Einrichtung von Pi-Hole mit Docker unter Synology NAS

[xyzUpdate]

Habe ein Problem mit Pi-Hole. In der Übersicht wird bei "Top Clients" nur 172.17.0.1 angezeigt. Was ist da der Fehler?
(Vorgehen nach dieser Anleitung: https://www.dennis-sareika.de/inform...y-ds718)

Noch ein paar Fragen zur Einrichtung:
in der Oberfläche von Pi-hole kann ich unter "Settings -> DNS -> Upstream DNS Servers -> Custom 1 (IPv4)" was eintragen. Kommt hier nun die IP vom Router hin (also 192.168.178.1#53) oder direkt ein DNS-Server von hier (Empfehlungsecke). Falls ich 192.168.178.1#53 angebe, kann ich ja die DNS-Server in der Fritzbox angeben.
Welcher Weg ist da besser?

Settings -> DNS -> Never forward non-FQDNs -> aktivieren oder deaktivieren?
Settings -> DNS -> Never forward reverse lookups for private IP ranges -> aktivieren oder deaktivieren?
Settings -> DNS -> Use Conditional Forwarding -> aktivieren oder deaktivieren?

 

[nik]

Habe ein Problem mit Pi-Hole. In der Übersicht wird bei "Top Clients" nur 172.17.0.1 angezeigt. Was ist da der Fehler?

Wenn ich die Konfiguration dort richtig verstehe, hast du nichts falsch gemacht. Da die Verbindung zu dem Dockercontainer im Synology über ein internes NAT läuft, sieht pihole eben nur diese eine IP-Adresse, über die alle Verbindungen reinkommen.
Ist zwar blöd für die Statistiken, sollte im normalen Betrieb aber nicht hinderlich sein.

Kommt hier nun die IP vom Router hin (also 192.168.178.1#53) oder direkt ein DNS-Server von hier (Empfehlungsecke).

Was dir lieber ist. Wenn du in der Fritzbox keinen DNS-Server hinterlegt hast, wird dort der deines Internetanbieters drin stehen. Wenn du mit dem zufrieden bist, spricht erst mal nichts dagegen, den weiter zu nutzen.
Wenn du dich durch die Argumente aus dem Link angesprochen fühlst, ist es natürlich sinnvoller, einen DNS-Server aus der Liste zu nehmen.

Die ersten beiden Optionen würde ich aktivieren, bei der letzten würde ich es davon abhängig machen, ob du zu Hause eine eigene Domain nutzt.

 

[xyzUpdate]

alles klar. Danke für deine Erklärungen!
Bin nach etwas Recherche auf macvlan gestoßen (Setup on Synology Docker), um die einzelnen Geräte-IPs anzeigen zu lassen.
Macht das Sinn das so umzusetzen?

 

[Andy]

[...] bei der letzten würde ich es davon abhängig machen, ob du zu Hause eine eigene Domain nutzt.

Die hat man in der Regel aber auch z.B. fritz.box
Wenn zb ein Gerät pc1 heißt ist dieses auch über pc1.fritz.box ansprechbar.
Bin mir aber nicht sicher, ob das für pihole auch in Verbindung mit Docker funktioniert, dass dann die Clients mit Namen angezeigt werden.
Würde es trotzdem nutzen wenn es funktioniert, dann musst du bei den Clients nicht rumraten, welcher Client hinter welcher IP steckt.

 

[nik]

@Andy Kommt drauf an, was du nun mit Regel meinst. Es gibt auch genug Router, die das (zum Glück) nicht einfach so machen. Ist hier aber auch nebensächlich.

Mit der Funktion ist etwas anderes gemeint: Man kann pi hole damit so konfigurieren, dass bei Anfragen zu dieser Domain die Fritzbox kontaktiert wird und nicht der normalerweise verwendete DNS-Server im Internet, der diese Namen nicht auflösen könnte.

@xyzUpdate wenn du die Statistiken nutzen möchtest. Wie bereits geschrieben, tut pi hole auch so schon seinen Dienst.

 

[TimeTurn]

"Settings -> DNS -> Upstream DNS Servers -> Custom 1 (IPv4)" was eintragen. Kommt hier nun die IP vom Router hin (also 192.168.178.1#53) oder direkt ein DNS-Server von hier (Empfehlungsecke). Falls ich 192.168.178.1#53 angebe, kann ich ja die DNS-Server in der Fritzbox angeben. Welcher Weg ist da besser?

Habe auf meinem QNAP TS-431P ebenfalls einen Docker-Container mit pihole am laufen. Ich habe alle DNS-Server deaktiviert und bei "custom" meine FRITZ!Box eingetragen, alles andere ist auf Werkseinstellung. Die FRITZ!Box ist so konfiguriert, das diese per DHCP die (feste) IP des pihole-Containers als DNS-Server publiziert, damit haben alle Geräte (auch Fernseher usw) per DHCP pihole als DNS-Server. pihole ist so eingestellt, das es die Hosts von der SSD im 4 (alle anderen Filterlisten sind entfernt). Schacht des NAS läd.

 

[xyzUpdate]

habt ihr eigentlich zusätzliche Blocklisten hinzugefügt? Wenn ja, welche ist du empfehlen? Bin auf der Suche auf Folgende gestoßen:

• github.com/crazy-max/WindowsSp…master/data/hosts/spy.txt
• firebog.net
• github.com/Akamaru/Pi-Hole-Lists
• github.com/hl2guide/All-in-One-Customized-Adblock-List

 

[TimeTurn]

Ich hab nur meine eigene Blocklist drin. Die hat derzeit rund 10000 Einträge und ist damit nicht so riesengroß wie die Vorgegebenen.

 

[Andy]

Wenn ja, welche ist du empfehlen?

Schwer zu sagen, kommt ja drauf an was du blocken willst. Gibt ja auch Listen um komplett Social Media zu sperren.
Ich nutze aktuell 82 Listen mit ca. 2,1 Millionen unique Domains.
Klar musste ich dann manche Domains whitelisten, da zb auch Google oder Youtube gesperrt war.

 

[xyzUpdate]

Habe nun eine Lösung gefunden, falls ihr Pi-Hole in Docker auf einem Synology NAS eingerichtet habt
und unter "Top Clients" nur 172.17.0.1 angezeigt bekommt. Wichtig ist hierbei "Dasselbe Netzwerk wie Docker Host verwenden" einzustellen.
Die genaue Anleitung gibt es hier: Pi-Hole auf Docker | Zugriff auf Weboberfläche geblockt - Seite 17

 

[TimeTurn]

Ich weiß nicht wie das beim Synology ist, aber ich habe auf meinem QNAP einfach dem pihole Docker eine MAC-Adresse fest vorgegeben, die wiederum meine FRITZ!Box kennt und dem pihole-Docker daher eine bestimmte IP zuweist. Zuerst stelle ich den docker auf NAT, später stelle ich das auf BRIDGE um, da das QNAP sonst das Docker-Paket zerlegt.

 

[Jake1]

@xyzUpdate
Ich bin der Author und habe die Anleitung mittlerweile entsprechend angepasst.
In letzter Zeit hatten sich die persönlichen Anfragen bei mir gehäuft, weswegen ich mich entschieden hatte, eben doch mal die Anleitung umzubauen.

Das heißt also konkret:
Wenn die Hosts auf dem Dashboard angezeigt werden sollen, muss der Pi-Hole zwangsläufig via Host-Mode ["Dasselbe Netzwerk wie Docker Host verwenden"] installiert werden.

Wenn darauf kein Wert gelegt wird, dann einfach die Ports freigeben.

Der Host-Mode ist, im Nachhinein betrachtet, einfacher, sofern keine anderen Docker-Container verwendet werden, deren Ports kollidieren könnten

Gute Filter-Listen bekommst du von hier:
FilterLists | Subscriptions for uBlock Origin, Adblock Plus, AdGuard, ...
Mittlerweile hat sich die Webseite auch angepasst und zeigt auf, ob sie zum Pi-Hole kompatibel ist.

Nimm nicht zu viele, sonst hast du ein Over-Blocking und dadurch erhöhten Aufwand durch die Whitelist-Pflege

 

[xyzUpdate]

@Jake1
Danke für dein Update der Anleitung. Grundsätzlich ein paar Fragen:

1. Gibt es Unterschiede zu dieser Vorgehensweise: Pi-Hole auf Docker | Zugriff auf Weboberfläche geblockt - Seite 19 ? (denke du kannst mir das am schnellsten beantworten bevor ich jeden Punkt einzeln vergleiche)
2. Hatte vor kurzem schwere Probleme, was das Update von Pi-Hole in Docker angeht (Synology lief mit RAID1):
   Zunächst habe ich versucht den bestehenden pi-Hole_alt Container zu löschen, was aber irgendwie nicht geklappt hat.
   Dann habe ich den alten Container deaktiviert, umbenannt, wieder aktiviert und habe einen neuen Pi-Hole Container mit denselben Einstellungen. Dann habe ich den alten Container deaktiviert, den neuen aktiviert und neugestartet. Nach jedem Neustarten pipst das NAS dauerhaft. Nach Login bekomme ich die Meldung "Volume 1" sein abgestürtzt.
   -> musste daher alles neu aufsetzten (hier ausführlicher: Synology - Volume abgestürzt nach entferntem Container in Docker - Kodinerds.net - Deutschsprachiges Forum zum Kodi Entertainment Center)
   Weißt du zufällig, woran das liegen könnte?
3. Nach dem Problem zu Punkt 2, habe ich den Adguard DNS in meiner Fritzbox eingerichtet:
   Wie man AdGuard-DNS einstellt
   (hier sind Bedenken zu Pi-Hole aufgeführt: Pi-hole auf einem Synology-NAS - Kodinerds.net - Deutschsprachiges Forum zum Kodi Entertainment Center, positive Kritik findet sich ja beispielsweise bei SemperVideo).
   Nun stellt sich für mich die Frage, welche Vorteile Pi-Hole gegenüber Adguard bietet?
   (auf allen PCs ist uBlock origin drauf, Smartphones sind alle gerootet und mit Adaway versehen)

 

[TimeTurn]

Ich würde an Deiner Stelle das mit dem Docker ganz lassen.

Ich hatte damit auch ziemliche Probleme. Selbst wenn es sich sauber installieren und starten ließ hat pihole im Docker in der zu dem Zeitpunkt aktuellen Version dauernd gezickt. Irgendwann hatte ich das sowas von leid und habe letztendlich einfach einen Raspberry Pi 4B per GBit-Lan an die FRITZ!Box gehängt - da läuft das alles völlig schmerzfrei und lässt sich auch vernünftig aktualisieren (sudo pihole -up per SSH), meine HOSTS-Datei kann sich der Raspi vom NAS zerren, da ich den Share des NAS per "fstab" auf dem Raspi gemounted hab.

Docker auf dem NAS hat zwar was, da es halt keine zusätzliche Hardware benötigt, aber so geschmeidig wie das auf dem Raspi läuft, geht einfach im Docker nicht. Das ist mir das bißchen Geld + Stroim wert. Auch wenn der Raspi 4 eigentlich als Retro-Gaming-System gedacht war, weil der 3B den ich hab für einige Systeme zu lahm ist - aber als pihole ist der mir auch zu langsam.

 

[xyzUpdate]

@TimeTurn
Danke für deine Antwort. Denke auch, dass ich es lieber bleiben lasse, damit ich nicht nochmal meinen Server neu aufsetzten muss.
Müsste irgendwo auch noch einen RPi rumliegen haben

 

[Jake1]

Gibt es Unterschiede zu dieser Vorgehensweise: Pi-Hole auf Docker | Zugriff auf Weboberfläche geblockt - Seite 19 ? (denke du kannst mir das am schnellsten beantworten bevor ich jeden Punkt einzeln vergleiche)

Nein, keine Unterschiede mehr zu meiner und der oben verlinkten Anleitung.
Ich habe meine Anleitung komplett neu für den HOST-Modus angepasst. Hätte das eigentlich von Beginn an schon so tun sollen... Aber... ;-)

Weißt du zufällig, woran das liegen könnte?

Nein, leider so gar nicht. Ich nutze das NAS nun seit knapp einem Jahr und ich habe mir noch nie irgendwas darin wegen Docker abgeschossen.
Leider lese ich davon auch zum ersten mal.
Wie man hingegen explizit den Pi-Hole aktualisiert, habe ich in einem eigenen Kapitel weiter unten im Artikel (bebildert) beschrieben. Ist auch recht einfach sofern Mounts verwendet werden.
Alternativ natürlich wirklich einen Rasbberry nutzen. Hatte ich zuvor auch. Ich kann nicht sagen ob es nun besser oder schlechter läuft - lediglich ein Gerät weniger.

Nun stellt sich für mich die Frage, welche Vorteile Pi-Hole gegenüber Adguard bietet?

Jetzt müssen wir einmal genauer differenzieren:
Einmal gibt es "Adguard Home", ein altrernatives Produkt zum Pi-Hole und "Adguard DNS", ein einfacher DNS Server der bequem als DNS im Router eingetragen wird.

Adguard Home ist so ziemlich das gleiche wie der Pi-Home, mit Unterschied, dass AH keinen DHCP-Server mitliefert. Ansonsten gleicht sich die Beschränkung für Filterlisten usw. dem PH.
Adguard DNS ist eine IP-Adresse die lediglich im Router geändert wird. Da gibt's keinen Spielraum.

(auf allen PCs ist uBlock origin drauf, Smartphones sind alle gerootet und mit Adaway versehen)

Unter diesem Aspekt ist natürlich ohnehin alles abgesichert.
Meine Handys sind jedoch nicht gerootet und meine Smart-TVs und Smart-Home Geräte profitieren ebenfalls von einem kontrollierten DNS-Zugriff.
Wer das nicht braucht, kann natürlich alles einzeln absichern.

 

[xyzUpdate]

@Jake1
Würde gerne Pi-Hole updaten und habe mich nach der Anleitung gehalten
Pi-Hole AdBlock via Docker auf dem NAS Synology DS718+ (Update 02.04.2020)

Docker -> Container -> Pi-Hole -> Einstellungen- > Einstellungen duplizieren -> Pi-Hole-2020-xx-xx
Registrierung -> pihole/pihole
Container -> Pi-Hole-2020-xx-xx -> Aktionen -> Inhalt löschen

Dabei könnte ich diesen Schritt nicht durchführen:
"Im Punkt "Abbild" suchen wir den Container "pihole/pihole:latest" raus. Manch einer hat auch nur diesen. Diesen markieren, oben im Menü auf "Löschen" drücken.", da eine Meldung kam, dass noch Abhängigkeiten vorhanden sind.

Nach dem Updaten hatte ich jedoch das Problem, dass alle Einstellungen weg waren. Vermutlich ist beim Mounting etwas schief gegangen. Muss für die beiden Einträge noch der "Typ (Schreibbar)" angepasst werden (wenn ja, wie?)

 

[TimeTurn]

Bei pihole sollte man über Settings/Teleporter die Einstellungen sichern. Docker hat halt den Nachteil, das ein neuer Container auch sämtliche Einstellungen erneuert.

pihole Docker-Container funktionieren zumindest auf meinem QNAP-NAS noch immer nicht vernünftig. Wollte auf die letzte 4.x-Version, da pihole 5 einfach nur grottig ist mMn von der Bedienung. Aber da war dann wieder das alte Problem, das "Domains on Blocklist" mal wieder "-2" angezeigt hat.

Hab das Ganze daher verworfen und lasse pihole wie bisher auf meinem Raspberry Pi 4 laufen - da gibts dann auch keine Probleme beim aktualisieren. Ärgert mich zwar, das ich ein zusätzliches Gerät brauche, aber ein Raspi ist ja klein un liegt in seinem Vollmetal-Gehäuse ohne Lüfter zwischen QNAP TS-431P-NAS und FRITZ!Box im Regal.



Wenn ich ein preiswertes 4-bay Gehäuse hätte das ich an den Raspi anklemmen könnte, würde ich das NAS zum Teufel jagen und nur den Raspberry nutzen. Hab noch zwei externe Festplattengehäuse hier - mal schauen ob ich da ein RAID 1 raus baue.

Update: habe mal die aktuelle pihole Version im Docker ausprobiert - nun funktioniert wieder alles.

 

[xyzUpdate]

habe eine Lösung für das Problem gefunden:

Hier Pi-Hole AdBlock via Docker auf dem NAS Synology DS718+ (Update 02.04.2020) wird ein Ablauf beschrieben, wie das Updaten eines Docker Containers auf einem Synology NAS funktioniert.

Bei der Anleitung ist jedoch der Mounting Pfad falsch angegeben:
es müsste /etc/pihole/ anstatt /etc-pihole/
und /etc/dnsmasq.d/ anstatt heißen
Das habe ich durch How to Install Pi-Hole on Your Synology NAS herausgefunden.

Nun funktioniert also auch das Updaten

 

[xyzUpdate]

Hallo zusammen,

habe nun Pi-Hole mit diesem Befehl

sudo docker network create -d macvlan -o parent=eth0 --subnet=192.168.178.0/24 --gateway=192.168.178.1 --ip-range=192.168.178.10/32 pihole-macvlan

hinzugefügt und gemäß Nachfolgenden konfiguriert (siehe auch noch Bilder im Anhang).

Docker -> Netzwerk -> Hinzufügen ->
Netzwerk Name: pihole-bridge
Manuelle Konfiguration verwenden -> aktiviert
Subnetz: 192.168.179.0/24
IP-Bereich: 192.168.179.2/32
Gateway: 192.168.179.1

Jetzt funktioniert mein Docker Image von FreshRSS nicht mehr. Ich denke, dass es damit zusammenhängt, dass FreshRSS nicht mehr auf den DNS Server zugreifen kann.
Hat jemand eine Idee wie man das lösen kann?

EDIT: Neustart hat das Problem gelöst