchem Tag wieviele Webseiten aufgerufen hat von denen der PiHole die Werbung nicht ausgeliefert hat. Für mich ist das in etwa so interessant, wie die durchschnittliche Erkrankungsquote an Fußpilz in China. Aber okay, es "ist ja alles so schön bunt hier" (1978, Nina Hagen)

Genau so werde ich das wahrscheinlich auch tun -- sobald ich weiss, dass alles schön läuft und ich sowieso nicht mehr reinschaue. Das Ergebnis sehe ich ja jeden Tag an der fehlenden Werbung

Es geht mir auch nicht um die Kosten, sondern eher darum, dass ich keinen Bock auf ungeplante Ausfälle habe - so etwas kann zwar immer passieren, aber wenn man das Risiko verkleinern kann ...