Raspberry 3b i Zero (Mikrotik)- PiHole postavke

[Pupo]

Haha, garantiram ti da je do usera

[domy_os]

Citiraj:

Autor Neo-ST

Promijenio DNS server direktno u network adapteru od kompa, da se spaja na Pihole.... ništa. I dalje se upiti ne pojavljuju u Queryju.

Dodao cnn.com u blacklistu, flushao dns, restartao resolver, rebootao Pihole, probao ići na cnn.com...ide, a ne bi smio. Upita i dalje nema u Queryju.

Znači, Pihole je dobio odjeb.
Hvala svejedno.

Jesi li probao isključiti IPv6 u postavkama mrežne konekcije? Neki routeri siluju DNS preko IPv6, a taj po defaultu ima prioritet nad IPv4.

[spiderhr]

Imao Pi-hole prvo instaliran u virtualci na CentOS 8.x verziji i radilo je, jučer instalirao na Debian 11 (Debian mi je first choice)

Na kompu gdje testiram samo sam promijenio DNS pod postavkama kompa tj. stavio sam IP PH i vidim da svi upiti idu preko istoga. Ako ne upalim virtualku nema interneta.

Još PH nisam upogonio na Mikrotiku, sad samo testiram.

[Neo-ST]

Citiraj:

Autor domy_os

Jesi li probao isključiti IPv6 u postavkama mrežne konekcije? Neki routeri siluju DNS preko IPv6, a taj po defaultu ima prioritet nad IPv4.

Znači sad sam napravio sljedeće:

1. Factory reset routera
2. Isključio DHCP u routeru
3. Uperio sve DNS servere prema Pi-hole
4. Isključio IPv6

5. Pihole je DHCP server
6. Pihole je DNS server preko unbounda
7. Pod Network vidim da je komp spojen i zelen
8. ipconfig potvrđuje da komp koristi Pihole kao DNS server

9. Sve još jednom rebootano, dns resolver restartan, network table očišćena, DNS flushed, komp restartan, bla bla...

10. Opet upalim Edge (jer mi je jedini stock browser bez addonova), odem na msn.com i ad-ovi su blokirani. Odem na njuskalo - nisu. Odem na speedtest - nisu. Odem na PCE - nisu.

11. Odem u Query log, komp je poslao jedva 3 upita. Upite za njuskalo, pce, speedtest uopće nije.

12. Odem na ovu stranicu koja testira efikasnost ad blokiranja i rezultat je ovo:



Prema tom testu, ispada da blokira 10% ad-ova, šta se čini točno jer je adove na msn-u blokirao, a ove druge nije. Nije mi jasno kako i zašto se to događa.



EDIT:
I da ne bude "nisi probao", jesam, postavio sam kompu DNS server manualno da bude Pi-hole, da ne ovisi o routeru. Isti rezultat.

[domy_os]

Daj još provjeri je li u browser(ima) isključen DoH odnosno DNS over HTTPS, tebi treba biti isključen. Mislim da ga danas ima većina browsera, negdje je uključen po defaultu, negdje nije.

I što ti vraća nslookup?

[Neo-ST]

Citiraj:

Autor domy_os

Daj još provjeri je li u browser(ima) isključen DoH odnosno DNS over HTTPS, tebi treba biti isključen.

Ovu opciju ne mogu naći u Chromu, a ni ne vidim smisao da prčkam po Chromu kad bi sustav trebao raditi i bez toga, za sve uređaje i sve browsere.

Citiraj:

Autor domy_os

I što ti vraća nslookup?

Ovo ne znam kako se koristi.
Na https://www.nslookup.io/ traži da upišem neki DNS, šta tu trebam upisat ?

[domy_os]

Citiraj:

Autor Neo-ST

Ovu opciju ne mogu naći u Chromu, a ni ne vidim smisao da prčkam po Chromu kad bi sustav trebao raditi i bez toga, za sve uređaje i sve browsere.

Kažem, ovisi je li DoH uključen ili nije. Upiši DNS pod search u settingsima, izbacit će ti secure DNS ili tako nešto.

Citiraj:

Autor Neo-ST

Ovo ne znam kako se koristi.
Na https://www.nslookup.io/ traži da upišem neki DNS, šta tu trebam upisat ?

Iz konzole pokreni nslookup google.com pa stavi ovdje što si dobio.

[Neo-ST]

Citiraj:

Autor domy_os

Kažem, ovisi je li DoH uključen ili nije. Upiši DNS pod search u settingsima, izbacit će ti secure DNS ili tako nešto.

Isključio, ali svejedno pokazuje reklame.

Citiraj:

Autor domy_os

Iz konzole pokreni nslookup google.com pa stavi ovdje što si dobio.

[xlr]

Meni je ovdje cudo sto nema ipv4 adrese servera, nego samo ipv6.

U prvoj rubrici bi, ako je sve ok, trebao pisati hostname od piholea (defaultno "pi.hole") i njegova lokalna ipv4 adresa. Kod tebe je iz nekog razloga prikazan samo ipv6.

U drugoj rubrici za odgovor ce ti pisati i ipv4 i ipv6 adrese za google.com.

Koliko sam shvatio, tebi je doma cijela mreza u ipv4 formatu (192.168.0.x subnet). Samo primjecujem, jos uvijek nemam ideju odakle bih krenuo s debugiranjem :/

[Neo-ST]

Napokon sve proradilo. Pihole blokira gotovo sve ad-ove, barem ovo šta sam ja testirao.

Međutim sad je ostao problem, šta s drugim uređajima? Cijela poanta je bila da bilo koji uređaj koji se spoji preko Pihole ima automatski adblockanje.
Nije mi cilj konfigurirati svaki uređaj i disableati ipv6.

Zato sam sljedeće testirao mob - i njemu i dalje prolaze reklame, naravno zato jer mu je ipv6 enablean.

Šta to znači - da iz nekog razloga, ukoliko uređaj ima svoju ipv4 i ipv6 adresu, te pošalje DNS upit Pihole-u, većina neće biti blokirana preko ipv4 unbounda. Većina upita će se provući preko ipv6...a unbound nije konfiguriran da radi na ipv6.

Znači sljedeće je bilo potrebno konfigurirati unbound preko ipv6, a to je vrlo jednostavno.
U DNS opcijama, stavi se kvačica na Custom 3 IPv6, i upiše:

Code:

::1#5335

Naravno da o ipv6 pojma nemam pa sam morao iznova sve to proučavati.
Localhost, odnosno 127.0.0.1 je u ipv6 svijetu samo ::1

Testirao ponovo, i... reklame i dalje prolaze.
Dakle ipv6 unbound ne funkcionira.

Ali čemu sve to, kad je u routeru ipv6 DHCP disablean?
Zašto onda uređaji i dalje dobivaju svoju ipv6 adresu, odakle i potiče cijeli problem?

E pa zato jer u ovom Ubee modemu treba isključiti "stateless dhcpv6" da bi ipv6 bio potpuno isključen, ne samo maknuti kvačicu sa Enabled:

Tek sada nakon reboota, komp i ostali uređaji više ne dobijaju svoju ipv6 adresu, svi DNS upiti idu preko ipv4 na Pihole i reklame bivaju blokirane.

Jedino mi sada nslookup izgleda ovako, ne znam zašto:

Dakle pouka drugima: pobrinite se da ste sigurni da vam je IPv6 potpuno isključen u routeru. Ali stvarno potpuno

[xlr]

Mozda treba ubiti ili ispravno podesiti ipv6 na piholeu jer ti je on sada dhcp server, zar ne (osim ako si se vratio na ruter za dhcp)?

[Neo-ST]

Citiraj:

Autor xlr

Mozda treba ubiti ili ispravno podesiti ipv6 na piholeu jer ti je on sada dhcp server, zar ne (osim ako si se vratio na ruter za dhcp)?

Istina, ali pročitao sam jedan post od Pihole dev-a i kaže da ipv6 treba u potpunosti zaobilaziti jer ne funkcionira dobro sa Piholom, tako da sam jednostavno ostavio isključeno sve vezano za dhcpv6.

[Neo-ST]

Još jedno pitanje, ima li itko pojma kako da backtrace-am koja aplikacija u Windowsima ovoliko traži ovu adresu, koja je blokirana?



Doslovno svaku sekundu je pokušava kontaktirati.