PI-hole

Windows, Android, iOS, Linux, Chrome OS, ...
John.B
Starter
Starter
Berichten: 7
Lid geworden op: 19 feb 2017, 11:30

Wie heeft er goede ervaringen met PI-hole?
Draait dit op elke RPI?

Loopt de install vlot?
Kunnen er security problemen ontstaan?

Kan men in een bbox2 verwijzen naar het dhcp IP van de PI-hole?

Kan met een script schrijven om gebruiksvriendelijk de dhcp van de bbox 2 om te zetten naar een bepaald IP?
Bvb indien de RPI defect komt dat de gebruiker vanop een normale pc de dhcp weer op standaard kan zetten zonder dat die er echt kennis van moet hebben.
Tim.Bracquez
Elite Poster
Elite Poster
Berichten: 3202
Lid geworden op: 05 dec 2010, 15:09
Bedankt: 450 keer

Hier draait dit al enige tijd, heel tevreden. Je moet in de bbox de dhcp server aanpassen dat deze andere DNS servers door geeft.

De Pi Hole installeren verloopt heel vlot, draait hier zelfs nog op een 256MB PI (oude)

Wanneer de pi failt is het wel niet zo eenvoudig om deze voor een gewone gebruiker terug te zetten.

Afbeelding
Laatst gewijzigd door Tim.Bracquez 19 feb 2017, 13:49, in totaal 1 gewijzigd.
Gebruikersavatar
honda4life
Moderator
Moderator
Berichten: 6008
Lid geworden op: 03 jan 2010, 21:42
Locatie: 127.0.0.1
Uitgedeelde bedankjes: 207 keer
Bedankt: 376 keer
Recent bedankt: 2 keer

Interessant, direct testen :-)
✂ – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – –
Gebruikersavatar
MaT
Elite Poster
Elite Poster
Berichten: 2084
Lid geworden op: 18 feb 2014, 15:40
Locatie: Gent
Uitgedeelde bedankjes: 163 keer
Bedankt: 311 keer

Tim.Bracquez schreef: Wanneer de pi failt is het wel niet zo eenvoudig om deze voor een gewone gebruiker terug te zetten.
Wat ik doe is de primaire DNS server instellen op de PI en een secundaire DNS instellen op openDNS of google DNS.
In geval dat de Pi eruit ligt nemen de clients automatisch de secundaire server. Gewone gebruikers merken dus niets, buiten dat er wat reclame terug staat.
Het BIPT aanziet modems en routers als een onderdeel van de eindapparatuur van de eindgebruiker waardoor deze vrij te kiezen zijn voor breedband en internettelefonie.
Bron
Tim.Bracquez
Elite Poster
Elite Poster
Berichten: 3202
Lid geworden op: 05 dec 2010, 15:09
Bedankt: 450 keer

@MaT: Zo werkt dit niet, dit werkt Round Robin. Dus je gaat dan het nut van de pi hole weghalen
Gebruikersavatar
jphermans
Elite Poster
Elite Poster
Berichten: 922
Lid geworden op: 31 aug 2009, 15:28
Locatie: Aalst
Uitgedeelde bedankjes: 139 keer
Bedankt: 109 keer

MaT schreef:
Tim.Bracquez schreef: Wanneer de pi failt is het wel niet zo eenvoudig om deze voor een gewone gebruiker terug te zetten.
Wat ik doe is de primaire DNS server instellen op de PI en een secundaire DNS instellen op openDNS of google DNS.
In geval dat de Pi eruit ligt nemen de clients automatisch de secundaire server. Gewone gebruikers merken dus niets, buiten dat er wat reclame terug staat.
Zo doe ik het dus ook en dit werkt toch fijn. Wannneer de pi er om de een of andere reden uit ligt. Kan iedereen thuis nog op het net.
Internet via Mobile Vikings
Tim.Bracquez
Elite Poster
Elite Poster
Berichten: 3202
Lid geworden op: 05 dec 2010, 15:09
Bedankt: 450 keer

**
Laatst gewijzigd door Tim.Bracquez 04 sep 2021, 12:37, in totaal 1 gewijzigd.
Gebruikersavatar
jphermans
Elite Poster
Elite Poster
Berichten: 922
Lid geworden op: 31 aug 2009, 15:28
Locatie: Aalst
Uitgedeelde bedankjes: 139 keer
Bedankt: 109 keer

Omdat ik nogal veel weg ben voor het werk en mijn vrouw niet weet wat te doen wanneer de pi zou uitliggen en ze ook geen dns server kan invullen in de router, hou ik het voorlopig zo.
Zal anders nog een pi-hole draaien op een vm en deze dan als failback gebruiken.
Internet via Mobile Vikings
ITnetadmin
userbase crew
userbase crew
Berichten: 8974
Lid geworden op: 28 jan 2012, 18:22
Uitgedeelde bedankjes: 199 keer
Bedankt: 690 keer
Recent bedankt: 2 keer

Juist, wat Tim zegt klopt volledig.

Het is een (klassieke, veel voorkomende) vergissing te denken dat windows de dns servers die je instelt in volgorde gaat aanspreken.
Hij gaat willekeurig eentje kiezen uit zijn lijst.
DidierS
Plus Member
Plus Member
Berichten: 200
Lid geworden op: 24 jul 2012, 08:46
Twitter: ON8SD
Locatie: JO11ib
Uitgedeelde bedankjes: 11 keer
Bedankt: 25 keer

Pi-Hole draait hier ook al een geruime tijd naar volle tevredenheid op een oude RPi van de eerste generatie. Nog geen fails gehad er op dus ook geen automatische oplossing voor handen als het toch eens gebeurd... dan moet de vriendin maar naar 4G tot ik thuis ben :lol: . Recent beginnen experimenteren met upstream OpenDNS voor parental control en dat lijkt ook vlotjes te gaan.
John.B
Starter
Starter
Berichten: 7
Lid geworden op: 19 feb 2017, 11:30

Is er een manier om het pi hole dashboard onbereikbaar te maken voor alle gebruikers?
enkel admin login om onterechte block in de whitelist te zetten.

Dit omwille van privacy rules.
Gebruikersavatar
Sinna
Elite Poster
Elite Poster
Berichten: 2966
Lid geworden op: 14 nov 2008, 08:22
Twitter: KrSi78
Locatie: Brugge
Uitgedeelde bedankjes: 286 keer
Bedankt: 202 keer
Recent bedankt: 6 keer
Contacteer:

Welke versie van Pi-Hole draai je? In recentere versies is de admin-interface afgeschermd met een wachtwoord.
Computer(k)nul
DidierS
Plus Member
Plus Member
Berichten: 200
Lid geworden op: 24 jul 2012, 08:46
Twitter: ON8SD
Locatie: JO11ib
Uitgedeelde bedankjes: 11 keer
Bedankt: 25 keer

Ik denk dat hij de interface niet zichtbaar wil om zo te vermijden dat andere gebruikers kunnen zien wanneer er iemand online gaat (bv om zo te weten te komen wanneer iemand wakker is of slaapt, ik zeg maar iets).
vverbeke
Elite Poster
Elite Poster
Berichten: 935
Lid geworden op: 19 mei 2009, 11:31
Uitgedeelde bedankjes: 60 keer
Bedankt: 94 keer

Tim.Bracquez schreef:Hier draait dit al enige tijd, heel tevreden. Je moet in de bbox de dhcp server aanpassen dat deze andere DNS servers door geeft.
In de bbox3 gaat dat dus niet meer, DNS server kunnen niet aangepast worden :bang:
@home: VDSL 100/35 • @work: fiber 200/200 + fiber 300/50 + cable 240/30
Tim.Bracquez
Elite Poster
Elite Poster
Berichten: 3202
Lid geworden op: 05 dec 2010, 15:09
Bedankt: 450 keer

@vverbeke: Ah stom, zelf geen bbox in use. De 2 wel al op gedaan. Zelf doe ik altijd zelf de PPPoE op een MikroTik RouterBoard.
remus
Pro Member
Pro Member
Berichten: 309
Lid geworden op: 28 dec 2009, 15:05
Uitgedeelde bedankjes: 26 keer
Bedankt: 15 keer

vverbeke schreef:
Tim.Bracquez schreef:Hier draait dit al enige tijd, heel tevreden. Je moet in de bbox de dhcp server aanpassen dat deze andere DNS servers door geeft.
In de bbox3 gaat dat dus niet meer, DNS server kunnen niet aangepast worden :bang:
is de bbox3 in bridge zetten en eigen router erachter dat je zo wel je dns naar keuze kan instellen geen alternatief?
Tim.Bracquez
Elite Poster
Elite Poster
Berichten: 3202
Lid geworden op: 05 dec 2010, 15:09
Bedankt: 450 keer

@remus & @vverbeke: Inderdaad. Je kan zelfs vanop je Rasp PI dit doen de PPPoE en routeren als je wilt. Zelf nog niet getest, maar zie dat sommige mensen de PI als router gebruiken.

Hier draait naast de PI-hole ook monitoring en heel de sturing van mijn esp8266 automatisatie
Gebruikersavatar
guntherstassen
Pro Member
Pro Member
Berichten: 315
Lid geworden op: 09 feb 2011, 20:16
Locatie: Sint-Truiden
Uitgedeelde bedankjes: 12 keer
Bedankt: 27 keer

Net getest in een VMWARE omgeving.. Mijn raspy's zijn momenteel allemaal in gebruik.
Wel al enkele domeinnamen zelf in de blacklist moeten zetten (oa ligatus.com -> Enorm storende advertentieshit)
Ben eigenlijk verwonderd dat het goed werkt.... zal toch maar eens kijken om een pi'ke vrij te krijgen om deze op te installeren.

Of heeft iemand interesse om dit in de cloud te steken? :-)
Tim.Bracquez
Elite Poster
Elite Poster
Berichten: 3202
Lid geworden op: 05 dec 2010, 15:09
Bedankt: 450 keer

guntherstassen schreef:Of heeft iemand interesse om dit in de cloud te steken? :-)
"Bijna" onmogelijk. Want je zet namelijk een Open Resolver op. Dus die wordt gewoon misbruikt voor DDoS attacks en dergelijke. Google / OpenDNS hebben een hele dure infrastructuur om dit te draaien en onder controle te houden.

Simpel voorbeeldje, een klant draaide dit, een week later ging er een 10Gbit verkeer naar toe naar de open resolver :-)

Je moet al bijna enkel van sommige IP's toegang laten, maar zonder static IP's is dit zeer lastig.

Meer info over dit probleem: http://openresolverproject.org/
John.B
Starter
Starter
Berichten: 7
Lid geworden op: 19 feb 2017, 11:30

DidierS schreef:Ik denk dat hij de interface niet zichtbaar wil om zo te vermijden dat andere gebruikers kunnen zien wanneer er iemand online gaat (bv om zo te weten te komen wanneer iemand wakker is of slaapt, ik zeg maar iets).
Correct. De hele interface moet achter paswoord komen zitten.
Gebruikersavatar
Sinna
Elite Poster
Elite Poster
Berichten: 2966
Lid geworden op: 14 nov 2008, 08:22
Twitter: KrSi78
Locatie: Brugge
Uitgedeelde bedankjes: 286 keer
Bedankt: 202 keer
Recent bedankt: 6 keer
Contacteer:

Kan je dan niet op webserver-niveau een wachtwoord vereisen? Dat kan toch niet zo moeilijk zijn.
Computer(k)nul
kamiel
Elite Poster
Elite Poster
Berichten: 891
Lid geworden op: 18 jun 2012, 19:58
Uitgedeelde bedankjes: 167 keer
Bedankt: 42 keer

iemand enig idee hoe je stieve kan whitelisten? Gewoon stievie.be of watch.stievie.be in de whitelist zetten werkt niet...
Internet: EDPnet VDSL XS met Fritzbox 7360 als modem en router
VOIP: EDPnet (inkomend), Freevoipdeal (uitgaand) via C510IP
GSM: EDPnet (met Xiaomi Redmi)
ITnetadmin
userbase crew
userbase crew
Berichten: 8974
Lid geworden op: 28 jan 2012, 18:22
Uitgedeelde bedankjes: 199 keer
Bedankt: 690 keer
Recent bedankt: 2 keer

Sinna schreef:Kan je dan niet op webserver-niveau een wachtwoord vereisen? Dat kan toch niet zo moeilijk zijn.
Dat is zelfs niet moeilijk, met een apache.

Gewoon htaccess file, htpasswd file met de user/pwd combi (en desgewenst htgroup file om de users in groups te steken).
Daar vind je makkelijk info over terug op internet.
Gebruikersavatar
Sinna
Elite Poster
Elite Poster
Berichten: 2966
Lid geworden op: 14 nov 2008, 08:22
Twitter: KrSi78
Locatie: Brugge
Uitgedeelde bedankjes: 286 keer
Bedankt: 202 keer
Recent bedankt: 6 keer
Contacteer:

Dat bedoelde ik dus, maar ik kon niet meteen op de juiste termen komen. Bedankt!
Computer(k)nul
silencer
Elite Poster
Elite Poster
Berichten: 4027
Lid geworden op: 08 jul 2008, 02:07
Uitgedeelde bedankjes: 172 keer
Bedankt: 102 keer

Welke whitelist kun je gebruiken om Stevie toe te laten ?
Lukt mij maar niet icm de Pi-hole.
kamiel
Elite Poster
Elite Poster
Berichten: 891
Lid geworden op: 18 jun 2012, 19:58
Uitgedeelde bedankjes: 167 keer
Bedankt: 42 keer

Hier zelfde probleem
Internet: EDPnet VDSL XS met Fritzbox 7360 als modem en router
VOIP: EDPnet (inkomend), Freevoipdeal (uitgaand) via C510IP
GSM: EDPnet (met Xiaomi Redmi)
Gebruikersavatar
Ofloo
Elite Poster
Elite Poster
Berichten: 5271
Lid geworden op: 04 okt 2004, 07:36
Locatie: BALEN
Uitgedeelde bedankjes: 57 keer
Bedankt: 92 keer

als je zelf bind draait gewoon downloaden en includen, .. https://loki.ofloo.net/blackhole.zone
Gebruikersavatar
jphermans
Elite Poster
Elite Poster
Berichten: 922
Lid geworden op: 31 aug 2009, 15:28
Locatie: Aalst
Uitgedeelde bedankjes: 139 keer
Bedankt: 109 keer

Weet iemand hoe de ads bij androidworld.nl te verbergen?
Deze zijn dus duidelijk nog zichtbaar.
Internet via Mobile Vikings
Gebruikersavatar
Ofloo
Elite Poster
Elite Poster
Berichten: 5271
Lid geworden op: 04 okt 2004, 07:36
Locatie: BALEN
Uitgedeelde bedankjes: 57 keer
Bedankt: 92 keer

welke adds ???
Gebruikersavatar
jphermans
Elite Poster
Elite Poster
Berichten: 922
Lid geworden op: 31 aug 2009, 15:28
Locatie: Aalst
Uitgedeelde bedankjes: 139 keer
Bedankt: 109 keer

Wannneer ik naar androidworld.nl surf zie ik veel reclame staan. Zie foto.
Bijlagen
Screenshot_20170304-160958.jpg
Internet via Mobile Vikings
John.B
Starter
Starter
Berichten: 7
Lid geworden op: 19 feb 2017, 11:30

ITnetadmin schreef:
Sinna schreef:Kan je dan niet op webserver-niveau een wachtwoord vereisen? Dat kan toch niet zo moeilijk zijn.
Dat is zelfs niet moeilijk, met een apache.

Gewoon htaccess file, htpasswd file met de user/pwd combi (en desgewenst htgroup file om de users in groups te steken).
Daar vind je makkelijk info over terug op internet.
En hoe kan dit eenvoudig onder lighttpd ?
silencer
Elite Poster
Elite Poster
Berichten: 4027
Lid geworden op: 08 jul 2008, 02:07
Uitgedeelde bedankjes: 172 keer
Bedankt: 102 keer

kamiel schreef:Hier zelfde probleem
Query log laten lopen en whitelisten (enkele keren) en het is gelukt :-)
Show blocked query's only aanvinken.
kamiel
Elite Poster
Elite Poster
Berichten: 891
Lid geworden op: 18 jun 2012, 19:58
Uitgedeelde bedankjes: 167 keer
Bedankt: 42 keer

'k het ook nog eens proberen, maar zal volledig opnieuw moeten beginnen. M'n raspberry pi reageert ondertussen niet meer.
Internet: EDPnet VDSL XS met Fritzbox 7360 als modem en router
VOIP: EDPnet (inkomend), Freevoipdeal (uitgaand) via C510IP
GSM: EDPnet (met Xiaomi Redmi)
silencer
Elite Poster
Elite Poster
Berichten: 4027
Lid geworden op: 08 jul 2008, 02:07
Uitgedeelde bedankjes: 172 keer
Bedankt: 102 keer

kamiel schreef:'k het ook nog eens proberen, maar zal volledig opnieuw moeten beginnen. M'n raspberry pi reageert ondertussen niet meer.
Mijn whitelist (kan mss nog beter):
raw.githubusercontent.com
mirror1.malwaredomains.com
sysctl.org
zeustracker.abuse.ch
s3.amazonaws.com
hosts-file.net
gigya.com
cdns.gigya.com
gscounters.eu1.gigya.com
medialaancdn.be
libs.medialaancdn.be
adm.fwmrm.net
cdn.gigya.com
socialize.eu1.gigya.com
dev.visualwebsiteoptimizer.com
m1.fwmrm.net
js.moatads.com
JimmyK
Starter
Starter
Berichten: 3
Lid geworden op: 18 maa 2017, 08:00

Iemand een idee how to block acces naar andere dns servers?

Dus dat de pi hole binnen het network the only is die men can gebruiken?

Moeten er ports toegezet worden in de modem\router?
Gebruikersavatar
foxhound
Plus Member
Plus Member
Berichten: 198
Lid geworden op: 06 mei 2009, 16:35
Uitgedeelde bedankjes: 1 keer
Bedankt: 19 keer

DNS disablen op andere apparaten die dienst kunnen doen als DNS in je netwerk, en op routerniveau poort 53 blokkeren outbound, natuurlijk je forward DNS die je gebruikt whitelisten. Interne apparaten kunnen dan nog altijd rechtstreeks je upstream DNS contacteren wel.

Zelf nog nooit getest, dus mileage may vary.
Afbeelding
ubremoved_539
Deel van't meubilair
Deel van't meubilair
Berichten: 29849
Lid geworden op: 28 okt 2003, 09:17
Uitgedeelde bedankjes: 434 keer
Bedankt: 1972 keer

foxhound schreef:en op routerniveau poort 53 blokkeren outbound
Probleem is dat er genoeg DNS servers zijn die luisteren op alternatieve poorten... oa. OpenDNS op 5353.
ITnetadmin
userbase crew
userbase crew
Berichten: 8974
Lid geworden op: 28 jan 2012, 18:22
Uitgedeelde bedankjes: 199 keer
Bedankt: 690 keer
Recent bedankt: 2 keer

Ja. Hoe meer admins standaard poorten blokkeren, hoe meer er alternatieve poorten gebruikt worden.

Kijk bv naar dingen als websockets, technologie die video streaming laat encapsuleren in http pakketjes, puur om voorbij firewalls te geraken.

Geef het nog 10 jaar, en bijna alle internet traffiek zal over poorten 80 en 443 lopen, denk ik soms :-p
ubremoved_539
Deel van't meubilair
Deel van't meubilair
Berichten: 29849
Lid geworden op: 28 okt 2003, 09:17
Uitgedeelde bedankjes: 434 keer
Bedankt: 1972 keer

ITnetadmin schreef:Ja. Hoe meer admins standaard poorten blokkeren, hoe meer er alternatieve poorten gebruikt worden.
In een correct netwerk staat dan ook alles toe outbound... behalve de services die je echt nodig hebt.

Waarom zouden er 65000 poorten openstaan als je enkel surft op poort 80 en 443.
ITnetadmin
userbase crew
userbase crew
Berichten: 8974
Lid geworden op: 28 jan 2012, 18:22
Uitgedeelde bedankjes: 199 keer
Bedankt: 690 keer
Recent bedankt: 2 keer

Omdat een port een conventie is, en onnodige port blocking enkel programmeurs ertoe leidt om protocols op non-standard poorten te gooien.
Wat heb je eraan als iedereen alles op port 80 gaat zetten, omdat ze weten dat dat de enige open port is waarvan je zeker kan zijn dat ze open is wanneer je ergens op een guest wifi zit?

Dat gaat van mensen die ergens in een bedrijf als guest zijn, tot zieken die in het ziekenhuis op hun laptop wat bezig willen zijn, tot mensen die vanop eender welke locatie willen remoten naar een andere pc, tot mensen die overal willen streamen zonder tegen een of andere public firewall te lopen die net die port blokkeert.

En van welke ports ben je zeker dat ze zowat altijd open zijn?
Juist, 80 en 443.

Niet alleen gaat gewoon bijna alle user traffic langs die ports gaan op lange termijn, maar meer en meer traffic gaat zich ook camoufleren als webtraffic.
Wat niet zo moeilijk zal zijn nu ongeveer alles encrypted verloopt, dus deep packet inspection gaat over de jaren een maat voor niks worden.
Neem dat maar als een voorspelling van mij ;-)

Kijk nu al maar ns naar websocket streaming, dat zich in http pakketjes steekt om firewalls te passeren, of teamviewer die zich op port 80 verbindt om door zoveel mogelijk firewalls te geraken (wat de grootste ergernis bij logmein is/was voor velen die ik ken; half de KULeuven bv gebruikt teamviewer om de KUL firewall te kunnen passeren).
Plaats reactie

Terug naar “Software en apps”