[TUTO] Pi-Hole blocage des pubs sur le réseau

[.Shad.]

Chez moi ça marche bien avec cette variable.
Si ça peut aider, mon docker-compose :

version: '2.1'
services:

   pihole:
      image: pihole/pihole
      container_name: pihole-srv
      hostname: pihole-srv
      networks:
         macvlan:
            ipv4_address: 192.168.100.161
      environment:
         - ADMIN_EMAIL=mail@xxx.ovh
         - TZ=Europe/Brussels
         - DNS1=192.168.100.254
         - DNS2=no
         - DNSSEC=false
         - DNS_BOGUS_PRIV=true
         - DNS_FQDN_REQUIRED=true
         - DNSMASQ_LISTENING=local
         - INTERFACE=eno1
         - CONDITIONAL_FORWARDING=true
         - CONDITIONAL_FORWARDING_IP=192.168.100.254
         - CONDITIONAL_FORWARDING_DOMAIN=xxx.ovh
         - VIRTUAL_HOST=pihole-srv.xxx.ovh
         - TEMPERATUREUNIT=C
         - WEBPASSWORD=123456
         - WEBUIBOXEDLAYOUT=boxed
         - ServerIP=192.168.100.161
      volumes:
         - etc:/etc/pihole/
         - dnsmasq.d:/etc/dnsmasq.d/
         - logs:/var/log/
      dns:
         - 127.0.0.1
         - 80.67.169.12
      labels:
         - "com.centurylinklabs.watchtower.enable=true"
      restart: unless-stopped

volumes:

   etc:
   dnsmasq.d:
   logs:

networks:

   macvlan:
      external: true

 

[MilesTEG1]

@.Shad. J'ai quasi le même docker-compose, à cela près que c'est pas en macvlan.
Je lui disais ça parce que je sens qu'il à modifier la variable dans le conteneur sans le recréer.

Sinon, avec ta version en macvlan, est-ce que ton pi-hole sait distinguer les différents périphériques ? 
Car quand j'avais essayé le mien en macvlan, tout était sur la même IP (je ne sais plus laquelle c'était...)

 

[.Shad.]

Mon serveur DHCP pousse les DNS de deux instances pihole (sur le NAS et sur une Debian, pour la redondance), et pihole renvoie vers mon serveur DNS avec zone locale.

Tous les périphériques sont visibles. Par contre il faut penser à l'interface virtuelle en macvlan, sinon l'hôte n'aura pas de résolution DNS opérationnelle s'il doit contacter Pi-hole.

[Jeff777]

Il y a 7 heures, .Shad. a dit :

Mon serveur DHCP pousse les DNS de deux instances pihole (sur le NAS et sur une Debian, pour la redondance), et pihole renvoie vers mon serveur DNS avec zone locale.

Ah je me posais la question, j'ai la réponse merci @.Shad. 😄

[MilesTEG1]

Il y a 8 heures, .Shad. a dit :

Mon serveur DHCP pousse les DNS de deux instances pihole (sur le NAS et sur une Debian, pour la redondance), et pihole renvoie vers mon serveur DNS avec zone locale.

Tous les périphériques sont visibles. Par contre il faut penser à l'interface virtuelle en macvlan, sinon l'hôte n'aura pas de résolution DNS opérationnelle s'il doit contacter Pi-hole.

Ha oui, ça c'est de l'infrastructure 😛

Tu as un petit guide pour installer pi-hole en macvlan ? Car autant je commence à maitriser de manière satisfaisante la création de conteneur en host et bridge (avec Portainer ou docker-compose), mais pas du tout en macvlan 😅

 

[.Shad.]

Dans le tutoriel dont le lien figure dans ma signature à la fin tu as le descriptif de la mise en place d'un réseau macvlan avec interface virtuelle.

[Jeff777]

Bonjour,

J'ai installé le raspberry connecté sur le routeur. J'accède  à l'interface de gestion avec VNC. J'ai installé pi-hole comme indiqué par @.Shad..

J'ai donné une IP fixe 192.168.1.7 au raspberry et j'accède maintenant à l'interface web avec 192.168.1.7/admin.

Sur le dashboard les petites flèches tournent en rond. En haut, dans le status j'ai "active" vert mais "FTL offline" rouge.

J'ai essayé plusieurs réglage  mais impossible d'afficher des valeurs sur le dashboard.

Ce que j'ai essayé de régler :

Sur le PI les Upstream DNS serveurs (l'adresse du routeur ou ceux de mes deux NAS) 

Sur le routeur : les DNS et le port forwarding du port 53.

Ce que je voudrais obtenir : que les requêtes passent par le pi puis par les dns locaux.

Le diagnostic est toujours le même quelque soit mon réglage :

DNSMASQ_CONFIG

FTL failed to start due to failed to create listening socket for port 53: Address already in use

Est-ce que vous avez une idée du réglage qui fonctionnerait dans mon cas ?

EDIT : peut-être l'OS du pi n'est pas compatible? 

Modifié le 4 décembre 2020 par Jeff777

[.Shad.]

Je pense que Raspberry Pi a son propre résolveur, et qu'il est actif, donc le port 53 est déjà occupé.
Tu peux vérifier en tapant en SSH :

sudo systemctl status systemd-resolved

S'il est bien présent et actif, tu peux l'arrêter :

sudo systemctl stop systemd-resolved

Puis le désactiver au boot :

sudo systemctl disable systemd-resolved

Ensuite tu peux relancer Pi-hole :

pihole restartdns

 

[Jeff777]

Ah merci.

Je suis en train de le mettre à jour mais cela fait bien 10mn qu'il est bloqué sur :

/home/pi$ sudo apt-get update
Atteint:1 http://raspbian.raspberrypi.org/raspbian stretch InRelease
Réception de:2 http://archive.raspberrypi.org/debian stretch InRelease [25,4 kB]
25,4 ko réceptionnés en 3s (6 928 o/s)
Lecture des listes de paquets…

25,4 ko en 3s ! c'est pas du rapide 🤣

Edit : Ah il attendait l'instruction suivante upgrade. C'est parti...je ne sais pas pourquoi j'ai utilisé le terminal de Win SCP. Avec WinSCP j'y arrive pas il faut Putty. Chacun a ses avantages et ses inconvénients !

Modifié le 4 décembre 2020 par Jeff777

[Jeff777]

Il a tout mis à jour. Après avoir rebooté :

pi@raspi:~ $ sudo systemctl status systemd-resolved
● systemd-resolved.service - Network Name Resolution
   Loaded: loaded (/lib/systemd/system/systemd-resolved.service; disabled; vendo
  Drop-In: /lib/systemd/system/systemd-resolved.service.d
           └─resolvconf.conf
   Active: inactive (dead)
 

[.Shad.]

Et Pi-hole arrive à s'exécuter ?

[Jeff777]

oui.

  Si je veux changer les setting il repasse inactive...... C'est peut-être normal

Peut-être ceci :

https://discourse.pi-hole.net/t/ftl-is-offline/32703

Edit Edit :

Modifié le 4 décembre 2020 par Jeff777

[.Shad.]

Il dit que le port 53 est déjà occupé, si ce n'est pas systemd-resolvd qui écoute sur ce port ça doit être autre chose, tu peux essayer :

sudo lsof -i -P -n | grep LISTEN

 

Modifié le 4 décembre 2020 par .Shad.

[Jeff777]

voilà :

C'est quoi named ? 

Edit : Le domaine ?

Modifié le 4 décembre 2020 par Jeff777

[.Shad.]

C'est Bind9, un serveur DNS, le même que DSM utilise.

Tu fais la même procédure qu'avec systemd-resolvd mais avec bind9 à la place.

Pourquoi tu as Bind installé par contre, bonne question ^^

[Jeff777]

?? aucune idée. Ah si, à un moment j'ai du penser installer un DNS sur le Raspberry ou peut-être un pare-feu IPV6

ça a du sens ce que je viens de dire ?Je peux donc le désinstaller. Comment fait-on ?

[Jeff777]

Merci @.Shad. j'ai désinstallé bind et le Dashboard de pihole fonctionne. 

Il ne reste plus qu'à le configurer correctement 👍

[.Shad.]

Il y a 11 heures, Jeff777 a dit :

Ah si, à un moment j'ai du penser installer un DNS sur le Raspberry

Oui !

Il y a 11 heures, Jeff777 a dit :

ou peut-être un pare-feu IPV6

Non ! 😄 

[Jeff777]

J'ai songé installer un pare-feu IPV6 mais pas avec bind9  oui oui 🙄

Bon je continue à paramétrer pi-hole. Je te poserai certainement qq questions 😉

[Tchinkwe]

Bonjour,

Je me permet d'écrire ici car je suis en train de configurer AdGuard Home et vu que la configuration et l'outil ont l'air semblable ça évite d'ouvrir un nouveau sujet de discussion. Ne pas hésitez a me dire si j'ai mal fait et que je dois créer un topic dédié 😉

Donc installation de Adguard via Docker pas de problème grâce au tuto du net, bien que j'ai du basculé sur le port 8080 comme conseillé car avec le 80 j'avais un message d'erreur.

Après moultes "bricolages" car rien ne voulait fonctionner j'ai suivi les consignes de EVOtk (message du 13 Novembre 2020) mais le bazar ne distribue pas les ip a mes appareils, donc rien ne fonctionne.

Voici ma config en images. Le reseau du NAS était reglé sur DHCP automatique (après avoir suivi le tuto de Securisation du NAS de ce forum) j'en ai donc conclu qu'il fallait changer tout ça vu que le DHCP allait être désactivé sur la Livebox)

Donc ça donne ça :

 

Ensuite dans la Livebox, j'ai passé le NAS en baux statique pour qu'il garde son ip (c'est bien la procédure n'est-ce pas ?), puis désactivé le DHCP

 

Puis dans  les paramètres DHCP de Adguard, j'ai renseigné une plage ip différente de celle de la Livebox, activé le serveur DHCP, sauvegarder.

Redémarrage de l'ensemble (NAS, box, PC, telephone...) et rien ne marche. Le serveur n'attribue pas d'ip a mes appareils. Par exemple sur le téléphone android, lorsque qu'il tente de se connecté au Wifi il bloque sur l'obtention de l'adresse ip.

J'ai du louper une étape ou faire quelque chose complétement de travers. Tout ça dépasse un peu mes connaissances et je commence a être fatigué de tripoté les paramètres et reboot tout les appareils en espérant que ça marche...

Un peu d'aide siouplait ? 🤔

[Invité]

Salut,

A ma connaissance, le conteneur doit etre en mode host pour fonctionner en serveur dhcp,...

 

Avec ce mode de fonctionnement il n'est pas possible de modifier les ports du conteneur, si ce sont des ports déjà utilisé,  alors la solution est de créer un reseau macvlan ( création en ssh obligatoire, docker dsm ne gère pas la création  ce type de reseau )

[Tchinkwe]

Salut EVOtk,

Il me semble qu'a la création du conteneur il a bien été paramatré en host, j'ai suivi a la lettre le tuto de mariushostings.com et j'ai bien coché la case qu'il indiquait :

 

Le seul truc qui me fait douté c'est au niveau des variable, il dit d'ajouter la variable TZ et sur son screen il a plein d'autres variables, alors que chez moi je n'avais que PATH (et rajouter TZ)

[.Shad.]

J'ai un tuto en cours d'approbation pour Pi-hole en macvlan qui va sortir incessamment sous peu. Surveille la section tutoriels.

[Tchinkwe]

Ok merci Shad, je vais guetté ça si je trouve pas de solution entre temps !

Et a part ça vous pensez que la config que j'ai fait dans les screens tiens la route ou ya des trucs à rectifier ? (En dehors de l'histoire de macvlan)

 

Modifié le 9 février 2021 par Tchinkwe

[.Shad.]

Je confirme les dires de @EVOTk, sur le NAS tu seras coincé par les ports déjà occupé par Webstation et Nginx.
Donc conteneur sur réseau macvlan, ou bien installer Adguard sur un appareil dédié type Raspberry Pi.

Modifié le 10 février 2021 par .Shad.