[TUTO] [Docker - macvlan] Pi-Hole (V5)

[MilesTEG1]

@Jeff777 J'aime bien aussi celui-là de site pour les CIDR : https://www.cidr.eu/en/calculator/+/192.168.2.208/28

[Jeff777]

Le 29/01/2023 à 22:19, MilesTEG1 a dit :

J'aime bien aussi celui-là de site pour les CIDR

Ah oui. Je le mets dans mes favoris "tools".

Il précise la plage de résevation et la plage utilisable. 

J'essaie de montrer les requêtes IPV6 dans le Dashboard, j'y arrivais avec pihole sur Raspberry mais là c'est plus difficile.

Modifié le 2 février 2023 par Jeff777

[Jeff777]

Le 29/01/2023 à 22:30, Jeff777 a dit :

J'essaie de montrer les requêtes IPV6 dans le Dashboard

ça fonctionne ! Il faut modifier le macvlan-net.sh avec, devant -o parent... :

--IPV6   puis --subnet..., --ip-range... et --gateway... IPV6 comme pour l'IPV4.

J'ai aussi modifié le daemon.json (etc/docker/daemon.json) selon :

https://gist.github.com/zottelbeyer/c47b1a48b9c5c69796a712466e7fb71f

7 premières lignes seulement. Le reste est assuré par le fichier .sh que l'on vient de modifier.

Comme indiqué pas sûr que ce dernier point soit nécessaire.

[.Shad.]

Attention qu'utiliser Docker avec IPv6 activé, ce n'est pas idéal.
Voir ici : https://github.com/robbertkl/docker-ipv6nat
Perso j'ai testé quelques mois avec l'image ci-dessus, même si ça fonctionne relativement bien il y a quelques dysfonctionnements de principe et j'en suis revenu, je suis même revenu à du pur IPv4 pour tout ce qui est communication locale, en revanche j'utilise l'IPv6 de préférence pour la communication avec l'extérieur.

Modifié le 4 février 2023 par .Shad.

[Jeff777]

Bonjour @.Shad.

Je n'ai pas utilisé cette image, j'ai uniquement fait ce qui est indiqué ci-dessus.

J'ai ton docker compose avec mon réseau ipv6 en plus, sauf  pour dns_bogus_priv false. J'utilise le conditionnal forwarding avec l'adresse virtuelle du nas (pour avoir les adresses de ma zone). Avec l'adresse de mon router qui fait dhcp pourtant j'avais toujours les adresses ip et non les noms d'hôte.

Enfin l'ordre des redirections est : router ==》ip virtuelles des nas ==》piholes en redirection des zones==》fdn ou autre en upstream dns des piholes. 

Si j'inverse nas et pihole j'ai des pub au bout de qq temps. Je ne sais pas d'où vient la fuite.

Dans cette configuration tout fonctionne sans bug. En ce moment je suis  en point d'accès sur le tel de mon épouse  et je me sers de ma connexion par vpn pour filtrer les pub. 

 

Modifié le 4 février 2023 par Jeff777

[Dimebag Darrell]

Bonsoir tout le monde,

Suite à un restore de mes paramètres systeme sur mon syno (erreurs lors de la gestions de mes droits et authorisations des users)

Maintenant sur pihole, j'ai ce type de message qui apparait

Même si j'essaie de réinstaller "from scratch" un nouveau container pihole !...

023-04-02T22:49:26.626971549Z 
2023-04-02T22:49:26.627168655Z   [✗] Unable to copy data from /etc/pihole/gravity.db to /etc/pihole/gravity.db_temp
2023-04-02T22:49:26.627784587Z   
2023-04-02T22:49:26.627852463Z    [✗] Unable to create gravity database. Please try again later. If the problem persists, please contact support.
2023-04-02T22:49:28.522851309Z Stopping pihole-FTL
2023-04-02T22:49:28.524815448Z pihole-FTL: no process found
2023-04-02T22:49:30.457269902Z Stopping pihole-FTL
2023-04-02T22:49:30.459401694Z pihole-FTL: no process found
2023-04-02T22:49:32.689037662Z Stopping pihole-FTL
2023-04-02T22:49:32.690976351Z pihole-FTL: no process found
2023-04-02T22:49:34.371869996Z Stopping pihole-FTL
2023-04-02T22:49:34.373830460Z pihole-FTL: no process found
2023-04-02T22:49:35.296503843Z Stopping pihole-FTL
2023-04-02T22:49:35.298273160Z pihole-FTL: no process found

 

[Dimebag Darrell]

Re, 

Voila, après m'être mechament creusé la tête, j'y suis parvenu,

Pour ceux qui ça interesserait, j'ai ajouté la création automatique du macvlan dans mon docker-compose

Par contre, j'ai ceci comme erreur dans diagnosis

ignoring nameserver 192.168.1.101 - local interface

@.Shad., si tu veux y jeter un oeil !!!!

 

version: '2.1'
services:

   pi-hole:
      image: pihole/pihole:latest
      container_name: Synology_pi-hole
      hostname: pi-hole
      networks:
         pihole_network:
            ipv4_address: 192.168.1.x #adresse IP de l'instance pi-hole
      environment:
         # General
         - ADMIN_EMAIL=monadressemail@mail.xyz
         - TZ=Europe/Paris
         - PIHOLE_DNS_=80.67.169.12;9.9.9.9              # IP des serveurs DNS FdN et Quad9
         - DNSSEC=false
         - DNS_BOGUS_PRIV=true
         - DNS_FQDN_REQUIRED=true
         - DNSMASQ_LISTENING=local 
         - INTERFACE=ovs_bond0                         # j'ai mis le bond de mon aggrégation réseaux (sinon, par défaut - ovs_eth0)
         - FTLCONF_LOCAL_IPV4=192.168.1.x            # IP du conteneur Pi-hole
         - VIRTUAL_HOST=pi-hole.localhost                  # Si on souhaite acceder a Pi-hole par un nom de domaine (proxy inverse par exemple)
         - WEBPASSWORD=passwordpihole
         # Mapping utilisateurs et groupes
         - PIHOLE_UID=1038                               # pihole UID
         - PIHOLE_GID=65539                              # pihole GID
                                                         # pihole-www GID
         # Conditional forwarding
         - REV_SERVER=true                               # Permet de recuperer les hostnames des peripheriques du reseau
         - REV_SERVER_TARGET=192.168.1.x             # Voir paragraphe CONDITIONAL FORWARDING (adresse de l'instance pihole)
         - REV_SERVER_CIDR=192.168.1.0/24              # Votre sous-reseau local
         - REV_SERVER_DOMAIN=localhost                     # Domaine local
         # Personnalisation interface
         - TEMPERATUREUNIT=C
         - WEBTHEME=default-darker
         - WEBUIBOXEDLAYOUT=boxed
      volumes:
         - /volume1/docker/pihole/pihole:/etc/pihole/
         - /volume1/docker/pihole/dnsmasq.d:/etc/dnsmasq.d/
      dns:
         - 127.0.0.1
         - 80.67.169.12
      restart: unless-stopped

networks:
  pihole_network:
    driver: macvlan
    driver_opts:
      parent: ovs_bond0  #par défaut - ovs_eth0
    ipam:
      config:
        - subnet: 192.168.1.0/24            # <-- Update
          gateway: 192.168.1.3              # <-- Update
          ip_range: 192.168.1.192/24        # <-- Update

 

Modifié le 3 avril 2023 par Dimebag Darrell

[.Shad.]

@Dimebag Darrell Le plus probable est que tu as restauré Portainer, qu'il a automatiquement recréé les stacks sans que les dossiers de données ne soient présents.
Je le sais car je suis déjà tombé dans le panneau. 😉 Dans ce cas-là tu dois t'assurer de rester en premier lieu les données des conteneurs, puis seulement restaurer Portainer.

Pour tes logs, ça a plutôt l'air d'être une info qu'une erreur. Aucune idée sinon.

[Dimebag Darrell]

Il y a 1 heure, .Shad. a dit :

@Dimebag Darrell Le plus probable est que tu as restauré Portainer, qu'il a automatiquement recréé les stacks sans que les dossiers de données ne soient présents.
Je le sais car je suis déjà tombé dans le panneau. 😉 Dans ce cas-là tu dois t'assurer de rester en premier lieu les données des conteneurs, puis seulement restaurer Portainer.

Pour tes logs, ça a plutôt l'air d'être une info qu'une erreur. Aucune idée sinon.

Merci pour l'info, @.Shad.

Au final, comment as tu résolu le problème pour portainer ? (tu y es allé à la brutal, c'est à dire, tout supprimer et repartir d'une install toute fraîche ?)

Modifié le 3 avril 2023 par Dimebag Darrell

[Jeff777]

Bonjour @.Shad.

Pour la petite histoire j'ai rétabli mes piholes avec mes nouveaux interfaces 2.5Gbts.

Et j'en ai profité pour corriger un pb :

De temps en temps après une période d'inactivité je retrouvais les pubs sur mon PC. Il me fallait alors redémarrer le PC pour retrouver un fonctionnement normal.

J'ai fini par trouver la solution. il fallait définir les DNS (IPV6 des IP virtuelles des NAS) dans la configuration IPV6 de la Freebox. Je suppose qu'en IPV6 les DNS par défaut était ceux de Free, ce qui faisait bypasser les pi-holes. 

Et pendant que j'y suis, une question : Sur mon PC en employant un scanner d'IP (advanced IP scanner) ou même sur la table ARP, les adresses MAC des IP réelles ou virtuelles sont  identiques et ce sont les adresses MAC définies virtuellement. J'avais déjà ce problème avant de passer aux interfaces 2.5Gbts. As tu la même chose ?

 

[MilesTEG1]

Il y a 2 heures, Jeff777 a dit :

J'ai fini par trouver la solution. il fallait définir les DNS (IPV6 des IP virtuelles des NAS) dans la configuration IPV6 de la Freebox. Je suppose qu'en IPV6 les DNS par défaut était ceux de Free, ce qui faisait bypasser les pi-holes. 

 

Salut @Jeff777
Cette partie m'intéresse beaucoup 🙂
Pourrais-tu rédiger un mini tuto sur comment faire tout ça ?
Je n'ai jamais réussi à trouver comment faire, ni d'explications assez simples pour que je comprenne.
J'ai désactivé toutes IPv6 partout où je pouvais.
 

[Jeff777]

il y a 3 minutes, MilesTEG1 a dit :

Pourrais-tu rédiger un mini tuto sur comment faire tout ça ?

Il y a déjà mes échanges précédent...plus haut. Je vais essayer de trouver un moment pour rédiger ça.

[.Shad.]

Il y a 2 heures, Jeff777 a dit :

J'ai fini par trouver la solution. il fallait définir les DNS (IPV6 des IP virtuelles des NAS) dans la configuration IPV6 de la Freebox. Je suppose qu'en IPV6 les DNS par défaut était ceux de Free, ce qui faisait bypasser les pi-holes.

Là tu dis à ta box d'utiliser les Pi-hole pour résoudre les requêtes IPv6.
Ca marche car la box fait son router advertisement sur le réseau et que le serveur DNS utilisé est celui de la box (qui renvoie vers Pi-Hole).

Ca marche, mais je trouve toujours ça gênant de fonctionner dans ce sens.
Surtout si tu as une partie de ton interface gérable en ligne, ce n'est pas sûr que tu puisses faire quoique ce soit si la résolution DNS déconne.

C'est plus compliqué en IPv6 en réalité. Pourquoi ?
Car un serveur DHCPv6 n'envoie pas de passerelle DNS, contrairement à l'IPv4. C'est le mécanisme du Router Advertisement (RA) qui diffuse l'IPv6 du routeur comme passerelle IPv6. Donc dans les faits, ta méthode est la plus simple, mais pas la plus robuste.

Tu peux lire ce post très intéressant qui décrit bien le problème.
Les solutions dépendent de ce que ta passerelle IPv6 permettra.

[Jeff777]

il y a 9 minutes, .Shad. a dit :

je trouve toujours ça gênant de fonctionner dans ce sens.

Oui au tout début j'avais les pihole en DNS et les nas en résolveurs des piholes. Mais dans ce cas j'avais beaucoup plus d'erreur de filtrage. Je pourrais rééssayer en ajoutant les IPV6 des pi-holes sur la config DNS IPV6 de la freebox.

Tu crois que ce serait mieux?

il y a 14 minutes, .Shad. a dit :

Tu peux lire ce post très intéressant qui décrit bien le problème.

Heu quel post, tu as voulu mettre un lien ?

il y a 23 minutes, .Shad. a dit :

Là tu dis à ta box d'utiliser les Pi-hole pour résoudre les requêtes IPv6.

Euh non! Je dis à ma box d'utiliser les nas (DNS Serveurs) pour résoudre les requète IPV6 comme j'avais fait pour les requètes IPV4.

[.Shad.]

@Jeff777 Oui oublié de mettre le lien désolé 😢 : Pi-Hole and IPV6 - How to make it work? - Help / Community Help - Pi-hole Userspace

il y a 18 minutes, Jeff777 a dit :

Euh non! Je dis à ma box d'utiliser les nas (DNS Serveurs) pour résoudre les requète IPV6 comme j'avais fait pour les requètes IPV4.

Ok, donc la box se sert des DNS des NAS qui eux-mêmes interrogent ceux de Pi-hole ?

[Jeff777]

il y a 1 minute, .Shad. a dit :

Ok, donc la box se sert des DNS des NAS qui eux-mêmes interrogent ceux de Pi-hole ?

oui c'est bien cela. Est-ce que ce serait mieux dans le sens ?

 

[PiwiLAbruti]

il y a 28 minutes, .Shad. a dit :

Là tu dis à ta box d'utiliser les Pi-hole pour résoudre les requêtes IPv6.

Je ne pense pas qu'il soit possible de modifier les serveur DNS utilisés par la Freebox elle-même (ce seront toujours ceux de Free).

Par contre, en renseignant les serveurs DNS IPv6 dans Freebox OS, la box va les annoncer aux hôtes du réseau.

[.Shad.]

Si on peut effectivement changer les gateways V6 depuis Freebox OS qui sont annoncés sur le réseau c'est parfait.

Free m'étonnera toujours. En Belgique les modems des FAI sont totalement cadenassés.

[PiwiLAbruti]

Je ne vois pas le rapport avec les passerelles (gateways) 🤔

[Mic13710]

il y a 38 minutes, PiwiLAbruti a dit :

Je ne pense pas qu'il soit possible de modifier les serveur DNS utilisés par la Freebox elle-même (ce seront toujours ceux de Free).

A moins de n'avoir pas bien compris de quels DNS tu parles, il est possible de définir jusqu'à 5 serveurs DNS dans freebox OS :

[Jeff777]

il y a 42 minutes, PiwiLAbruti a dit :

Je ne pense pas qu'il soit possible de modifier les serveur DNS utilisés par la Freebox

Bien sûr que si. 

DNS IPV4 :

DNS IPV6:

 

[.Shad.]

il y a 9 minutes, PiwiLAbruti a dit :

Je ne vois pas le rapport avec les passerelles (gateways) 🤔

Je me suis peut-être mal exprimé en utilisant le mot passerelle.
De ce que j'en ai compris, un serveur DHCPv6 peut distribuer les IP à la manière d'un serveur DHCPv4, mais les serveurs DNS IPv6 à utiliser pour les clients sont obtenus par le mécanisme du Router Advertisement (RA). En l'état, le routeur fournira sa propre IPv6 comme serveur DNS à utiliser pour tous les cliens DHCP du réseau.

Donc pour que les clients utilisent Pi-Hole comme serveur DNS IPv6 il faut que :

• Pi-Hole soit lui-même un serveur DHCP, fonction qu'il embarque mais tâche qui me semble trop importante pour lui être confiée.
• Le routeur principal (ici la box) puisse promulguer une autre IPv6 que la sienne via son RA.

Moi de ce que je vois de l'écran de @Jeff777 c'est qu'il peut effectivement forcer l'utilisation de serveurs DNS personnalisés pour la box même (si l'agencement des menus a été logiquement fait), auquel cas, s'ils renseignent les IPv6 des conteneurs Pi-Hole, s'ils ne répondent plus, sa Freebox (et son réseau) ne saura plus résoudre les domaines en IPv6, a priori ça entrainera juste un fallback en IPv4, ça pourrait être relativement transparent, au plus une petite latence au chargement d'une page pas en cache.

Sujet pas toujours évident, et je peux très bien avoir compris de travers.

[Jeff777]

Il y a 2 heures, .Shad. a dit :

Oui oublié de mettre le lien désolé

Oui, mais dans ton lien on parle de pi-hole. Mes problèmes de fuite DNS sur l'IPV6 c'est avec le freebox.

J'imagine que : Lorsque les requêtes sont IPV4 ,pas de problème, elles sont résolues avec les DNS IPV4 que j'ai mis dans la freebox (donc renvoi vers les nas qui ont les pi-holes en résolveur qui bloquent les pub et laissent passer le reste résolu par FDN). Par contre je suspecte que les requêtes IPV6 peuvent être résolues par les DNS IPV6 de Free qui ne filtrent plus les pubs. En mettant les IPV6 des nas ça nsemble résoudre le problème.

Bon c'est pas trop scientifique ce que je raconte mais c'est du vécu 😉

 

il y a 34 minutes, .Shad. a dit :

un serveur DHCPv6

Je n'ai jamais coché cette case dans la config Freebox. Je suis en stateless (aussi sur le PC) et lorsque j'avais la box en bridge sur l'Edgemax ER-X, j'avais configuré ce dernier en router advert. pour transmettre le préfix IPV6.

Modifié le 10 mai 2023 par Jeff777

[PiwiLAbruti]

il y a 56 minutes, Jeff777 a dit :

Bien sûr que si.

Bien sûr que non 😄. Et c'est d'ailleurs la confusion que vous faites depuis le début.

Ce que tu montres en capture d'écran, ce sont les adresses des serveurs DNS distribués par la box aux appareils du réseau (via DHCP pour les DNS IPv4, et RA pour les DNS IPv6). Ça ne veut en aucun cas dire que la box utilise également ces serveurs DNS pour ses propres résolutions, ce serait d'ailleurs très surprenant qu'un opérateur laisse cette possibilité à ses clients.

il y a 43 minutes, .Shad. a dit :

En l'état, le routeur fournira sa propre IPv6 comme serveur DNS à utiliser pour tous les cliens DHCP du réseau.

Je n'ai pas vérifié ce que distribue la box comme DNS IPv6 lorsque rien n'est renseigné dans l'onglet [DNS IPv6]. Ce qui est sûr, c'est quelle distribue bien les adresses DNS IPv6 aux appareils du réseau lorsqu'elles sont renseignés.

il y a 50 minutes, .Shad. a dit :

Donc pour que les clients utilisent Pi-Hole comme serveur DNS IPv6 il faut que :

• Pi-Hole soit lui-même un serveur DHCP, fonction qu'il embarque mais tâche qui me semble trop importante pour lui être confiée.
• Le routeur principal (ici la box) puisse promulguer une autre IPv6 que la sienne via son RA.

Non, il faut juste renseigner l'adresse IPv6 de Pi-Hole dans l'onglet [DNS IPv6] de la Freebox pour qu'elle soit distribuée aux appareils du réseau.

[Mic13710]

il y a 20 minutes, PiwiLAbruti a dit :

Ça ne veut en aucun cas dire que la box utilise également ces serveurs DNS pour ses propres résolutions, ce serait d'ailleurs très surprenant qu'un opérateur laisse cette possibilité à ses clients.

Je suis d'accord et je comprends mieux ce dont tu parlais plus haut.

Pour le savoir, il suffit de passer la box en bridge et là on pourrait voir les DNS associés à l'adresse publique. Sinon, sauf erreur, ces DNS n'ont aucun intérêt du point de vue du client, seulement pour les très rares cas où le dit client utilise uniquement l'IP publique (pas de DHCP, pas de routeur derrière la box). Ca doit se compter sur les doigts de la main 😉.

Et donc, à moins que quelque chose m'échappe, les seuls qui devraient nous intéresser sont ceux paramétrés dans le serveur DHCP qui sont distribués vers les clients.