1
Vraag
2
Reacties
dosch

Level 2
  • 12Posts
  • 0Oplossingen
  • 1Likes

Hoe kan ik mijn Pihole als DNS resolver in mijn thuisnetwerk gebruiken?

Wat is de snelste (simpelste) manier om m'n pihole als DNS resolver in m'n thuisnetwerk te gebruiken?

 

Twee issues lijken:

- lokaal ipv4 als DNS mag niet (om onduidelijke veiligheidsredenen)

- lokaal ipv6 als DNS instellen mag wel, zo lijkt het tenminste...

- veel apparaten gebruiken ipv6 en omzeilen daarmee de pihole.

- Mijn Pihole is al de DHCP server, maar dat is niet genoeg

 

Dank!

Oplossing

Geaccepteerde oplossingen
tobiastheebe

Level 20
T.E.A.M.
  • 33291Posts
  • 2392Oplossingen
  • 16851Likes

Als Pi-hole actief is als DHCPv4-server, dan zou de DHCPv4-server van de modemrouter uitgeschakeld zijn, waarmee de IPv4 DNS-servers zoals ingesteld in de webinterface van de modemrouter geen effect meer hebben. Het maakt dan ook niet uit dat je hiervoor geen IP-adres binnen het LAN kunt opgeven.

 

Om te voorkomen dat IPv6 DNS (AAAA) lookups Pi-hole omzeilen: LLA (link-local address, begint met fe80) en/of GUA (global unicast address, begint met bijvoorbeeld 2001 of 2a02) van Pi-hole opgeven als IPv6 DNS-server. Dit adres wordt dan middels DHCPv6 verspreid voor de modemrouter, wat niet uitgeschakeld kan worden.

Bekijk in context

31 Reacties 31
tobiastheebe

Level 20
T.E.A.M.
  • 33291Posts
  • 2392Oplossingen
  • 16851Likes

Als Pi-hole actief is als DHCPv4-server, dan zou de DHCPv4-server van de modemrouter uitgeschakeld zijn, waarmee de IPv4 DNS-servers zoals ingesteld in de webinterface van de modemrouter geen effect meer hebben. Het maakt dan ook niet uit dat je hiervoor geen IP-adres binnen het LAN kunt opgeven.

 

Om te voorkomen dat IPv6 DNS (AAAA) lookups Pi-hole omzeilen: LLA (link-local address, begint met fe80) en/of GUA (global unicast address, begint met bijvoorbeeld 2001 of 2a02) van Pi-hole opgeven als IPv6 DNS-server. Dit adres wordt dan middels DHCPv6 verspreid voor de modemrouter, wat niet uitgeschakeld kan worden.

dosch
Topicstarter
Level 2
  • 12Posts
  • 0Oplossingen
  • 1Likes

Ik heb twee adressen gevonden mbv

$ ip -6 address show:

 

- inet6 2001:xxxx...

- inet6 fe80:xxxx...

 

De eerste is, neem ik aan de GUA. Deze opgeven als IPv6 DNS-server is gelukt.

De tweede is dan de LLA. Maar deze wordt geweigerd.

 

Is eentje genoeg?

tobiastheebe

Level 20
T.E.A.M.
  • 33291Posts
  • 2392Oplossingen
  • 16851Likes

Deze adressen zijn inderdaad GUA en LLA in die volgorde. In principe volstaat opgeven van alleen het GUA, i.t.t. het LLA kan dit echter spontaan wijzigen als de modemrouter een nieuwe delegated prefix aangeboden krijgt vanuit Ziggo, dat is dus wel iets om rekening mee te houden. Jammer dat opgeven van het LLA niet geaccepteerd wordt. Het is in principe wel mogelijk om een tweede (statische) GUA op te geven in Linux, maar dit moet alsnog bijgewerkt worden als de prefix verandert.

dosch
Topicstarter
Level 2
  • 12Posts
  • 0Oplossingen
  • 1Likes

ja, inderdaad...

 

Ik krijg dit...

tobiastheebe

Level 20
T.E.A.M.
  • 33291Posts
  • 2392Oplossingen
  • 16851Likes

Ik begrijp het. Zijn SLAAC privacy extensions uitgeschakeld in Linux c.q. zie je ff:fe voorkomen in het GUA? Zo ja, dan is dat in orde.

dosch
Topicstarter
Level 2
  • 12Posts
  • 0Oplossingen
  • 1Likes

@tobiastheebe  schreef:

Zijn SLAAC privacy extensions uitgeschakeld in Linux c.q. zie je ff:fe voorkomen in het GUA?


sorry, hier ga je me even te snel. Ik zou niet weten waar te kijken hiervoor.

 

(dank trouwens voor je pijlsnelle reacties)

tobiastheebe

Level 20
T.E.A.M.
  • 33291Posts
  • 2392Oplossingen
  • 16851Likes

Geen probleem, ik bedoelde of je de reeks ff:fe ziet voorkomen in het 2001-adres.

dosch
Topicstarter
Level 2
  • 12Posts
  • 0Oplossingen
  • 1Likes

waar moet ik kijken of ik die reeks zie voorkomen?

tobiastheebe

Level 20
T.E.A.M.
  • 33291Posts
  • 2392Oplossingen
  • 16851Likes

-

dosch
Topicstarter
Level 2
  • 12Posts
  • 0Oplossingen
  • 1Likes

check, helder. Als ik het ipv6 adres opvraag van mijn pihole, dan zie ik die reeks niet voorkomen

S4R

Level 16
  • 2058Posts
  • 72Oplossingen
  • 1297Likes

Ik gebruik op alle pi servers ook de 2001.x.x.x.x adressen. 

Die met fe80:.x.x.x.x lijken niet te werken.

tobiastheebe

Level 20
T.E.A.M.
  • 33291Posts
  • 2392Oplossingen
  • 16851Likes

Met ingeschakelde SLAAC privacy extensions kan het GUA spontaan/dagelijks veranderen, dus deze functie moet uitgeschakeld worden. Kun je onderstaande commando uitvoeren? Daarna zou het GUA (2001-adres) wel ff:fe moeten bevatten en kun je dit opgeven als IPv6 DNS-server.

 

sudo sysctl -w net.ipv6.conf.all.use_tempaddr=0

 

Om ervoor te zorgen dat privacy extensions uitgeschakeld blijven na een reboot: voeg net.ipv6.conf.all.use_tempaddr=0 toe aan /etc/sysctl.conf.

 

Mijn ER-4 verspreidt het LAN LLA (fe80) via RDNSS, dit werkt prima. Ik gebruik geen DHCPv6 binnen het LAN.

S4R

Level 16
  • 2058Posts
  • 72Oplossingen
  • 1297Likes

Je kan je PI als recursieve DNS instellen met unbound

 

https://www.youtube.com/watch?v=FnFtWsZ8IP0

 

dosch
Topicstarter
Level 2
  • 12Posts
  • 0Oplossingen
  • 1Likes

dat commando gaf me dit:

net.ipv6.conf.all.use_tempaddr = 0

het ip-adres is onveranderd...

 

Ik zou met alle liefde IPv6 uitzetten... maar dat is me nog niet gelukt...

tobiastheebe

Level 20
T.E.A.M.
  • 33291Posts
  • 2392Oplossingen
  • 16851Likes

Ik had mijn vorige reactie nog bijgewerkt. Waarschijnlijk is nog ifdown en ifup van de interface nodig. Als je /etc/sysctl.conf hebt bijgewerkt kun je ook een reboot van de server uitvoeren, dan zou het GUA zeker bijgewerkt moeten zijn.

 

Aangezien de DHCPv6-server van de modemrouter niet uitgeschakeld kan worden, zit er niets anders op dan IPv6 ingeschakeld te laten op Pi-hole en het GUA daarvan te verspreiden, tenzij je IPv6 lokaal zou uitschakelen op apparaten binnen het LAN. Echter adviseer ik om IPv6 in het algemeen niet uit te schakelen.

S4R

Level 16
  • 2058Posts
  • 72Oplossingen
  • 1297Likes

@dosch  schreef:

dat commando gaf me dit:

 

net.ipv6.conf.all.use_tempaddr = 0

 

het ip-adres is onveranderd...

 

Ik zou met alle liefde IPv6 uitzetten... maar dat is me nog niet gelukt...


Dan moet je een eigen RTR er achter zetten en Ziggo in Bridge.

Carlien
Community Moderator
Community Moderator
  • 2718Posts
  • 286Oplossingen
  • 1303Likes

Hi @dosch! Hoe gaat het op dit moment? Ben je er nog uit gekomen met de tips van de andere topicgebruikers? 😊

dosch
Topicstarter
Level 2
  • 12Posts
  • 0Oplossingen
  • 1Likes

 

 

Waarschijnlijk is nog ifdown en ifup van de interface nodig. Als je /etc/sysctl.conf hebt bijgewerkt kun je ook een reboot van de server uitvoeren, dan zou het GUA zeker bijgewerkt moeten zijn.

Ik moet dit nog even testen, want vooralsnog hielp een serverreboot nog niet

tobiastheebe

Level 20
T.E.A.M.
  • 33291Posts
  • 2392Oplossingen
  • 16851Likes

Ik kan later vandaag eventueel nog even testen met een Debian 12 VM.

E-mail notificaties
Aan Uit

Ontvang een update bij nieuwe reacties in dit topic.

Uitgelicht topic