PI-hole

Gebruikersavatar
r2504
Deel van't meubilair
Deel van't meubilair
Berichten: 27248
Lid geworden op: 28 Okt 2003
Bedankt: 1813 keer
Recent bedankt: 7 keer
Uitgedeelde bedankjes: 315 keer

Re: PI-hole

Berichtdoor r2504 » 19 Mar 2017, 14:54

ITnetadmin schreef:en onnodige port blocking


Er bestaat alléén onnodige non-blocking (zeker op bedrijfsniveau).

ITnetadmin schreef:enkel programmeurs ertoe leidt om protocols op non-standard poorten te gooien.


Ik heb nergens geschreven dat poorten niet kunnen open gezet worden... maar een gebruiker binnen een bedrijf heeft hier zelden nood aan, en voor servers weet je hopelijk welke applicaties er draaien en wat hun noden zijn.

ITnetadmin schreef:Dat gaat van mensen die ergens in een bedrijf als guest zijn, tot zieken die in het ziekenhuis op hun laptop wat bezig willen zijn


Die mensen horen ook niet thuis op de corporate LAN maar op een guest VLAN !

ITnetadmin schreef:tot mensen die vanop eender welke locatie willen remoten naar een andere pc, tot mensen die overal willen streamen zonder tegen een of andere public firewall te lopen die net die port blokkeert.


Die dingen horen ook meestal niet thuis op een corporate LAN.

ITnetadmin schreef:Niet alleen gaat gewoon bijna alle user traffic langs die ports gaan op lange termijn, maar meer en meer traffic gaat zich ook camoufleren als webtraffic. Wat niet zo moeilijk zal zijn nu ongeveer alles encrypted verloopt, dus deep packet inspection gaat over de jaren een maat voor niks worden.


Moderne firewalls herkennen dit perfect.

ITnetadmin schreef:of teamviewer die zich op port 80 verbindt om door zoveel mogelijk firewalls te geraken (wat de grootste ergernis bij logmein is/was voor velen die ik ken; half de KULeuven bv gebruikt teamviewer om de KUL firewall te kunnen passeren).


Dan doet men bij de KUL duidelijk geen moeite want dit is perfect te filteren... ik ken genoeg klanten waar TeamViewer gewoon niet werkt (soms tot mijn frustratie maar ik heb er ook alle begrip voor).

blaatpraat
Premium Member
Premium Member
Berichten: 554
Lid geworden op: 10 Jan 2014
Bedankt: 45 keer
Recent bedankt: 2 keer
Uitgedeelde bedankjes: 18 keer

Re: PI-hole

Berichtdoor blaatpraat » 19 Mar 2017, 15:25

vverbeke schreef:
Tim.Bracquez schreef:Hier draait dit al enige tijd, heel tevreden. Je moet in de bbox de dhcp server aanpassen dat deze andere DNS servers door geeft.


In de bbox3 gaat dat dus niet meer, DNS server kunnen niet aangepast worden :bang:

Oud bericht, maar toch een oplossing, zonder de nood aan extra apparatuur:
DHCP uitschakelen in je BBOX, en een DHCP service opzetten op je RPI die je al gebruikt voor Pi-hole.
Dit zal meer lightweight zijn dan je RPI gebruiken als een router en PPPOE client.

ITnetadmin
Elite Poster
Elite Poster
Berichten: 5969
Lid geworden op: 28 Jan 2012
Bedankt: 450 keer
Recent bedankt: 3 keer
Uitgedeelde bedankjes: 82 keer

Re: PI-hole

Berichtdoor ITnetadmin » 19 Mar 2017, 18:54

Als het allemaal geencrypteerd is, zal er niet veel te inspecteren meer zijn.
De enige reden dat moderne firewalls dit nog kunnen, is dat ze een geforceerde MITM aanval uitvoeren op de data, en via group policies hun certificate als trusted op de client gooien, zodat de firewall endpoint speelt in de encryptie.

Dat kan mss voor een bedrijf, maar publieke netwerken die (uitgaande) poorten blokkeren zijn eraan voor de moeite.

En ja, ook guest vlans blokkeren uitgaande poorten hoor.

Teamviewer is (nog) te filteren, maar dit dreigt een serieus kat en muisspel te worden tussen firewalls en legitimate users.

En waarvoor? Poorten zijn uiteindelijk conventies, of ik nu met SSH op port 22 of op port 80 of port 12345 connecteer maakt niks uit aan het eind van de rit.
Dus onnodige blokkeringen uitvoeren, ook op corporate lans, is idioot.

Dat is hetzelfde archaische gedoe als beweren dat een goeie pwd policy eruit bestaat om de users regelmatig hun pwd te veranderen en altijd een gecompliceerd pwd te gebruiken.

Gebruikersavatar
r2504
Deel van't meubilair
Deel van't meubilair
Berichten: 27248
Lid geworden op: 28 Okt 2003
Bedankt: 1813 keer
Recent bedankt: 7 keer
Uitgedeelde bedankjes: 315 keer

Re: PI-hole

Berichtdoor r2504 » 19 Mar 2017, 19:04

ITnetadmin schreef:Als het allemaal geencrypteerd is, zal er niet veel te inspecteren meer zijn.


En dat denk jij... je moet eens wat literatuur lezen over de great firewall of China.

Zelfs de verschillende soorten VPN tunnels welke over je encrypted SSL verbinding gaat kan men herkennen... het gaat echt ver hoor.

ITnetadmin schreef:De enige reden dat moderne firewalls dit nog kunnen, is dat ze een geforceerde MITM aanval uitvoeren op de data, en via group policies hun certificate als trusted op de client gooien, zodat de firewall endpoint speelt in de encryptie.


Dat deed men 10 jaar geleden al... ik heb het over moderne firewalls !

ITnetadmin schreef:Dat kan mss voor een bedrijf, maar publieke netwerken die poorten blokkeren zijn eraan voor de moeite.


Als bedrijf wil je de rotzooit zoveel mogelijk beperken... dat is dus iedere connectie blocken waarvan je niet weer waarom ze nodig is.

ITnetadmin schreef:En ja, ook guest vlans blokkeren poorten hoor.


Dat is de keuze van de gastheer... misschien wil die niet dat je bepaalde dingen doet... het is voor jou als gast om dat te respecteren (al lijkt dat een ijdel begrip tegenwoordig).

ITnetadmin schreef:Dus onnodige blokkeringen uitvoeren, ook op corporate lans, is idioot.


Hopelijk vertel je dat nooit hardop in een deftige bedrijfsomgeving... veel succes met dergelijke uitspraken :bang:

Gebruikersavatar
JoskeVermeulen
Premium Member
Premium Member
Berichten: 490
Lid geworden op: 22 Aug 2012
Locatie: Liedekerke
Bedankt: 63 keer
Recent bedankt: 2 keer
Uitgedeelde bedankjes: 36 keer

Re: PI-hole

Berichtdoor JoskeVermeulen » 19 Mar 2017, 21:14

Tim.Bracquez schreef:Afbeelding


Iemand die mij dergelijke screenshots van iedere pagina kan bezorgen? Momenteel kan ik zelf Pi-hole niet testen met dat de RPI al in gebruik is bij een familielid en ik wens dit graag in mijn onderzoek te bespreken want het gaat net over (volgende) advertenties. Als het kan waar de domeinen zichtbaar zijn als er geen gevoelige tussen zitten. :-)
:troosten:
TV: Afbeelding
ISP: Afbeelding
Tel.: Afbeelding + Afbeelding + Afbeelding

VOiD
Elite Poster
Elite Poster
Berichten: 2285
Lid geworden op: 10 Jan 2006
Locatie: Herent
Bedankt: 206 keer
Uitgedeelde bedankjes: 53 keer

Re: PI-hole

Berichtdoor VOiD » 19 Mar 2017, 21:44

Je hoeft dit helemaal niet op een RPI te draaien hoor. Hier draait het gewoon op CentOS in een VM.
Internet & TV: Belgacom Comfort Pack - Netflix
Telefonie: Weepee - OVH - Rebvoice
GSM: Proximus

Gebruikersavatar
Tim.Bracquez
Elite Poster
Elite Poster
Berichten: 2521
Lid geworden op: 05 Dec 2010
Twitter: fusabe
Locatie: ::1
Bedankt: 312 keer
Uitgedeelde bedankjes: 121 keer
Contact:

Re: PI-hole

Berichtdoor Tim.Bracquez » 19 Mar 2017, 22:12

JoskeVermeulen schreef:Iemand die mij dergelijke screenshots van iedere pagina kan bezorgen?

Op youtube kan je redelijk veel demo's vinden https://www.youtube.com/results?search_ ... +interface
Tim Bracquez, tim@fusa.be, https://www.fusa.is
Dedicated Servers - https://fusa.is/offer

ITnetadmin
Elite Poster
Elite Poster
Berichten: 5969
Lid geworden op: 28 Jan 2012
Bedankt: 450 keer
Recent bedankt: 3 keer
Uitgedeelde bedankjes: 82 keer

Re: PI-hole

Berichtdoor ITnetadmin » 19 Mar 2017, 23:04

r2504 schreef:
ITnetadmin schreef:Als het allemaal geencrypteerd is, zal er niet veel te inspecteren meer zijn.


En dat denk jij... je moet eens wat literatuur lezen over de great firewall of China.

Zelfs de verschillende soorten VPN tunnels welke over je encrypted SSL verbinding gaat kan men herkennen... het gaat echt ver hoor.


ja, maar voor zover ik weet niet de exacte inhoud.
Dus iets camoufleren als een ander soort traffiek wordt makkelijker omdat de ene geencrypteerde data doelbewust nogal op de andere geencrypteerde data lijkt.



r2504 schreef:
ITnetadmin schreef:Dat kan mss voor een bedrijf, maar publieke netwerken die poorten blokkeren zijn eraan voor de moeite.


Als bedrijf wil je de rotzooit zoveel mogelijk beperken... dat is dus iedere connectie blocken waarvan je niet weer waarom ze nodig is.

ITnetadmin schreef:En ja, ook guest vlans blokkeren poorten hoor.


Dat is de keuze van de gastheer... misschien wil die niet dat je bepaalde dingen doet... het is voor jou als gast om dat te respecteren (al lijkt dat een ijdel begrip tegenwoordig).

ITnetadmin schreef:Dus onnodige blokkeringen uitvoeren, ook op corporate lans, is idioot.


Hopelijk vertel je dat nooit hardop in een deftige bedrijfsomgeving... veel succes met dergelijke uitspraken :bang:


Ik vat het nog ns samen:
Als er ook maar 1 port open is, dan kan je door.
Nutteloos poorten blokkeren is dus onzin.
Als de gastheer gaat blokkeren, dan gaan de gasten omwegen vinden, en de programmeurs gaan daarbij helpen.
Je mag dat niet accepteren, maar het zal wel zo zijn.
En met encryptie in standaard gebruik nu, hoe gaat men de geencrypteerde http pakketjes onderscheiden van de geencrypteerde pakketjes die slechts beweren http te zijn?
De inhoud zelf gaat niet veel info opleveren, en metadata lijkt mij veel makkelijker te faken.
Als je dus alles behalve port 80 en 443 http(s) gaat blokkeren, dan gaan er programmas ontwikkeld worden die data voordoen alsof het om http(s) data gaat, en die over die poorten versturen.
Controle in een geencrypteerde wereld is een illusie (met uitzondering van secured networks waar de firewall mitm speelt).

Kijk naar het beste voorbeeld totnogtoe: websocket video streaming.
Dat is letterlijk video data in http pakketjes encapsuleren.
Waarom denk je dat dat bestaat?
Waarom denk je dat dat ontwikkeld is?
Om lastige firewalls te omzeilen.

Als je dus denkt dat dat een uitzondering op de regel gaat vormen, vrees ik dat je er serieus naast gaat zitten.

Gewoon geencrypteerde data zoals vpn data blokkeren, en ip ranges ook, ja, dat kan ik nog zien gebeuren.
Maar als eenmaal protocols zich gewoon als https gaan voordoen, puur om erdoor te geraken, en de firewalls geen geencrypteerde data vierkant weigeren, is er altijd een gaatje.

OpenVPN traffiek verbergen in een https tunnel wordt nu al hier en daar mee geexperimenteerd.


Ik verg daar overigens geen waardeoordeel over; ik zeg alleen maar hoe ik dingen zie evolueren op internet.
En als je enkel port 80/443 openzet voor je users, dan gaan die alles daarover willen versturen, en de programmeurs gaan hen daarbij helpen.

Over sommige dingen heb je geen controle.
Je weet wel "the tighter you squeeze your fist, the more systems will slip through your fingers".
Dat bv pwd policies als "verander elke 30-90 dagen, complex pwd, no repeats, etc etc..." nog altijd bij de best practices staan, terwijl iedereen met gezond verstand intussen weet dat users het gewoon gaan neerschrijven op een postit ergens, toont aan dat sommigen de realiteit nog altijd weigeren te zien en in "het ideale netwerk" geloven.
Hell, als ik ooit verplicht wordt om maandelijks pwds te wisselen, zal het bij mij ook snel neergeschreven zijn.

Gebruikersavatar
r2504
Deel van't meubilair
Deel van't meubilair
Berichten: 27248
Lid geworden op: 28 Okt 2003
Bedankt: 1813 keer
Recent bedankt: 7 keer
Uitgedeelde bedankjes: 315 keer

Re: PI-hole

Berichtdoor r2504 » 20 Mar 2017, 09:09

ITnetadmin schreef:ja, maar voor zover ik weet niet de exacte inhoud.


Zolang men een onderscheid kan maken tussen een VPN (of je websockets) en gewoon SSL verkeer naar je bank is dat voldoende (daarvoor moet je de inhoud niet kennen).

Op die manier kan men gewoon alle niet normale SSL verkeer blockeren.

ITnetadmin schreef:Dus iets camoufleren als een ander soort traffiek wordt makkelijker omdat de ene geencrypteerde data doelbewust nogal op de andere geencrypteerde data lijkt.


Voor zover ik weet kan men nog steeds de diverse vormen van SSL verkeer onderscheiden (ik ontken trouwens nergens dat het moeilijker en moeilijker is).

ITnetadmin schreef:Dus onnodige blokkeringen uitvoeren, ook op corporate lans, is idioot.


Nogmaals... jij mag dat gaan verkondigen in de bedrijfswereld maar of je dan nog ernstig wordt genomen is een andere vraag.

ITnetadmin schreef:Als er ook maar 1 port open is, dan kan je door.
Nutteloos poorten blokkeren is dus onzin.


Nee, dat is geen onzin... iedere maatregel houdt een bepaalde groep buiten.

Trouwens met die mentaliteit heb jij natuurlijk geen firewall meer staan... dat is volgens jou dus onzin ?

ITnetadmin schreef:Kijk naar het beste voorbeeld totnogtoe: websocket video streaming.
Dat is letterlijk video data in http pakketjes encapsuleren.


Je moet mij dat niet vertellen... ik ken dat heus wel en ik zeg dat men het selectief kan blokkeren als men wil (een KMO'tje gaat dat niet doen, een bank of andere instelling met gevoelig data wel). Ik werk trouwens voor banken en ik kan je verzekeren dat hier niets naar buiten gaat... geen OpenVPN, geen SSL tunnels, geen webscokets, ...

ITnetadmin
Elite Poster
Elite Poster
Berichten: 5969
Lid geworden op: 28 Jan 2012
Bedankt: 450 keer
Recent bedankt: 3 keer
Uitgedeelde bedankjes: 82 keer

Re: PI-hole

Berichtdoor ITnetadmin » 20 Mar 2017, 15:10

Ah, ik zie het probleem hier.
Enfin, probleem is een groot woord.
Jij argumenteert vanuit het netwerk van een bank.
Laat dat nu een van de weinige netwerken zijn die echt wel beveiligd moeten worden.
Ik zit in de kleinere omgevingen, waar dit soort filtering sneller en sneller "onmogelijk" zal worden, al is het maar omdat competente firewalls die zo diep in de packets gaan snuffelen gewoon te duur gaan uitvallen.


Nu, ik zeg niks over mijn voorkeur, alleen dat ik een trend zie in die richting.
En die trend kan je niet ontkennen.
Hoe meer guest netwerken, 3g/4g operatoren, ... bepaalde poorten of traffiek blokkeren, hoe sneller deze evolutie zich gaat voltrekken.
Ik vind dat overigens een spijtige trend. Als we minder onnodige poorten zouden blokkeren, dan zou traffic management makkelijker zijn omdat iedereen zich aan zijn poorten zou kunnen houden.

Of de bedrijven mij (en anderen) geloven, inzake het onnodig blokkeren van outgoing ports, dat vraag ik mij ook af.
Maar dat was hetzelfde liedje toen men beginnen zeggen is dat de meest geaccepteerde pwd policy, die waar de pwd moeilijk en vaak veranderd waren, onzin was want dat er via de user lekken ontstonden omdat die het gewoon niet meer kunnen onthouden.
Nu nog hoor ik dit als best practice verkondigen, terwijl het eigenlijk absolute nonsens is.
Wil je high-sec, gebruik dan smart cards voor login, geen complexe pwd policies.
Wil je stevige pwds, laat de user er daan eentje maken, en laat die houden zolang mogelijk.
Afhankelijk van zijn privileges, mss ns veranderen na een jaartje of twee.
Of gebruik pwd management vaults waarbij de user enkel een master pwd moet onthouden, stijl keepass.

Alle verandering is moeilijk, maar het besef dat outgoing poorten blokkeren eigenlijk grotendeels nutteloos is moet nog komen.
(met mogelijk een kleine uitzondering voor high sec omgevingen waar men miljoenen kan smijten naar security toe, en waar dat nodig is, zoals banken).

Gebruikersavatar
r2504
Deel van't meubilair
Deel van't meubilair
Berichten: 27248
Lid geworden op: 28 Okt 2003
Bedankt: 1813 keer
Recent bedankt: 7 keer
Uitgedeelde bedankjes: 315 keer

Re: PI-hole

Berichtdoor r2504 » 20 Mar 2017, 15:31

ITnetadmin schreef:Ah, ik zie het probleem hier.
Enfin, probleem is een groot woord.
Jij argumenteert vanuit het netwerk van een bank.


Niet noodzakelijk vanuit een bank... wel vanuit een professionele omgeving. Ik heb ook KMO's waar gebruikers niet op het internet mogen (bedrijfspolicy dus daar ga ik me niet mee moeien) en ook alles gefilterd is (inclusief SSL verkeer aangezien zowat alle webites tegenwoordig https gebruiken) dmv. een eigen certificaat. Dit zijn firewalls inclusief content filtering van minder dan 1000 euro... het kost dus geen fortuinen.

ITnetadmin schreef:En die trend kan je niet ontkennen. Hoe meer guest netwerken, 3g/4g operatoren, ... bepaalde poorten of traffiek blokkeren, hoe sneller deze evolutie zich gaat voltrekken.
Ik vind dat overigens een spijtige trend. Als we minder onnodige poorten zouden blokkeren, dan zou traffic management makkelijker zijn omdat iedereen zich aan zijn poorten zou kunnen houden.


Ik ontken die trend niet en het is inderdaad spijtig... maar dat komt omdat mensen zich niet aan regels kunnen houden (laat staan hackers). Je wordt dus gedwongen maatregelen te nemen tenzij je netwerk een duivenkot is waar alles zomaar binnen en buiten kan. Je zegt toch ook niet van ik doe geen virus scanning op m'n mails want het kan ook binnenkomen via USB ?

ITnetadmin schreef:Of de bedrijven mij (en anderen) geloven, inzake het onnodig blokkeren van outgoing ports, dat vraag ik mij ook af.


Nogmaals... in je statement zit waarheid... maar in een professionele omgeving (ook al is het een KMO) kan je zoiets gewoon niet zeggen (want het is hetzelfde als zeggen dat je helemaal geen firewall nodig hebt omdat er ergens toch wel een ander gaatje is, ook al weten we allemaal dat de zwakste schakel bepalend is).

ITnetadmin
Elite Poster
Elite Poster
Berichten: 5969
Lid geworden op: 28 Jan 2012
Bedankt: 450 keer
Recent bedankt: 3 keer
Uitgedeelde bedankjes: 82 keer

Re: PI-hole

Berichtdoor ITnetadmin » 20 Mar 2017, 16:38

Ik zei alleen dat het geen zin had om outgoing ports te blokkeren, omdat die ports gewoon een nummertje zijn.
Of je die verbinding nu op port 80, 1234, of kweeniwelke nummer maakt, maakt voor die verbinding niks uit.
En het is die misplaatste gewoonte die ervoor zorgt dat zoveel protocols nu op niet-standaard poorten runnen.

DPI is een andere zaak, maar zal met de toenemende encryptie moeilijker en moeilijker worden.
Ik lees nu al verhalen over SSL en https tunnels, dus ik ben benieuwd waar die technologie ons naartoe gaat leiden.
Want als je echt moeite doet om de traffiek te camoufleren als https traffiek, ga je dat niet meer zo makkelijk ontdekken, nu alles geencrypteerde onzin is geworden, tegenover de plaintext vroeger, waarbij je snel wist waarover elk pakketje ging.


Qua beveiliging, ben ik wel voorstander van een netwerk waarop de user thuis kan zijn.
Ik luister bv op het werk naar de radio, en dat is een internetradio, want de absoluut enige zender die ik beluister tijdens het werk zit alleen daarop.
Ik vind dat dat moet kunnen; een plek waar je 8u per dag spendeert, is een tweede thuis, en moet die mogelijkheden aanbieden. Desnoods via een aparte vlan waarop men een byod mag doen.
Ik moei me dus wel met die bedrijfspolicies. In de zin dat ik daar niet aan meedoe.
Maar deze paragraaf is puur een persoonlijke voorkeur, in tegenstelling tot bovenstaande paragrafen.

Gebruikersavatar
r2504
Deel van't meubilair
Deel van't meubilair
Berichten: 27248
Lid geworden op: 28 Okt 2003
Bedankt: 1813 keer
Recent bedankt: 7 keer
Uitgedeelde bedankjes: 315 keer

Re: PI-hole

Berichtdoor r2504 » 20 Mar 2017, 20:37

ITnetadmin schreef:Ik zei alleen dat het geen zin had om outgoing ports te blokkeren, omdat die ports gewoon een nummertje zijn.


Zet alles ééns dicht (of log het gewoon)... je gaat verbaast zijn wat er allemaal op je netwerk verbindingen maakt met de buitenwereld... persoonlijk krijg ik er de kriebels van als ik het zie (jij dus blijkbaar niet of je beseft het gewoonweg niet omdat het open staat). Feit is dat dergelijke software niet zomaar een andere nummertje kan/gaat gebruiken (dus dicht is dicht, ik wil weten wat er leeft op m'n netwerk).

Wel grappig dat mensen hier moord schreeuwen over een advertentie in hun browser... maar verder alles compleet open zetten :eek:

ITnetadmin schreef:Qua beveiliging, ben ik wel voorstander van een netwerk waarop de user thuis kan zijn.
Ik luister bv op het werk naar de radio, en dat is een internetradio


Op je werk ben je voor te werken... niet om naar internet radio te luisteren (of zelfs muziek luisteren via YouTube)... leuk als jij dat doet... maar wat als 100 mensen dit doen ? Ik heb nog bij een multinational gewerkt waar bleek dat > 90% van hun leased line (en dat was heus geen Telenet lijntje van 70 euro/maand) vol zat met "niet werk gerelateerd" verkeer !

ITnetadmin schreef:Ik moei me dus wel met die bedrijfspolicies. In de zin dat ik daar niet aan meedoe.


Tot men bovenstaande merkt en drastische maatregelen neemt... en dan ben je verbaast ?

Gebruikersavatar
lacer
Elite Poster
Elite Poster
Berichten: 1935
Lid geworden op: 24 Feb 2007
Locatie: Gent
Bedankt: 102 keer
Uitgedeelde bedankjes: 63 keer

Re: PI-hole

Berichtdoor lacer » 15 Jun 2017, 11:07

blaatpraat schreef:
vverbeke schreef:
Tim.Bracquez schreef:Hier draait dit al enige tijd, heel tevreden. Je moet in de bbox de dhcp server aanpassen dat deze andere DNS servers door geeft.


In de bbox3 gaat dat dus niet meer, DNS server kunnen niet aangepast worden :bang:

Oud bericht, maar toch een oplossing, zonder de nood aan extra apparatuur:
DHCP uitschakelen in je BBOX, en een DHCP service opzetten op je RPI die je al gebruikt voor Pi-hole.
Dit zal meer lightweight zijn dan je RPI gebruiken als een router en PPPOE client.


Bericht is al een enkele maanden oud, maar ben eens benieuwd of dat nu werkt met een Bbox3 met een RPI erachter ?
Proximux Internet Start 60/4 speedtest max 58/3.9
VoIp OVH + Gigaset C610IP + C430H
Telenet Digital TV HD Digicorder AD 2100 black
WDTV Live SMP + RPi 2B + Android met Kodi
FLUKSO monitoring Elec-Gas-Water-PV > PVoutput
Ubuntu 16.04 + Ubuntu Mate 16.04 / Ubuntu steunpunt

rpr
Pro Member
Pro Member
Berichten: 388
Lid geworden op: 03 Jul 2008
Bedankt: 8 keer
Uitgedeelde bedankjes: 2 keer

Re: PI-hole

Berichtdoor rpr » 15 Jun 2017, 12:03

Wat zijn de algemene indrukken.
Ik heb ooit iets gelijkaardig op mijn pfsense geïnstalleerd maar adblock plus in de browser leek mij nog altijd beter.
Met de pfsense methode waren de banners wel weg maar was de ruimte van de banners er nog. Terwijl bij adblock dit niet altijd zo is.

lanadekat
Premium Member
Premium Member
Berichten: 566
Lid geworden op: 23 Aug 2013
Bedankt: 44 keer
Recent bedankt: 4 keer
Uitgedeelde bedankjes: 21 keer

Re: PI-hole

Berichtdoor lanadekat » 15 Jun 2017, 14:12

rpr schreef:Wat zijn de algemene indrukken.
Ik heb ooit iets gelijkaardig op mijn pfsense geïnstalleerd maar adblock plus in de browser leek mij nog altijd beter.
Met de pfsense methode waren de banners wel weg maar was de ruimte van de banners er nog. Terwijl bij adblock dit niet altijd zo is.

Dat is bij Pi-hole ook zo, men lijkt het te combineren met adblock. Het voordeel dat je hebt is dat de ads nooit worden gedownload omdat ze op dns level al worden geblokkeerd terwijl ze met alleen adblock wel worden "geladen" AFAIK.

Gebruikersavatar
lacer
Elite Poster
Elite Poster
Berichten: 1935
Lid geworden op: 24 Feb 2007
Locatie: Gent
Bedankt: 102 keer
Uitgedeelde bedankjes: 63 keer

Re: PI-hole

Berichtdoor lacer » 21 Jul 2017, 00:02

Wat ik hierboven schreef heb ik deze avond effectief eens uitgeprobeerd en dat lijkt dus zoals verwacht geen probleem te zijn.
Op de Bbox-3 staat de DHCP nog steeds aan voor een default ip-adresbereik x.x.x.2 tot x.x.x.63, op de pihole staat DHCP ook aan (anders werkt het niet) voor een ander ip-adresbereik x.x.x.201 tot x.x.x.251.
Getest met de eerste smartphone die ik bij me had. Daar dus de DNS van de pihole in aangepast evenals een nieuw statisch ip-adres die in de range van de pihole zit dus.
Werkt goed, later nog andere apparaten toevoegen in huis :-)
Proximux Internet Start 60/4 speedtest max 58/3.9
VoIp OVH + Gigaset C610IP + C430H
Telenet Digital TV HD Digicorder AD 2100 black
WDTV Live SMP + RPi 2B + Android met Kodi
FLUKSO monitoring Elec-Gas-Water-PV > PVoutput
Ubuntu 16.04 + Ubuntu Mate 16.04 / Ubuntu steunpunt

Gebruikersavatar
r2504
Deel van't meubilair
Deel van't meubilair
Berichten: 27248
Lid geworden op: 28 Okt 2003
Bedankt: 1813 keer
Recent bedankt: 7 keer
Uitgedeelde bedankjes: 315 keer

Re: PI-hole

Berichtdoor r2504 » 21 Jul 2017, 11:29

Je toestellen die dus toch een IP-adres krijgen van de BBOX DHCP gaan dus niet via je PI-hole !

Twee DHCP servers op een netwerk is trouwens not-done.

Gebruikersavatar
Sasuke
Elite Poster
Elite Poster
Berichten: 2839
Lid geworden op: 13 Aug 2003
Locatie: Vlaanderen
Bedankt: 98 keer
Recent bedankt: 1 keer
Uitgedeelde bedankjes: 36 keer
Contact:

Re: PI-hole

Berichtdoor Sasuke » 21 Jul 2017, 13:34

Itnetadmin, verdiep je eens in de mogelijkheden van apt blocker of TDR van bijvoorbeeld Watchguard firewalls. Dan zal je zien dat er toch heel wat kan gefilterd worden zonder dat je specifiek eindgebruikers of developers moet pesten. Ik pak nu Watchguard als voorbeeld omdat ik daar wat ervaring mee heb en als standaard houd bij kmo klanten, maar er zijn genoeg andere Vendors die soortgelijke oplossingen hebben.
Logic - The art of being wrong with confidence !
Afbeelding

silencer
Elite Poster
Elite Poster
Berichten: 3854
Lid geworden op: 08 Jul 2008
Locatie: 398m van de ROP@0.48dB
Bedankt: 99 keer
Uitgedeelde bedankjes: 147 keer

Re: PI-hole

Berichtdoor silencer » 21 Jul 2017, 20:53

r2504 schreef:Je toestellen die dus toch een IP-adres krijgen van de BBOX DHCP gaan dus niet via je PI-hole !

Twee DHCP servers op een netwerk is trouwens not-done.

Zet de dhcp dan uit op je bbox en zet deze op de pihole aan.

Gebruikersavatar
lacer
Elite Poster
Elite Poster
Berichten: 1935
Lid geworden op: 24 Feb 2007
Locatie: Gent
Bedankt: 102 keer
Uitgedeelde bedankjes: 63 keer

Re: PI-hole

Berichtdoor lacer » 21 Jul 2017, 22:18

Een groep van apparaten werken in de Bbox3 met DHCP reservation, deze via de pihole zitten op een statisch adres.
Voorlopig verkies ik nog zo te werken, niet alle toestellen wil ik via de pihole laten lopen.
Ik wist dat DHCP op de Bbox uit moest, maar er zijn momenteel geen problemen, ik hou jullie zeker op de hoogte :wink:
Problemen verwacht ik ook niet:
https://serverfault.com/questions/30819 ... ame-subnet
Proximux Internet Start 60/4 speedtest max 58/3.9
VoIp OVH + Gigaset C610IP + C430H
Telenet Digital TV HD Digicorder AD 2100 black
WDTV Live SMP + RPi 2B + Android met Kodi
FLUKSO monitoring Elec-Gas-Water-PV > PVoutput
Ubuntu 16.04 + Ubuntu Mate 16.04 / Ubuntu steunpunt

Gebruikersavatar
r2504
Deel van't meubilair
Deel van't meubilair
Berichten: 27248
Lid geworden op: 28 Okt 2003
Bedankt: 1813 keer
Recent bedankt: 7 keer
Uitgedeelde bedankjes: 315 keer

Re: PI-hole

Berichtdoor r2504 » 22 Jul 2017, 11:33

silencer schreef:Zet de dhcp dan uit op je bbox en zet deze op de pihole aan.


Kan dat op een BBOX... op een TN HGW alvast niet.

lacer schreef:Problemen verwacht ik ook niet:
https://serverfault.com/questions/30819 ... ame-subnet


Ik denk dat je nog wat moet bij studeren... twee DHCP servers is geen probleem (mits een aparte range), en dezelfde configuratie !

Jou BBOX geeft als DNS niet je PI hole (of kan je in een BBOX aangeven welke DNS server hij moet meegeven in z'n DHCP lease ?), je DHCP server van je RPI wel.

Gebruikersavatar
MClaeys
Elite Poster
Elite Poster
Berichten: 4352
Lid geworden op: 16 Feb 2011
Bedankt: 245 keer
Recent bedankt: 2 keer
Uitgedeelde bedankjes: 284 keer

Re: PI-hole

Berichtdoor MClaeys » 22 Jul 2017, 12:20

De DNS kan je op de Bbox helaas niet aanpassen nee, daarom dat ik voor Fritzbox gegaan ben. Vroeger ging dat op Bbox 2 wel, maar ook dat is al verleden tijd. Hebben ze eigenlijk een specifieke reden voor om dat te doen eigenlijk?

Sent from my Lenovo K33a48 using Tapatalk
Xbox Live: MClaeys

Gebruikersavatar
lacer
Elite Poster
Elite Poster
Berichten: 1935
Lid geworden op: 24 Feb 2007
Locatie: Gent
Bedankt: 102 keer
Uitgedeelde bedankjes: 63 keer

Re: PI-hole

Berichtdoor lacer » 22 Jul 2017, 13:01

Kan dat op een BBOX....

Ja dat kan.

Mijn instellingen samengevat:
Bbox3 DHCP staat"aan" = Gateway 192.168.1.1, hierin kunnen geen dns'en gewijzigd worden.
IP-adresbereik Bbox3 staat op 192.168.1.2 tot 192.168.1.63
Hierin staan een reeks DHCP reservaties ingesteld voor alle toestellen in huis (al zou ik wel de ongebruikte adressen kunnen verwijderen van de toestellen die nu via de Pihole werken, maar momenteel blijven deze "ongebruikte" dus staan).
Hier maken alle toestellen verbinding mee die niet via de Pihole mogen gaan, zowel bekabeld als via Wifi.
Hun dns instellingen zijn 192.168.1.1 of deze van Google.

Pihole DHCP staat"aan" met statisch adres 192.168.1.23
IP-adresbereik Pihole staat op 192.168.1.201 tot 192.168.1.251
Voorlopig staan reeds een 5 tal toestellen ingesteld met een statisch IP-adres binnenin deze Pihole IP-range, bij elk apparaat staat de dns ingesteld op 192.168.1.23
Hier maken dus enkel de toestellen verbinding mee die wel via de Pihole moeten gaan.

Ik kan alleen maar bevestigen dat het werkt. Ik kan nog steeds bestanden delen van toestellen uit het Pihole reeks naar de Bbox reeks en omgekeerd.


Ik denk dat je nog wat moet bij studeren...

Ja, dat doe ik bijna elke dag hier op UB, waarvoor dank :-)
Proximux Internet Start 60/4 speedtest max 58/3.9
VoIp OVH + Gigaset C610IP + C430H
Telenet Digital TV HD Digicorder AD 2100 black
WDTV Live SMP + RPi 2B + Android met Kodi
FLUKSO monitoring Elec-Gas-Water-PV > PVoutput
Ubuntu 16.04 + Ubuntu Mate 16.04 / Ubuntu steunpunt

Gebruikersavatar
r2504
Deel van't meubilair
Deel van't meubilair
Berichten: 27248
Lid geworden op: 28 Okt 2003
Bedankt: 1813 keer
Recent bedankt: 7 keer
Uitgedeelde bedankjes: 315 keer

Re: PI-hole

Berichtdoor r2504 » 22 Jul 2017, 14:13

lacer schreef:Voorlopig staan reeds een 5 tal toestellen ingesteld met een statisch IP-adres binnenin deze Pihole IP-range


Statistische adressen mag je normaal nooit in de DHCP range zetten... want als je straks een toestel hebt dat gebruik maakt van DHCP dat loop je het risico dat dit een reeds gebruikt IP-adres gaat krijgen en je dus conflicten hebt. Van dergelijk niet-statisch toestel weet je trouwens nooit of het een IP-adres zal krijgen van je BBOX dan wel je RPI... en dus ook niet of het de juiste DNS server zal gebruiken.

Gebruikersavatar
lacer
Elite Poster
Elite Poster
Berichten: 1935
Lid geworden op: 24 Feb 2007
Locatie: Gent
Bedankt: 102 keer
Uitgedeelde bedankjes: 63 keer

Re: PI-hole

Berichtdoor lacer » 22 Jul 2017, 15:19

Ok bedankt, hier ben ik in de fout gegaan. De ingestelde statische adressen blijven, heb nu enkel de scope gewijzigd zodat de vaste erbuiten vallen.
In de Bbox3 gaat dit niet daar het gereserveerde IP-adressen zijn, die moeten in de scope vallen.
In het begin gaan nieuwe toestellen inderdaad willekeurig een IP-adres krijgen, maar het is de bedoeling dat het later een vast adres gaat krijgen.
Proximux Internet Start 60/4 speedtest max 58/3.9
VoIp OVH + Gigaset C610IP + C430H
Telenet Digital TV HD Digicorder AD 2100 black
WDTV Live SMP + RPi 2B + Android met Kodi
FLUKSO monitoring Elec-Gas-Water-PV > PVoutput
Ubuntu 16.04 + Ubuntu Mate 16.04 / Ubuntu steunpunt


Terug naar “Non-Windows”

Wie is er online

Gebruikers op dit forum: Geen geregistreerde gebruikers en 1 gast