Pi-hole meilleure config.

[Jeff777]

Pourtant il doit bien y avoir un moyen d'activer cette case 🤔

[.Shad.]

Il y a 2 heures, Jeff777 a dit :

@.Shad. Bonjour. Est-ce que ce n'est pas dommage de faire cela car dans ce cas tu perds un avantage de pi-hole qui est de bloquer les requêtes de pub en amont. Si j'ai bien tout compris 🙄. Dans ce cas je trouve qu'un adblock sur le navigateur fait aussi bien l'affaire.

Tu ne perds aucun blocage, car ce qui se passe c'est éventuellement qu'une application X envoie des données au périphérique Y depuis le périphérique Z, tout ça en local.
Dès que ça doit accéder au domaine public, ça passera forcément par Pi-hole, car ton DNS local ne saura pas résoudre (à condition de bien avoir défini des redirecteurs dans DNS Serveur, ce qui est normalement le cas, sans redirecteur le serveur résout récursivement les domaines et donc n'a pas plus besoin de passer par Pi-hole).
 

Modifié le 9 décembre 2020 par .Shad.

[Jeff777]

Je viens de voir ce sujet : 

 

Je pense que si Fenrir et Shad vont dans le même sens il n'y a aucune raison d'aller contre 😆. @oracle7 ça a du sens de mettre pi-hole en résolveur de DNS serveur et FDN en résolveur de PI hole. Je vais regarder de mon côté aussi.

Modifié le 9 décembre 2020 par Jeff777

[oracle7]

@Jeff777

Bonjour,

Merci pour ta remarque,après réflexion c'est somme toute logique.

Sinon, impossible de suivre ton lien il m'amène sur aucun sujet ... C/C incomplet ???

Cordialement

oracle7😉

[Jeff777]

oups. C'est corrigé !

Bon je viens de changer ma config et ça marche pareil mais c'est somme tout plus logique.

Et pour toi ça doit être possible de le mettre en oeuvre 😉

Modifié le 9 décembre 2020 par Jeff777

[firlin]

Un de vous serai faire un résumer des toutes ces pages de discussion svp ?

cela m’intéresse aussi car j'ai un nas qui fait DNS serveur et un Pi-Hole sur un raspberry et un freeBox

Et si je me trompe pas j'ai fait ça moi FreeBox ==> NAS ( serveur DNS) ==> Pi-Hole (pas sur que cela soit top comme montage)

[Jeff777]

@firlin

En résumé de ce que disait @.Shad., et @Fenrirdans un autre post voilà la config recommandée que j'ai utilisée :

Dans le routeur (pour toi ce sera la Freebox) tu mets comme DNS l'IP du périphérique qui héberge la zone privée (pour toi  le NAS).

Tu paramètres DNS Serveur avec l'IP du Raspberry en redirecteur dans résolution et dans le raspberry dans le menu settings et l'onglet DNS tu mets des DNS en qui tu as confiance (j'ai mis ceux de FDN)

Voilà ça fait donc Freebox==>nas(DNS Serveur) ==>Raspberry (Pi-Hole) c'est ce que tu as non ?

[oracle7]

@Jeff777, @.Shad., @firlin

Bonjour,

Bon je vais essayer de synthétiser ce que j'ai compris de tout ce "bazar" 🤪 en fonction de ma configuration.

1 - Livebox4

- DHCP et Serveur DNS du sous-réseau 192.168.1.0 (impératif pour le décodeur TV)

- Clients : Routeur RT2600ac en DMZ avec bail DHCP statique, Décodeur TV Orange.

2 - Routeur RT2600

- DHCP et supporte DNS Server pour le sous-réseau 192.168.2.0. Le RT pousse sa propre IP comme serveur DNS à ses clients.

- Serveur DNS : avec pour redirecteur : l'@IP du RPI supportant Pi-Hole

- Clients :

- PCs + divers périphériques en DHCP auto (certains ont un bail DHCP statique) qui reçoivent leur @IP et DNS à utiliser par le routeur RT2600ac

- RPI : supporte Pi-Hole qui dans son ôle de DNS Serveur a pour redirecteurs : FND et Cloudfare.

- Interface principale Internet configurée en "manuel" avec par défaut DNS serveur = LiveBox4 mais DNS Server configurés manuellement sur ??? là je suis perdu, je dirais sur l'@IP du RPI supportant Pi-Hole mais je n'en suis pas sûr.

- Réseau local : DNS Server = @IP du Routeur mais zone grisée non modifiable !

Est-ce que j'ai bon ? sinon ne pas hésiter à me corriger et surtout SVP m'expliquer le pourquoi du comment afin que je puisse comprendre avec ma petite tête pour ensuite mettre tout cela d'aplomb.🥴

Cordialement

oracle7😉

[Jeff777]

Tu vas nous perdre.

Le principe c'est qu'une requête faite sur le réseau local va passer par le routeur qui l'envoie à DNS Serveur zone locale.

Soit la zone résout la requête car ça correspond à un enregistrement de la zone soit elle le renvoie au résolveur le PI. Celui-ci bloque tout ce qu'il peut en envoyant les requêtes à dache et envoie celle qui ne sont pas censurées au résolveur (DNS FDN ou autres)

Après il faut adapter en fonction de son architecture. Je pense que ce que tu as mis c'est la même chose appliqué à ton cas. Sauf peut être :

il y a 12 minutes, oracle7 a dit :

Interface principale Internet configurée en "manuel" avec par défaut DNS serveur = LiveBox4 mais DNS Server configurés manuellement sur ??? là je suis perdu, je dirais sur l'@IP du RPI supportant Pi-Hole mais je n'en suis pas sûr.

 

[oracle7]

@Jeff777

Bonjour,

il y a 6 minutes, Jeff777 a dit :

Sauf peut être :

C'est bien là que je bute et que je ne comprend plus. Quel Serveur DNS doit alors utiliser le RT quand la requête n'est pas locale ?

Je vais laisser décanter tout cela durant la nuit ...

Cordialement

oracle7😉

[Jeff777]

Là s'est traité par les serveurs dns que tu as déclarés chez OVH, je suppose ceux d'OVH. Pour moi c'est ma zone publique que j'héberge. En fait la propagation fait qu'il y a même des tas de serveur DNS qui savent faire le lien entre ton nom de domaine et ton IP (https://www.whatsmydns.net/).

Modifié le 9 décembre 2020 par Jeff777

[.Shad.]

Comme dit @Jeff777, c'est qui tu veux, ça peut être FdN et Cloudflare aussi. Tant que c'est dans le domaine publique.
En fait rien ne t'empêche de mettre l'adresse du RPI pour les DNS du RT même, mais dès que ton RPI sera déconnecté ou en train de rebooter, il ne pourra plus résoudre les adresses.
Je ne vois pas l'intérêt, à moins que tu veuilles filtrer ce qu'envoie éventuellement ton routeur vers Synology. Selon moi c'est plus de problèmes potentiels qu'autre chose.

[firlin]

Il y a 21 heures, Jeff777 a dit :

Voilà ça fait donc Freebox==>nas(DNS Serveur) ==>Raspberry (Pi-Hole) c'est ce que tu as non ?

Je viens de revérifier car j'avais un gros doute 😉

Et j'ai bien cette config

J'ai remarqué, avec cette config les maj des listes de domaine bloquer c'est un peu long

 

Modifié le 10 décembre 2020 par firlin

[Jeff777]

J'ai pas vu de différence. Par contre dans les activités clients j'avais tous mes périphériques, maintenant je n'ai plus que les deux NAS. Ce qui est normal : avant les requête sur le pi venaient des périphériques via le routeur maintenant elles arrivent des DNS serveur des 2 NAS.

[.Shad.]

il y a 20 minutes, Jeff777 a dit :

J'ai pas vu de différence. Par contre dans les activités clients j'avais tous mes périphériques, maintenant je n'ai plus que les deux NAS. Ce qui est normal : avant les requête sur le pi venaient des périphériques via le routeur maintenant elles arrivent des DNS serveur des 2 NAS.

Càd ? Tu ne vois que l'IP des serveurs DNS locaux dans tes clients sur Pi-hole ?

[Jeff777]

Oui ici :

 

[.Shad.]

Tu as quoi dans Settings -> DNS ->

[Jeff777]

Euh la troisième option. C'est pas bon? 🙄🙄

[.Shad.]

Non normalement c'est bon, car chez toi le port 53 est redirigé depuis la box vers ton serveur DNS qui héberge ta zone publique, et pas pi-hole, donc pas de risques. Cela dit les 2 premières options suffisent normalement dans ton cas.

J'avais dans l'idée que en changeant le réglage ici, tu pouvais voir un "hop" plus loin que le serveur DNS, car oui là il voit tout arriver depuis le serveur DNS, vu qu'il intervient avant dans la chaîne de résolution. C'était une solution que je proposais à @oracle7 car il n'arrive pas à se défaire de sa case grisée.

Dans ton cas tu as tout intérêt à faire intervenir Pi-hole en premier dans la chaine de résolution :

Périphérique => Pi-hole => Serveur DNS => Redirecteurs

Ainsi tu verras la liste de tous les périphériques de ton réseau, enfin les IP car il faut aussi configurer le conditional forwarding dans le même onglet Settings -> DNS de Pi-hole pour voir les noms d'hôte tels qu'enregistrés dans le serveur DHCP.

Ou alors tu passes des variables dans le fichier compose, comme tu peux le voir sur l'exemple que j'avais donné de mon fichier compose pour Pi-hole un peu plus haut.

Modifié le 10 décembre 2020 par .Shad.

[Jeff777]

Bonjour @.Shad.

Il y a 7 heures, .Shad. a dit :

Non normalement c'est bon, car chez toi le port 53 est redirigé depuis la box vers ton serveur DNS qui héberge ta zone publique, et pas pi-hole, donc pas de risques.

OK c'est bien ce que j'avais compris 😄

Il y a 7 heures, .Shad. a dit :

Ainsi tu verras la liste de tous les périphériques de ton réseau, enfin les IP car il faut aussi configurer le conditional forwarding dans le même onglet Settings -> DNS de Pi-hole pour voir les noms d'hôte tels qu'enregistrés dans le serveur DHCP.

Oui c'était fait.

.Je n'ai pas vu de différence de performance entre les deux fonctionnements, je vais sans doute remettre pi-hole en premier cela me donne plus de renseignements sur l'état du réseau. Merci de toutes ces précisions.

[Jeff777]

Il y a 8 heures, .Shad. a dit :

Ou alors tu passes des variables dans le fichier compose, comme tu peux le voir sur l'exemple que j'avais donné de mon fichier compose pour Pi-hole un peu plus haut.

Euh j'ai le PI-hole sur le raspberry pas en docker !

[Jeff777]

Bon alors là j'ai un pb. Je suis revenu à mon ancienne config :

Le routeur à comme DNS de son DHCP le PI

Le PI a comme upstream DNS les NAS (IPV4 et IPV6)

Les DNS serveur ont les DNS FDN comme résolveurs.

Il me semble c'est ce que j'avais avant. Je redémarre tout et j'ai de la pub !

Si je regarde dans tools/network de pi_hole je vois effectivement que certains périphérique dont mon PC n'utilisent pas le pi. Pourquoi ??? Une idée

Edit : Tout cela se met en place au bout d'un moment avec divers manip (update gravity effacement de cache ...redémarrages)🙂

 

 

Modifié le 11 décembre 2020 par Jeff777

[.Shad.]

Maintenant, si tu veux avoir les noms d'hôte plutôt que les IP, tu vas dans Settings -> DNS -> tu vas tout en bas dans conditional forwarding. Là tu rentres les 3 informations qu'il te demande, tu valides et tu attends quelques minutes, tu devrais voir les noms d'hôte apparaître à la place des IP.

[firlin]

Autre question vous utilisez quelle liste de bloquer pour Pi-holes ?

 

[.Shad.]

Je trouve les listes par défaut déjà suffisantes, mais tu trouveras des listes au fil de ce sujet.
Attention que plus tu en ajoutes, plus les risques de faux-positifs se présentent.