PI-hole

Windows, Android, iOS, Linux, Chrome OS, ...
ubremoved_539
Deel van't meubilair
Deel van't meubilair
Berichten: 29849
Lid geworden op: 28 okt 2003, 09:17
Uitgedeelde bedankjes: 434 keer
Bedankt: 1972 keer

ITnetadmin schreef:en onnodige port blocking
Er bestaat alléén onnodige non-blocking (zeker op bedrijfsniveau).
ITnetadmin schreef:enkel programmeurs ertoe leidt om protocols op non-standard poorten te gooien.
Ik heb nergens geschreven dat poorten niet kunnen open gezet worden... maar een gebruiker binnen een bedrijf heeft hier zelden nood aan, en voor servers weet je hopelijk welke applicaties er draaien en wat hun noden zijn.
ITnetadmin schreef:Dat gaat van mensen die ergens in een bedrijf als guest zijn, tot zieken die in het ziekenhuis op hun laptop wat bezig willen zijn
Die mensen horen ook niet thuis op de corporate LAN maar op een guest VLAN !
ITnetadmin schreef:tot mensen die vanop eender welke locatie willen remoten naar een andere pc, tot mensen die overal willen streamen zonder tegen een of andere public firewall te lopen die net die port blokkeert.
Die dingen horen ook meestal niet thuis op een corporate LAN.
ITnetadmin schreef:Niet alleen gaat gewoon bijna alle user traffic langs die ports gaan op lange termijn, maar meer en meer traffic gaat zich ook camoufleren als webtraffic. Wat niet zo moeilijk zal zijn nu ongeveer alles encrypted verloopt, dus deep packet inspection gaat over de jaren een maat voor niks worden.
Moderne firewalls herkennen dit perfect.
ITnetadmin schreef:of teamviewer die zich op port 80 verbindt om door zoveel mogelijk firewalls te geraken (wat de grootste ergernis bij logmein is/was voor velen die ik ken; half de KULeuven bv gebruikt teamviewer om de KUL firewall te kunnen passeren).
Dan doet men bij de KUL duidelijk geen moeite want dit is perfect te filteren... ik ken genoeg klanten waar TeamViewer gewoon niet werkt (soms tot mijn frustratie maar ik heb er ook alle begrip voor).
blaatpraat
Elite Poster
Elite Poster
Berichten: 1301
Lid geworden op: 10 jan 2014, 12:09
Uitgedeelde bedankjes: 32 keer
Bedankt: 103 keer

vverbeke schreef:
Tim.Bracquez schreef:Hier draait dit al enige tijd, heel tevreden. Je moet in de bbox de dhcp server aanpassen dat deze andere DNS servers door geeft.
In de bbox3 gaat dat dus niet meer, DNS server kunnen niet aangepast worden :bang:
Oud bericht, maar toch een oplossing, zonder de nood aan extra apparatuur:
DHCP uitschakelen in je BBOX, en een DHCP service opzetten op je RPI die je al gebruikt voor Pi-hole.
Dit zal meer lightweight zijn dan je RPI gebruiken als een router en PPPOE client.
ITnetadmin
userbase crew
userbase crew
Berichten: 8974
Lid geworden op: 28 jan 2012, 18:22
Uitgedeelde bedankjes: 199 keer
Bedankt: 690 keer
Recent bedankt: 2 keer

Als het allemaal geencrypteerd is, zal er niet veel te inspecteren meer zijn.
De enige reden dat moderne firewalls dit nog kunnen, is dat ze een geforceerde MITM aanval uitvoeren op de data, en via group policies hun certificate als trusted op de client gooien, zodat de firewall endpoint speelt in de encryptie.

Dat kan mss voor een bedrijf, maar publieke netwerken die (uitgaande) poorten blokkeren zijn eraan voor de moeite.

En ja, ook guest vlans blokkeren uitgaande poorten hoor.

Teamviewer is (nog) te filteren, maar dit dreigt een serieus kat en muisspel te worden tussen firewalls en legitimate users.

En waarvoor? Poorten zijn uiteindelijk conventies, of ik nu met SSH op port 22 of op port 80 of port 12345 connecteer maakt niks uit aan het eind van de rit.
Dus onnodige blokkeringen uitvoeren, ook op corporate lans, is idioot.

Dat is hetzelfde archaische gedoe als beweren dat een goeie pwd policy eruit bestaat om de users regelmatig hun pwd te veranderen en altijd een gecompliceerd pwd te gebruiken.
ubremoved_539
Deel van't meubilair
Deel van't meubilair
Berichten: 29849
Lid geworden op: 28 okt 2003, 09:17
Uitgedeelde bedankjes: 434 keer
Bedankt: 1972 keer

ITnetadmin schreef:Als het allemaal geencrypteerd is, zal er niet veel te inspecteren meer zijn.
En dat denk jij... je moet eens wat literatuur lezen over de great firewall of China.

Zelfs de verschillende soorten VPN tunnels welke over je encrypted SSL verbinding gaat kan men herkennen... het gaat echt ver hoor.
ITnetadmin schreef:De enige reden dat moderne firewalls dit nog kunnen, is dat ze een geforceerde MITM aanval uitvoeren op de data, en via group policies hun certificate als trusted op de client gooien, zodat de firewall endpoint speelt in de encryptie.
Dat deed men 10 jaar geleden al... ik heb het over moderne firewalls !
ITnetadmin schreef:Dat kan mss voor een bedrijf, maar publieke netwerken die poorten blokkeren zijn eraan voor de moeite.
Als bedrijf wil je de rotzooit zoveel mogelijk beperken... dat is dus iedere connectie blocken waarvan je niet weer waarom ze nodig is.
ITnetadmin schreef:En ja, ook guest vlans blokkeren poorten hoor.
Dat is de keuze van de gastheer... misschien wil die niet dat je bepaalde dingen doet... het is voor jou als gast om dat te respecteren (al lijkt dat een ijdel begrip tegenwoordig).
ITnetadmin schreef:Dus onnodige blokkeringen uitvoeren, ook op corporate lans, is idioot.
Hopelijk vertel je dat nooit hardop in een deftige bedrijfsomgeving... veel succes met dergelijke uitspraken :bang:
Gebruikersavatar
JoskeVermeulen
Premium Member
Premium Member
Berichten: 642
Lid geworden op: 22 aug 2012, 02:04
Locatie: Liedekerke
Uitgedeelde bedankjes: 64 keer
Bedankt: 78 keer

Tim.Bracquez schreef:Afbeelding
Iemand die mij dergelijke screenshots van iedere pagina kan bezorgen? Momenteel kan ik zelf Pi-hole niet testen met dat de RPI al in gebruik is bij een familielid en ik wens dit graag in mijn onderzoek te bespreken want het gaat net over (volgende) advertenties. Als het kan waar de domeinen zichtbaar zijn als er geen gevoelige tussen zitten. :-)
:troosten:
TV: Afbeelding
ISP: Afbeelding
Tel.: Afbeelding
VOiD
Elite Poster
Elite Poster
Berichten: 2493
Lid geworden op: 10 jan 2006, 20:10
Locatie: Herent
Uitgedeelde bedankjes: 55 keer
Bedankt: 221 keer

Je hoeft dit helemaal niet op een RPI te draaien hoor. Hier draait het gewoon op CentOS in een VM.
Internet: EDPNet VDSL
Telefonie: OVH
GSM: Proximus
Tim.Bracquez
Elite Poster
Elite Poster
Berichten: 3202
Lid geworden op: 05 dec 2010, 15:09
Bedankt: 450 keer

JoskeVermeulen schreef: Iemand die mij dergelijke screenshots van iedere pagina kan bezorgen?
Op youtube kan je redelijk veel demo's vinden https://www.youtube.com/results?search_ ... +interface
ITnetadmin
userbase crew
userbase crew
Berichten: 8974
Lid geworden op: 28 jan 2012, 18:22
Uitgedeelde bedankjes: 199 keer
Bedankt: 690 keer
Recent bedankt: 2 keer

r2504 schreef:
ITnetadmin schreef:Als het allemaal geencrypteerd is, zal er niet veel te inspecteren meer zijn.
En dat denk jij... je moet eens wat literatuur lezen over de great firewall of China.

Zelfs de verschillende soorten VPN tunnels welke over je encrypted SSL verbinding gaat kan men herkennen... het gaat echt ver hoor.
ja, maar voor zover ik weet niet de exacte inhoud.
Dus iets camoufleren als een ander soort traffiek wordt makkelijker omdat de ene geencrypteerde data doelbewust nogal op de andere geencrypteerde data lijkt.


r2504 schreef:
ITnetadmin schreef:Dat kan mss voor een bedrijf, maar publieke netwerken die poorten blokkeren zijn eraan voor de moeite.
Als bedrijf wil je de rotzooit zoveel mogelijk beperken... dat is dus iedere connectie blocken waarvan je niet weer waarom ze nodig is.
ITnetadmin schreef:En ja, ook guest vlans blokkeren poorten hoor.
Dat is de keuze van de gastheer... misschien wil die niet dat je bepaalde dingen doet... het is voor jou als gast om dat te respecteren (al lijkt dat een ijdel begrip tegenwoordig).
ITnetadmin schreef:Dus onnodige blokkeringen uitvoeren, ook op corporate lans, is idioot.
Hopelijk vertel je dat nooit hardop in een deftige bedrijfsomgeving... veel succes met dergelijke uitspraken :bang:
Ik vat het nog ns samen:
Als er ook maar 1 port open is, dan kan je door.
Nutteloos poorten blokkeren is dus onzin.
Als de gastheer gaat blokkeren, dan gaan de gasten omwegen vinden, en de programmeurs gaan daarbij helpen.
Je mag dat niet accepteren, maar het zal wel zo zijn.
En met encryptie in standaard gebruik nu, hoe gaat men de geencrypteerde http pakketjes onderscheiden van de geencrypteerde pakketjes die slechts beweren http te zijn?
De inhoud zelf gaat niet veel info opleveren, en metadata lijkt mij veel makkelijker te faken.
Als je dus alles behalve port 80 en 443 http(s) gaat blokkeren, dan gaan er programmas ontwikkeld worden die data voordoen alsof het om http(s) data gaat, en die over die poorten versturen.
Controle in een geencrypteerde wereld is een illusie (met uitzondering van secured networks waar de firewall mitm speelt).

Kijk naar het beste voorbeeld totnogtoe: websocket video streaming.
Dat is letterlijk video data in http pakketjes encapsuleren.
Waarom denk je dat dat bestaat?
Waarom denk je dat dat ontwikkeld is?
Om lastige firewalls te omzeilen.

Als je dus denkt dat dat een uitzondering op de regel gaat vormen, vrees ik dat je er serieus naast gaat zitten.

Gewoon geencrypteerde data zoals vpn data blokkeren, en ip ranges ook, ja, dat kan ik nog zien gebeuren.
Maar als eenmaal protocols zich gewoon als https gaan voordoen, puur om erdoor te geraken, en de firewalls geen geencrypteerde data vierkant weigeren, is er altijd een gaatje.

OpenVPN traffiek verbergen in een https tunnel wordt nu al hier en daar mee geexperimenteerd.


Ik verg daar overigens geen waardeoordeel over; ik zeg alleen maar hoe ik dingen zie evolueren op internet.
En als je enkel port 80/443 openzet voor je users, dan gaan die alles daarover willen versturen, en de programmeurs gaan hen daarbij helpen.

Over sommige dingen heb je geen controle.
Je weet wel "the tighter you squeeze your fist, the more systems will slip through your fingers".
Dat bv pwd policies als "verander elke 30-90 dagen, complex pwd, no repeats, etc etc..." nog altijd bij de best practices staan, terwijl iedereen met gezond verstand intussen weet dat users het gewoon gaan neerschrijven op een postit ergens, toont aan dat sommigen de realiteit nog altijd weigeren te zien en in "het ideale netwerk" geloven.
Hell, als ik ooit verplicht wordt om maandelijks pwds te wisselen, zal het bij mij ook snel neergeschreven zijn.
ubremoved_539
Deel van't meubilair
Deel van't meubilair
Berichten: 29849
Lid geworden op: 28 okt 2003, 09:17
Uitgedeelde bedankjes: 434 keer
Bedankt: 1972 keer

ITnetadmin schreef:ja, maar voor zover ik weet niet de exacte inhoud.
Zolang men een onderscheid kan maken tussen een VPN (of je websockets) en gewoon SSL verkeer naar je bank is dat voldoende (daarvoor moet je de inhoud niet kennen).

Op die manier kan men gewoon alle niet normale SSL verkeer blockeren.
ITnetadmin schreef:Dus iets camoufleren als een ander soort traffiek wordt makkelijker omdat de ene geencrypteerde data doelbewust nogal op de andere geencrypteerde data lijkt.
Voor zover ik weet kan men nog steeds de diverse vormen van SSL verkeer onderscheiden (ik ontken trouwens nergens dat het moeilijker en moeilijker is).
ITnetadmin schreef:Dus onnodige blokkeringen uitvoeren, ook op corporate lans, is idioot.
Nogmaals... jij mag dat gaan verkondigen in de bedrijfswereld maar of je dan nog ernstig wordt genomen is een andere vraag.
ITnetadmin schreef:Als er ook maar 1 port open is, dan kan je door.
Nutteloos poorten blokkeren is dus onzin.
Nee, dat is geen onzin... iedere maatregel houdt een bepaalde groep buiten.

Trouwens met die mentaliteit heb jij natuurlijk geen firewall meer staan... dat is volgens jou dus onzin ?
ITnetadmin schreef:Kijk naar het beste voorbeeld totnogtoe: websocket video streaming.
Dat is letterlijk video data in http pakketjes encapsuleren.
Je moet mij dat niet vertellen... ik ken dat heus wel en ik zeg dat men het selectief kan blokkeren als men wil (een KMO'tje gaat dat niet doen, een bank of andere instelling met gevoelig data wel). Ik werk trouwens voor banken en ik kan je verzekeren dat hier niets naar buiten gaat... geen OpenVPN, geen SSL tunnels, geen webscokets, ...
ITnetadmin
userbase crew
userbase crew
Berichten: 8974
Lid geworden op: 28 jan 2012, 18:22
Uitgedeelde bedankjes: 199 keer
Bedankt: 690 keer
Recent bedankt: 2 keer

Ah, ik zie het probleem hier.
Enfin, probleem is een groot woord.
Jij argumenteert vanuit het netwerk van een bank.
Laat dat nu een van de weinige netwerken zijn die echt wel beveiligd moeten worden.
Ik zit in de kleinere omgevingen, waar dit soort filtering sneller en sneller "onmogelijk" zal worden, al is het maar omdat competente firewalls die zo diep in de packets gaan snuffelen gewoon te duur gaan uitvallen.


Nu, ik zeg niks over mijn voorkeur, alleen dat ik een trend zie in die richting.
En die trend kan je niet ontkennen.
Hoe meer guest netwerken, 3g/4g operatoren, ... bepaalde poorten of traffiek blokkeren, hoe sneller deze evolutie zich gaat voltrekken.
Ik vind dat overigens een spijtige trend. Als we minder onnodige poorten zouden blokkeren, dan zou traffic management makkelijker zijn omdat iedereen zich aan zijn poorten zou kunnen houden.

Of de bedrijven mij (en anderen) geloven, inzake het onnodig blokkeren van outgoing ports, dat vraag ik mij ook af.
Maar dat was hetzelfde liedje toen men beginnen zeggen is dat de meest geaccepteerde pwd policy, die waar de pwd moeilijk en vaak veranderd waren, onzin was want dat er via de user lekken ontstonden omdat die het gewoon niet meer kunnen onthouden.
Nu nog hoor ik dit als best practice verkondigen, terwijl het eigenlijk absolute nonsens is.
Wil je high-sec, gebruik dan smart cards voor login, geen complexe pwd policies.
Wil je stevige pwds, laat de user er daan eentje maken, en laat die houden zolang mogelijk.
Afhankelijk van zijn privileges, mss ns veranderen na een jaartje of twee.
Of gebruik pwd management vaults waarbij de user enkel een master pwd moet onthouden, stijl keepass.

Alle verandering is moeilijk, maar het besef dat outgoing poorten blokkeren eigenlijk grotendeels nutteloos is moet nog komen.
(met mogelijk een kleine uitzondering voor high sec omgevingen waar men miljoenen kan smijten naar security toe, en waar dat nodig is, zoals banken).
ubremoved_539
Deel van't meubilair
Deel van't meubilair
Berichten: 29849
Lid geworden op: 28 okt 2003, 09:17
Uitgedeelde bedankjes: 434 keer
Bedankt: 1972 keer

ITnetadmin schreef:Ah, ik zie het probleem hier.
Enfin, probleem is een groot woord.
Jij argumenteert vanuit het netwerk van een bank.
Niet noodzakelijk vanuit een bank... wel vanuit een professionele omgeving. Ik heb ook KMO's waar gebruikers niet op het internet mogen (bedrijfspolicy dus daar ga ik me niet mee moeien) en ook alles gefilterd is (inclusief SSL verkeer aangezien zowat alle webites tegenwoordig https gebruiken) dmv. een eigen certificaat. Dit zijn firewalls inclusief content filtering van minder dan 1000 euro... het kost dus geen fortuinen.
ITnetadmin schreef:En die trend kan je niet ontkennen. Hoe meer guest netwerken, 3g/4g operatoren, ... bepaalde poorten of traffiek blokkeren, hoe sneller deze evolutie zich gaat voltrekken.
Ik vind dat overigens een spijtige trend. Als we minder onnodige poorten zouden blokkeren, dan zou traffic management makkelijker zijn omdat iedereen zich aan zijn poorten zou kunnen houden.
Ik ontken die trend niet en het is inderdaad spijtig... maar dat komt omdat mensen zich niet aan regels kunnen houden (laat staan hackers). Je wordt dus gedwongen maatregelen te nemen tenzij je netwerk een duivenkot is waar alles zomaar binnen en buiten kan. Je zegt toch ook niet van ik doe geen virus scanning op m'n mails want het kan ook binnenkomen via USB ?
ITnetadmin schreef:Of de bedrijven mij (en anderen) geloven, inzake het onnodig blokkeren van outgoing ports, dat vraag ik mij ook af.
Nogmaals... in je statement zit waarheid... maar in een professionele omgeving (ook al is het een KMO) kan je zoiets gewoon niet zeggen (want het is hetzelfde als zeggen dat je helemaal geen firewall nodig hebt omdat er ergens toch wel een ander gaatje is, ook al weten we allemaal dat de zwakste schakel bepalend is).
ITnetadmin
userbase crew
userbase crew
Berichten: 8974
Lid geworden op: 28 jan 2012, 18:22
Uitgedeelde bedankjes: 199 keer
Bedankt: 690 keer
Recent bedankt: 2 keer

Ik zei alleen dat het geen zin had om outgoing ports te blokkeren, omdat die ports gewoon een nummertje zijn.
Of je die verbinding nu op port 80, 1234, of kweeniwelke nummer maakt, maakt voor die verbinding niks uit.
En het is die misplaatste gewoonte die ervoor zorgt dat zoveel protocols nu op niet-standaard poorten runnen.

DPI is een andere zaak, maar zal met de toenemende encryptie moeilijker en moeilijker worden.
Ik lees nu al verhalen over SSL en https tunnels, dus ik ben benieuwd waar die technologie ons naartoe gaat leiden.
Want als je echt moeite doet om de traffiek te camoufleren als https traffiek, ga je dat niet meer zo makkelijk ontdekken, nu alles geencrypteerde onzin is geworden, tegenover de plaintext vroeger, waarbij je snel wist waarover elk pakketje ging.


Qua beveiliging, ben ik wel voorstander van een netwerk waarop de user thuis kan zijn.
Ik luister bv op het werk naar de radio, en dat is een internetradio, want de absoluut enige zender die ik beluister tijdens het werk zit alleen daarop.
Ik vind dat dat moet kunnen; een plek waar je 8u per dag spendeert, is een tweede thuis, en moet die mogelijkheden aanbieden. Desnoods via een aparte vlan waarop men een byod mag doen.
Ik moei me dus wel met die bedrijfspolicies. In de zin dat ik daar niet aan meedoe.
Maar deze paragraaf is puur een persoonlijke voorkeur, in tegenstelling tot bovenstaande paragrafen.
ubremoved_539
Deel van't meubilair
Deel van't meubilair
Berichten: 29849
Lid geworden op: 28 okt 2003, 09:17
Uitgedeelde bedankjes: 434 keer
Bedankt: 1972 keer

ITnetadmin schreef:Ik zei alleen dat het geen zin had om outgoing ports te blokkeren, omdat die ports gewoon een nummertje zijn.
Zet alles ééns dicht (of log het gewoon)... je gaat verbaast zijn wat er allemaal op je netwerk verbindingen maakt met de buitenwereld... persoonlijk krijg ik er de kriebels van als ik het zie (jij dus blijkbaar niet of je beseft het gewoonweg niet omdat het open staat). Feit is dat dergelijke software niet zomaar een andere nummertje kan/gaat gebruiken (dus dicht is dicht, ik wil weten wat er leeft op m'n netwerk).

Wel grappig dat mensen hier moord schreeuwen over een advertentie in hun browser... maar verder alles compleet open zetten :eek:
ITnetadmin schreef:Qua beveiliging, ben ik wel voorstander van een netwerk waarop de user thuis kan zijn.
Ik luister bv op het werk naar de radio, en dat is een internetradio
Op je werk ben je voor te werken... niet om naar internet radio te luisteren (of zelfs muziek luisteren via YouTube)... leuk als jij dat doet... maar wat als 100 mensen dit doen ? Ik heb nog bij een multinational gewerkt waar bleek dat > 90% van hun leased line (en dat was heus geen Telenet lijntje van 70 euro/maand) vol zat met "niet werk gerelateerd" verkeer !
ITnetadmin schreef:Ik moei me dus wel met die bedrijfspolicies. In de zin dat ik daar niet aan meedoe.
Tot men bovenstaande merkt en drastische maatregelen neemt... en dan ben je verbaast ?
Gebruikersavatar
lacer
Elite Poster
Elite Poster
Berichten: 2968
Lid geworden op: 24 feb 2007, 23:15
Locatie: 09
Uitgedeelde bedankjes: 130 keer
Bedankt: 159 keer

blaatpraat schreef:
vverbeke schreef:
Tim.Bracquez schreef:Hier draait dit al enige tijd, heel tevreden. Je moet in de bbox de dhcp server aanpassen dat deze andere DNS servers door geeft.
In de bbox3 gaat dat dus niet meer, DNS server kunnen niet aangepast worden :bang:
Oud bericht, maar toch een oplossing, zonder de nood aan extra apparatuur:
DHCP uitschakelen in je BBOX, en een DHCP service opzetten op je RPI die je al gebruikt voor Pi-hole.
Dit zal meer lightweight zijn dan je RPI gebruiken als een router en PPPOE client.
Bericht is al een enkele maanden oud, maar ben eens benieuwd of dat nu werkt met een Bbox3 met een RPI erachter ?
EdpNet XL 99/35 Mbps
VoIp OVH + Gigaset C610IP + C430H
Telenet Digital TV HD Digicorder AD 2200
RPi 2B Pi-Hole / 3B Kodi-19 / 3B+ Node-Red+Grafana
FLUKSO monitoring Elec-Gas-Water-PV > PVoutput
Ubuntu Mate 18.04 ESM / 22.04
rpr
Pro Member
Pro Member
Berichten: 447
Lid geworden op: 03 jul 2008, 10:15
Uitgedeelde bedankjes: 5 keer
Bedankt: 14 keer

Wat zijn de algemene indrukken.
Ik heb ooit iets gelijkaardig op mijn pfsense geïnstalleerd maar adblock plus in de browser leek mij nog altijd beter.
Met de pfsense methode waren de banners wel weg maar was de ruimte van de banners er nog. Terwijl bij adblock dit niet altijd zo is.
lanadekat
Elite Poster
Elite Poster
Berichten: 918
Lid geworden op: 23 aug 2013, 21:17
Uitgedeelde bedankjes: 45 keer
Bedankt: 83 keer

rpr schreef:Wat zijn de algemene indrukken.
Ik heb ooit iets gelijkaardig op mijn pfsense geïnstalleerd maar adblock plus in de browser leek mij nog altijd beter.
Met de pfsense methode waren de banners wel weg maar was de ruimte van de banners er nog. Terwijl bij adblock dit niet altijd zo is.
Dat is bij Pi-hole ook zo, men lijkt het te combineren met adblock. Het voordeel dat je hebt is dat de ads nooit worden gedownload omdat ze op dns level al worden geblokkeerd terwijl ze met alleen adblock wel worden "geladen" AFAIK.
Gebruikersavatar
lacer
Elite Poster
Elite Poster
Berichten: 2968
Lid geworden op: 24 feb 2007, 23:15
Locatie: 09
Uitgedeelde bedankjes: 130 keer
Bedankt: 159 keer

Wat ik hierboven schreef heb ik deze avond effectief eens uitgeprobeerd en dat lijkt dus zoals verwacht geen probleem te zijn.
Op de Bbox-3 staat de DHCP nog steeds aan voor een default ip-adresbereik x.x.x.2 tot x.x.x.63, op de pihole staat DHCP ook aan (anders werkt het niet) voor een ander ip-adresbereik x.x.x.201 tot x.x.x.251.
Getest met de eerste smartphone die ik bij me had. Daar dus de DNS van de pihole in aangepast evenals een nieuw statisch ip-adres die in de range van de pihole zit dus.
Werkt goed, later nog andere apparaten toevoegen in huis :-)
EdpNet XL 99/35 Mbps
VoIp OVH + Gigaset C610IP + C430H
Telenet Digital TV HD Digicorder AD 2200
RPi 2B Pi-Hole / 3B Kodi-19 / 3B+ Node-Red+Grafana
FLUKSO monitoring Elec-Gas-Water-PV > PVoutput
Ubuntu Mate 18.04 ESM / 22.04
ubremoved_539
Deel van't meubilair
Deel van't meubilair
Berichten: 29849
Lid geworden op: 28 okt 2003, 09:17
Uitgedeelde bedankjes: 434 keer
Bedankt: 1972 keer

Je toestellen die dus toch een IP-adres krijgen van de BBOX DHCP gaan dus niet via je PI-hole !

Twee DHCP servers op een netwerk is trouwens not-done.
Gebruikersavatar
Sasuke
userbase crew
userbase crew
Berichten: 5526
Lid geworden op: 13 aug 2003, 20:25
Locatie: Vlaanderen
Uitgedeelde bedankjes: 238 keer
Bedankt: 467 keer
Recent bedankt: 6 keer

Itnetadmin, verdiep je eens in de mogelijkheden van apt blocker of TDR van bijvoorbeeld Watchguard firewalls. Dan zal je zien dat er toch heel wat kan gefilterd worden zonder dat je specifiek eindgebruikers of developers moet pesten. Ik pak nu Watchguard als voorbeeld omdat ik daar wat ervaring mee heb en als standaard houd bij kmo klanten, maar er zijn genoeg andere Vendors die soortgelijke oplossingen hebben.
Who the fxxk is General Failure and why is he reading my hard disk ?
Afbeelding
silencer
Elite Poster
Elite Poster
Berichten: 4027
Lid geworden op: 08 jul 2008, 02:07
Uitgedeelde bedankjes: 172 keer
Bedankt: 102 keer

r2504 schreef:Je toestellen die dus toch een IP-adres krijgen van de BBOX DHCP gaan dus niet via je PI-hole !

Twee DHCP servers op een netwerk is trouwens not-done.
Zet de dhcp dan uit op je bbox en zet deze op de pihole aan.
Gebruikersavatar
lacer
Elite Poster
Elite Poster
Berichten: 2968
Lid geworden op: 24 feb 2007, 23:15
Locatie: 09
Uitgedeelde bedankjes: 130 keer
Bedankt: 159 keer

Een groep van apparaten werken in de Bbox3 met DHCP reservation, deze via de pihole zitten op een statisch adres.
Voorlopig verkies ik nog zo te werken, niet alle toestellen wil ik via de pihole laten lopen.
Ik wist dat DHCP op de Bbox uit moest, maar er zijn momenteel geen problemen, ik hou jullie zeker op de hoogte :wink:
Problemen verwacht ik ook niet:
https://serverfault.com/questions/30819 ... ame-subnet
EdpNet XL 99/35 Mbps
VoIp OVH + Gigaset C610IP + C430H
Telenet Digital TV HD Digicorder AD 2200
RPi 2B Pi-Hole / 3B Kodi-19 / 3B+ Node-Red+Grafana
FLUKSO monitoring Elec-Gas-Water-PV > PVoutput
Ubuntu Mate 18.04 ESM / 22.04
ubremoved_539
Deel van't meubilair
Deel van't meubilair
Berichten: 29849
Lid geworden op: 28 okt 2003, 09:17
Uitgedeelde bedankjes: 434 keer
Bedankt: 1972 keer

silencer schreef:Zet de dhcp dan uit op je bbox en zet deze op de pihole aan.
Kan dat op een BBOX... op een TN HGW alvast niet.
lacer schreef:Problemen verwacht ik ook niet:
https://serverfault.com/questions/30819 ... ame-subnet
Ik denk dat je nog wat moet bij studeren... twee DHCP servers is geen probleem (mits een aparte range), en dezelfde configuratie !

Jou BBOX geeft als DNS niet je PI hole (of kan je in een BBOX aangeven welke DNS server hij moet meegeven in z'n DHCP lease ?), je DHCP server van je RPI wel.
Gebruikersavatar
MClaeys
Elite Poster
Elite Poster
Berichten: 6044
Lid geworden op: 16 feb 2011, 22:43
Uitgedeelde bedankjes: 376 keer
Bedankt: 346 keer

De DNS kan je op de Bbox helaas niet aanpassen nee, daarom dat ik voor Fritzbox gegaan ben. Vroeger ging dat op Bbox 2 wel, maar ook dat is al verleden tijd. Hebben ze eigenlijk een specifieke reden voor om dat te doen eigenlijk?

Sent from my Lenovo K33a48 using Tapatalk
Gebruikersavatar
lacer
Elite Poster
Elite Poster
Berichten: 2968
Lid geworden op: 24 feb 2007, 23:15
Locatie: 09
Uitgedeelde bedankjes: 130 keer
Bedankt: 159 keer

Kan dat op een BBOX....
Ja dat kan.

Mijn instellingen samengevat:
Bbox3 DHCP staat"aan" = Gateway 192.168.1.1, hierin kunnen geen dns'en gewijzigd worden.
IP-adresbereik Bbox3 staat op 192.168.1.2 tot 192.168.1.63
Hierin staan een reeks DHCP reservaties ingesteld voor alle toestellen in huis (al zou ik wel de ongebruikte adressen kunnen verwijderen van de toestellen die nu via de Pihole werken, maar momenteel blijven deze "ongebruikte" dus staan).
Hier maken alle toestellen verbinding mee die niet via de Pihole mogen gaan, zowel bekabeld als via Wifi.
Hun dns instellingen zijn 192.168.1.1 of deze van Google.

Pihole DHCP staat"aan" met statisch adres 192.168.1.23
IP-adresbereik Pihole staat op 192.168.1.201 tot 192.168.1.251
Voorlopig staan reeds een 5 tal toestellen ingesteld met een statisch IP-adres binnenin deze Pihole IP-range, bij elk apparaat staat de dns ingesteld op 192.168.1.23
Hier maken dus enkel de toestellen verbinding mee die wel via de Pihole moeten gaan.

Ik kan alleen maar bevestigen dat het werkt. Ik kan nog steeds bestanden delen van toestellen uit het Pihole reeks naar de Bbox reeks en omgekeerd.

Ik denk dat je nog wat moet bij studeren...
Ja, dat doe ik bijna elke dag hier op UB, waarvoor dank :-)
EdpNet XL 99/35 Mbps
VoIp OVH + Gigaset C610IP + C430H
Telenet Digital TV HD Digicorder AD 2200
RPi 2B Pi-Hole / 3B Kodi-19 / 3B+ Node-Red+Grafana
FLUKSO monitoring Elec-Gas-Water-PV > PVoutput
Ubuntu Mate 18.04 ESM / 22.04
ubremoved_539
Deel van't meubilair
Deel van't meubilair
Berichten: 29849
Lid geworden op: 28 okt 2003, 09:17
Uitgedeelde bedankjes: 434 keer
Bedankt: 1972 keer

lacer schreef:Voorlopig staan reeds een 5 tal toestellen ingesteld met een statisch IP-adres binnenin deze Pihole IP-range
Statistische adressen mag je normaal nooit in de DHCP range zetten... want als je straks een toestel hebt dat gebruik maakt van DHCP dat loop je het risico dat dit een reeds gebruikt IP-adres gaat krijgen en je dus conflicten hebt. Van dergelijk niet-statisch toestel weet je trouwens nooit of het een IP-adres zal krijgen van je BBOX dan wel je RPI... en dus ook niet of het de juiste DNS server zal gebruiken.
Gebruikersavatar
lacer
Elite Poster
Elite Poster
Berichten: 2968
Lid geworden op: 24 feb 2007, 23:15
Locatie: 09
Uitgedeelde bedankjes: 130 keer
Bedankt: 159 keer

Ok bedankt, hier ben ik in de fout gegaan. De ingestelde statische adressen blijven, heb nu enkel de scope gewijzigd zodat de vaste erbuiten vallen.
In de Bbox3 gaat dit niet daar het gereserveerde IP-adressen zijn, die moeten in de scope vallen.
In het begin gaan nieuwe toestellen inderdaad willekeurig een IP-adres krijgen, maar het is de bedoeling dat het later een vast adres gaat krijgen.
EdpNet XL 99/35 Mbps
VoIp OVH + Gigaset C610IP + C430H
Telenet Digital TV HD Digicorder AD 2200
RPi 2B Pi-Hole / 3B Kodi-19 / 3B+ Node-Red+Grafana
FLUKSO monitoring Elec-Gas-Water-PV > PVoutput
Ubuntu Mate 18.04 ESM / 22.04
Joury
Starter
Starter
Berichten: 9
Lid geworden op: 03 feb 2018, 12:21

Iemand ervaring met een pihole in combinatie met een fritzbox?

De oude modem was defect en zit nu met bbox zondr mogelijkheid om dns aan te passen, proximus doet moeilijk... gebruiken zij dns voor data monitoring en analyse?

Als met fritzbox gaat dan is dat oplossing, anders altijd handmatig dns aanpassen op de toestel.
Maar wat een verschil, pi hole is echt goed. Nu merk ik weer veel reclame, amai
Gebruikersavatar
Sasuke
userbase crew
userbase crew
Berichten: 5526
Lid geworden op: 13 aug 2003, 20:25
Locatie: Vlaanderen
Uitgedeelde bedankjes: 238 keer
Bedankt: 467 keer
Recent bedankt: 6 keer

Pi hole heeft toch geen enkele relatie tot je gebruikte modem of bedoel je dat je de DHCP op de Bbox niet kan aanpassen of uitschakelen ?
Who the fxxk is General Failure and why is he reading my hard disk ?
Afbeelding
Joury
Starter
Starter
Berichten: 9
Lid geworden op: 03 feb 2018, 12:21

Dhcp geen probleem mee, niet nodig

Maar op de nieuwe modem krijg ik geen login van proximus om de ip van dns server te wijzigen.
Ik wil de modem zijn dns laten verwijzen naar de pihole, zodat alle connecties via de pihole dns werken
Op de vorige modem geen probleem nu wel
ubremoved_15739
Elite Poster
Elite Poster
Berichten: 2831
Lid geworden op: 13 jul 2010, 13:21
Uitgedeelde bedankjes: 599 keer
Bedankt: 532 keer

DNS server kan je in de bbox3 mijn inziens niet aanpassen.
Doch indien PI-hole DHCP en DNS afhandelt voor alle devices maakt dat toch niet echt uit. Wel?
Joury
Starter
Starter
Berichten: 9
Lid geworden op: 03 feb 2018, 12:21

Pi hole doet enkel de dns, maar in de vorige bbox kon dat aangepast worden.
Nu nieuwe bbox blijkbaar niet.

Daarom de vraag: kan een fritzbox een dns server op lokaal netwerk gebruiken?
ubremoved_539
Deel van't meubilair
Deel van't meubilair
Berichten: 29849
Lid geworden op: 28 okt 2003, 09:17
Uitgedeelde bedankjes: 434 keer
Bedankt: 1972 keer

Joury schreef:Dhcp geen probleem mee, niet nodig
Als je geen DHCP gebruikt heeft het ook geen zin de DNS op de BBOX aan te passen... want geen enkele client zal dan de setting gebruiken (aangezien ze deze krijgen via DHCP).
eternum schreef:DNS server kan je in de bbox3 mijn inziens niet aanpassen.
Doch indien PI-hole DHCP en DNS afhandelt voor alle devices maakt dat toch niet echt uit. Wel?
Als je de DHCP server op de BBOX niet kan uitzetten dan kan je ook geen DHCP op de PI-hole draaien (het kan technisch wel maar je weet niet van welke DHCP server je clients een lease zullen krijgen - dus sommigen zullen deze van de BBOX krijgen en de foutieve DNS gebruiken).
vverbeke
Elite Poster
Elite Poster
Berichten: 935
Lid geworden op: 19 mei 2009, 11:31
Uitgedeelde bedankjes: 60 keer
Bedankt: 94 keer

Joury schreef:Daarom de vraag: kan een fritzbox een dns server op lokaal netwerk gebruiken?
Ja, je kan kiezen tussen deze die je van uw internetprovider doorkrijgt of een zelf te kiezen DNS server: openDNS, Google DNS, ... of eentje die je lokaal op uw netwerk draait (bvb. pi hole). Zowel IPv4 als IPv6 kunnen ingesteld worden.
@home: VDSL 100/35 • @work: fiber 200/200 + fiber 300/50 + cable 240/30
ubremoved_15739
Elite Poster
Elite Poster
Berichten: 2831
Lid geworden op: 13 jul 2010, 13:21
Uitgedeelde bedankjes: 599 keer
Bedankt: 532 keer

r2504 schreef:
eternum schreef:DNS server kan je in de bbox3 mijn inziens niet aanpassen.
Doch indien PI-hole DHCP en DNS afhandelt voor alle devices maakt dat toch niet echt uit. Wel?
Als je de DHCP server op de BBOX niet kan uitzetten dan kan je ook geen DHCP op de PI-hole draaien (het kan technisch wel maar je weet niet van welke DHCP server je clients een lease zullen krijgen - dus sommigen zullen deze van de BBOX krijgen en de foutieve DNS gebruiken).
De DHCPv4 server op de BBOX kan je wel degelijk uitzetten.
pxs_DHCPv4.png
In PI-hole activeert (en configureert) men DHCP en DNS.
Gebruikersavatar
MClaeys
Elite Poster
Elite Poster
Berichten: 6044
Lid geworden op: 16 feb 2011, 22:43
Uitgedeelde bedankjes: 376 keer
Bedankt: 346 keer

Joury schreef:Daarom de vraag: kan een fritzbox een dns server op lokaal netwerk gebruiken?
Home Network => Home Network Overview => network settings => IPv4 Addresses => Local DNS Server
Daar staat bij mij de Pi-Hole. Werkt perfect. Heb op de Pi-Hole ook enkele interne domain names toegevoegd zodat ik de IP's van mijn toestellen niet moet onthouden zodat de WAF wat omhoog gaat voor bvb de Home Assistant server.

Tnx r2504, kon niet op het woord komen ;)
Laatst gewijzigd door MClaeys 09 feb 2018, 13:53, in totaal 1 gewijzigd.
ubremoved_539
Deel van't meubilair
Deel van't meubilair
Berichten: 29849
Lid geworden op: 28 okt 2003, 09:17
Uitgedeelde bedankjes: 434 keer
Bedankt: 1972 keer

eternum schreef:De DHCPv4 server op de BBOX kan je wel degelijk uitzetten.
Daarom dat ik ook schreef "als"... mooi dat je dit kan want bij TN kan het niet.
MClaeys schreef: Heb op de Pi-Hole ook enkele interne urls toegevoegd zodat ik de IP's van mijn toestellen niet moet onthouden
Domain names zal je bedoelen ;-)
idfxken
Starter
Starter
Berichten: 1
Lid geworden op: 04 aug 2018, 17:59

Misschien een wat late reactie, maar moest jullie dit truukje toch laten weten:

Je kan perfect de pihole dhcp-server gebruiken samen met je BBox, je hoeft enkel het digicorder mac adres te negeren in je dnsmasq config.
Draait hier al een maand of 2 zo.
Ik haat alle clients manueel configureren! :beerchug:
Alles wat je hoeft te doen is een lijntje toe te voegen:

Code: Selecteer alles

dhcp-host=00:11:22:33:44:55:66,ignore    # vervang door uw digicorder mac-adres
in het bestand:

Code: Selecteer alles

/etc/dnsmasq.d/04-pihole-static-dhcp.conf
en daarna de dnsmasq service herstarten of je pihole rebooten
Gebruikersavatar
lacer
Elite Poster
Elite Poster
Berichten: 2968
Lid geworden op: 24 feb 2007, 23:15
Locatie: 09
Uitgedeelde bedankjes: 130 keer
Bedankt: 159 keer

Dus je kan elk toestel negeren met een gekend en vast ip adres door deze truc. Gewoon voor elk een lijntje toevoegen ?
EdpNet XL 99/35 Mbps
VoIp OVH + Gigaset C610IP + C430H
Telenet Digital TV HD Digicorder AD 2200
RPi 2B Pi-Hole / 3B Kodi-19 / 3B+ Node-Red+Grafana
FLUKSO monitoring Elec-Gas-Water-PV > PVoutput
Ubuntu Mate 18.04 ESM / 22.04
ITnetadmin
userbase crew
userbase crew
Berichten: 8974
Lid geworden op: 28 jan 2012, 18:22
Uitgedeelde bedankjes: 199 keer
Bedankt: 690 keer
Recent bedankt: 2 keer

Mmm nee dus.

Want er gaan toestellen toch dhcp data van de bbox krijgen, en die krijgen de pihole niet mee als dns.
ubremoved_539
Deel van't meubilair
Deel van't meubilair
Berichten: 29849
Lid geworden op: 28 okt 2003, 09:17
Uitgedeelde bedankjes: 434 keer
Bedankt: 1972 keer

Tenzij je de DHCP server op de BBOX kan uitschakelen... zoals hierboven vermeld werd.
Plaats reactie

Terug naar “Software en apps”