Pihole & Unbound / Synology NAS

Tazmanian

UniFier
5 feb 2020
114
12
18
Ik wil gebruik maken van Pihole en Unbound in docker containers op mijn DS918+

Wie kan mij helpen met de beste keuzes te maken.

Eerst mijn netwerk situatie. Bedoeling is dat alle clients op het default netwerk via Pihole gaan:

Ik gebruik een UDM Pro, deze staat op 10.52.0.1
Ik heb 4 netwerken
Default 10.52.0.x
Cameras 10.52.1.x
IoT 10.52.40.x
Guests 10.52.50.x

- Default
Dit zijn al mijn normale apparaten (gsm, laptop, nas, ..) hier wordt op gewerkt dus deze wil ik laten lopen via Pihole

- Camera's
zijn enkel mijn 4 netwerk camera's, die laten lopen via Pihole is niet nodig. Ze maken enkel verbinding naar buiten in geval van updates. Hebben geen toegang tot andere netwerken.

- IoT
Zijn mijn slimme toestellen. Mogen naar buiten maar hebben geen toegang tot andere netwerken of de UDM, wel naar mijn Home Assistant.

- Guests
Hebben geen toegang tot andere netwerken en GW, enkel tot de printer.

De UDM pro staat ingesteld als de DHCP server en wil dit ook zo behouden.

Nu er staan op internet verschillende compose files maar zijn er die Pihole en Unbound hebben draaien in docker in combinatie met Unifi GW en hoe staat dit ingesteld ?

Welk netwerk optie is het beste te kiezen voor mijn situatie? Brigde, host of macvlan?
Mijn HA docker is voorlopig de enige die op de host mode draait.

Ik maak ook gebruik van IPv6 ... dus moet even zien hoe dat moet worden ingesteld om het ipv6 verkeer ook via Pihole te laten lopen.

En wat moet er juist worden ingesteld op de UDM Pro.
Ik veronderstel dat de DNS dan moet worden ingesteld op netwerk niveau naar de Pihole en niet op WAN niveau?



P.S.: Heb dit ook gepost op het Synology Forum.



Alvast bedankt voor jullie feedback.
 
Ik heb geen ervaring met of kennis van Ubound, maar wat ik zo zie is ook dat 'gewoon' een DNS-gebaseerd filter.
Verkeer loopt er net als bij de Pihole niet doorheen, maar je laat die software de resolving verzorgen en filteren.

Dat betekent dus dat je in beide gevallen simpelweg het ip-adres voor DNS resolving vanuit de UniFi DHCP naar het (virtual) appliance stuurt.
Ook in IPv6 kan dat, zelfs als je geen DHCP voor IPv6 maar SLAAC gebruikt:
1729770470046.png
En dat dus ook voor IPv4.

Die containers moeten dus wel ook IPv6 'praten' om dat ook te kunnen gebruiken.
Ben wel benieuwd waarom je beiden tegelijk gaat inzetten, en in welke vorm.
 
Ondertussen deze mooie tutorial gevonden om Pihole en Unbound op de Synology te installeren.

Blijk dat macvlan de beste optie is.
Als ik het goed heb kan dit dan gewoon een IP zijn binnen mijn default netwerk. Bv. 10.52.0.52 waarop de Pihole dan te benaderen is.

Ik veronderstel dat ik bij INTERNET > PRIMARY -> De DNS gewoon kan gebruiken van bv. CloudFlare
En dat dan bij NETWERK > Default -> bij DNS server 10.52.0.52 zet (en als tweede Cloudlfare als fallback moest mijn NAS offline zijn)

Misschien dat ik de andere netwerken ook via de Pihole ga laten lopen maar dan moet ik de firewall aanpassen dat die naar 10.52.0.52 mogen gaan.
Eerst zien dat het default netwerk werk en het dan eventueel uitbreiden naar de andere netwerken.


Ipv6 nog aan het uitzoeken of bovenstaande optie voldoende is of dat ipv6 ook nodig is in te stellen als DNS.
 
Ipv6 nog aan het uitzoeken of bovenstaande optie voldoende is of dat ipv6 ook nodig is in te stellen als DNS.
Als je alleen IPv4 configureert gaat IPv6 niet automagisch mee.
Zoals gezegd: er loopt niets dóórheen (wat wel een beetje lijkt als je "alle clients op het default netwerk via Pihole gaan" schrijft); alleen de resolving loopt via de Pihole of Unbound. Regel je niets voor IPv6, gebeurt er ook niets en gaan IPv6 pratende clients gewoon bij de bij hen bekende DNS servers vragen waar ze moeten zijn.
 
Ipv6 moet ik eens gaan uitzoeken.
Wat alles local is gebasseerd op ipv4. (firewall en dergelijke)

Dat kan later nog volgen.
 
Heb je al is gekeken naar AdguardHome? die heb ik ooit vervangen. Dubbel uitgevoerd (1 op server 1 op RPI) en daarmee redirect ik ook local dns (bijvoorbeeld .local.****.tech) naar me interne Nginx zodat ik intern ook certs heb :)
 
Alleen op IPv4 is prima*, maar zorg dan ook wel dat je het actief blokkeert zodat er geen route naar buiten is over IPv6.
Elk modern OS zal standaard IPv6 aan hebben en ik in ieder geval Windows geeft de voorkeur aan IPv6 boven IPv4.
Je kunt op een client met een webbrowser eens naar https://test-ipv6.com/ gaan en kijken wat deze site van jouw config zegt; als die aangeeft dat IPv6 in het geheel niet functioneert dan hoef je je ook geen zorgen te maken dat de op IPv4 basis geconfigureerde DNS blokkades gepasseerd worden.

*(alhoewel een tikkie ouderwets natuurlijk, maar wie ben ik om daar over te oordelen. 😋 )
 
  • Leuk
Waarderingen: edwin2019
Nee ik wil sowieso ook over ipv6 gaan. Al is het maar toekomstgericht en monderner ;-)

Alleen weet ik niet juist hoe Ipv6 helemaal werkt, dat moet ik dan ook weer gaan uitzoeken.
Ik heb wel al gevonden dat wanneer ik de local ipv6 subnet toevoeg in de firewall van mijn nas ik de NAS via ipv6 kan bereiken, dus dat gaat alvast goed.

Maar wat ik me afvraag. In de Unifi controller kan je ipv4 vast zetten, maar ipv6 niet.
En dat kan dan wel een probleem geven ... of wordt het ipv6 adres normaal niet zomaar aangepast?
 
Heb je al is gekeken naar AdguardHome? die heb ik ooit vervangen. Dubbel uitgevoerd (1 op server 1 op RPI) en daarmee redirect ik ook local dns (bijvoorbeeld .local.****.tech) naar me interne Nginx zodat ik intern ook certs heb :)

Daar ga ik ook eens naar kijken.
Heb je dat nog altijd draaien? Voordelen/nadelen tov Pihole?
Wat moet je dan instellen in de Unifi Controller?
 
Ik heb het ( 2x PiHole en Unbound ) draaiende gekregen door video's op dit kanaal te volgen:
Is wel in het Duits, maar goed te volgen.
Inderdaad MacVlan netwerk gebruiken.
 
@Tazmanian Probeer niet teveel IPv4 te denken als je met IPv6 bezig bent, al zijn zaken als poorten en DNS natuurlijk gewoon aanwezig.
Er is geen sprake van één adres voor een device. Om het makkelijker te maken. Je hebt er altijd minimaal 2.

Je hebt zowel een lokaal als een publiek adres. Als je naar dat lokale adres kijkt zie je dat het mac-adres er in zit; dat ligt daarmee dus vast. In principe.
Voor het publieke adres is het afhankelijk van het segment dat je aanmaakt (en de prefix natuurlijk) maar volgens mij heeft de gateway altijd een ::1 adres.
En dus altijd vindbaar.

Maar ook bij mij niet te moeilijke vragen stellen over IPv6 hoor; ben altijd blij als het werkt maar in depth is het nog best een complex dingetje als je al zo lang met IPv4 aan het werken bent en IPv6 nog steeds maar af en toe voorbij komt.
 
  • Leuk
Waarderingen: edwin2019 en Tazmanian
Daar ga ik ook eens naar kijken.
Heb je dat nog altijd draaien? Voordelen/nadelen tov Pihole?
Wat moet je dan instellen in de Unifi Controller?
Wat je kan doen:

Een Raspberry Pi met Docker
- Adguard Home installeren
- Nginx Proxy manager installeren

Bij adguardhome heb je DNS Herschrijvingen waar je dus *.domeinnaam.nl kan redirecten, dit doe je naar je Nginx Proxy manager

Dan heb je vanaf daar een fijne UI om verkeer te redirecten :)

Als dit is wat je zoek haha
 
Klein puntje. Ik heb een Synology NAS geen Raspberry PI

Wat ik gewoon wil is de ads blocken.
Ik gebruik nu lokaal Ublock maar deze zal binnenkort niet meer werken.

En daarom dacht ik eraan om met Pihole en Unbound te gaan werken zodat het niet meer per client moet voorzien worden.
Dat is eigenlijk de enige insteek ;-)
 
Overigens en voor de goede orde: je weet dat de UDM zelf ook een hoop dingen kan hè?
Wel minder fancy, qua dashboard, maar zeker niet onbruikbaar.
Met onderstaande settings worden alle DNS requests sowieso bij de Adguard DNS servers neergelegd:
1729777177679.png
Vervolgens sta ik met een bypass firewall rule weer een paar domeinnamen toe waar ik wel van wil dat ze buiten deze filtering om gaan.
 
  • Leuk
Waarderingen: Tazmanian
Klein puntje. Ik heb een Synology NAS geen Raspberry PI

Wat ik gewoon wil is de ads blocken.
Ik gebruik nu lokaal Ublock maar deze zal binnenkort niet meer werken.

En daarom dacht ik eraan om met Pihole en Unbound te gaan werken zodat het niet meer per client moet voorzien worden.
Dat is eigenlijk de enige insteek ;-)
Je kan altijd een VM maken met docker er op :)

Maar ik zou inderdaad de stappen hieronder volgen, dat zal als ik het zo hoor genoeg zijn.

Hier eventueel ook nog andere opties (met verschillende beschermingen vanuit adguard zelf): https://adguard-dns.io/en/public-dns.html
 
Ik heb gekozen voor AdGuard netwerk_mode host.
Zo werkt het zonder extra instellingen.

Ik heb het al up en running.
In Unifi heb ik volgende DNS settings
NETWERK > DEFAULT
IPV4 DNS
10.52.0.100 (mijn nas en Adguard in docker)
94.140.14.14 (als backup moest mijn NAS eruit liggen)
IPV6 DNS
fe80::211:32ff:fe94:274b (mijn nas en adguard in docker)
2a10:50c0::ad1:ff (als backup)

De IP's werken want had dit eerst op mijn laptop getest door deze op client niveau aan te passen.
Vervolgens bovenstaande settings aangepast op Unifi.
Op mijn laptop werkt alles perfect.

Maar op 2 andere toestelling wordt de ipv6 DNS niet weergegeven.
Een laptop is 100% dezelfde laptop als die van mij. Als ik de ipv6 op client niveau op dit toestel aanpas werkt het ook.
Maar ze krijgen dus geen ipv6 dns van de Unifi. Geen idee waarom. Iemand?

Dit is hoe het hoort te staan, en zo staat het dus op mijn laptop
Schermafbeelding 2024-10-24 215336.png

Dit is hoe het staat op de clients die geen ipv6 DNS krijgen
Schermafbeelding 2024-10-24 215314.png

Wie heeft een idee hoe dit komt?

P.S.: op deze toestellen al ipconfig /flushdns gedaan alsook ipconfig /renew alsook een herstart.
 
Grappig. Ik zie hier hetzelfde.
Mijn knutsel-VM heeft wel een IPv6 DNS, mijn werklaptop niet.

Op zich is dat niet rampzalig; een IPv6-capable client kan best via IPv4 een DNS request doen en toch gewoon alle antwoorden terug krijgen, dus zowel IPv6 als IPv4. Zie het voorbeeld hieronder: client met alleen IPv4 DNS staan (die werklaptop dus), maar IPv6 wordt gewoon geresolved, en de huidige Round Robin volgorde is zelfs éérst IPv6, dan IPv4:

1729835854826.png
 
De client zal er idd geen last van hebben, maar probleem is wel dat het niet via de IPv6 van AdGuard gaat. Hierdoor werkt de AdGuard filtering dus niet.
Je kan dit makkelijk testen door in AdGuard bv. de toegang tot facebook.com te verbieden. Op mijn laptop met ipv6 dns records krijg je de melding dat de website niet bereikbaar is, de andere clients zonder ipv6 dns records gaan gewoon door naar facebook.
 
Dat is wel vreemd. Die vragen het dan toch via IPv4 en krijgen alsnog de antwoorden?
Of geeft Adguard geen antwoord en gaan ze daarom via de secundaire DNS, waarbij jij toestaat dat ze de AdGuard bypassen?
Wellicht voor de test sowieso die bypass voorkomen door even alleen AdGuard op te geven en geen fallback.

In mijn ervaring vallen clients vrij snel terug naar een 2e opgegeven DNS server; mijn 1e is altijd online, en toch krijgt de 2e best wel wat requests te verwerken.
 
Ik ben nog wat verder aan het kijken. Probleem blijkt dieper te liggen.

Zit nu op een client waar er geen ivp6 DNS wordt weergegeven.
De client krijgt ipv6 adressen. Wanneer ik ping naar een ipv6 website zie ik het ipv6 adres maar is er een request time out.

Dus ipv6 lijkt op die clients in het geheel niet te werken.

Echter nu geen idee waarom. Heb Bitdefender bv ook al volledig uitgeschakeld ...

Ook wanneer ik de DNS op adapter niveau toevoeg krijg ik die foutmelding
Zowel met Google DNS als mijn eigen DNS.

Dus de vraag is nu waarom werkt ipv6 niet op verschillende clients maar wel op 1 client.
Zitten in zelfde netwerk.
 
Activiteit
Er wordt op dit moment (nog) geen nieuwe reactie gepost.