Skip to main content

Ik ben een blije glasvezelgebruiker sinds vorige week. Ik maak enkel gebruik van internet en heb dankzij de epische post (en installatiescripts) vanĀ @wjb, succesvol mijn trouwe Edgerouter 4 (firmware v2.0.9-hotfix.2) in gebruik genomen in i.c.m. KPN glasvezel. Ik heb in mijn pre-KPN situatie altijd een pi-hole gehad die het dns-afhankelijke reclame verkeer filterde. Deze heb ik nu eindelijk naar ik vermoed ā€˜werkendā€™ gekregen. Ik heb gezocht naar een post hierover in dit forum, maar kon die niet vinden. Mijn vraag/conversatie heeft dan ook betrekking op het delen van mijn huidige oplossing (met als expliciete vraag of iemand die er wel verstand van heeft, mee zou willen kijken en mij zou willen corrigeren indien nodig). Het lijkt te werken nu, maar voor mijn gevoel heb ik wat vage dingen gedaan. Vandaar het bericht.

Dit is de basis situatie:

Ik maak geen gebruik van telefoon, noch televisie, dus die kan ik misschien gewoon uitzetten. Ik heb ook IP6 uitgezet omdat ik het op dit moment nog niet gebruik.

  1. De eerste stap die ik zette om mijn pi-hole aan de praat te krijgen in de nieuwe situatie was zorgen dat mijn thuisnetwerk in dezelfde range stond als in de oude situatie (mijn pi-hole staat al sinds ingebruikname op 10.0.0.30):

Ik heb eerlijk gezegd geen benul waarom ik de range op 242 stop. Ik meen ergens (?) gelezen te hebben dat 255 niet gebruikt moet worden en dat 242 nog een veilige range stop is.

  1. In de basic setting heb ik de name server aangezet:

    Ā 

  1. Edit: Bleek onzinnig te zijn ->Ik heb ook, door info van de volgende website, DNS forwarding ingesteld:
Onzin in mijn situatie

Met de Edgerouter X zou je hem op switch0 zetten volgens mij. Ik heb de Edge 4 en heb het nu maar op zowel eth0.6 (VLAN 6 volgens mij) alsmede eth1 (LAN verkeer volgens mij) gezet. Ja, wederom een weggevertje dat ik niet echt weet wat ik aan het doen ben.

Ook de DNS interface heb ik iets aangepast toen de pi-hole geen reclame op de tablets tegenhield zoals deze dat voorheen wel deed.

Onzin in mijn situatie

Ā 

  1. In de oude situatie had ik ook wat gestoeid met hardwarematige dns oproepen die graag de pi-hole wilden omzeilen:

Ik wist dat dat het probleem van lekkende DNS niet zou wegnemen, maar ik wilde het toch al doen.

  1. Om mijn probleem op te lossen ben ik weer op internet verder gaan zoeken en hetgeen mijn pi-hole nu werkend heeft doen krijgen is het volgende. Blijkbaar werd toch op een of andere manier het DNS van KPN gebruikt. Dat kon ik oplossing via hulp via de volgende sites: site1 en site. Via putty geef ik dan de volgende reeks commando's (eth0 zou de WAN moeten zijn):

configure

set interfaces ethernet eth0 dhcp-options name-server no-update

commit

save

Tsja, en nu lijkt het ā€˜te werkenā€™. Maar dat is meer door geluk, dan wijsheid. :innocent:

Omdat jij bij de DHCP server als DNS server 10.0.0.30 hebt opgegeven zullen de IPv4 cliƫnts dat IP adres als DNS server gebruiken dus dat is prima. Als het goed is zie je die 10.0.0.30 dan ook terug als DNS server op een aangesloten computer.

De DNS forwarder wordt alleen gebruikt als je bij de DHCP server de router (10.0.0.1) als DNS server zou opgeven.

Het heeft overigens geen zin om eth0.6 als interface in de forwarder op te nemen.

Dank voor de tip en uitleg. Ik heb DNS forwarding verwijderd en alles werkt inderdaad nog zoals jij voorspelde.

Ā 

Mag ik nog een vraag stellen @wjb? Zo ja, wat is nu de WAN in mijn situatie: eth0.6, of eth0, of pppoe0?

Jouw WAN is de pppoe0.

Ik zag dat er nog steeds devices rechtstreeks naar een DNS server (bijv een Chromecast naar 8.8.8.8) ipv de Pi-hole. Onderstaande config vangt alle dns queries af die van andere devices komen dan de dns servers op eth1 en stuurt deze door naar de Pi-holes. Voor het request lijkt het net of deze vanaf de gevraagde dns komt, maar wordt gemaskeerd en komt vanaf de Pi-hole.

Ik heb dit ook alleen voor eth1 gedaan, aangezien dit het lan is waar dit soort devices in zitten. Mijn iot vlan mag sowieso niet naar internet toe.

Uitleg, Ik heb 4 dns servers (2x domain controller en 2x Pi-hole) op 192.168.0.240-192.168.0.244) en mijn LAN staat op eth1. Pas de ip adressen en de rule nummering aan naar jouw situatie.Ā 

rule 1 {
    description "Captive DNS to Pi-hole"
    destination {
        address !192.168.0.240-192.168.0.244
        port 53
    }
    inbound-interface eth1
    inside-address {
        address 192.168.0.240-192.168.0.244
        port 53
    }
    log disable
    protocol tcp_udp
    source {
        address !192.168.0.240-192.168.0.244
    }
    type destination
}

rule 5001 {
    description "Masquerade for DNS"
    destination {
        address 192.168.0.240-192.168.0.244
        group {
        }
        port 53
    }
    log disable
    outbound-interface eth1
    protocol tcp_udp
    source {
        address 192.168.0.1-192.168.0.254
        group {
        }
    }
    type masquerade
}

En een test vanaf een pc naar de dns van KPN voor wp.com (waarbij wp.com op de Pi-hole blacklist staat). Het request lijkt vanaf ns1.wxs.nl te komen maar het is de Pi-hole.

PS C:\Users\xxxxxx> nslookup wp.com 195.121.1.34
Server:  ns1.wxs.nl
Address:  195.121.1.34

DNS request timed out.
    timeout was 2 seconds.
DNS request timed out.
    timeout was 2 seconds.
Name:    wp.com
Address:  192.168.0.243

Ik weet niet hoe het met DNSSEC omgaat (lijkt goed te gaan) en voor ipv6 moet ik vast nog iets vergelijkbaars maken.

<snip>

Dank voor je reactie @marcor1 . Ik heb zojuist even gecontroleerd (ik heb slechts 1 pi-hole) en krijg dit als resultaat. Betekent dat ik het niet juist geconfigureerd heb of ontstaat dit doordat ik maar 1 pi-hole gebruik?


Configuratie:

Ā Output:

C:\Users\#####>nslookup wp.com 195.121.1.34
Server:  ns1.wxs.nl
Address:  195.121.1.34

Name:    wp.com
Addresses:  ::
          0.0.0.0

Ik weet overigens niet wat een domain controller is, maar laat me graag informeren. Het lijkt iets met identiteitscontrole binnen een netwerk te maken te hebben: https://jumpcloud.com/blog/what-is-a-domain-controller

Ā 

Mijn domain controllers zijn onderdeel van Microsoft Active Directory en is normaal niet iets voor een thuis omgeving. Het hoort in een zakelijke omgeving thuis. Ik heb dan ook niet een gewone thuis situatie. Je linkt geeft aardig weer wat een domain controller is.

De reden waarom ik een Edgerouter 4 gebruik, deze is ook ondersteund vanuit Microsft Azure en verbind deze mbv IPSec tunnels naar mijn thuis omgeving.

Ā 

Je output lijkt mij goed, indien wp.com ook op je blacklist staat. Ik zie in de Pi-hole documentatie dat de return nu 0.0.0.0 is ipv het ip van de Pi-hole. (en dat mijn setup dus al oud is, nog een item op de to-do lijst.) Er zal nu geen device op je netwerk direct naar een publieke DNS kunnen gaan, maar komt altijd uit op Pi-hole. Kortom je output lijkt me goed.

Er zal nu geen device op je netwerk direct naar een publieke DNS kunnen gaan, maar komt altijd uit op Pi-hole.

Ook voor IPv6 zal je dan rules op moeten zetten om te forceren datĀ DNS requests via jouw Pi-Hole lopen.

Er zal nu geen device op je netwerk direct naar een publieke DNS kunnen gaan, maar komt altijd uit op Pi-hole.

Ook voor IPv6 zal je dan rules op moeten zetten om te forceren datĀ DNS requests via jouw Pi-Hole lopen.

Dat klopt, maar ik ben pas net over van Telfort naar KPN en heb IPv6 nog niet geconfigureerd op mijn edgerouter. Hetzelfde moet je idd ook doen voor IPv6. Als ik het werkend heb zal ik de config posten.

Alleen voor/tegen DoH heb ik nog niets gevonden.

@marcor1 wellicht is het volgende document interessant voor je: https://docs.pi-hole.net/guides/dns/cloudflared/

@marcor1wellicht is het volgende document interessant voor je: https://docs.pi-hole.net/guides/dns/cloudflared/

Het artikel verteld hoe je DoH voor je Pi-hole moet configureren. Dit kan je doen zodat je provider niet mee kan kijken naar je requests (KPN doet dat volgens mij niet). Maar als een device op je netwerk DoH gebruikt dan zal de configuratie zoals hierboven dit request niet kunnen zien en dus ook niet tegen kunnen houden.

Ā 

De Kennisbank

Heb je vragen over diensten, producten of wil je weten hoe je modeminstellingen verandert? Vind het antwoord op de meest gestelde vragen in onze Kennisbank

...

Community voorwaarden