Pi-Hole - mainosblokkeri raspberry pi:stä

[topiv]

Mites tuo nyt tapahtuu vielä piholessa jos tahdon että 1 sana, esimerkiksi bitcoin pitäisi saada mustalle listalle ja kaikki siihen liittyvät *.bitcoin*. ?

Tää näyttää nyt niin sekavalta että tästä ei helpolla ota selvää kun lukee tätä seuraavaa ohjetta

Redirecting...

löysin tämmöisen esimerkin r.+?---.*?-.*?(?<!-cune)\.googlevideo\.com joka tekee tästä vieläkin epäselkeämpää..Osaisko joku antaa esimerkin mitä tuon rimpsun pitää olla jos tahdon blokata kaikki yhteen sanaan liittyen ?

Pi-hole on nimipalvelu, joka blokkaa halutut domainit niiden nimen perusteella. Haluat siis blokata bitcoin-domainit, kuten www.bitcoin.com?

Huomaathan, että pi-holella ei voi blokata url-osoitteen osia, minkä esimerkiksi Adblock tekee.

Esimerkissäsi
r.+?---.*?-.*?(?<!-cune)\.googlevideo\.com
blokataan r-kirjaimella alkavat .googlevideo.com -saitit.

Voit blokata bitcoin-saitit regex merkkijonolla
.+\.bitcoin.+\.[a-z]{2,7}$

joka blokkaa ainakin www.bitcoin.com, miner.bitcoin.edu ja saitti.bitcoin.fi domainit.

Regex on tapa etsiä merkkijonoja ja tarvittaessa muuttaa niitä. Suomenkielinen ohje regex-syntaksiin löytyy esimerkiksi täältä:

http://www.mit.jyu.fi/opetus/kurssit/unixshell01/grep.html

Online-testisaitti, jossa omaa regex-lausetta voi testata tekstiä vasten löytyy esim. osoitteesta:

regex101: build, test, and debug regex

Regular expression tester with syntax highlighting, explanation, cheat sheet for PHP/PCRE, Python, GO, JavaScript, Java, C#/.NET, Rust.

regex101.com

 

[topiv]

Esimerkissäsi
r.+?---.*?-.*?(?<!-cune)\.googlevideo\.com
blokataan r-kirjaimella alkavat .googlevideo.com -saitit.

Katsotaan tätä esimerkkiä vielä:

r.+?---.*?-.*?(?<!-cune)\.googlevideo\.com

Purettuna on

• merkkijono, joka alkaa r-kirjaimella
• jota voi seurata yksi tai rajaton määrä mitä tahansa kirjaimia
• jota seuraa merkkijono "---"
• jota seuraa yksi tai rajaton määrä mitä tahansa kirjaimia
• jota seuraa "-"
• jota seuraa yksi tai rajaton määrä mitä tahansa kirjaimia
• mutta ei sisällä merkkijonoa "-cune"
• jota seuraa ".googlevideo.com" merkkijono

Näin ollen
rcode---hep-pa.googlevideo.com tuottaa osuman, mutta
ra---sait-cune.googlevideo.com ei tuota osumaa.

 

[Pah0lain3]

Voit blokata bitcoin-saitit regex merkkijonolla
.+\.bitcoin.+\.[a-z]{2,7}$

Tämä vaihtoehto blokkaa myös bitcoin.com , org, net, fi jne päätteet myös ?
Taisitkin vastata jo kysymykseeni heti seuraavaksi.

Tämä taitaa olla ymmärretty. Ja kuulostaa juuri siltä mitä etsin !
Täytyy vielä perehtyä paremmin, kiitos aivan maagisesta avusta !

 

[Paris]

.

 

[Retale]

Gmail appin postien joukossa olevia mainoksia ei tällä ilmeisesti pysty blokkaamaan? Eikä YouTuben mainoksia? Nuo ovat oikeastaan ainoat häiritsevät, jotka tulevat läpi.

 

[Pah0lain3]

Tuossa listassa on vain suomalaisia mainostajia, eikä varmasti ole kaikkia mainostajia.

Yksi lista mistä olen tykännyt, on WindowsSpyBlocker, kun kotona on useampi Windows-kone. Nimi kertonee tuon listan tarkoituksen.

https://raw.githubusercontent.com/crazy-max/WindowsSpyBlocker/master/data/hosts/spy.txt

Sitä tuossa ihmettelinkin että tuossa ei varmasti ole kuin jotain tyyliä 5% mainostajista, mutta onpahan edes sen verran listalla että jotain saa pois. Mutta laitoin varmuudeksi myös tuon windows listan , kiitos !

Eikä YouTuben mainoksia? Nuo ovat oikeastaan ainoat häiritsevät, jotka tulevat läpi.

piholella voi blokata kaiken youtubeen liittyvän paitsi tuon googlevideo osoitteen & itse youtube.com osoitteen.
Firefox asennus ja siihen lisäosa umatrix, josta sallitaan ainoastaan youtube.com & googlevideo
Kaikki muut umatrixilla blokkiin niin viedoiden pitäis vielä toimia ja näkyä.

Jotenkin noin olen laitellu asetuksia ja ei tule ylimääräistä kuin itse video vain youtubesta.
pihole ei taida pystyä blokkaamaan youtube mainoksia , joten taitaa ainoa vaihtoehto olla tuo umatrix selaimessa millä saa kaiken ylimääräisen karsittua.

 

[Paris]

.

 

[Pah0lain3]

Regex sääntöjä en ole uskaltanut laittaa pi-holeen, mutta jos haluaa coinblocker estoja, niin tässä on yksi pitkä lista:

https://zerodot1.gitlab.io/CoinBlockerLists/hosts

Tuo lista taitaa olla semmoinen joka pyrkii estämään haitalliset mainausskriptit erilaisilla sivustoilla jotka on sinne tahallaan tai tahattomasti joutunu. (Kerkesin tuon kyllä myös lisätä)
Samoin kun nyt tuli laitettua kaikenmaailman pikavipit ja erilaiset virtuaalicoinit regex sääntöihin. Välittömästi ei tuo muutos näköjänsä tule voimaan että katotaan nyt miten nuo lähtee toimimaan.

 

[Pah0lain3]

Onko piholella mahdollista saada omaa ilmoitusta blokatusta sivusta. Nyt tulee tuo firefoxin tylsä oma ilmoitus että verkkosivu on tavoittamattomissa tai joku vastaava en nyt sanasta sanaan muista, mutta ois kiva jos sais siihen blokattuun sivuun oman blockaus huomion, että tietäis että jos en pääse sivulle että se johtuu piholesta.

edit: jahas, katos puolet tekstistä...otetaan uusiks.
@mikajh
Nytkun pihole alkaa toimimaan kuten sen pitääkin, niin tuosta dnscryptistä sen verran, että asennanko dnscryptin vain ihan niin samaan tapaan kuin yksittäiseenkin koneeseen ja konffit samallalailla , vai vaatiiko tuo pihole jotain erityishuomiota dnscryptiä asennettaessa että kaikki piholea käyttävät laitteet myös hyödyntää dnscryptiä ?

Eli täytyykö tplinkin asetuksista jotain muokata, tuskin ? Entäs jotain muuta vaikuttavia seikkoja ?
Se dnscrypt täytyy siis kuitenkin asentaa tuohon pihole läppäriin, mutta tarviiko sen olla kytköksissä piholeen vai riittääkö ihan "normaali" asennus ja konffaus ?

 

[Pah0lain3]

Onko piholessa jotain millä saa "pakotettua" dns kyselyt piholeen , koska nyt jos joku vaihtaa tietokoneeseen manuaalisesti dns osoitteet niin pihole ei huomaa sitä.

Mitenköhän tuon voi estää... ?

Nyt se tplink on accesspointtina ja piholen dns on edgerouterissa. Säädöt teen vain piholeen ja tuntus toimivan näinkin ihan yhtä hyvin kuin aiemminkin.

 

[mikajh]

Ei piholessa, mutta palomuuri voi estää DNS-kyselyt muualle ja sallia ne ainoastaan piholeen, portit 53 (DNS) ja 853 (DoT). DoH:n esto on hankalampaa.

 

[Pah0lain3]

Ei piholessa, mutta palomuuri voi estää DNS-kyselyt muualle ja sallia ne ainoastaan piholeen, portit 53 (DNS) ja 853 (DoT). DoH:n esto on hankalampaa.

Tarkoitatko nyt tuon piholen linux mint käyttöjärjestelmän palomuuria (gufw, vai mikä tämän nimi nyt oli?) , vai edgerouterin palomuurin hallintaa ?

 

[mikajh]

Tarkoitatko nyt tuon piholen linux mint käyttöjärjestelmän palomuuria (gufw, vai mikä tämän nimi nyt oli?) , vai edgerouterin palomuurin hallintaa ?

EdgeRouterin, joka hallitsee internetyhteyttä (WAN). Sen LANista WANiin pitää estää muiden kuin piholen DNS-käyttö, jolloin clientit voivat käyttää ainoastaan piholea

 

[Pah0lain3]

EdgeRouterin, joka hallitsee internetyhteyttä (WAN). Sen LANista WANiin pitää estää muiden kuin piholen DNS-käyttö, jolloin clientit voivat käyttää ainoastaan piholea

Millä hakusanoilla tuota kannattaa lähteä haeskelemaan googlesta ? Nyt mentiin semmoiselle alueelle ettei ole taas hajuakaan tästä.

 

[topiv]

Johan oli taas vaikea päivittää pihole.
Apt-get update piti ensin ajaa, no siellä oli muutama repository alhaalla ja antoi virhettä. Piholehan ei suostu päivittymään jos noita virheitä jää logiin. Eli ensin hirveällä säätämisellä ssh:n kautta vialliset repot pois ja sitten uusi yritys

Kuulostaa oudolta... Pi-hole päivitetään palvelimen komentoriviltä komennolla
$ pihole -up

Kertaakaan ei ole ollut vaikeutta päivittää sitä uuteen versioon.
Lähde: How do I update Pi-hole?

 

[Pah0lain3]

Uuvuttavaa. Ei tuo dns ohjaus nyt onnistu yhtään mitenkään. Ihan mitä tahansa kokeilee niin verkot solmussa.

Redirect Hard-coded DNS To Pi-hole Using EdgeRouter X

This guide will show you how to use your Ubiquiti Edgerouter X to redirect any devices that have hard-coded DNS to your Pi-hole.

www.myhelpfulguides.com

Tuosta pääsin hieman jo ehkä perille että mitä täytyy tehdä , mutta vaikka koitan amatöörimäisesti montaakin erilaista sovellettua kombinaatiota niin lopputulos on ollu aina että verkot jumissa.

Ei nyt ota toimiakseen. Ollaankohan tuossa linkin ohjeissa nyt edes oikeassa asiassa ?

Editt: Testasin aina laittaa tietokoneen dns asetukseksi 1.1.1.1 ja silloin kun verkko sattui jollain näistä kokeilluista kombinaatioista toimimaan, dnsleaktest huomasi tuon cloudflaren eikä homma toimi. Myös linuxin päätteessä komento drill google antoi vastaukseksi cloudflarea.

Toinen edit: Huomasin että cloudflaren dns palvelussa oli jotain hämminkiä koska kun vaihtelin quad9 palvelimet niin laitteet alkoi taas toimimaan.

Eli on se sittenkin jokseenkin saattanu toimia. Mitenkähän tuo dns uudelleen ohjauksen toimivuuden kykenee havaitsemaan parhaiten ? Harmittaa vain kerkesin jo ne ainoatkin toimivat säännöt delettää konfiguraatiosta ilman backuppeja missä tuo dns ohjaus saattoi toimia. Luultavasti se ei kuitenkaan toiminu kuten oli tarkoitus.

 

[Asiantuntija]

Uuvuttavaa. Ei tuo dns ohjaus nyt onnistu yhtään mitenkään. Ihan mitä tahansa kokeilee niin verkot solmussa.

Redirect Hard-coded DNS To Pi-hole Using EdgeRouter X

This guide will show you how to use your Ubiquiti Edgerouter X to redirect any devices that have hard-coded DNS to your Pi-hole.

www.myhelpfulguides.com

Tuosta pääsin hieman jo ehkä perille että mitä täytyy tehdä , mutta vaikka koitan amatöörimäisesti montaakin erilaista sovellettua kombinaatiota niin lopputulos on ollu aina että verkot jumissa.

Ei nyt ota toimiakseen. Ollaankohan tuossa linkin ohjeissa nyt edes oikeassa asiassa ?

Editt: Testasin aina laittaa tietokoneen dns asetukseksi 1.1.1.1 ja silloin kun verkko sattui jollain näistä kokeilluista kombinaatioista toimimaan, dnsleaktest huomasi tuon cloudflaren eikä homma toimi. Myös linuxin päätteessä komento drill google antoi vastaukseksi cloudflarea.

Toinen edit: Huomasin että cloudflaren dns palvelussa oli jotain hämminkiä koska kun vaihtelin quad9 palvelimet niin laitteet alkoi taas toimimaan.

Eli on se sittenkin jokseenkin saattanu toimia. Mitenkähän tuo dns uudelleen ohjauksen toimivuuden kykenee havaitsemaan parhaiten ? Harmittaa vain kerkesin jo ne ainoatkin toimivat säännöt delettää konfiguraatiosta ilman backuppeja missä tuo dns ohjaus saattoi toimia. Luultavasti se ei kuitenkaan toiminu kuten oli tarkoitus.

Siis ymmärrätköhän sä edes mitä pihole tekee? Jos muutat tietokoneen dns serveriksi 1.1.1.1 niin tietenkin se käyttää silloin cloudflaren dnssää.

 

[angle]

Uuvuttavaa. Ei tuo dns ohjaus nyt onnistu yhtään mitenkään. Ihan mitä tahansa kokeilee niin verkot solmussa.

Redirect Hard-coded DNS To Pi-hole Using EdgeRouter X

This guide will show you how to use your Ubiquiti Edgerouter X to redirect any devices that have hard-coded DNS to your Pi-hole.

www.myhelpfulguides.com

Tuosta pääsin hieman jo ehkä perille että mitä täytyy tehdä , mutta vaikka koitan amatöörimäisesti montaakin erilaista sovellettua kombinaatiota niin lopputulos on ollu aina että verkot jumissa.

Ei nyt ota toimiakseen. Ollaankohan tuossa linkin ohjeissa nyt edes oikeassa asiassa ?

Editt: Testasin aina laittaa tietokoneen dns asetukseksi 1.1.1.1 ja silloin kun verkko sattui jollain näistä kokeilluista kombinaatioista toimimaan, dnsleaktest huomasi tuon cloudflaren eikä homma toimi. Myös linuxin päätteessä komento drill google antoi vastaukseksi cloudflarea.

Toinen edit: Huomasin että cloudflaren dns palvelussa oli jotain hämminkiä koska kun vaihtelin quad9 palvelimet niin laitteet alkoi taas toimimaan.

Eli on se sittenkin jokseenkin saattanu toimia. Mitenkähän tuo dns uudelleen ohjauksen toimivuuden kykenee havaitsemaan parhaiten ? Harmittaa vain kerkesin jo ne ainoatkin toimivat säännöt delettää konfiguraatiosta ilman backuppeja missä tuo dns ohjaus saattoi toimia. Luultavasti se ei kuitenkaan toiminu kuten oli tarkoitus.

Onkohan tässä langassa se mitä olet hakemassa.

 

[Eldmor]

Home Assistant Community Add-on: Pi-hole

This add-on is provided by the Home Assistant Community Add-ons project. Deprecation warning This add-on is in a deprecated state! The Pi-hole add-on is now deprecated and will no longer be supported, maintained and will not receive future updates or fixes. Pi-hole used to be a...

community.home-assistant.io

This add-on is in a deprecated state!

The Pi-hole add-on is now deprecated and will no longer be supported, maintained and will not receive future updates or fixes.

Pi-hole used to be a great solution to filter network traffic, but it has been a challenge to keep/get it in a working state as an add-on.

Meanwhile, the AdGuard team published an alternative: AdGuard Home 12.

AdGuard Home as surpassed Pi-hole in terms of capabilities, features, and stability, and Home Assistant provides a good integration with AdGuard. Above all, the AdGuard Home team has been supportive in developing the add-on.

For those reasons, it is no longer viable to keep maintaining the Pi-hole add-on, which has been problematic at best.

We strongly recommend migrating to the AdGuard Home add-on, which is available in the add-on store.

Pitääköhän sitä kohta siirtyä kilpailevaan leiriin

 

[Enforcer]

Adguard Home on kova, mutta harmillisesti kun vihdoin sain dot serverin toimimaan niin se on hyvin laginen jostain syystä kun luurilla selailee nettiä. No pari päivää sitten löysin Technitium DNS Server | An Open Source Tool For Privacy & Security et joku oli tehny docker imagen ( [support] Roxedus ts-dnsserver ) mikä myös tukee dns-over-tls:ää. Ja toimii myös luurilla ilman mitään lageja pienien testien jälkeen voi olla että tämä jää käyttöön niin kauaksi aikaa kun ovat adguardiin saanu kuntoon noi proxy lagi ongelmat josta githubin foorumeilla joku kyselly asiasta. Piholea ikänä käyttäny kun ei ole tota dot tukea mikä on harmillista ja kaikkee muutakin puuttuu.

PS. No ei tämäkään aivan täydellisesti toiminut.. Hävitti ainakin blockilistat mistä lie syystä ja huomasin ettei doh toiminut ollenkaan. Takaisin Adguardiin ja toivotaan et tekevät tolle lagille jotain ja tekevät ohjeet näitä eri proxyja varten.

 

[Pah0lain3]

Siis ymmärrätköhän sä edes mitä pihole tekee? Jos muutat tietokoneen dns serveriksi 1.1.1.1 niin tietenkin se käyttää silloin cloudflaren dnssää.

Ymmärrän jotenkuten, tarkoitus olis vain edgerouterilla ohjata dns kyselyt kaikki piholeen vaikka kuinka yksittäiseen tietokoneeseen vaihdettaisiin dns serverin osotteita niin siitäkin huolimata edgeourer käskisi liikenteen kulkea piholen kautta ja sen dns palvelujen nimenomaan mitkä sinne on määritetty.

@angle linkkaama taitaa olla juuri se mitä täytyisi tehdä eli dnat sääntö edgerouteriin mutta mielestäni olen yrittäny tuolla tapaa sitä toteuttaa ja verkko menee vain solmuun. Täytyy kyllä yrittää vielä uudestaan jossain vaiheessa.

Piholea ikänä käyttäny kun ei ole tota dot tukea mikä on harmillista ja kaikkee muutakin puuttuu.

Piholeen löytyy isot määrät ohjeita googlettamalla dnscrypt , DoT & DoH, joita itsekkin tutkiskelen tässä ohessa mutta vielä en saanu toimimaan. Stubby näyttää "helpoimmalta" eli DoT , ja ajattelinki tätä vähä kaivella lisää kun on aikaa enempi.

 

[Enforcer]

Piholeen löytyy isot määrät ohjeita googlettamalla dnscrypt , DoT & DoH, joita itsekkin tutkiskelen tässä ohessa mutta vielä en saanu toimimaan. Stubby näyttää "helpoimmalta" eli DoT , ja ajattelinki tätä vähä kaivella lisää kun on aikaa enempi.

Tiedän mutta tarkoitus ei olekkaan asentaa kasaa ohjelmia kun ne on jo nyt saatavilla paketissa. Adguard Homen dokumentointi on vaan täysin vajavaista mikä on ongelma kun nää dns jutut on muutenkin kohtuu vaikeita täysin ymmärtää.. Ja periaatteessa kaikki jo toimii en tiedä mistä johtuu noi lagit juuri tls kohdalla. Adguardin dot toimii täydellisesti sitä vaan ei voi viel androidissa käyttää.

 

[Pah0lain3]

Androidilla oon käyttäny tätä, puhelimen asetuksista laittaa dns osoitteeksi 1dot.1dot.1dot.cloudflare-dns.com ja kun tekee testin 1.1.1.1/help sivulla niin näyttää että on DoT käytössä.
Mainokset voi sitten blokata firefox+ublock origin combolla. Ei paljo muuta tarvitse.

Configuring 1.1.1.1

Android Pie only supports DNS over TLS. To enable this on your device:

1. Go to Settings → Network & internet → Advanced → Private DNS.
2. Select the Private DNS provider hostname option.
3. Enter 1dot1dot1dot1.cloudflare-dns.com and hit Save.
4. Visit 1.1.1.1/help (or 1.0.0.1/help) to verify that “Using DNS over TLS (DoT)” shows as “Yes”.

And you’re done!

 

[Enforcer]

Tai käyttää vaan adguardin dns joka nyt vielä itsellä käytössä. Ei tarvi hifistellä millään ylimääräisillä ohjelmilla.

 

[Pah0lain3]

Tuo äsken mainitsemani ei ole edes ohjelma, se on vain pelkkä dns osoite minkä laitat luurin asetuksiin. Sen helpompaa ei voi enää olla niin on DoT käytössä, tarkoitatko siis että tuo adguard toimii samalla tavalla ilman ohjelman asentamista ?

 

[Enforcer]

Kyllä ja siinä on estot valmiina. Eli DoT ja DoH ei ole mitään väliä haluun vaan mainosten estot toimimaan ilman ohjelmia mikä onnistuu ainoastaan DoTilla tällä hetkellä luurissa. Ja tiestysti niihin ois kiva itse vaikuttaa mikä edelleen ton lagin takia ole mahdollista.

 

[Pah0lain3]

Nytkun piholesta näkee mukavasti näitä osotteita mihin tietokoneet on yhdistelleet jne. Homma toimii erittäin hienosti ja verkot pysyy pystyssä ei semmoisia ongelmia.

Ihmetyksen aiheuttaa tuolla piholen logeissa tämmöinen osoite kuin root-servers.net
Osaisko joku kertoa mitä tuo tarkoittaa ?

Logeista näen sen verran että osoite osoittaa tplinkkiin joka on siinä "kytkin moodissa" , en nyt muista oikeaa termiä sille. Voiko tuon root-servers.net osoitteen black listata kuitenkin ?

Edit: Tota root-servers.net osoitetta esiintyy kaikista eniten logeissa. Vuorokaudessa aivan järjetön määrä .
Tp-linkkiin piholen asennuksen aikana mielestäni tein pariinkin otteeseen hard resetin että ei kait siellä mitään pöpöäkään voi olla , tai voi mutta en usko ihan heti siihen ensimmäisenä ?

editt: Muutamassa tunnissa yli 1300 kertaa kun nollasin logit , seuraava blokattu osoite esiintyy vasta 340 kertaa joten aika moninkertaisesti enemmänn joku yrittää liikennöidä johonkin ?

 

[user9999]

Nytkun piholesta näkee mukavasti näitä osotteita mihin tietokoneet on yhdistelleet jne. Homma toimii erittäin hienosti ja verkot pysyy pystyssä ei semmoisia ongelmia.

Ihmetyksen aiheuttaa tuolla piholen logeissa tämmöinen osoite kuin root-servers.net
Osaisko joku kertoa mitä tuo tarkoittaa ?

Logeista näen sen verran että osoite osoittaa tplinkkiin joka on siinä "kytkin moodissa" , en nyt muista oikeaa termiä sille. Voiko tuon root-servers.net osoitteen black listata kuitenkin ?

Edit: Tota root-servers.net osoitetta esiintyy kaikista eniten logeissa. Vuorokaudessa aivan järjetön määrä .
Tp-linkkiin piholen asennuksen aikana mielestäni tein pariinkin otteeseen hard resetin että ei kait siellä mitään pöpöäkään voi olla , tai voi mutta en usko ihan heti siihen ensimmäisenä ?

Tuossa lisätietoa

Root Servers

www.iana.org

Juurinimipalvelin – Wikipedia

fi.wikipedia.org

What are root name servers? | Netnod

The DNS is the system which converts Internet domain names, such as www.netnod.se, into numeric addresses such as 192.71.80.67 or 2a01:3f0:1:3::67. DNS includes a hierarchy of “authoritative name servers”, each level of which contains different pieces of information. To translate www.netnod.se...

www.netnod.se

 

[Pah0lain3]

Kiitos kovasti

 

[Pah0lain3]

Eli tuo ei ole mitenkään epänormaalia esiintymistä ?

 

[user9999]

Eli tuo ei ole mitenkään epänormaalia esiintymistä ?

Tuossa samaa ongelmaa

Thousand of A.ROOT-SERVERS.NET domain in my queries

I have a lot of a.root-servers.net calls on my recent queries list and it is the top domain with more of 4000 hits after 2 days. I am using Pi-Hole installed on a vps and I am pointing my router (tp-link) dns primary address to the vps and as secondary address 8.8.8.8. Is it normal or I am...

discourse.pi-hole.net

 

[Pah0lain3]

Tuossa samaa ongelmaa

Thousand of A.ROOT-SERVERS.NET domain in my queries

I have a lot of a.root-servers.net calls on my recent queries list and it is the top domain with more of 4000 hits after 2 days. I am using Pi-Hole installed on a vps and I am pointing my router (tp-link) dns primary address to the vps and as secondary address 8.8.8.8. Is it normal or I am...

discourse.pi-hole.net

Tuon viestin aloittajallakin on näemmä tp link saman ongelman kanssa. Eli johtuisko se vaan siitä ?

Finally all the A.ROOT-SERVERS.NET 25 calls are vanished

changing the router setting of the wan to automatic dns (ISP dns are assigned) and using the pi-hole IP address on my vps in the DHCP primary dns setting, fixed the problem.

En vain tajua miten tuo vois itellä korjaantua kun tplinkki on accesspointtina, ja edgerouterin asetuksissa on muistaakseni pihole dns osoitteena.

 

[mikajh]

DNS-resolverin liikenne menee piholen läpi, vaikka olisi tarkoitus, että clientit lähettävä lähiverkossa DNS-kyselyt piholelle, joka kysyy ne edelleen joko LAN:in DNS-resolverilta tai suoraan internetistä?

 

[Pah0lain3]

@mikajh meinaat että konfiguraatio virhe nyt tässä koko jutussa ?

 

[mikajh]

Ainakin syytä tarkistaa. Olikos nyt niin, että pihole pyörii Linux-laptopissa, jossa myös esim. bindd käytössä?

 

[Pah0lain3]

Joo kyllä, linux mint & pihole läppärissä. Bindistä nyt en osaa sanoa. Sitten verkkolaitteet on näin, kaapelimotukka siltaavana -> edgerouter hoitaa kaiken pääasiassa. -> Edgerouterissa on tplink(accesspointtina) ja tplinkissä on pihole läppäri kiinni. Pihole ip osoite on edgerouterissa dns osoitteena

 

[mikajh]

Pihole ip osoite on edgerouterissa dns osoitteena

Tähän se ongelma liittynee. Tuosta Edgerouterista minulla ei ole mitään kokemuksia (ja veikkaan ettei tulekaan), mutta yleisellä tasolla missä tahansa routerissa/palomuurissa on aina DNS-osoitteita kahdessa merkityksessä/käytössä:
1) Joku laite lähiverkkoon liittyessään kysyy IPv4 DHCP-palvelimelta: kerro mulle DNS-palvelimen osoite! Kun pihole on talossa, vastaus on: piholen IPv4-osoite lähiverkossa. Ilman piholea se olisi router/palomuuri itse
2) Oletetaan, että palomuuri/reitittimessä on caching DNS resolver, joka muistaa edellisten DNS-kyselyiden vastaukset eli IP-osoitteet, eikä lähetä kyselyitä joka kerta internetiin, vaan vasta sitten, kun niiden käyttöaika menee umpeen. Nämä kyselyt pitää lähteä suoraan internetiin, joko ISP:n tarjoamiin palvelinosoitteisiin tai ylläpitäjän konffaamiin muihin internetin DNS-palvelimiin. piholen tapauksessa lähes kaikki nämä DNS-kyselyt tulevat siis piholelta reitittimeen, ei suoraan lähiverkon laitteilta. Ja reititin hakee vastaukset piholelle.
3) Jossakin tapauksissa (esim. pfSense) reititin voi omaan käyttöönsä käyttää vielä jotain muuta DNS-palvelimien listaa kuin kohdassa 2)

 

[Pah0lain3]

Mutkikasta, mitä suosittelet kokeiltavaksi ?

 

[mikajh]

Ei se ole ollenkaan mutkikasta (korkeintaan EdgeRouterin konffaus). EdgeRouterin konffaus pitäisi olla täysin sama riippumatta siitä, onko pihole käytössä vai ei.
Ainoastaa se yksi pieni muutos tarvitaan (kun ei mennä palomuurisääntöjen rukkaamiseen suorien DNS-kyselyiden blokkaamiseen ohi piholen), että:
DHCP-clientit saavat DNS-serverin osoitteeksi piholen eikä EdgeRouteria.

 

[Pah0lain3]

Se on sillä tavalla , että piholen voin ottaa pois välistä ja edgerouterin dns kentän jätän vain tyhjäksi tai laitan toiset dns osoitteet niin homman pitäisi toimia. Ja sama jos haluankin piholen laittaa väliin takaisin, niin vaihdan vain läppärin ip osoitteen takaisin edgerouterin dns asetuksiin ja taas pitäis toimia. Mun mielestä se toimii just noin...

edgerouterissa tapahtuu oikeastaan kaikki konffaus ja piholessa pienempi säätäminen. (Listat ja blaclistat jjne).
Tplinkissä ei tapahdu enää mitään kun se on access pointtina eikä samoin kaapelimotukassa koska siltaavana sekin.

Ainut mitä itse keksin enää, on että voisin kokeilla laittaa piholen suoraan edgerouteriin kiinni, mutta tuolle pihole verkolle siinä ei ole enää vapaita lan portteja joten se menee hieman kikkailuksi jos edes on mahdollista irroittaa switch0:sta yhtä porttia ja "siirtää/vaihtaa" se eth1:sen alaisuuteen...

 

[mikajh]

Jos sanot EdgeRouterin terminaalissa, niin mitä tulostaa: dig A +trace www.bing.com|grep Received

 

[Pah0lain3]

Jos sanot EdgeRouterin terminaalissa, niin mitä tulostaa: dig A +trace www.bing.com|grep Received

edge-er-x:~$ dig A +trace www.io-tech.fi | grep Received
-vbash: dig: command not found


edit: Jaahas, pitäs ilmeisesti asentaa dnsutilssit ensiksi ennenkuin toimii tuo dig komento. Viittiiköhän sitä asentaa noita kun tila jos muistat niin käy todella ahtaaksi tuon er-xän kanssa..

 

[Nocknet]

Onko muilla ollut ongelmia pi-holen sisäisten viiveiden kanssa?

Tarkistetaan ensin että domain sunet.se löytyy paikallisesti asennetun Unbound DNS-palvelimen cachesta.
$ dig sunet.se -p5353 | grep "Query time"; dig sunet.se -p5353 | grep "Query time"
;; Query time: 0 msec
;; Query time: 0 msec

Jep, jep. So far so good...

Noh, mitä pi-hole sanoo samasta asiasta?
$ dig sunet.se | grep "Query time"; dig sunet.se | grep "Query time"
;; Query time: 30 msec
;; Query time: 32 msec

WTF?! Mistä tuo 30 millisekunnin viive tuli? Vastauksen pitäisi tulle heti, jos ei pi-holen oman dnsmasqin cachestä niin Unboundin cachesta, jota pi-hole käyttää DNS-palvelimena.

 

[jaydude]

Mietin tässä semmoista että olisikohan semmoinen mahdollista että asentaa samaan Ubuntu Serveriin sekä Pi-holen että AdGuard Homen ja käyttää niitä DNS1 ja DNS2 nimipalvelimina. Onkohan kukaan moista kokeillut tehdä onnistuneesti?

 

[Nocknet]

Mietin tässä semmoista että olisikohan semmoinen mahdollista että asentaa samaan Ubuntu Serveriin sekä Pi-holen että AdGuard Homen ja käyttää niitä DNS1 ja DNS2 nimipalvelimina. Onkohan kukaan moista kokeillut tehdä onnistuneesti?

En nyt tiedä tarkalleen mitä yrität tehdä, mutta pi-holelle voi määritellä DNS-palvelimen, jota se käyttää. Jos Adguard osaa toimia DNS-palvelimena, voit asettaa sen pi-holen nimipalvelimeksi. Tällöin kaikki DNS-kyselyt menevät ensin pi-holen läpi ja jos ei sieltä löydy niin kysely välitetään Adguardille.

Tarkempia ohjeita netissä. Voit mm. soveltaa Unbound-ohjeita pi-holelle.

 

[jaydude]

En nyt tiedä tarkalleen mitä yrität tehdä

Alun perin oli siis suunnitteilla asennella samaan käyttikseen sekä Pi-hole että AdGuard, joille molemmille on määritetty omat IP:t, jotka laitetaan sitten reittittimen DNS 1 ja 2 palvelimiksi:

Spoileri: Kuva

Täytyy vähän opiskella lisää jos tuolla sinun mainitsemallasi tyylillä hoituu paremmin sama tavoite.

 

[Nocknet]

Alun perin oli siis suunnitteilla asennella samaan käyttikseen sekä Pi-hole että AdGuard, joille molemmille on määritetty omat IP:t, jotka laitetaan sitten reittittimen DNS 1 ja 2 palvelimiksi:

Todennäköisesti tällä toimenpiteellä et saavuta haluamaasi. Tosin et ole täsmentänyt mitä yrität tehdä. Joka tapauksessa jos asetat itsellesi ensisijaisen ja toisisijaisen nimipalvelimen, vain toista niistä käytetään. Lähtökohtaisesti ensisijaista ja toissijaista vasta sitten, jos ensisijainen ei vastaa.

Jos haluat käyttää sekä pi-holea ja adguardia samanaikaisesti, siten että molempia käytetään DNS-estoihin, täytyy sinun joko ketjuttaa ne aikaisemmin mainitulla tavalla tai asentaa dnsmasq reitittimelle tai omalle koneelle all-servers conf-asetuksella.

 

[jaydude]

Todennäköisesti tällä toimenpiteellä et saavuta haluamaasi. Tosin et ole täsmentänyt mitä yrität tehdä. Joka tapauksessa jos asetat itsellesi ensisijaisen ja toisisijaisen nimipalvelimen, vain toista niistä käytetään. Lähtökohtaisesti ensisijaista ja toissijaista vasta sitten, jos ensisijainen ei vastaa.

Oikeastaan tuo oli juuri se alkuperäinen idea että AdGuard olisi vain ns. backuppina jos Pi-hole ei vastaa.

Jos haluat käyttää sekä pi-holea ja adguardia samanaikaisesti, siten että molempia käytetään DNS-estoihin, täytyy sinun joko ketjuttaa ne aikaisemmin mainitulla tavalla tai asentaa dnsmasq reitittimelle tai omalle koneelle all-servers conf-asetuksella.

Tätä aloin myös miettimään että pitäisköhän sitä tehdä näin. Hidastaakohan tämä ketjuttaminen kuitenkin netin käyttöä kun kyselyt lähetetään kahden blokkerin läpi? Testaamallahan se tietty parhaiten selviää.

 

[Nocknet]

Hidastaakohan tämä ketjuttaminen kuitenkin netin käyttöä kun kyselyt lähetetään kahden blokkerin läpi? Testaamallahan se tietty parhaiten selviää.

Hidastaahan se tietysti sen verran kun mitä blocklistin käsittely kestää. Toinen asia on se, pystyykö viivettä havaitsemaan. Pi-hole vastaa yleensä alle millisekunnissa. Ei se ole paha jos adguard lisää toisen moisen.

 

[jaydude]

Hidastaahan se tietysti sen verran kun mitä blocklistin käsittely kestää. Toinen asia on se, pystyykö viivettä havaitsemaan. Pi-hole vastaa yleensä alle millisekunnissa. Ei se ole paha jos adguard lisää toisen moisen.

Juu. Sain tuon jo oikeastaan säädettyä aika hyvin. Näyttää tosin siltä että Pi-hole blokkailee ensimmäisenä aikalailla kaiken ja AdGuardille ei jää juuri mitään tehtävää. Tässä päästäänkin sitten siihen että onko tuossa kahden blokkerin käytössä hirveästi järkeä. Pidän noita nyt tuossa päällä jonkin aikaa ja tarkkailen tilastoja lisää. Asentelin nuo erikseen omiin Docker containereihin, koska niihin sai määriteltyä omat IP:t. Aluksi yritin asennella molempia suoraan hostiin, mutta se ei oikein onnistunut osoitteiden ja porttien päällekkäisyyksien takia.