Aller au contenu

Problème Pi-hole + DNS server


firlin

Messages recommandés

Bonjour,

Quand j’essaie de mettre Pi-hole avec mon serveur DNS (serveur instalelr sur mon nas avecle tutos de Fenrir) , j’ai mes alias qui ne fonctionnent plus.

J’ai câblé Pi-hole et server DNS comme suit :

Coté FreeBox                                                   Coté Pi-hole                                      Coté DNS serveur

192.168.1.27                                                      80.67.169.12                                      192.168.1.27

80.67.169.12                                                      80.67.169.40                                      80.67.169.12

80.67.169.40

Sachant que l’adresse Ip : 192.168.1.27 c’est celle de Pi-hole, elle est fixée au niveau de la box.

192.168.1.21 c’est celle du nas, idem fixé au niveau de la box.

Je sais que ma conf DNS serveur fonctionne car je l’ai utilisé depuis plus d’un an.

Pour information le Pi-hole est sur un orangePi (c’est comme un raspberry Pi) .

Sauriez-vous me dire d’où vient mon problème ?

Lien vers le commentaire
Partager sur d’autres sites

En effet, tu ne fais plus intervenir ton serveur dans ton circuit.
Attention qu'il ne faut pas confondre ce que ton serveur DHCP attribue comme serveur DNS à ses clients, et ses propres DNS, qu'il reçoit normalement du FAI.
Ce que je te conseille, c'est de dire au serveur DHCP de ta Freebox d'attribuer comme serveur DNS à ses clients ton résolveur local (192.168.1.21), et dans DNS Serveur (Synology) tu fais pointer tes redirecteurs vers ton Pihole (192.168.1.27), et seulement lui (pas de deuxième serveur).
Ainsi, quand tu cherches à joindre un domaine local, tu laisses le pihole en dehors du circuit, ça n'a pas d'intérêt vu que tu restes chez toi.
Si ton résolveur ne trouve pas d'enregistrement correspondant à ta demande, ça t'envoie vers le Pihole, pour lequel tu peux renseigner en DNS1 et 2 les IP de FDN comme tu l'as fait.

Il y a un inconvénient à cette architecture, c'est que les deux périphériques (pihole et NAS) doivent être connectés en permanence.

Par contre, pourquoi renseigner le Pihole comme serveur DNS pour la Freebox ? Même si ça doit marcher, ça crée une sorte de boucle, pour moi ça n'a pas de sens, on indique à un périphérique en amont un serveur DNS en aval...

EDIT : Propos plus clair

Modifié par shadowking
Lien vers le commentaire
Partager sur d’autres sites

Donc si je résume @shadowking je dois faire ça

Coté FreeBox                                                   Coté Pi-hole                                      Coté DNS serveur

192.168.1.21                                                      80.67.169.12                                      192.168.1.27

80.67.169.12                                                      80.67.169.40                                      80.67.169.12

80.67.169.40

 

 

Lien vers le commentaire
Partager sur d’autres sites

Pour moi le serveur DHCP de la Freebox n'envoie que 192.168.1.21 comme serveur DNS à ses clients via son serveur DHCP.
Ainsi tous tes périphériques seront obligés de passer par le serveur DNS sur le NAS.
J'imagine que c'est pour ça que tu l'utilises, chaque périphérique pourra faire de la résolution locale d'adresse.
A partir du moment où tes périphériques demandent une adresse internet, il faut que le serveur DNS local passe la main à Pihole, donc dans ses redirecteurs tu mets une seule adresse, celle du Pihole, 192.168.1.27
Dans Pihole, tu peux donner deux adresses IPv4 ou IPv6 (Custom DNS 1 et 2), tu y mets les adresses FDN : 80.67.169.12 et 40

En reprenant ton schéma j'enlève donc ce qui est en rouge et laisse ce qui est ok en vert :

Il y a 12 heures, firlin a dit :

DHCP FreeBox                                                   Coté Pi-hole                                      Coté DNS serveur

192.168.1.21                                                      80.67.169.12                                      192.168.1.27

80.67.169.12                                                      80.67.169.40                                      80.67.169.12

80.67.169.40

Attention que par Freebox je parle de son serveur DHCP, donc celui qui distribue les IP à tes autres périphériques.
La Freebox a ses propres DNS, généralement ceux du FAI.
Si tu peux les changer, mets ceux de FDN.

Lien vers le commentaire
Partager sur d’autres sites

Il faut voir qu'ainsi, tu es certain que tes requêtes passent forcément par ton résolveur local puis par ton Pihole si nécessaire.
En revanche, pour peu qu'un des deux soit désactivé/déconnecté/planté ou autre, tu n'auras plus de résolution DNS.
Si tu fais comme tu as proposé, tu n'auras plus ce problème, par contre tu n'es pas sûr que tes requêtes passeront par ton résolveur local et encore moins par ton Pihole.
La solution est de faire de la redondance, mais je ne m'étendrai pas là-dessus car il y autant de méthodes qu'on veut pour en faire, ça peut être matériel, logiciel, être coûteux ou pas, bref c'est un sujet à part entière. 😛 

Lien vers le commentaire
Partager sur d’autres sites

En effet, si tu penses que ton orangePi pourrait être éteint de temps à autre, alors il vaut mieux ajouter un 2ème redirecteur dans DNS serveur sur ton NAS, avec l'adresse primaire FDN, ce qui donne :

Il y a 16 heures, firlin a dit :

DHCP FreeBox                                                   Coté Pi-hole                                      Coté DNS serveur

192.168.1.21                                                      80.67.169.12                                      192.168.1.27

80.67.169.12                                                      80.67.169.40                                      80.67.169.12

80.67.169.40

Lien vers le commentaire
Partager sur d’autres sites

Je préfère faire l'inverse , tous les clients demande a Pi-Hole et Pi-Hole demande a DNS Server.

Avec votre configuration actuelle ce qui est dommage c'est que dans Pi-Hole vous ne verrez que 192.168.1.21 comme client.

Du coup pour identifier "qui demande quoi" ça va être coton vus que c'est le NAS qui demande tout dans les logs de Pi-Hole.  

Bon après si celà ce trouve vous ne vous servez pas de cette fonction.

A voir. 

Lien vers le commentaire
Partager sur d’autres sites

Je n'ai jamais eu ce problème, seulement si j'utilise Pihole sur le NAS plutôt que sur un appareil dédié.
Après ça fait longtemps que je ne l'ai pas utilisé, il y a peut-être du changement, voir avec @firlin s'il n'a effectivement qu'un seul client dans sa top list sur Pihole.

Lien vers le commentaire
Partager sur d’autres sites

Bonjour,

j'ai monté une configuration équivalente :

  • DNS server sur le Syno
    • les équipements du LAN s'adressent au DNS server du Syno pour les requêtes DNS
    • du coup, le Syno gère les requêtes locales
    • le DNS Server du Syno transmet ses requêtes vers le PiHole
  • PiHole server :
    • hébergé dans un container Docker sur le Syno
    • reçoit les requêtes du DNS server du Syno
    • forwarde les requêtes vers les DNS externes (FDN)
  • le serveur DHCP sur le réseau est supporté par la Freebox.

Et donc effectivement, le seul client visible du PiHole, c'est le DNS Server du NAS.

En cas de plantage du Syno, alors de grandes chances qu'à la fois le DNS server Syno et le PiHole server hebergé soient plantés. Dans ce cas, les équipements du LAN se rabattent sur le second DNS server proposé via le DHCP de la Box.

Configuration en place depuis quelques jours, opérationnelle depuis quelques heures 🙂

A priori ça marche bien. Il faut que je continue à observer. En fait, ce sont maintenant surtout les blacklist / whitelist qu'il faut ajuster pour bloquer le contenu indésirable, tout en préservant la navigation licite. et dés que l'on est dans le monde Google/Youtube, ..., de plus en plus difficile de supprimer les pubs ou les trackers sans en même temps se couper du service .... Reste également (mais c'est un autre sujet) à ajuster les paramètres du docker PiHole pour assurer la persistance des données lors d'upgrade de l'image Docker la plus automatisée possible ....

Lien vers le commentaire
Partager sur d’autres sites

Bonjour bruno78 ,

 

il y a une heure, bruno78 a dit :

Et donc effectivement, le seul client visible du PiHole, c'est le DNS Server du NAS.

D'apres shadowking le comportement de pi-hole n'est pas le même avec un Raspberry Pi , il se pourrait que firlin puisse quand même voir les IPs des clients de DNS Server.

Personnellement je suis également sur docker donc je ne saurais dire.

il y a une heure, bruno78 a dit :

En cas de plantage du Syno, alors de grandes chances qu'à la fois le DNS server Syno et le PiHole server hebergé soient plantés.

Effectivement c'est un risque , la seule "solution" que j'ai trouvé c'est de créer un VDSM et de mettre pi-hole dessus , mais si le NAS hôte crash => retour case départ.

Il y a 1 heure, bruno78 a dit :

Reste également (mais c'est un autre sujet) à ajuster les paramètres du docker PiHole pour assurer la persistance des données lors d'upgrade de l'image Docker la plus automatisée possible ....

Alors là par contre je ne saurais vous conseillez.Je ne suis jamais arrivé a update un container docker sans le foutre en l'air 😭 .

 

Lien vers le commentaire
Partager sur d’autres sites

Bonsoir,

pour la liste des clients visibles sur le docker Pihole, clairement on ne voit que l'adresse IP attribuée au réseau macvlan du NAS :

image.thumb.png.59bb338cd246edb590e719b9aa2a8570.png

 

Il faudrait que je ressorte le Raspberry PI du tiroir pour voir si le comportement est différent.

L'idée de faire un VDSM et de mettre le PiHole dessus : c'est une idée. Est-ce que cela présente des avantages particuliers ?

Avez-vous des conseils particuliers pour les listes black & white ?

Lien vers le commentaire
Partager sur d’autres sites

Je me sers de VirtualDSM pour éviter d'exposer mon NAS directement sur internet.

C'est sur lui que je forward mon port 443 et il héberge les services a destination d'internet (web station / nextcloud / audio station / reverse proxy...etc).

Du coup j'ai mis pi-hole sur vdsm pour profiter de l'ip différente du NAS hôte et DNS Server est sur le NAS hôte.

Pour les black-list j'ai utilisé celles du tuto d'evildead qui sont sur : https://firebog.net 

Pour ce qui est de la white-list il faut la faire soit-même , regarder le query log et rechercher les requêtes bloqués pour savoir a quoi cela correspond.

 

Lien vers le commentaire
Partager sur d’autres sites

OK je comprends pour l'utilisation VDSM.Tu as mis en œuvre la VDSM pour de multiples services, et du coup tu en as logiquement profité pour y placer également PiHole. N'ayant pas déployé de VDSM, c'est peut-être excessif de la déployer juste pour y installer PiHole ? Après, plus globalement, je vais me poser la question effectivement d'une VDSM pour ne pas exposer le NAS directement sur Internet. Ce sera un autre chantier.

Pour les listes, oui, effectivement, j'ai à peu de choses près trouvé les mêmes listes. Donc OK. Mais c'est vrai qu'avoir un lieu qui les centralise, c'est bien.

Côté whitelists, j'ai utilisé les listes "anudeepND commonly accepted whitelist" et "anudeepND whitelist optional" (partiellement). Quoi qu'il en soit, je vais observer quelques temps pour trouver le réglage optimal.

Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.