PiHole Docker

[heist_175]

Ik krijg mijn RPI niet meer geüpdate met de nieuwste PiHole en in plaats van een nieuwe te flashen, dacht ik een Docker image te gebruiken.

Maar ergens doe ik iets fout.
Ik krijg de Docker werkend (pull) en opgestart (up -d) met de config-file (docker compose).
Ik krijg ook de webinterface van de PiHole te zien (ip-adres/admin), inclusief het password dat in de config staat.

Maar als ik tegen mijn Fritzbox zeg dat ie daar de DNS moet gaan halen, komt er geen trafiek toe.
Ik zie ook "half gare" IP-adressen als client staan, die niet eens bestaan.

Code: Selecteer alles

172.20.0.1	190	
172.19.0.1	85	
172.18.0.1	76	
172.23.0.1	32	
172.21.0.1	24	
172.22.0.1	18

De config file die ik gebruik ziet er zo uit:

Code: Selecteer alles

version: "3"

# https://github.com/pi-hole/docker-pi-hole/blob/master/README.md

services:
  pihole:
    container_name: pihole
    image: pihole/pihole:latest
    # For DHCP it is recommended to remove these ports and instead add: network_mode: "host"
    ports:
      - "53:53/tcp"
      - "53:53/udp"
      - "67:67/udp"
      - "80:80/tcp"
    environment:
      TZ: 'Europe/Brussels'
      WEBPASSWORD: '********'
      FTLCONF_REPLY_ADDR4: '192.168.*'
    # Volumes store your data between container upgrades
    volumes:
      - './etc-pihole:/etc/pihole'
      - './etc-dnsmasq.d:/etc/dnsmasq.d'
    #   https://github.com/pi-hole/docker-pi-hole#note-on-capabilities
    cap_add:
      - NET_ADMIN
    restart: unless-stopped # Recommended but not required (DHCP needs NET_ADMIN)

Gebaseerd op informatie die ik hier vond: https://github.com/pi-hole/docker-pi-hole

Iemand suggesties?
Wat doe ik fout?

[brubbel]

network_mode: "host"
In uw docker compose file

[heist_175]

network_mode: "host"

Dat is als ik de PiHole ook de DHCP wil laten doen, maar dat wil ik niet (is nu ook niet het geval bij de RPI).

https://docs.pi-hole.net/docker/dhcp/

Docker Pi-hole with host networking mode
Possibly the simplest way to get DHCP working with Docker Pi-hole is to use host networking which makes the container be on your LAN Network like a regular Raspberry Pi-hole would be, allowing it to broadcast DHCP.

Check ik de log van de Fritzbox:

Code: Selecteer alles

Alternative DNSv4 server configured. Preferred DNSv4 server: 192.168.*, alternative DNSv4 server: 192.168.*. This change was made in the home network from IP address 192.168.*.

Maar zelfs na een DNS flush gaat mijn DNS request niet daarheen:

Code: Selecteer alles

ipconfig /flushdns

Code: Selecteer alles

   Connection-specific DNS Suffix  . : fritz.box
   DNS Servers . . . . . . . . . . . : 192.168.*

is nog steeds de oude (= IP-adres van de RPI)


Als ik op mijn pc de DNS aanpas naar de nieuwe, werkt het wel.
Dan komt er in de logs van de "nieuwe" PiHole de opgevraagde URL.

[honda4life]

FritzBox is denk ik nogal selectief wat betreft DNS, ik heb een gelijkaardige ervaring.
Is de reactietijd te langzaam lijkt deze naar een fallback te gaan.

[heist_175]

De fallback in de FB is ook de nieuwe PiHole (er staat 2 keer hetzelfde IP-adres).
Als ik alles 24h zo laat in de FB (DNS op de nieuwe PiHole), zal de FB dan zijn DNS'en gaan halen bij de nieuwe?

[Sinna]

Op welk niveau heb je de DNS aangepast in de Fritz!?
Je kan dat binnen home network en binnen internet: binnen internet zijn het de servers die de Fritz! zelf gebruikt om te resolven, binnen home network wat de Fritz! met de DHCP- configuratie meestuurt.
Mijn ervaring is dat de Fritz! nogal picky is voor zijn eigen DNS.
Pas wel op als je intern fritz.box gebruikt om je Fritz! te bereiken: in je PiHole ga je die moeten configureren, anders resolvet die niet (meer).
Ik heb hier een AdGuardHome draaien als DNS binnen een Fritz!-netwerk en dat zou zeer gelijkaardig moeten zijn.

[heist_175]

Op welk niveau heb je de DNS aangepast in de Fritz!?

Ik had het enkel gedaan bij Internet > Account information > DNS
en niet bij Home Network > Network > Network Settings > Additional Settings> LAN Settings > IPv4 Settings

Een collega wees me er deze middag op, toen ik mijn frustratie over de wijziging van DNS-server van RPI naar Docker ventileerde.

Pas wel op als je intern fritz.box gebruikt om je Fritz! te bereiken: in je PiHole ga je die moeten configureren, anders resolvet die niet (meer).

Dat snap ik niet goed.
Wat moet ik in de PiHole configureren?
Het IP-adres van de RPI/PiHole stond in beide secties (Internet/Account information & HomeNetwork/Network) ingevuld, dus ik heb nu op beide plaatsen in de Fritzbox het nieuwe IP-adres ingegeven.

Ik starte net een nieuwe pc op en de DNS requests komen toe op de NAS/PiHole en niet meer op de RPI/PiHole.
So far so good .

[Sinna]

Wat fritz.box betreft: als je je Fritz! benadert via naam ipv. IP-adres, dan is de kans groot dat PiHole die niet kan resolven, tenzij de Pi de Fritz! als upstream DNS gebruikt.
Ik had hier problemen mee icm. AdGuardHome. Ik heb daar de Fritz! als upstream DNS moeten instellen voor het lokale IP-bereik. Geen idee of dit speelt op Pi en zo ja, hoe je dit oplost.

[heist_175]

Ik ga altijd via IP-adres, vandaar dat het issue me niet bekend was .

[heist_175]

Het werkte maanden prima, tot recent.
Ik krijg op de meest normale browser requests een time-out of een NXDOMAIN.
Het probleem is dat de "upstream server" niet lijkt te antwoorden.

De Docker/PiHole draait op 192.168.1.20

Code: Selecteer alles

nslookup google.com
Server:  UnKnown
Address:  192.168.1.20

DNS request timed out.
    timeout was 2 seconds.
DNS request timed out.
    timeout was 2 seconds.
DNS request timed out.
    timeout was 2 seconds.

Code: Selecteer alles

May 22 10:03:57: query[A] google.Com.fritz.box from 172.21.0.1
May 22 10:03:57: forwarded google.Com.fritz.box to 1.1.1.1
May 22 10:03:59: query[AAAA] google.Com.fritz.box from 172.21.0.1
May 22 10:03:59: forwarded google.Com.fritz.box to 1.1.1.1
May 22 10:04:01: query[A] google.Com from 172.21.0.1
May 22 10:04:01: forwarded google.Com to 1.1.1.1

En wat het zou moeten zijn:

Code: Selecteer alles

nslookup economist.com
Server:  UnKnown
Address:  192.168.1.20

Non-authoritative answer:
Name:    economist.com
Addresses:  104.18.4.166
          104.18.5.166

Code: Selecteer alles

May 22 10:08:54: query[A] economist.com from 172.21.0.1
May 22 10:08:54: forwarded economist.com to 1.0.0.1
May 22 10:08:54: reply economist.com is 104.18.4.166
May 22 10:08:54: reply economist.com is 104.18.5.166

Een request naar 1.0.0.1 en meteen een antwoord van Cloudflare.
In de modem/router gebeurt dat perfect, op de PiHole plots niet meer.

De nameserver zelft werkt perfect, als ik die configureer in de modem/router gaat het verkeer prima.
Dus er is iets mis aan de ganse setup met de PiHole
- W10 - waar de Docker op draait
- Docker - meest recente versie
- PiHole - geen update van dat image sinds 2 maanden
- Fritzbox als modem

Aan geen van de 3 werd iets "wezenlijks" veranderd gedurende de laatste weken/maanden (toch niet dat ik weet of herinner).
Het probleem doet zich al een 3-tal weken voor, pas nu de tijd genomen om ernaar te kijken.

Ik heb al gelezen over firewall toestanden, maar als ik de W10 firewall uitzet, verandert dat niets aan de situatie.

[ITnetadmin]

Zo te zien zoekt hij niet naar "google.com", maar naar "google.com.fritz.box".
Da's al een grote fout.

[heist_175]

Had ik zelf niet eens gezien .
Maar dat is eigenlijk niet het probleem. Blijkt dat de client (W10 in dit geval) dat soms doet bij een nslookup.

Als ik alles via de browser doe, dus geen CMD/nslookup, krijg ik dat niet.
Maar blijft wel het probleem dat de PiHole op heel veel requests geen antwoord krijgt van 1.1.1.1/1.0.0.1

Code: Selecteer alles

May 23 19:55:03: query[A] markup.standaard.be from 172.22.0.1
May 23 19:55:03: forwarded markup.standaard.be to 1.1.1.1
May 23 19:55:03: forwarded markup.standaard.be to 1.0.0.1

Dus zonder antwoord.

En het zou moeten zijn

Code: Selecteer alles

May 23 19:55:00: query[A] www.standaard.be from 172.22.0.1
May 23 19:55:00: forwarded www.standaard.be to 1.0.0.1
May 23 19:55:00: reply www.standaard.be is 104.17.78.76
May 23 19:55:00: reply www.standaard.be is 104.17.77.76

[ITnetadmin]

Volgende vraag: krijgt de Pi geen antwoord, of geraakt zijn request niet naar buiten?
Wat zegt de router qua traffic?

[heist_175]

Wat zegt de router qua traffic?

Ik weet niet waar in de Fritzbox ik dat verkeer kan zien.
De logs vertellen me alvast niets?

[ITnetadmin]

Heb je een switch die kan port mirroren? Dan kan je aan de mirror port een pc met wireshark hangen en ns sniffen.

[heist_175]

Nee, dat heb ik niet en kan ik niet .

Misschien nog een toevoeging: als ik lang wacht en duzend keer probeer, komt er finaal wél een antwoord.
Dus het lijkt eerder geen firewall-probleem, want die past de regels gewoon 1:1 toe. Een firewall waar "af en toe" toch een regel niet gevolgd wordt, ben ik nog niet tegengekomen.

Ik dacht ook aan "UDP flood", maar het gebeurt ook bij een single request én ik heb geen weet van zo'n instelling in de Fritzbox.