Pi-Hole - mainosblokkeri raspberry pi:stä

[user9999]

Nytkun piholesta näkee mukavasti näitä osotteita mihin tietokoneet on yhdistelleet jne. Homma toimii erittäin hienosti ja verkot pysyy pystyssä ei semmoisia ongelmia.

Ihmetyksen aiheuttaa tuolla piholen logeissa tämmöinen osoite kuin root-servers.net
Osaisko joku kertoa mitä tuo tarkoittaa ?

Logeista näen sen verran että osoite osoittaa tplinkkiin joka on siinä "kytkin moodissa" , en nyt muista oikeaa termiä sille. Voiko tuon root-servers.net osoitteen black listata kuitenkin ?

Edit: Tota root-servers.net osoitetta esiintyy kaikista eniten logeissa. Vuorokaudessa aivan järjetön määrä .
Tp-linkkiin piholen asennuksen aikana mielestäni tein pariinkin otteeseen hard resetin että ei kait siellä mitään pöpöäkään voi olla , tai voi mutta en usko ihan heti siihen ensimmäisenä ?

Tuossa lisätietoa

Root Servers

www.iana.org

Juurinimipalvelin – Wikipedia

fi.wikipedia.org

What are root name servers? | Netnod

The DNS is the system which converts Internet domain names, such as www.netnod.se, into numeric addresses such as 192.71.80.67 or 2a01:3f0:1:3::67. DNS includes a hierarchy of “authoritative name servers”, each level of which contains different pieces of information. To translate www.netnod.se...

www.netnod.se

 

[Pah0lain3]

Kiitos kovasti

 

[Pah0lain3]

Eli tuo ei ole mitenkään epänormaalia esiintymistä ?

 

[user9999]

Eli tuo ei ole mitenkään epänormaalia esiintymistä ?

Tuossa samaa ongelmaa

Thousand of A.ROOT-SERVERS.NET domain in my queries

I have a lot of a.root-servers.net calls on my recent queries list and it is the top domain with more of 4000 hits after 2 days. I am using Pi-Hole installed on a vps and I am pointing my router (tp-link) dns primary address to the vps and as secondary address 8.8.8.8. Is it normal or I am...

discourse.pi-hole.net

 

[Pah0lain3]

Tuossa samaa ongelmaa

Thousand of A.ROOT-SERVERS.NET domain in my queries

I have a lot of a.root-servers.net calls on my recent queries list and it is the top domain with more of 4000 hits after 2 days. I am using Pi-Hole installed on a vps and I am pointing my router (tp-link) dns primary address to the vps and as secondary address 8.8.8.8. Is it normal or I am...

discourse.pi-hole.net

Tuon viestin aloittajallakin on näemmä tp link saman ongelman kanssa. Eli johtuisko se vaan siitä ?

Finally all the A.ROOT-SERVERS.NET 25 calls are vanished

changing the router setting of the wan to automatic dns (ISP dns are assigned) and using the pi-hole IP address on my vps in the DHCP primary dns setting, fixed the problem.

En vain tajua miten tuo vois itellä korjaantua kun tplinkki on accesspointtina, ja edgerouterin asetuksissa on muistaakseni pihole dns osoitteena.

 

[mikajh]

DNS-resolverin liikenne menee piholen läpi, vaikka olisi tarkoitus, että clientit lähettävä lähiverkossa DNS-kyselyt piholelle, joka kysyy ne edelleen joko LAN:in DNS-resolverilta tai suoraan internetistä?

 

[Pah0lain3]

@mikajh meinaat että konfiguraatio virhe nyt tässä koko jutussa ?

 

[mikajh]

Ainakin syytä tarkistaa. Olikos nyt niin, että pihole pyörii Linux-laptopissa, jossa myös esim. bindd käytössä?

 

[Pah0lain3]

Joo kyllä, linux mint & pihole läppärissä. Bindistä nyt en osaa sanoa. Sitten verkkolaitteet on näin, kaapelimotukka siltaavana -> edgerouter hoitaa kaiken pääasiassa. -> Edgerouterissa on tplink(accesspointtina) ja tplinkissä on pihole läppäri kiinni. Pihole ip osoite on edgerouterissa dns osoitteena

 

[mikajh]

Pihole ip osoite on edgerouterissa dns osoitteena

Tähän se ongelma liittynee. Tuosta Edgerouterista minulla ei ole mitään kokemuksia (ja veikkaan ettei tulekaan), mutta yleisellä tasolla missä tahansa routerissa/palomuurissa on aina DNS-osoitteita kahdessa merkityksessä/käytössä:
1) Joku laite lähiverkkoon liittyessään kysyy IPv4 DHCP-palvelimelta: kerro mulle DNS-palvelimen osoite! Kun pihole on talossa, vastaus on: piholen IPv4-osoite lähiverkossa. Ilman piholea se olisi router/palomuuri itse
2) Oletetaan, että palomuuri/reitittimessä on caching DNS resolver, joka muistaa edellisten DNS-kyselyiden vastaukset eli IP-osoitteet, eikä lähetä kyselyitä joka kerta internetiin, vaan vasta sitten, kun niiden käyttöaika menee umpeen. Nämä kyselyt pitää lähteä suoraan internetiin, joko ISP:n tarjoamiin palvelinosoitteisiin tai ylläpitäjän konffaamiin muihin internetin DNS-palvelimiin. piholen tapauksessa lähes kaikki nämä DNS-kyselyt tulevat siis piholelta reitittimeen, ei suoraan lähiverkon laitteilta. Ja reititin hakee vastaukset piholelle.
3) Jossakin tapauksissa (esim. pfSense) reititin voi omaan käyttöönsä käyttää vielä jotain muuta DNS-palvelimien listaa kuin kohdassa 2)

 

[Pah0lain3]

Mutkikasta, mitä suosittelet kokeiltavaksi ?

 

[mikajh]

Ei se ole ollenkaan mutkikasta (korkeintaan EdgeRouterin konffaus). EdgeRouterin konffaus pitäisi olla täysin sama riippumatta siitä, onko pihole käytössä vai ei.
Ainoastaa se yksi pieni muutos tarvitaan (kun ei mennä palomuurisääntöjen rukkaamiseen suorien DNS-kyselyiden blokkaamiseen ohi piholen), että:
DHCP-clientit saavat DNS-serverin osoitteeksi piholen eikä EdgeRouteria.

 

[Pah0lain3]

Se on sillä tavalla , että piholen voin ottaa pois välistä ja edgerouterin dns kentän jätän vain tyhjäksi tai laitan toiset dns osoitteet niin homman pitäisi toimia. Ja sama jos haluankin piholen laittaa väliin takaisin, niin vaihdan vain läppärin ip osoitteen takaisin edgerouterin dns asetuksiin ja taas pitäis toimia. Mun mielestä se toimii just noin...

edgerouterissa tapahtuu oikeastaan kaikki konffaus ja piholessa pienempi säätäminen. (Listat ja blaclistat jjne).
Tplinkissä ei tapahdu enää mitään kun se on access pointtina eikä samoin kaapelimotukassa koska siltaavana sekin.

Ainut mitä itse keksin enää, on että voisin kokeilla laittaa piholen suoraan edgerouteriin kiinni, mutta tuolle pihole verkolle siinä ei ole enää vapaita lan portteja joten se menee hieman kikkailuksi jos edes on mahdollista irroittaa switch0:sta yhtä porttia ja "siirtää/vaihtaa" se eth1:sen alaisuuteen...

 

[mikajh]

Jos sanot EdgeRouterin terminaalissa, niin mitä tulostaa: dig A +trace www.bing.com|grep Received

 

[Pah0lain3]

Jos sanot EdgeRouterin terminaalissa, niin mitä tulostaa: dig A +trace www.bing.com|grep Received

edge-er-x:~$ dig A +trace www.io-tech.fi | grep Received
-vbash: dig: command not found


edit: Jaahas, pitäs ilmeisesti asentaa dnsutilssit ensiksi ennenkuin toimii tuo dig komento. Viittiiköhän sitä asentaa noita kun tila jos muistat niin käy todella ahtaaksi tuon er-xän kanssa..

 

[Nocknet]

Onko muilla ollut ongelmia pi-holen sisäisten viiveiden kanssa?

Tarkistetaan ensin että domain sunet.se löytyy paikallisesti asennetun Unbound DNS-palvelimen cachesta.
$ dig sunet.se -p5353 | grep "Query time"; dig sunet.se -p5353 | grep "Query time"
;; Query time: 0 msec
;; Query time: 0 msec

Jep, jep. So far so good...

Noh, mitä pi-hole sanoo samasta asiasta?
$ dig sunet.se | grep "Query time"; dig sunet.se | grep "Query time"
;; Query time: 30 msec
;; Query time: 32 msec

WTF?! Mistä tuo 30 millisekunnin viive tuli? Vastauksen pitäisi tulle heti, jos ei pi-holen oman dnsmasqin cachestä niin Unboundin cachesta, jota pi-hole käyttää DNS-palvelimena.

 

[jaydude]

Mietin tässä semmoista että olisikohan semmoinen mahdollista että asentaa samaan Ubuntu Serveriin sekä Pi-holen että AdGuard Homen ja käyttää niitä DNS1 ja DNS2 nimipalvelimina. Onkohan kukaan moista kokeillut tehdä onnistuneesti?

 

[Nocknet]

Mietin tässä semmoista että olisikohan semmoinen mahdollista että asentaa samaan Ubuntu Serveriin sekä Pi-holen että AdGuard Homen ja käyttää niitä DNS1 ja DNS2 nimipalvelimina. Onkohan kukaan moista kokeillut tehdä onnistuneesti?

En nyt tiedä tarkalleen mitä yrität tehdä, mutta pi-holelle voi määritellä DNS-palvelimen, jota se käyttää. Jos Adguard osaa toimia DNS-palvelimena, voit asettaa sen pi-holen nimipalvelimeksi. Tällöin kaikki DNS-kyselyt menevät ensin pi-holen läpi ja jos ei sieltä löydy niin kysely välitetään Adguardille.

Tarkempia ohjeita netissä. Voit mm. soveltaa Unbound-ohjeita pi-holelle.

 

[jaydude]

En nyt tiedä tarkalleen mitä yrität tehdä

Alun perin oli siis suunnitteilla asennella samaan käyttikseen sekä Pi-hole että AdGuard, joille molemmille on määritetty omat IP:t, jotka laitetaan sitten reittittimen DNS 1 ja 2 palvelimiksi:

Spoileri: Kuva

Täytyy vähän opiskella lisää jos tuolla sinun mainitsemallasi tyylillä hoituu paremmin sama tavoite.

 

[Nocknet]

Alun perin oli siis suunnitteilla asennella samaan käyttikseen sekä Pi-hole että AdGuard, joille molemmille on määritetty omat IP:t, jotka laitetaan sitten reittittimen DNS 1 ja 2 palvelimiksi:

Todennäköisesti tällä toimenpiteellä et saavuta haluamaasi. Tosin et ole täsmentänyt mitä yrität tehdä. Joka tapauksessa jos asetat itsellesi ensisijaisen ja toisisijaisen nimipalvelimen, vain toista niistä käytetään. Lähtökohtaisesti ensisijaista ja toissijaista vasta sitten, jos ensisijainen ei vastaa.

Jos haluat käyttää sekä pi-holea ja adguardia samanaikaisesti, siten että molempia käytetään DNS-estoihin, täytyy sinun joko ketjuttaa ne aikaisemmin mainitulla tavalla tai asentaa dnsmasq reitittimelle tai omalle koneelle all-servers conf-asetuksella.

 

[jaydude]

Todennäköisesti tällä toimenpiteellä et saavuta haluamaasi. Tosin et ole täsmentänyt mitä yrität tehdä. Joka tapauksessa jos asetat itsellesi ensisijaisen ja toisisijaisen nimipalvelimen, vain toista niistä käytetään. Lähtökohtaisesti ensisijaista ja toissijaista vasta sitten, jos ensisijainen ei vastaa.

Oikeastaan tuo oli juuri se alkuperäinen idea että AdGuard olisi vain ns. backuppina jos Pi-hole ei vastaa.

Jos haluat käyttää sekä pi-holea ja adguardia samanaikaisesti, siten että molempia käytetään DNS-estoihin, täytyy sinun joko ketjuttaa ne aikaisemmin mainitulla tavalla tai asentaa dnsmasq reitittimelle tai omalle koneelle all-servers conf-asetuksella.

Tätä aloin myös miettimään että pitäisköhän sitä tehdä näin. Hidastaakohan tämä ketjuttaminen kuitenkin netin käyttöä kun kyselyt lähetetään kahden blokkerin läpi? Testaamallahan se tietty parhaiten selviää.

 

[Nocknet]

Hidastaakohan tämä ketjuttaminen kuitenkin netin käyttöä kun kyselyt lähetetään kahden blokkerin läpi? Testaamallahan se tietty parhaiten selviää.

Hidastaahan se tietysti sen verran kun mitä blocklistin käsittely kestää. Toinen asia on se, pystyykö viivettä havaitsemaan. Pi-hole vastaa yleensä alle millisekunnissa. Ei se ole paha jos adguard lisää toisen moisen.

 

[jaydude]

Hidastaahan se tietysti sen verran kun mitä blocklistin käsittely kestää. Toinen asia on se, pystyykö viivettä havaitsemaan. Pi-hole vastaa yleensä alle millisekunnissa. Ei se ole paha jos adguard lisää toisen moisen.

Juu. Sain tuon jo oikeastaan säädettyä aika hyvin. Näyttää tosin siltä että Pi-hole blokkailee ensimmäisenä aikalailla kaiken ja AdGuardille ei jää juuri mitään tehtävää. Tässä päästäänkin sitten siihen että onko tuossa kahden blokkerin käytössä hirveästi järkeä. Pidän noita nyt tuossa päällä jonkin aikaa ja tarkkailen tilastoja lisää. Asentelin nuo erikseen omiin Docker containereihin, koska niihin sai määriteltyä omat IP:t. Aluksi yritin asennella molempia suoraan hostiin, mutta se ei oikein onnistunut osoitteiden ja porttien päällekkäisyyksien takia.

 

[tkhyla]

Juu. Sain tuon jo oikeastaan säädettyä aika hyvin. Näyttää tosin siltä että Pi-hole blokkailee ensimmäisenä aikalailla kaiken ja AdGuardille ei jää juuri mitään tehtävää. Tässä päästäänkin sitten siihen että onko tuossa kahden blokkerin käytössä hirveästi järkeä. Pidän noita nyt tuossa päällä jonkin aikaa ja tarkkailen tilastoja lisää. Asentelin nuo erikseen omiin Docker containereihin, koska niihin sai määriteltyä omat IP:t. Aluksi yritin asennella molempia suoraan hostiin, mutta se ei oikein onnistunut osoitteiden ja porttien päällekkäisyyksien takia.

Onko sulla nyt Pi-hole DNS1 ja AdGuard DNS2 vai mitenkä?
DNS ei toimi siten, että kaikki kyselyt menisivät ensin DNS1:selle jos useampi on määritelty. Satunnaisia kyselyitä menee suoraan DNS2:selle jos selainen on määritelty.

 

[happoman]

Onko joku keksinyt miten nuo Googlen hakutulosten ekat linkit sais toimimaan, Jotka on siis mainoksia? Ohjaus näyttää menevän Googlen adservicen kautta.

 

[Paris]

.

 

[jaydude]

Onko sulla nyt Pi-hole DNS1 ja AdGuard DNS2 vai mitenkä?
DNS ei toimi siten, että kaikki kyselyt menisivät ensin DNS1:selle jos useampi on määritelty. Satunnaisia kyselyitä menee suoraan DNS2:selle jos selainen on määritelty.

Joo tuohon ratkaisuun lopulta päädyin ja DNS2 näyttäisi blokkailevan myös jonkin verran, kuten tuossa jo täsmensitkin.

 

[dome]

Onko joku keksinyt miten nuo Googlen hakutulosten ekat linkit sais toimimaan, Jotka on siis mainoksia? Ohjaus näyttää menevän Googlen adservicen kautta.

whitelistaamalla sen googlen adservices domainin minkä pihole blokkaa odotetusti.

 

[Enforcer]

Nyt sain vihdoin toimimaan tossa adguard homessa "private dns" androidille aka dot serverin ilman lageja kaikki kuvat sun muut interwebissä latautuu hetkessä. Apuna toimi ohje piholelle jonka löysin redditistä ( r/pihole - Pi-hole + traefik = DNS-over-TLS ) tällä lähti hyvin toimimaan. Oli sitten vähän hankalempi setuppi, mutta mitä ymmärrän tosta niin traefik jakaa nyt tota kuormaa vähän paremmin mikä näyttävästi auttaa (ylläri).

 

[happoman]

whitelistaamalla sen googlen adservices domainin minkä pihole blokkaa odotetusti.

Sitä olen kyllä yrittänyt mutta se ei toimi.

 

[user9999]

Taas teki viime yönä puolilta öin Pihole saman kuin joskus aiemmin eli yhtäkkiä lopetti toimimisen.

Kaksi kertaa piti bootata kone millä se pyörii että lähti toimimaan. Mutta aamulla kun heräsin niin taas oli sen kautta menevät yhteydet poikki. Taas pari boottia ja vasta kolmannella (minkä tein käyttöliittymän kautta) lähti taas pelittämään.

Logeissa ei näy mitään muuta ihmeellistä kuin config error is refused. Asetukset näytti olevan oikein. Ja tosiaan verkon muut, ei piholea käyttävät, laitteet toimi normaalisti.

Mikähän tuota tekee? Tapahtuu satunnaisesti kerran kuukaudessa-parissa.

Näkyykö siinä logissa mitään query juttua?
Esim:

May 7 04:00:00 dnsmasq[24841]: query[PTR] 252.2.168.192.in-addr.arpa from 127.0.0.1
May 7 04:00:00 dnsmasq[24841]: config error is REFUSED

Mar 4 23:24:15 dnsmasq[492]: query[A] 3.debian.pool.ntp.org from 127.0.0.1
Mar 4 23:24:15 dnsmasq[492]: config error is REFUSED

Pi-Hole/Raspian stops responding overnight, every night

Please follow the below template, it will help us to help you! Expected Behaviour: [Pi-Hole should run without crashing overnight] Actual Behaviour: _[Every night my Raspberry Pi-based Pi-Hole stops responding. It cannot be pinged and I cannot SSH on to it until I pull the power and reboot it...

discourse.pi-hole.net

 

[k70]

Aika paljon uutta tuli näköjään 5 versiossa Pi-hole v5.0 is here!

 

[Pah0lain3]

Taas teki viime yönä puolilta öin Pihole saman kuin joskus aiemmin eli yhtäkkiä lopetti toimimisen.

Kaksi kertaa piti bootata kone millä se pyörii että lähti toimimaan. Mutta aamulla kun heräsin niin taas oli sen kautta menevät yhteydet poikki. Taas pari boottia ja vasta kolmannella (minkä tein käyttöliittymän kautta) lähti taas pelittämään.

Logeissa ei näy mitään muuta ihmeellistä kuin config error is refused. Asetukset näytti olevan oikein. Ja tosiaan verkon muut, ei piholea käyttävät, laitteet toimi normaalisti.

Mikähän tuota tekee? Tapahtuu satunnaisesti kerran kuukaudessa-parissa.

Hitto vie, mulla kävi juuri samallatavalla eilen kun muut alkoivat sanomaan että netti ei toimi. Kaikki jotka meni piholen kautta oli solmussa, toimi satunnaisesti koneita boottailemalla, jja jotka ei mene piholen kautta toimi täysin normaalisti. Boottailin piholeläppärin, päivitin kaikki ja piholekin näytti olevan ajantasalla. En alkanu logeja sen enempää lukemaan kun tänään kaikki toimii aika pitkälti normaalisti taas. Ihme juttu tuo.

Aika paljon uutta tuli näköjään 5 versiossa Pi-hole v5.0 is here!

Voi kun olisi tullut jokin helppo rasti ruutiin juttu tuolle dns over tls tai cryptille.. Mutta aika kivoja uusia juttuja 5 versioon, mitenkähän tuon läppärillä voi päivittää ? Ja miten tuosta saa backupin ennen päivittämistä ?

 

[k70]

Voi kun olisi tullut jokin helppo rasti ruutiin juttu tuolle dns over tls tai cryptille.. Mutta aika kivoja uusia juttuja 5 versioon, mitenkähän tuon läppärillä voi päivittää ? Ja miten tuosta saa backupin ennen päivittämistä ?

SSH:lla raspin komentoriville, ja pihole -up. Itse en jaksanut tehdä backupia, kun on lähes oletusasetuksilla. Hyvin meni päivitys, ja kaikki tallessa.

 

[Paris]

.

 

[escalibur]

Oli näemmä tämä lista lakannut toimimasta:
https://hosts-file.net/ad_servers.txt

Ei lista vaan koko palvelu. Tilalle tuli Malwarebytesin oma tuote.

Onneksi Python-listat pelastavat tilanteen ja tekevät noista .txt listoista melko turhia.

 

[Paris]

.

 

[Pah0lain3]

Ei menny läppärilläkään päivitys uudempaan ihan nappiin. Muuten päivittyi mutta ftl jäi päivittämättä ja eihän se enää sitten toiminutkaan koko pihole enää. Läppärissä siis linux ja siinä pihole joka muuten toimii aivan vallan hienosti.

Nyt 5 version sain samalla tavalla kuin aiemminkin, linuxin uudelleenasennus ja pihole sen jälkeen niin automaattisesti hypättiin vitosversioon. On aika erinomainen tuo pihole nyt. Siinä pystyi osalta laitteilta kieltämään esimerkiksi netflixin yhteydet ja sallimaan toiselle laitteelle. Alkaa olla ihan 10+ , voi tehdä lähes kaiken sen mitä kaipasin tuolta.

Ainoa mitä jäin kaipaamaan , on se helppo valinta rasti ruutuun tyylillä Dns Over Tls, tai Dnscrypt tjmv. Mutta kyllä tuo alkaa olemaan ihan 10+ tuo pihole

Testasin myös heittää tuon piholen toiseen verkkoon ilman tplinkkiä niin ei tule yhtään ainutta a.root-server osoitetta piholessa enää vastaan. Eli sen on aivan pakko johtua tuosta tplinkin laitteesta joka on "välissä" langatonta jakamassa. Joten osittain siksikin pakollinen siinä kun edgerouterissa ei sitä mahdollisuutta ole. Tplinkki on accesspointtina myös niin ei tuossa varmaan mitään konfiguraatio virhettäkään ole ?

Mikäs on piholessa listojen "sopiva" määrä ? Nyt on 22kpl , onkohan se liian paljon vai liian vähän ? Voin laitella ne listat tänne jossain vaiheessa jos joku haluaa tarkemmin katsella minkälaisia listoja on käytössä... ?

 

[Paris]

.

 

[dome]

Tuo client-kohtainen estolista on huippuominaisuus, jota olin haaveillut, mutta en osannut odottaa sitä piholeen. Nyt on poitsun PS4:ssä youtube estetty.

Tosin katsotaan miten toi toimii pitkässä juoksussa, kun PS4 saa ip-osoitteensa DHCP:stä ja jos ip-osoite vaihtuu, niin taitaa piholessa PS4 clientin sitominen ip-osoitteeseen rikkua. Katsotaan miten käy...

Määritä sille pleikkarille staattinen lease niin ei vaihdu ip-osoite. DHCP palvelimelta toki, oli se sitten pi-hole itse tai esim. reitittimessä.

 

[Pah0lain3]

Kappas, tuota en ollu huomioinu ollenkaan että ip:n vaihtuessa tuohan ei sitten toimikkaan enää. Hyvä pointti. Onko tietoturvallisesti "yhdetekevää" onko laitteelle asetettu staattinen ip vai ensimmäinen vaihtoehto niinkuin se nyt on ?

Eli reitittimeen olis hyvä laittaa piholelle staattinen ip, ja sen jälkeen laitteille erikseen jokaiselle myös staattinen ip niin pitäisi homman toimia niinkuin tarkoitettu ?

 

[A Lake Elk]

Kappas, tuota en ollu huomioinu ollenkaan että ip:n vaihtuessa tuohan ei sitten toimikkaan enää. Hyvä pointti. Onko tietoturvallisesti "yhdetekevää" onko laitteelle asetettu staattinen ip vai ensimmäinen vaihtoehto niinkuin se nyt on ?

Eli reitittimeen olis hyvä laittaa piholelle staattinen ip, ja sen jälkeen laitteille erikseen jokaiselle myös staattinen ip niin pitäisi homman toimia niinkuin tarkoitettu ?

Jos kyse on sisäverkon IP:stä (muotoa 192.168.x.x), niin ei oo mitään merkitystä tietoturvan kannalta onko staattinen, tai dynaaminen IP.

Eikä oikeastaan julkisenverkon IP:ssäkään ole merkitystä onko dynaaminen (vaihtuva), vai kiinteä kun se tietoturva pitää hoitaa kuntoon joka tapauksessa.

 

[dome]

Kappas, tuota en ollu huomioinu ollenkaan että ip:n vaihtuessa tuohan ei sitten toimikkaan enää. Hyvä pointti. Onko tietoturvallisesti "yhdetekevää" onko laitteelle asetettu staattinen ip vai ensimmäinen vaihtoehto niinkuin se nyt on ?

Eli reitittimeen olis hyvä laittaa piholelle staattinen ip, ja sen jälkeen laitteille erikseen jokaiselle myös staattinen ip niin pitäisi homman toimia niinkuin tarkoitettu ?

pihole nyt ehdottomasti pitäisi olla staattisella osoitteella sisäverkossa. Makuasia konffaako laitteille staattisen ip-osoitteen jolloin ne ei ole riippuvaisia DHCP-palvelimesta vai käyttääkö DHCP-palvelimen staattista leasea tiettyjen laitteiden MAC-osoitteille. Itse käytän jälkimmäistä jolloin näen dynaamiset ja staattiset leaset helposti yhdestä näkymästä reitittimeltä.

 

[timop]

yle keksiny taas jotain uutta, areenassa ei omat suosikit auenneet ennenkuin whitelistasi nämä, kaksi ekaa riitti mutta tuo kolmaskin sinne piholen query logiin ilmestyi

js-agent.newrelic.com
w.usabilla.com
metrics.api.yle.fi

 

[mikajh]

pi-hole alkoi kaatuilemaan muistin puutteeseen. Tuo pääsivun Memory usage ei taida olla kovin pätevä lukema, koska siitä puuttuu buffer/cache-muisti jota pihole-FTL haukkaa melkein puoli gigaa:

[745873.713674] oom-kill:constraint=CONSTRAINT_MEMCG,nodemask=(null),cpuset=ns,mems_allowed=0,oom_memcg=/lxc/101,task_memcg=/lxc/101/ns/user.slice/user-997.slice/session-c1.scope,task=pihole-FTL,pid=29784,uid=100997
[745873.714787] Memory cgroup out of memory: Killed process 29784 (pihole-FTL) total-vm:805904kB, anon-rss:3604kB, file-rss:3012kB, shmem-rss:440712kB, UID:100997 pgtables:1028kB oom_score_adj:0

512 MB riitti näin pitkälle, laitoin toisen mokoman lisää

 

[dome]

pi-hole alkoi kaatuilemaan muistin puutteeseen. Tuo pääsivun Memory usage ei taida olla kovin pätevä lukema, koska siitä puuttuu buffer/cache-muisti jota pihole-FTL haukkaa melkein puoli gigaa:

[745873.713674] oom-kill:constraint=CONSTRAINT_MEMCG,nodemask=(null),cpuset=ns,mems_allowed=0,oom_memcg=/lxc/101,task_memcg=/lxc/101/ns/user.slice/user-997.slice/session-c1.scope,task=pihole-FTL,pid=29784,uid=100997
[745873.714787] Memory cgroup out of memory: Killed process 29784 (pihole-FTL) total-vm:805904kB, anon-rss:3604kB, file-rss:3012kB, shmem-rss:440712kB, UID:100997 pgtables:1028kB oom_score_adj:0

512 MB riitti näin pitkälle, laitoin toisen mokoman lisää

Kyllä se on ihan pätevä. buffer/cache on lähes aina täysin käytettävissä olevaa muistia mille tahansa sovellukselle. Jos muistinkäyttöä ei tulkitse oikein niin linuxissa se on käytännössä aina lähes tapissa, koska ylijäämä käytetään levyltä luetun datan cachetukseen ja se näkyy buffer/cache kohdassa muistinkäytössä mikä voidaan tarvittaessa vapauttaa heti sitä tarvitsevalle sovellukselle.

 

[mikajh]

No ei se voi olla, kun oom-kill alkoi toimiin

 

[dome]

No ei se voi olla, kun oom-kill alkoi toimiin

Ilmeisesti systeemissäsi ei käyttöjärjestelmä tarvitse lainkaan muistia mihinkään muuhun kuin piholeen? oom-killerin tappama prosessi ei aina ole edes itse ongelman aiheuttaja.

Saattoihan piholen muistinkäyttö nousta liian korkeaksi, mutta joka tapauksessa ei sen piholen admin paneelin kuulu sitä buffer/cache muistinkäyttöä huomioida kuten tuossa ylempänä oletit.

 

[mikajh]

Ilmeisesti systeemissäsi ei käyttöjärjestelmä tarvitse lainkaan muistia mihinkään muuhun kuin piholeen? oom-killerin tappama prosessi ei aina ole edes itse ongelman aiheuttaja.

Tällä kontainerilla ei ole mitään muuta funktiota kuin pyörittää piholea. Centos 8:n kanssa ilmeisesti ~512 MB on hieman liian vähän pitkän ajan kuluessa. Piholen admin-sivun Status Memory usage + Settings - FTL information - Memory utilization on hieman todellisempi kuva pi-holen tarvitsemasta kokonaismuistimäärästä. Kun free mem menee nollaan, se prosessi jonka vm on suurin tulee tapetuksi, ja usko tai älä, mutta se tulee joka kerta olemaan pihole-FTL ensimmäisenä.

 

[topiv]

Tällä kontainerilla ei ole mitään muuta funktiota kuin pyörittää piholea. Centos 8:n kanssa ilmeisesti ~512 MB on hieman liian vähän pitkän ajan kuluessa. Piholen admin-sivun Status Memory usage + Settings - FTL information - Memory utilization on hieman todellisempi kuva pi-holen tarvitsemasta kokonaismuistimäärästä. Kun free mem menee nollaan, se prosessi jonka vm on suurin tulee tapetuksi, ja usko tai älä, mutta se tulee joka kerta olemaan pihole-FTL ensimmäisenä.

Onko sinulla paljon estolistoja käytössä tai iso verkko, jota pihole käsittelee?

Oma pihole serveri vie muistia vain 218 megaa ja on ollut päällä
$ w
05:09:50 up 37 days, 20:36, 1 user, load average: 0.08, 0.02, 0.01

$ free -m
total used free shared buff/cache available
Mem: 3821 218 483 7 3119 3310
Swap: 3163 0 3163

Minulla on 8-12 laitetta verkossa ja blokkilistalla noin 1M domainia.
Laite on ollut koskematta siitä lahtien kun uusi 5.0 versio julkaistiin.