Pihole und AdguardHome

F

fantozzi

Member
Dec 7, 2023
99
0
6
Einen schönen Sonntag zusammen,

als Anfänger lerne ich gerade die ersten LXC Container zu erstellen. AdguardHome läuft zusammen mit Unbound in einem Container. Ich lese darüber zwar viel, aber für manche Dinge fehlt mir einfach noch das Verständnis. Meine Frage wäre, ob ich Pihole und AdguardHome jeweils mit Unbound (beide würden ihren eigenen Container erhalten) parallel testen kann. Ich würde dann einen Container herunterfahren, um den anderen Container zu testen. Wäre dies überhaupt möglich?
 
Grundsätzlich ja.

Allerdings würde ich jedem Service jeweils einen eigenen Container spendieren. Es spricht auch nichts dagegen, AdGuard und Pihole parallel - natürlich mit unterschiedlichen IP-Adressen - laufen zu lassen.

Ich gebe meinen DHCP-Clients AdGuard und Pihole als DNS-Server mit und habe AdGuard und Pihole jeweils den eigentlichen DNS-Server als Upstream konfiguriert. Den Maschinen, die einen ungefilterten DNS benötigen, konfiguriere ich den Upstream manuell / statisch als DNS-Server.
 
Ja, das wäre auch meine Vorstellung gewesen beiden einen eigenen Container zu spendieren. Aber parallel laufen lassen? In der Fritzbox kann ich doch unter Heimnetzwerk und Netzwerkeinstellungen nur einen DNS Server angeben?
 
Du solltest im Idealfall immer zwei Piholes oder zwei Adguards auf verschiedenen Servern laufen lassen. Hast du nur einen Pihole oder nur einen Adguard und dir fällt der Server aus, auf dem der läuft, dann ist dein ganzer Haushalt ohne Internet, da ja keine Domains mehr aufgelöst werden können.
Jeder Client sollte also wegen Redundanz immer zwei DNS-Server zugewiesen bekommen. Und hier ist es auch wirklich wichtig, dass das beides filternde DNS-Server sind. Nimmst du einmal Pihole und einmal einen öffentlichen wie 1.1.1.1 oder 8.8.8.8 oder den vom IPS, dann umgehst du damit den Tracking-/Werbe-Filter, weil es keine primären oder sekundären DNS-Server gibt. Die Clients nehmen einfach zufällig einen von beiden.

Lässt sich aber im Ernstfall natürlich schnell umgehen, indem du einfach kurz in der Fritzbox den Pihole/Adguard mit einem Öffentlichen ersetzt.

Und ja, hier lässt mich die Fritte auch nur einen einzelnen DNS-Server per DHCP verteilen. Du kannst ja aber natürlich auf jedem Client manuell mehrere DNS-Server vorgeben. Ansonsten gibt es auch noch die Option über keepalived mit einer virtuellen IP zu arbeiten. Wenn man dann die virtuelle IP bei der Fritte einträgt, dann würde diese immer auf einen von beiden Piholes zeigen. So mache ich das hier.

Oder noch einfacher, du lässt den DHCP-Server der Fritte erst garnicht den Pihole/Adguard als DNS-Server verteilen. Dann sagt der DHCP-Server der Fritte allen DHCP-Clients, dass diese die IP der Fritte als DNS-Server nutzen sollen. Die Fritte selbst löst ja aber keine Domains auf, sondern leidet DNS-Anfragen an einen richtigen DNS-Server weiter. An welchen DNS-Server die Anragen weitergeleitet werden kannst du in der Fritte angeben. Standardmäßig wird die Fritte die Anfragen an den DNS-Server von deinem ISP weiterleiten. Hier kannst du aber stattdessen auch zwei DNS-Server deiner Wahl angeben:
1705261837345.png
Einer davon kann dann z.B. Pihole/Adguard Nr 1 sein. Der zweite dann Pihole/Adguard Nr 2.
Hat außerdem dann den Vorteil, dass da die Fritte alle Hostnamen vorher lokal auflösen kann, bevor diese an Pihole/Adguard weitergeleitet werden. Dann musst du nicht alle Hostnamen manuell in Pihole/Adguard einpflegen.

Dann läuft das so:
DHCP-Client fragt beim DHCP-Server (deine Fritte) nach einer IP, Gateway und DNS-Server. DHCP-Server vergibt eine freie IP und sagt es soll die Fritten-IP als Gateway und DNS-Server benutzt werden. Client stellt dann DNS-Anfragen an den DNS-Server der Fritte. Diese löst ggf. Hostnamen auf private IPs auf. Ist es eine öffentliche Domain und kein Hostname, dann leidet die Fritte die DNS-Anfragen an die eingetragenen DNS-Server weiter, was dann im Idealfall deine beiden Piholes/Adguards sind. Fritte nutzt dann Pihole/Adguard um die Domain aufzulösen. Pihole/Adguard filtert dann ggf. Werbung/Tracking raus und löst erwünschte Domains dann selbst über z.B. Unbound auf oder leiter die DNS-Anfragen an einen öffentlichen DNS-Server weiter.
 
Last edited:
Als Alternative zu Unbound (nur als Anmerkung) gäbe es noch Technitium DNS. Ist ebenfalls sehr umfangreich, kann gegen die roots auflösen und bringt ein Webinterface mit. Benötigt auch nicht viel an Ressourcen in einem LXC.

Edit: Technitium kann auch Blocklisten verwalten.
 
Last edited:
  • Like
Reactions: pr0xyzer and Dunuin
@Dunuin

Herzlichen Dank für die ausführliche Erklärung. Kommendes Wochenende werde ich mich damit näher auseinandersetzen.

@cwt
Vielen Dank für den Tipp. Aber das Verständnis für PiHole und AdguardHome + Unbound reicht mir erst einmal :)

 
Ja. 2x Pihole + gravity-sync + keepalived + unbound als recursive DNS kann ich auch empfehlen. Läuft hier wunderbar.
Zu schade, dass da Pihole nichts offizielles für HA bietet und man sich das mit gravity-sync + keepalived selbst zusammenfrickeln muss.
 
Last edited:
Dunuin said:
Ja. 2x Pihole + gravity-sync + keepalived + unbound als recursive DNS kann ich auch empfehlen. Läuft hier wunderbar.
Zu schade, dass da Pihole nichts offizielles für HA bietet und man sich das mit gravity-sync + keepalived selbst zusammenfrickeln muss.
Click to expand...
Da geb ich dir vollkommen recht. Besonders die keepalived config, wenn man sich da nicht auskennt. Mir hat zum Glück jemand die config bereitgestellt.
 
Andi17 said:
Ist das ein Ersatz für PiHole?
Click to expand...
Technitium ist ein vollwertiger DNS-Server, der gegen die Roots auflösen kann (man erstellt eine sekundäre Kopie der Zone, welche automatisch aktualisiert wird) und über die gängigen Blocklisten (URLs/TXT) werden unerwünschte Ads & Co. blockiert. Wie bei jedem anderen DNS auch, kann man darüber lokale Domains verwalten oder diesen als zus. DNS für ein AD einbinden, Split-DNS, PTR, etc. Also das „volle Programm“.
 
cwt said:
Technitium ist ein vollwertiger DNS-Server, der gegen die Roots auflösen kann (man erstellt eine sekundäre Kopie der Zone, welche automatisch aktualisiert wird) und über die gängigen Blocklisten (URLs/TXT) werden unerwünschte Ads & Co. blockiert. Wie bei jedem anderen DNS auch, kann man darüber lokale Domains verwalten oder diesen als zus. DNS für ein AD einbinden, Split-DNS, PTR, etc. Also das „volle Programm“.
Click to expand...
Vielen Dank. Also so zusagen PiHole und Unbound in einem
 
Also ich habe soeben Technitium installiert...puhhhhhhhhhhhh...da habe ich mich gerade etwas in Unbound eingearbeitet und jetzt DAS :)
Leider habe ich bis dato kein brauchbares Tutorial für ein erstes Setup finden können.

Wenn ich Technitium als rekursiven Resolver (wie Unbound) nutzen möchte, gibt es unter Settings und Recursion die Wahl zwischen:

Allow Recursion
Enables recursion to allow this DNS Server to resolve any domain name

Allow Recursion Only For Private Networks (default)
Select this option if you want to support recursion only on private networks. Any recursive request from a public network will be refused.

Was wäre denn der Unterschied zwischen beiden Einstellungen?
 
Last edited:
Was für Infos benötigst Du denn? Benötigst Du Technitium nur als Root-Resolver oder soll der all-in-one?
 
You must log in or register to reply here.

About

The Proxmox community has been around for many years and offers help and support for Proxmox VE, Proxmox Backup Server, and Proxmox Mail Gateway.
We think our community is one of the best thanks to people like you!

Quick Navigation

Home Get Subscription Wiki Downloads Proxmox Customer Portal About

Get your subscription!

The Proxmox team works very hard to make sure you are running the best software and getting stable updates and security enhancements, as well as quick enterprise support. Tens of thousands of happy customers have a Proxmox subscription. Get yours easily in our online shop.

Buy now!
Community platform by XenForo® © 2010-2024 XenForo Ltd.
Top Bottom
Back