Pihole im Synology Docker einstellen

[F!r3f0x]

Hallo Zusammen,

ich habe mir auf meine Synology in einen Dockercontainer Pihole installiert.
Aus dem Docker Container heraus weiß ich aktuell nicht, wie ich das ganze korrekt konfigurieren muss.

Der Docker Container ist via Reverse Proxy über die Synology DDNS erreichbar (bspw. myhome.synology.me:8446).
Die Synology hat die IP 192.168.144.41.
Die Fritzbox hat die IP 192.168.144.1.

Es gibt soweit ich weiß zwei Wege das Pihole der Fritzbox bekannt zu machen
1. Heimnetzwerk - Netzwerk - Netzwerkeinstellungen - IPv4 Adressen - Lokaler DNS Server
2. Accountinformationen - DNS Server

Ich habe an beide Varianten in der Fritzbox ausprobiert (nicht gleichzeitig) und die IP der Synology eingetragen. Im Pihole habe ich noch zusätzlich das Conditional Forwarding aktiviert. Die Namensauflösung funktioniert nicht, sodass ich nicht mehr ins Internet komme.

Jemand eine Idee was ich hier falsch mache? Wie muss ich den Pihole bzw. die Fritzbox richtig konfigurieren?

Ergänzung:
Trage ich die IP Adresse der Synology in den Adaptereinstellungen der Netzwerkkarte ein, kann ich die DDNS von Synology nicht mehr auflösen. Internet funktioniert auch nicht.

 

[F31v3l]

Bei "IP address of your DHCP Sever (router)" musst du die IP der FritzBox (192.168.144.1) eintragen, wenn die dein DHCP-Server ist.

 

[F!r3f0x]

Bei "IP address of your DHCP Sever (router)" musst du die IP der FritzBox (192.168.144.1) eintragen, wenn die dein DHCP-Server ist.

Ist natürlich richtig. Habe ich geändert auf 192.168.144.1

In der Fritzbox habe ich unter
1. Heimnetzwerk - Netzwerk - Netzwerkeinstellungen - IPv4 Adressen - Lokaler DNS Server
die IP der Synology eingetragen also 192.168.144.41

Ich habe jetzt Internetzugriff, aber im Pihole sehe ich noch keine aktiven Clients.

 

[RedRain]

Die Clients müssen zuerst ihre DHCP-Leases erneuern, damit sie den neuen DNS-Server kennen und nutzen. Bei Windows hilft ein "ipconfig /renew" auf der Kommandozeile.

 

[F!r3f0x]

Hab am iPhone die Wlan verbindung getrennt, aber bekomme keine Internetverbindung.
Am PC funktioniert es komischerweise wobei im Pihole weiterhin nichts geblockt wird.

 

[F31v3l]

Dann schau mal nach, ob überhaupt das Pihole als DNS genutzt wird.

Netzwerkadapter->Status->Details oder cmd->ipconfig /all

 

[F!r3f0x]

Ja, der DNS wird genutzt sobald ich das in der FritzBox einstelle.
Habe aber anschließend keine Verbindung mehr ins Internet. Pihole zeigt keine verbundenen Clients an.

 

[RedRain]

Du könntest auf der Pi-hole GUI prüfen, ob die zu nutzenden DNS-Server richtig hinterlegt sind (Settings - DNS - Upstream DNS Servers).
Was passiert, wenn du per CMD eine manuelle Namensauflösung versuchst ("nslookup computerbase.de 192.168.144.41")? Kommt es zu einem Timeout?
Darüber hinaus: Warum hast du den Pi-hole-Container per DDNS erreichbar gemacht?

 

[Raijin]

Der Docker Container ist via Reverse Proxy über die Synology DDNS erreichbar (bspw. myhome.synology.me:8446).

Ich hoffe du meinst damit nicht, dass du pihole später auch von unterwegs nutzen willst. Davon ist nämlich mit Nachdruck abzuraten, weil du damit einen Open DNS Resolver baust, der von niederträchtigen Individuen für DNS Amplification Attacks genutzt werden kann, eine Art DoS-Attacke. Passiert das, bekommst du schnell Podt von der Bundesnetzagentur, wenn das Opfer den Vorfall meldet und deine IP ins Spiel kommt.
Also bitte maximal die GUI und/oder ssh für pihole bzw den Container öffentlich erreichbar machen, wobei ich beides für unnötig halte.

Möchte man den heimischen DNS unterwegs nutzen, bitte nur mit VPN-Verbindung ins Heimnetzwerk.

Ich habe an beide Varianten in der Fritzbox ausprobiert (nicht gleichzeitig) und die IP der Synology eingetragen. Im Pihole habe ich noch zusätzlich das Conditional Forwarding aktiviert. Die Namensauflösung funktioniert nicht, sodass ich nicht mehr ins Internet komme.

Es gibt effektiv folgende Möglichkeiten, pihole in ein Netzwerk zu integrieren.

1)
Router-Upstream-DNS: pihole
DHCP-Server: Router
DNS via DHCP: Router

Pihole-Upstream-DNS: public DNS wie zB 1.1.1.1 oder 8.8.8.8

DNS-Kette: Client --> Router --> pihole --> 1.1.1.1/8.8.8.8

=> Pihole sieht nur einen einzigen Client, den Router. Lokale Namen (zB "MeinNAS") werden direkt im Router aufgelöst und nicht zu pihole durchgereicht.


2)
Router-Upstream-DNS = Provider-DNS oder ein public DNS
DHCP-Server: Router
DNS via DHCP: Pihole

Pihole-Upstream-DNS: Router

DNS-Kette: Client --> pihole --> Router --> Provider-/public DNS

=> pihole sieht alle Clients. Domains in der Blockliste werden direkt beantwortet, der Rest zum Router durchgereicht.


3)
Wie 2), aber mit
Pihole-Upstream-DNS: public DNS (zB 1.1.1.1/8.8.8.8) + conditional forwarding mit local domain (zB fritz.box) an Router

DNS-Kette: Client --> pihole --> Router (für lokale Namen) bzw. Client --> pihole --> 1.1.1.1/8.8.8.8

=> Pihole leitet lokale Namens mittels conditional forwarding an den Router weiter, während nicht-lokale Namen wie zB computerbase.de an den Upstream-DNS durchgereicht werden.


4)
Router-Upstream-DNS: egal
DHCP-Server: pihole
DNS via DHCP: pihole

Pihole-Upstream-DNS: public DNS (zB 1.1.1.1 oder 8.8.8.8)

DNS-Kette: Client --> pihole --> 1.1.1.1/8.8.8.8

=> pihole sieht alle Clients. Lokale Namen beantwortet pihole selbst, weil pihole auch DHCP-Server ist, während der Rest an den Upstream-DNS weitergeleitet wird. Der Router ist also nicht mehr beteiligt.





Welches Setup du wählst, ist deine Sache. Es gibt kein richtiges, falsches, gutes oder schlechtes Setup. Jedes hat Vor- und Nachteile. Allen Setups gemein ist jedoch, dass pihole im Container auch erreichbar sein muss, auf udp/tcp 53. Das heißt, dass der Container selbst mittels Port-Mapping für udp/tcp 53 im Host gestartet wird. 53 ist der Port für DNS.

 

[duAffentier]

Servus.

NAch dieser Anleitung habe ich es eingestellt:
https://www.heimnetz.de/anleitungen...raspberry-pi/raspberry-pi-pi-hole-einrichten/

Gibt es eine Option, wenn das NAS mal aus ist, das die ANfragen von der Fritzbox verarbeitet werden?

 

[Raijin]

Wie sollte man die FB und PiHole einstellen, das alle ANfragen über PiHole gehen?

Sorry, aber willst du uns auf den Arm nehmen? Liest du die Threads, in denen du postest, auch oder schreibst du einfach blind rein?

Vor allem ist dir deine eigene Zeit scheinbar zu schade dafür, deine Einstellungen selbst zu beschreiben, und nu erwartest du, dass sich jeder das gesamte Tutorial reinzieht, um deine unspezifische Frage nachvollziehen zu können? Dafür ist mir meine Zeit auch zu schade.

Wenn du konkrete Fragen hast, weil du konkrete Probleme mit diesem oder jenem Setup hast, kann man drüber sprechen, aber bisher ist dein Beitrag einfach nur .. .. .. nein.

 

[duAffentier]

Schon angepasst.
Hatte einen Loop drin. ABer hatte eine falsche Einstellung.
Wenn das NAS mal aus sein sollte, geht PiHole ja nicht. GIbt es eine Option, das die Fritzbox dann die Anfragen bearbeitet?

 

[h00bi]

GIbt es eine Option, das die Fritzbox dann die Anfragen bearbeitet?

Dann musst du per DHCP zwei DNS Server übergeben.
Die Fritzbox kann aber laut Webinterface nur einen DNS Server per DHCP verteilen.
Andere DHCP Server wie z.B. der in Pi-Hole kann auch meherere DNS Server übergeben. Das hilft dir natürlich nicht weiter, denn der Pi-Hole ist ja aus und kann dann auch keine DHCP-Anfragen beantworten.

Das ist aber nunmal der Sinn an Servern, dass die immer an und bereit sind. Wenn dir das NAS zu viel Strom zieht, solltest du solche Dienste auf stromsparenderer Hardware bereitstellen.

 

[Raijin]

Wenn das NAS mal aus sein sollte, geht PiHole ja nicht. GIbt es eine Option, das die Fritzbox dann die Anfragen bearbeitet?

DNS ist ein System, dass auch hohe Verfügbarkeit ausgelegt ist. Es gibt zwar primäre und sekundäre DNS-Einstellungen, aber die funktionieren nicht unbedingt so wie Otto Normal das denken mag. Der sekundäre DNS ist kein Fallback im eigentlichen Sinne, sondern dient eher der Lastverteilung. Soweit ich weiß nutzt die Fritzbox ihre primären/sekundären Internet-DNS-Server beispielsweise abwechselnd. Andere Implementierungen nutzen sie quasi parallel, wieder andere nutzen den sekundären DNS beinahe wie einen Fallback, weil sie stets den primären DNS als erstes fragen.

Da die Namensauflösung zeitkritisch ist und ein langsamer DNS entsprechend störend werden kann, sollte man dafür sorgen, dass lokale DNS-Server wie pihole dem auch Rechnung tragen und immer eingeschaltet sind. Schaltet man das NAS regelmäßig aus oder betreibt pihole auf einem unzuverlässigen PC, der regelmäßig abkackt oder die Verbindung verliert - zB ein PI mit schlechter WLAN-Verbindung - dann sollte man lieber die Finger von pihole lassen. Wenn du also das NAS ab und zu ausschaltest, ist es nicht für pihole geeignet, weil du immer wieder mal Probleme damit haben wirst, wenn plötzlich die Webseiten im Browser langsam laden, weil zB gerade der pihole-DNS ins timeout läuft bevor andere DNS genutzt wird.

Wie @h00bi aber schon schreibt kann die Fritzbox via DHCP sowieso nur einen DNS-Server verteilen und dementsprechend hätte zB auch dein Laptop nur einen DNS eingestellt und wenn dieser ausfällt, weil das NAS nicht eingeschaltet ist, hat der Laptop gar keinen DNS mehr.

 

[StefanArbe]

Schau mal hier
https://www.computerbase.de/forum/t...t-docker-und-portainer.2123106/#post-27719044

Ich denke du hast das Problem, das die Ports die pihole benötigt schon in Benutzung sind

 

[F!r3f0x]

@Raijin
vielen Dank für die ausführliche Erläuterung. Das Problem konnte ich in der Zwischenzeit lösen. Ich habe dazu den Pihole Container im "Host" Modus installiert.



Container Konfiguration


FritzBox


Pi-hole
Upstream DNS Server: Cloudflare
Never forward non-FQDN A and AAAA queries: Ja
Never forward reverse lookups for private IP ranges: Ja
Use DNSSEC: Ja
Conditional forwarding: 192.168.144.0/24 ; 192.168.144.1 ; fritz.box

Möchte man den heimischen DNS unterwegs nutzen, bitte nur mit VPN-Verbindung ins Heimnetzwerk.

Ja, dass ist auch so geplant.

Ich hoffe du meinst damit nicht, dass du pihole später auch von unterwegs nutzen willst. Davon ist nämlich mit Nachdruck abzuraten, weil du damit einen Open DNS Resolver baust, der von niederträchtigen Individuen für DNS Amplification Attacks genutzt werden kann, eine Art DoS-Attacke.

Nein, ich möchte mit dem Reverse Proxy nur erreichen, dass die Container per SSL abgesichert sind.
Dafür gibt es ja das selbstsignierte Letsencrypt Zertifikat. Wenn das vorgehen aber nicht sinnvoll ist, dann bin ich offen für alternativen :-)