PiHole vs AdGuard

[JacquesNAS]

il y a un format pihole ?

c'est pas juste comme dans le fichier host de windows, toujours la même syntaxe ?
Bon de toute façon pas compris comment importer des listes.
Ici Paris : minuit, logrotate et dodo.

 

[EVO]

il y a un format pihole ?

J'ai rien dit ton fichier semble etre ok, par contre oui ya des normes, par exemple je sais que les fichiers adguard on des @ ou || pour signer si c'est le domaine entier, ou pas ...

Pour rajouter la liste : Group Management > Adlist
dans Add a new adlist, tu place ta liste et tu clique sur Add

Quand tu as fini de rajouter tes listes, ensuite il faut forcer la mise a jour de la base, deux solutions soit en ligne de commande : pihole -g ou tu lcique juste en dessous pour le faire depuis la webui :

Tu clique sur Update, et tu entend que ce soit fini

Quand c'est fini, en bas de page c'est comme ceci :

 

[JacquesNAS]

Yes merci !

Alors cela marchait plutôt pas mal sauf que j'avais mis mon container dans un réseau docker de type bridge.
J'ai cru comprendre que si je veux utiliser le serveur DNS de Pi-Hole sans rien avoir à configurer sur les équipements de mon lan domestique (derrière la boxe, sur le 192.168.x.0/24), il faut que le container soit dans un Macvlan dans un subnet du 192.168.x.0/24.

Puis ramener les flux vers Pi-hole :
_ rediriger sur la box, le port 53 sourcé du lan domestique vers l'IP du containner Pi-hole.
_ refuser sur la box, le port 53 sourcé du lan domestique vers l'IP de la box


*** utilité de cette action ??? ***
J'ai aussi fait un volume pour le /etc/resolv.conf du container de Pi-hole vers resolvdns.conf :

/Docker/Pihole # cat resolvdns.conf
nameserver: 192.168.1.adresse Macvlan de pihole
Server: 127.0.0.1
Address: 127.0.0.1#53

Avant c'était en tout et pour tout :
Server: 127.0.0.11
Address: 127.0.0.11#53

... pourquoi 11 comme dernier octet ?....
*** fin de cette action ***


Après, j'ai attaqué le tuto :

[TUTO] [Docker - macvlan] Pi-hole

AVERTISSEMENT La version 2022.08 induit des changements notoires au niveau de l'utilisateur qui exécute le conteneur. En l'état je vous suggère de rester sur la version 2022.07.1 Pour se faire c'est très simple, on modifie pihole/pihole dans le fichier compose par pihole/pihole:2022.07.1 Une solu...

www.nas-forum.com

Très beau tuto mais qui s'appuie sur une version figée de Pi-hole mais admettons, pour poser le Service, on verra cela plus tard....
Et dernier reproche (ça reste du beau travail et un beau partage d'expérience, c'est claire) ; la configuration de l'interface virtuelle est assez nébuleuse et j'ai du mal faire cette étape.

Du coup, là je dois commencer par supprimer mes tentatives d'interfaces ratées :

# ifconfig | grep -A 9 mac0
mac0 Link encap:Ethernet HWaddr <la même mac que celle du tuto>
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:17553 errors:0 dropped:9739 overruns:0 frame:0
TX packets:90 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:2423289 (2.3 MiB) TX bytes:8526 (8.3 KiB)

Question 1 : comment supprimer cette interface sur un NAS Asustor car les commandes (j'ai peut être entassé 3 déclarations d'interfaces virtuelles dans un fichier car quand j'en supprimais une, il y avait une autre derrière qui remontait. Cependant la 3eme qui remonte, je ne sais pas comment la supprimer...).

ip address del 192.168.1.200/24 dev mac0 << ca a marché
ip address del 192.168.1.105/24 dev mac0 << ca a marché
ip address del dev mac0 >> KO

... mais je reste avec ca sur les bras :

# ifconfig | grep -A 9 mac0
mac0 Link encap:Ethernet HWaddr 5E:11:4F:AF62
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:19854 errors:0 dropped:10960 overruns:0 frame:0
TX packets:90 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:2734305 (2.6 MiB) TX bytes:8526 (8.3 KiB)

veth03c15c3 Link encap:Ethernet HWaddr 92:A6:55:E3:6A:2A
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:8 errors:0 dropped:0 overruns:0 frame:0

...pas propre...

je ne sais pas où ils ont mis les déclarations d’interfaces ;
/etc/network/interfaces : est un fichier qui a été modifié en 2012 donc 10 ans.... et son contenue semble peu pertinent. (selon les explications trouvées sur Debian ou Ubuntu.

Et en mode Fedora/RHEL : /etc/sysconfig/network-scripts: No such file or directory

Remarque : cette interface virtuelle persiste après le reboot.

*************************************************************************************************************************
>>> help pour ca : comment la supprimer ? Quelle adapation devrais je faire par rapport à celle du tuto suivi ? <<<
*************************************************************************************************************************​

Conclusion / point de situation :

Côté "sucés", il y aurait :
_ un beau subnet macvlan de 6 hosts à partir de l'ip 100
_ un container sur l'ip 101
de l'ip 1 à 99 : du DHCP servi par la box.
_ Ces 2 sous-réseaux devraient ainsi partager la passerelle 254 vers internet je pense.

Reste à faire :
_ un bon setup de l'interface virtuelle dont je ne comprends pas vraiment l'intéret fonctionnel ; (peut être de servir de passerelle entre le subnet du container de pihole et le reste du réseau 192.168.1.0/24, dont la plage IP ?)

 

[EVO]

J'ai cru comprendre que si je veux utiliser le serveur DNS de Pi-Hole sans rien avoir à configurer sur les équipements de mon lan domestique (derrière la boxe, sur le 192.168.x.0/24), il faut que le container soit dans un Macvlan dans un subnet du 192.168.x.0/24.

L'idéal c'est de placer le conteneur en "host" , ton NAS sera donc alors serveur DNS. Mais pour cela le port 53 doit etre libre sur ton NAS. Si ce n'est pas le cas, alors il faut le placer en macvlan effectivement.

 

[MilesTEG]

En host, il faut aussi que le port de la WebUI soit aussi disponible.

 

[EVO]

En host, il faut aussi que le port de la WebUI soit aussi disponible.

Il se modifie, celui des DNS non

 

[JacquesNAS]

Merci pour vos retours.

A ce stade, il y a :

la commande :
ifconfig | grep -A 9 mac0

qui retourne :
mac0 Link encap:Ethernet HWaddr 5E:11:4F:AF62
inet addr:192.168.1.105 Bcast:0.0.0.0 Mask:255.255.255.255
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:3490 errors:0 dropped:1633 overruns:0 frame:0
TX packets:68 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:514642 (502.5 KiB) TX bytes:30864 (30.1 KiB)

...et je n'arrive pas à supprimer cette mac0 !

sans effet:
# ip addr del 192.168.1.105/0.0.0.0 dev bond0
ip: RTNETLINK answers: Cannot assign requested address

Et la commande :
ip -4 address flush label bond0
m'a fait perdre toute les connexions. Arrêt du NAS grâce aux boutons physiques dessus.

Et au redémarrage, un temps plus long que d'habitude pour pouvoir se connecter à ADM où aucun setup n'est pedu.

En fait, ADM se lance dans la resynchro du RAID5 car il n'a pas du aimer le reboot....

donc là ca part pour 6 heures de synchro.

==> Si vous savez supprimer l'interface virtuelle mac0 ci-dessus, je suis preneur. <==

 

[MilesTEG]

==> Si vous savez supprimer l'interface virtuelle mac0 ci-dessus, je suis preneur. <==

Au pire tu redémarres le nas

Sinon voilà mon script qui crée mon interface (épuré des commentaires du début) , avec les commandes qui neutralisent celles qui créent l’interface :

# Set timeout to wait host network is up and running
sleep 60

echo "$(date "+%R:%S - ") Script de création d'une interface virtuelle pour le NAS et Adguard Home"
echo "$(date "+%R:%S - ") Exécution des commandes..."

# Création de l'interface macvlan sur l'hote
ip link add macv0 link eth0 type macvlan mode bridge

# Configuration de l'interface avec l'adresse réservée
ip addr add 192.168.2.230/32 dev macv0              # Adresse IP virtuelle de NAS 192.168.2.230/32

ip link set dev macv0 address 5E:11:00:00:00:00     # MAC adresse pour l'adaptateur ayant l'IP virtuelle
ip link set macv0 up

# On fait une route entre les IP du reseau macv0 et l'interface
ip route add 192.168.2.208/28 dev macv0             # 192.168.2.208/28 : Plage d'adresse macvlan
                                                    # IP réellement disponible : 192.168.2.209 à 192.168.2.222
                                                    # 192.168.2.209 -> pour SWAG
                                                    # 192.168.2.210 -> pour AdGuard Home
echo "$(date "+%R:%S - ") Script bridgemacvlan-interface.sh terminé"

exit

# Anti-commandes des précédentes :
# ip route del 192.168.2.210/32 dev macv0
# ip link set macv0 down
# ip link delete dev macv0 address 5E:11:00:00:00:00
# ip addr del 192.168.2.230/32 dev macv0

 

[JacquesNAS]

M E R C I MilesTEG1 : vos formules magiques ont marché à merveille.

 

[FX Cachem]

Hello @MilesTEG1
Merci pour ce partage... et bravo pour le travail. Tu executes ce script au démarrage de ton DS920+, c'est ça ?

 

[MilesTEG]

Hello @MilesTEG1
Merci pour ce partage... et bravo pour le travail. Tu executes ce script au démarrage de ton DS920+, c'est ça ?

Hello @FX Cachem ,
En effet ce script est lancé à chaque démarrage du nas. Comment plein d’autres ?

 

[JacquesNAS]

Bon perso, j'avais créé une adresse virtuelle en suivant un tuto aveuglément sur Pi-hole.

j'ai donc pu supprimer cette adresse.

Mais je ne comprends toujours pas l'intérêt de monter des adresses virtuelles.... ?

 

[MilesTEG]

Bon perso, j'avais créé une adresse virtuelle en suivant un tuto aveuglément sur Pi-hole.

j'ai donc pu supprimer cette adresse.

Mais je ne comprends toujours pas l'intérêt de monter des adresses virtuelles.... ?

L'adresse IP virtuelle pour le NAS est faite pour que ce dernier puisse communiquer avec le(s) conteneur(s) du réseau macvlan, car par construction, les membres du réseau macvlan ne peuvent communiquer avec l'hôte, et vice-versa.

 

[JacquesNAS]

Alors j'ai le subnet de la box qui contient une plage DHCP et une plage fixe. Cette dernière contient un subnet macvlan qui contient le container docker de Pi-Hole. Et j'ai l'impression que ca marche.

Mais peut être que l'adresse virtuelle aurait été nécessaire si le range mcvlan avait été créé dans un réseau autre que la box ? Cette macvlan servant alors de gateway entre le macvlan et le réseau de la box ?

j'ai bon ?... suis je claire ?

 

[MilesTEG]

edit : je me suis planté de sujet XD

 

[MilesTEG]

Alors j'ai le subnet de la box qui contient une plage DHCP et une plage fixe. Cette dernière contient un subnet macvlan qui contient le container docker de Pi-Hole. Et j'ai l'impression que ca marche.

Mais peut être que l'adresse virtuelle aurait été nécessaire si le range mcvlan avait été créé dans un réseau autre que la box ? Cette macvlan servant alors de gateway entre le macvlan et le réseau de la box ?

j'ai bon ?... suis je claire ?

Pour répondre à ta question, si ton NAS ne cherche pas à communiquer avec PI-hole, pas de soucis. Mais si c'est le cas... ça ne fonctionnera pas XD
Essaye de télécharger un paquet depuis le centre de paquet, voir connecte toi en SSH et fait un nsloopkup

 

[JacquesNAS]

le truc c'est qu'il faudrait couper les pattes au DNS de la box.

Il s'agit d'une box Miami de Bouygues Telecom sur laquelle on a ;

A_ le serveur DHCP : son DNS est configuré sur l'IP de Pi-hole mais ... il y a ce satané setup usine de Bouygues qui ne permet pas de supprimer son DNS : il est présent par défaut en grisé.



B_ le FireWall qui bloque le TCP et UDP sur le 53 sur la box pour tenter d'interrompre la résolution par défaut




Et sur mon PC en DHCP, le serveur DNS de Windows pointe sur les 2 DNS (box et Pi-hole) dans la configuration Réseau dans cet ordre.

Sur le PC, ipconfig :



Le ping sur bbox.lan répond sur la 192.168.1.254.

nslookup sur le PC :



Pihole annonce quand même des clients



et quand je fais des requêtes sur un navigateur du PC sur des sites où je ne vais jamais comme foxnews, je vois Pi-hole qui trace dans le query log au moment où je clique.

Donc j'ai envie de dire que ca passe ... mais est-ce valable pour 100% des reqêtes, je ne sais pas.

Oui vous avez raison, le store de l'ADM ne télécharge plus d'appli mais ca je crois que ca date de l'attaque en début d'année 2022 sur les NAS. (Depuis que j'ai docker, je n'utilise plus le store adm).


**** >>>> Mes questions à ce stade : <<<< ****

1 - que pensez vous de mon setup pour empêcher la résolution par le DNS de Bouygues ?

2 - comment expliquer que ca marche (au moins à miotié mais j'ai l'impression à 100% pour tous les devices du lan) malgré l'absence d'IP virtuelle dans le subnet du macvlan du container de Pi-hole ?

 

[EVO]

1 - que pensez vous de mon setup pour empêcher la résolution par le DNS de Bouygues ?

Il faut que ce soit PiHole qui soit le serveur DHCP.

2 - comment expliquer que ca marche (au moins à miotié mais j'ai l'impression à 100% pour tous les devices du lan) malgré l'absence d'IP virtuelle dans le subnet du macvlan du container de Pi-hole ?

le macvlan + ipvirtuelle permet a l'hote d'interroger le serveur DNS présent sur lui meme. Sans ip virtuelle l'hote ne peut pas faire cela.

 

[JacquesNAS]

Disons que le NAS qui héberge Pi-Hole est un laboratoire qui n'est pas allumé h24/24.
Je dois garder le DHCP sur la boxe sinon ca va grogner dans les rang du ménage. :-(
Je comprends que je fais mal par rapport à votre consigne ... mais sans comprendre pourquoi le service DHCP hors du Pi-hole compromet son service DNS ?

***

Le container docker Pi-hole du fait du macvlan dispose d'une IP fixe sur le LAN donc l'apport de l'iP virtuelle méchappe.

Cependant, je dois aussi remonter le fait que un ping :

_ depuis le PC sur l'IP du container Pi-hole : réponse OK.
_ depuis le SSH ouvert sur le NAS : 0 packets received, 100% packet loss, KO.

L'IP virtuelle doit elle appartenir au range du macvlan ou juste au lan ?

 

[EVO]

Je comprends que je fais mal par rapport à votre consigne ... mais sans comprendre pourquoi le service DHCP hors du Pi-hole compromet son service DNS ?

C'est le service DHCP qui dit au client quelle IP il doivent obtenir et aussi qu'elle est l'ip du DNS.
Tu peu palier a cela en mettant une IP Fixe et DNS en dur dans les paramètrages de chaques machines, facile pour les PC par exemple. Compliqué pour les appareils mobiles ...

_ depuis le PC sur l'IP du container Pi-hole : réponse OK.
_ depuis le SSH ouvert sur le NAS : 0 packets received, 100% packet loss, KO.

C'est effectivement un comportement normal.

L'IP virtuelle doit elle appartenir au range du macvlan ou juste au lan ?

La il nous faut @MilesTEG1 pour cette question