[SOLVED] DNS Auflösung will nicht so ganz

[Wolffire]

Hallo, ich bin noch komplett neu in Proxmox und versuche gerade Pi-hole dort in einem Container zum laufen zu bringen.
Leider wurde ich hier im Forum nicht fündig oder habe falsch gesucht

Ich schreibe es hier ins Forum da ich auch in anderen Containern es nicht schaffe die Befehle auszuführen in denen ich ein DNS Server mit angebe.
Deswegen vermute ich das vielleicht doch in Proxmox was falsch eingestellt habe und Pi-hole nicht schuld ist.

Mein Problem ist, dass ich das Pi-hole nicht mal installieren kann denn es kommt:
Retrieval of supported OS list failed. dig failed with return code 9. Unable to determine if the detected OS (Debian 10) is supported

Habe hier und da gefunden das ich folgendes testen soll:
root@pctPihole:~# dig +short -t txt versions.pi-hole.net @ns1.pi-hole.net ;; connection timed out; no servers could be reached root@pctPihole:~# dig +short -t txt versions.pi-hole.net "Raspbian=9,10 Ubuntu=16,18,20 Debian=9,10 Fedora=32,33 CentOS=7,8"

root@pctPihole:~# nslookup ns1.pi-hole.net 1.1.1.1 ;; connection timed out; no servers could be reached root@pctPihole:~# nslookup ns1.pi-hole.net Server: 172.28.255.254 Address: 172.28.255.254#53 Non-authoritative answer: Name: ns1.pi-hole.net Address: 185.136.96.96 Name: ns1.pi-hole.net Address: 2a06:fb00:1::1:96

172.28.255.254 ist mein Router.

Also wenn ich die Befehle richtig verstanden habe gebe ich denen immer einen DNS Server mit und dann schlägt es fehl.
Lasse ich diese Angabe weg, scheint es zu funktionieren...

Naja vielleicht kann mir hier ja jemand weiter helfen

 

[Dunuin]

Mein Problem ist, dass ich das Pi-hole nicht mal installieren kann denn es kommt:
Retrieval of supported OS list failed. dig failed with return code 9. Unable to determine if the detected OS (Debian 10) is supported

Den Fehler spuckt PiHole bei mir auch immer aus. Den kann man aber umgehen, indem man PiHole sagt, dass da keine OS List Prüfung durchgeführt werden soll. Das Installationsscript hat da eine feste DNS Server IP einprogrammiert und nur über diese macht das Script DNS-Anfragen (und ignoriert dabei alle DNS Server die man selbst in Linux einstellt). Ich will bei mir aber, dass da ausschließlich ein spezieller DNS-Server benutzt werden darf, also habe ich in der Firewall Port 53 komplett für alle anderen DNS-Server im Heimnetz dicht gemacht.
Ist bei dir wohl nicht das selbe Problem, wenn du Port 53 nicht sperrst, aber vielleicht trotzdem nützlich zu wissen, dass da das Script deine Linux-DNS-Server ignoriert.

Ich führe da immer PIHOLE_SKIP_OS_CHECK=true sudo -E pihole -up anstatt pihole -up per Cron aus um Pihole zu aktualisieren. Vielleicht klappt das bei dir ja so auch mit dem Install-Befehl.

 

[Wolffire]

Ah ok das ne Lösung

Zum Installieren habe ich dank deinem Hinweis die Router Firewall festgestellt die DNS verhinderte *g* und zum installieren schnell aus gemacht habe...

 

[Dunuin]

Die aktiviert zu haben ist prinzipiell ja auch keine schlechte Idee. Am besten so einstellen, dass da dein Pihole als einziger TCP/UDP anfragen auf Port 53 ins Internet rausgehen lassen darf. Und dann den DNS-Server im Router auf die IP vom Pihole weiterleiten. Pihole kann ja nur Werbung und Malware blocken, wenn da auch wirklich ausnahmslos jedes Gerät daheim den Pihole als einzigen DNS-Server nutzt. Ist da aber keine Firewall regel aktiv, dann kann ja jedes Gerät beliebige andere öffentliche DNS Server nutzen und so das Blocken von Pihole umgehen.
Mit Firewall kann man den Pihole immer noch umgehen, wenn man unbedingt möchte (Tunnel über Proxy oder VPN z.B.) aber ist dann wenigstens nicht mehr ganz so einfach.

Das Retrieval of supported OS list failed. dig failed with return code 9. Unable to determine if the detected OS (Debian 10) is supported ist sogesehen etwas gutes, weil es ja zeigt, dass das vorbeischleichen an Pihole über öffentliche DNS-Server unterbunden ist.

 

[ph0x]

Mit einer richtigen Firewall (also nicht Fritzbox) kann man jede Anfrage an Port 53 auch auf die Adresse des gewünschten DNS-Servers umbiegen. Das ist für den Client transparent (d.h., er ist der Meinung, er bekäme seine Antwort vom angefragten Server) und man hat dennoch die Möglichkeit, den Verkehr entsprechend zu manipulieren, monitoren, etc.

 

[Dunuin]

Mit einer richtigen Firewall (also nicht Fritzbox) kann man jede Anfrage an Port 53 auch auf die Adresse des gewünschten DNS-Servers umbiegen. Das ist für den Client transparent (d.h., er ist der Meinung, er bekäme seine Antwort vom angefragten Server) und man hat dennoch die Möglichkeit, den Verkehr entsprechend zu manipulieren, monitoren, etc.

Hm, das wäre dann auch eine Überlegung wert. Wie würdest du das bei einer OPNsense machen?

 

[ph0x]

Ich hab leider nur eine pfSense, aber das Vorgehen dürfte ähnlich sein:


Man kann das ganze natürlich auch als Floating-Rule für mehrere Subnetze definieren.

Wichtig ist nur, falls man in dem jeweiligen Subnetz einen DNS-Server (z.B. Pi-Hole) betreibt, dann dessen Adresse unter "Quelle" von dieser Weiterleitung auszunehmen. Also Haken bei "negieren" und als Quelladresse die Adresse des DNS-Servers. Sofern es mehrere Ausnahmen geben soll, muss vorher ein Alias definiert werden, den man dann als Quelladresse angeben kann.

Hier in meinem Fall leite ich alles um, was nicht an die pfSense direkt geht. Als Ziel kann man auch jeden anderen verfügbaren DNS-Server eintragen (dann natürlich sowohl bei "Ziel" [negiert] als auch bei "Umleitungsziel-IP").

Gerade für das IoT-Netz, wie hier in dem Beispiel, ist das schön, da man dann nicht jedem Gerät beibringen muss, den eigenen DNS- oder NTP-Server zu nutzen, sondern dem Gerät einfach den angefragten Server "vorgaukelt".