Pagina 1 van 2

PI-hole

Geplaatst: 19 Feb 2017, 12:14
door John.B
Wie heeft er goede ervaringen met PI-hole?
Draait dit op elke RPI?

Loopt de install vlot?
Kunnen er security problemen ontstaan?

Kan men in een bbox2 verwijzen naar het dhcp IP van de PI-hole?

Kan met een script schrijven om gebruiksvriendelijk de dhcp van de bbox 2 om te zetten naar een bepaald IP?
Bvb indien de RPI defect komt dat de gebruiker vanop een normale pc de dhcp weer op standaard kan zetten zonder dat die er echt kennis van moet hebben.

Re: PI-hole

Geplaatst: 19 Feb 2017, 12:39
door Tim.Bracquez
Hier draait dit al enige tijd, heel tevreden. Je moet in de bbox de dhcp server aanpassen dat deze andere DNS servers door geeft.

De Pi Hole installeren verloopt heel vlot, draait hier zelfs nog op een 256MB PI (oude)

Wanneer de pi failt is het wel niet zo eenvoudig om deze voor een gewone gebruiker terug te zetten.

Afbeelding

Re: PI-hole

Geplaatst: 19 Feb 2017, 13:37
door honda4life
Interessant, direct testen :-)

Re: PI-hole

Geplaatst: 19 Feb 2017, 13:49
door MaT
Tim.Bracquez schreef:Wanneer de pi failt is het wel niet zo eenvoudig om deze voor een gewone gebruiker terug te zetten.

Wat ik doe is de primaire DNS server instellen op de PI en een secundaire DNS instellen op openDNS of google DNS.
In geval dat de Pi eruit ligt nemen de clients automatisch de secundaire server. Gewone gebruikers merken dus niets, buiten dat er wat reclame terug staat.

Re: PI-hole

Geplaatst: 19 Feb 2017, 13:50
door Tim.Bracquez
@MaT: Zo werkt dit niet, dit werkt Round Robin. Dus je gaat dan het nut van de pi hole weghalen

Re: PI-hole

Geplaatst: 19 Feb 2017, 14:00
door jphermans
MaT schreef:
Tim.Bracquez schreef:Wanneer de pi failt is het wel niet zo eenvoudig om deze voor een gewone gebruiker terug te zetten.

Wat ik doe is de primaire DNS server instellen op de PI en een secundaire DNS instellen op openDNS of google DNS.
In geval dat de Pi eruit ligt nemen de clients automatisch de secundaire server. Gewone gebruikers merken dus niets, buiten dat er wat reclame terug staat.

Zo doe ik het dus ook en dit werkt toch fijn. Wannneer de pi er om de een of andere reden uit ligt. Kan iedereen thuis nog op het net.

Re: PI-hole

Geplaatst: 19 Feb 2017, 14:26
door Tim.Bracquez
Ter info: Meerdere DNS servers instellen is GEEN fallback! Je PC en je router gaat altijd RANDOM (round robin) deze DNS servers gebruiken. Kijk in men afbeelding naar bijvoorbeeld "forward destinations": https://puu.sh/ua8za/876792634c.png dit zijn de 2 achterliggende DNS servers die de pi hole used, je ziet mooi de bijna 50/50 verdeling!

Dus 2 dns servers is geen failover voor dit, je gaat dan steeds reclame blijven krijgen en eigenlijk je pi-hole voor niets gebruiken (voor 50%)
Het gaat werken maar de helft (ongeveer) van je queries gaan de deur uit via de andere DNS server

Beter is je router de DNS laten spelen en hier als DNS servers waar die alles gaat resolven je PI hole gebruiken. Voordeel is dan dat je clients nooit andere DNS servers moeten krijgen. Ligt je PI hole er uit, dan gewoon in je router de DNS servers aanpassen naar publieke ipv je pi hole

Re: PI-hole

Geplaatst: 19 Feb 2017, 19:45
door jphermans
Omdat ik nogal veel weg ben voor het werk en mijn vrouw niet weet wat te doen wanneer de pi zou uitliggen en ze ook geen dns server kan invullen in de router, hou ik het voorlopig zo.
Zal anders nog een pi-hole draaien op een vm en deze dan als failback gebruiken.

Re: PI-hole

Geplaatst: 19 Feb 2017, 20:22
door ITnetadmin
Juist, wat Tim zegt klopt volledig.

Het is een (klassieke, veel voorkomende) vergissing te denken dat windows de dns servers die je instelt in volgorde gaat aanspreken.
Hij gaat willekeurig eentje kiezen uit zijn lijst.

Re: PI-hole

Geplaatst: 19 Feb 2017, 21:14
door DidierS
Pi-Hole draait hier ook al een geruime tijd naar volle tevredenheid op een oude RPi van de eerste generatie. Nog geen fails gehad er op dus ook geen automatische oplossing voor handen als het toch eens gebeurd... dan moet de vriendin maar naar 4G tot ik thuis ben :lol: . Recent beginnen experimenteren met upstream OpenDNS voor parental control en dat lijkt ook vlotjes te gaan.

Re: PI-hole

Geplaatst: 23 Feb 2017, 23:46
door John.B
Is er een manier om het pi hole dashboard onbereikbaar te maken voor alle gebruikers?
enkel admin login om onterechte block in de whitelist te zetten.

Dit omwille van privacy rules.

Re: PI-hole

Geplaatst: 24 Feb 2017, 07:01
door Sinna
Welke versie van Pi-Hole draai je? In recentere versies is de admin-interface afgeschermd met een wachtwoord.

Re: PI-hole

Geplaatst: 24 Feb 2017, 10:27
door DidierS
Ik denk dat hij de interface niet zichtbaar wil om zo te vermijden dat andere gebruikers kunnen zien wanneer er iemand online gaat (bv om zo te weten te komen wanneer iemand wakker is of slaapt, ik zeg maar iets).

Re: PI-hole

Geplaatst: 24 Feb 2017, 10:39
door vverbeke
Tim.Bracquez schreef:Hier draait dit al enige tijd, heel tevreden. Je moet in de bbox de dhcp server aanpassen dat deze andere DNS servers door geeft.


In de bbox3 gaat dat dus niet meer, DNS server kunnen niet aangepast worden :bang:

Re: PI-hole

Geplaatst: 24 Feb 2017, 13:18
door Tim.Bracquez
@vverbeke: Ah stom, zelf geen bbox in use. De 2 wel al op gedaan. Zelf doe ik altijd zelf de PPPoE op een MikroTik RouterBoard.

Re: PI-hole

Geplaatst: 24 Feb 2017, 13:19
door remus
vverbeke schreef:
Tim.Bracquez schreef:Hier draait dit al enige tijd, heel tevreden. Je moet in de bbox de dhcp server aanpassen dat deze andere DNS servers door geeft.


In de bbox3 gaat dat dus niet meer, DNS server kunnen niet aangepast worden :bang:


is de bbox3 in bridge zetten en eigen router erachter dat je zo wel je dns naar keuze kan instellen geen alternatief?

Re: PI-hole

Geplaatst: 24 Feb 2017, 13:23
door Tim.Bracquez
@remus & @vverbeke: Inderdaad. Je kan zelfs vanop je Rasp PI dit doen de PPPoE en routeren als je wilt. Zelf nog niet getest, maar zie dat sommige mensen de PI als router gebruiken.

Hier draait naast de PI-hole ook monitoring en heel de sturing van mijn esp8266 automatisatie

Re: PI-hole

Geplaatst: 4 weken 1 dag 23 uur geleden (25 Feb 2017, 13:40)
door guntherstassen
Net getest in een VMWARE omgeving.. Mijn raspy's zijn momenteel allemaal in gebruik.
Wel al enkele domeinnamen zelf in de blacklist moeten zetten (oa ligatus.com -> Enorm storende advertentieshit)
Ben eigenlijk verwonderd dat het goed werkt.... zal toch maar eens kijken om een pi'ke vrij te krijgen om deze op te installeren.

Of heeft iemand interesse om dit in de cloud te steken? :-)

Re: PI-hole

Geplaatst: 4 weken 1 dag 23 uur geleden (25 Feb 2017, 13:46)
door Tim.Bracquez
guntherstassen schreef:Of heeft iemand interesse om dit in de cloud te steken? :-)

"Bijna" onmogelijk. Want je zet namelijk een Open Resolver op. Dus die wordt gewoon misbruikt voor DDoS attacks en dergelijke. Google / OpenDNS hebben een hele dure infrastructuur om dit te draaien en onder controle te houden.

Simpel voorbeeldje, een klant draaide dit, een week later ging er een 10Gbit verkeer naar toe naar de open resolver :-)

Je moet al bijna enkel van sommige IP's toegang laten, maar zonder static IP's is dit zeer lastig.

Meer info over dit probleem: http://openresolverproject.org/

Re: PI-hole

Geplaatst: 3 weken 4 dagen 15 uur geleden (01 Mar 2017, 22:19)
door John.B
DidierS schreef:Ik denk dat hij de interface niet zichtbaar wil om zo te vermijden dat andere gebruikers kunnen zien wanneer er iemand online gaat (bv om zo te weten te komen wanneer iemand wakker is of slaapt, ik zeg maar iets).


Correct. De hele interface moet achter paswoord komen zitten.

Re: PI-hole

Geplaatst: 3 weken 4 dagen 15 uur geleden (01 Mar 2017, 22:33)
door Sinna
Kan je dan niet op webserver-niveau een wachtwoord vereisen? Dat kan toch niet zo moeilijk zijn.

Re: PI-hole

Geplaatst: 3 weken 4 dagen 15 uur geleden (01 Mar 2017, 22:34)
door kamiel
iemand enig idee hoe je stieve kan whitelisten? Gewoon stievie.be of watch.stievie.be in de whitelist zetten werkt niet...

Re: PI-hole

Geplaatst: 3 weken 4 dagen 13 uur geleden (02 Mar 2017, 00:03)
door ITnetadmin
Sinna schreef:Kan je dan niet op webserver-niveau een wachtwoord vereisen? Dat kan toch niet zo moeilijk zijn.


Dat is zelfs niet moeilijk, met een apache.

Gewoon htaccess file, htpasswd file met de user/pwd combi (en desgewenst htgroup file om de users in groups te steken).
Daar vind je makkelijk info over terug op internet.

Re: PI-hole

Geplaatst: 3 weken 4 dagen 4 uur geleden (02 Mar 2017, 08:41)
door Sinna
Dat bedoelde ik dus, maar ik kon niet meteen op de juiste termen komen. Bedankt!

Re: PI-hole

Geplaatst: 3 weken 3 dagen 16 uur geleden (02 Mar 2017, 21:32)
door silencer
Welke whitelist kun je gebruiken om Stevie toe te laten ?
Lukt mij maar niet icm de Pi-hole.

Re: PI-hole

Geplaatst: 3 weken 3 dagen 15 uur geleden (02 Mar 2017, 22:04)
door kamiel
Hier zelfde probleem

Re: PI-hole

Geplaatst: 3 weken 1 dag 23 uur geleden (04 Mar 2017, 13:47)
door Ofloo
als je zelf bind draait gewoon downloaden en includen, .. https://loki.ofloo.net/blackhole.zone

Re: PI-hole

Geplaatst: 3 weken 1 dag 23 uur geleden (04 Mar 2017, 14:27)
door jphermans
Weet iemand hoe de ads bij androidworld.nl te verbergen?
Deze zijn dus duidelijk nog zichtbaar.

Re: PI-hole

Geplaatst: 3 weken 1 dag 22 uur geleden (04 Mar 2017, 14:39)
door Ofloo
welke adds ???

Re: PI-hole

Geplaatst: 3 weken 1 dag 21 uur geleden (04 Mar 2017, 16:12)
door jphermans
Wannneer ik naar androidworld.nl surf zie ik veel reclame staan. Zie foto.

Re: PI-hole

Geplaatst: 3 weken 1 dag 2 uur geleden (05 Mar 2017, 11:10)
door John.B
ITnetadmin schreef:
Sinna schreef:Kan je dan niet op webserver-niveau een wachtwoord vereisen? Dat kan toch niet zo moeilijk zijn.


Dat is zelfs niet moeilijk, met een apache.

Gewoon htaccess file, htpasswd file met de user/pwd combi (en desgewenst htgroup file om de users in groups te steken).
Daar vind je makkelijk info over terug op internet.


En hoe kan dit eenvoudig onder lighttpd ?

Re: PI-hole

Geplaatst: 2 weken 3 dagen 17 uur geleden (09 Mar 2017, 20:25)
door silencer
kamiel schreef:Hier zelfde probleem

Query log laten lopen en whitelisten (enkele keren) en het is gelukt :-)
Show blocked query's only aanvinken.

Re: PI-hole

Geplaatst: 2 weken 3 dagen 17 uur geleden (09 Mar 2017, 20:29)
door kamiel
'k het ook nog eens proberen, maar zal volledig opnieuw moeten beginnen. M'n raspberry pi reageert ondertussen niet meer.

Re: PI-hole

Geplaatst: 2 weken 3 dagen 16 uur geleden (09 Mar 2017, 20:41)
door silencer
kamiel schreef:'k het ook nog eens proberen, maar zal volledig opnieuw moeten beginnen. M'n raspberry pi reageert ondertussen niet meer.

Mijn whitelist (kan mss nog beter):
raw.githubusercontent.com
mirror1.malwaredomains.com
sysctl.org
zeustracker.abuse.ch
s3.amazonaws.com
hosts-file.net
gigya.com
cdns.gigya.com
gscounters.eu1.gigya.com
medialaancdn.be
libs.medialaancdn.be
adm.fwmrm.net
cdn.gigya.com
socialize.eu1.gigya.com
dev.visualwebsiteoptimizer.com
m1.fwmrm.net
js.moatads.com

Re: PI-hole

Geplaatst: 1 week 2 dagen 2 uur geleden (18 Mar 2017, 11:12)
door JimmyK
Iemand een idee how to block acces naar andere dns servers?

Dus dat de pi hole binnen het network the only is die men can gebruiken?

Moeten er ports toegezet worden in de modem\router?

Re: PI-hole

Geplaatst: 1 week 1 dag 20 uur geleden (18 Mar 2017, 16:56)
door foxhound
DNS disablen op andere apparaten die dienst kunnen doen als DNS in je netwerk, en op routerniveau poort 53 blokkeren outbound, natuurlijk je forward DNS die je gebruikt whitelisten. Interne apparaten kunnen dan nog altijd rechtstreeks je upstream DNS contacteren wel.

Zelf nog nooit getest, dus mileage may vary.

Re: PI-hole

Geplaatst: 1 week 1 dag 15 uur geleden (18 Mar 2017, 22:21)
door r2504
foxhound schreef:en op routerniveau poort 53 blokkeren outbound


Probleem is dat er genoeg DNS servers zijn die luisteren op alternatieve poorten... oa. OpenDNS op 5353.

Re: PI-hole

Geplaatst: 1 week 1 dag 14 uur geleden (18 Mar 2017, 23:22)
door ITnetadmin
Ja. Hoe meer admins standaard poorten blokkeren, hoe meer er alternatieve poorten gebruikt worden.

Kijk bv naar dingen als websockets, technologie die video streaming laat encapsuleren in http pakketjes, puur om voorbij firewalls te geraken.

Geef het nog 10 jaar, en bijna alle internet traffiek zal over poorten 80 en 443 lopen, denk ik soms :-p

Re: PI-hole

Geplaatst: 1 week 1 dag 2 uur geleden (19 Mar 2017, 10:46)
door r2504
ITnetadmin schreef:Ja. Hoe meer admins standaard poorten blokkeren, hoe meer er alternatieve poorten gebruikt worden.


In een correct netwerk staat dan ook alles toe outbound... behalve de services die je echt nodig hebt.

Waarom zouden er 65000 poorten openstaan als je enkel surft op poort 80 en 443.

Re: PI-hole

Geplaatst: 1 week 23 uur 12 minuten geleden (19 Mar 2017, 14:25)
door ITnetadmin
Omdat een port een conventie is, en onnodige port blocking enkel programmeurs ertoe leidt om protocols op non-standard poorten te gooien.
Wat heb je eraan als iedereen alles op port 80 gaat zetten, omdat ze weten dat dat de enige open port is waarvan je zeker kan zijn dat ze open is wanneer je ergens op een guest wifi zit?

Dat gaat van mensen die ergens in een bedrijf als guest zijn, tot zieken die in het ziekenhuis op hun laptop wat bezig willen zijn, tot mensen die vanop eender welke locatie willen remoten naar een andere pc, tot mensen die overal willen streamen zonder tegen een of andere public firewall te lopen die net die port blokkeert.

En van welke ports ben je zeker dat ze zowat altijd open zijn?
Juist, 80 en 443.

Niet alleen gaat gewoon bijna alle user traffic langs die ports gaan op lange termijn, maar meer en meer traffic gaat zich ook camoufleren als webtraffic.
Wat niet zo moeilijk zal zijn nu ongeveer alles encrypted verloopt, dus deep packet inspection gaat over de jaren een maat voor niks worden.
Neem dat maar als een voorspelling van mij ;-)

Kijk nu al maar ns naar websocket streaming, dat zich in http pakketjes steekt om firewalls te passeren, of teamviewer die zich op port 80 verbindt om door zoveel mogelijk firewalls te geraken (wat de grootste ergernis bij logmein is/was voor velen die ik ken; half de KULeuven bv gebruikt teamviewer om de KUL firewall te kunnen passeren).