Help Pihole na dockerze + mikrotik

[zgoneq]

Cześć,
nie chcę zaśmiecać wątku Projekt - Bezpieczne i wolne od reklam przeglądanie stron Web (Internet - Filtrowanie treści) [piszę...]
więc pytanie skieruję tutaj:
zainstalowałem pihola według instrukcji grzenia z 8px - https://www.8px.pl/instalacja-pihole-na-qnap-blokada-reklam-w-sieci-domowej-i-firmowej/
samo pihole działa i jest ok
problem jest w moich ustawieniach w mikrotiku jak sądzę - otóż:

jeśli na hoście ustawię ręcznie dns na pihola - jest ok
jeśli w mikrotiku włączę reguły ip firewall/nat - to host nie ma netu
trigger - tool/netwatch działa ok
co robie żle?

Uprzedzając pytanie w mt nie mam ustawionego dns - w sensie ip/dns mam tylko wpisy dynamic
w serwerze dhcp też nie deklarowałem dns, ale hosty otrzymują taką informację chyba z tych wpisów dhcp client.

 

[Silas Mariusz]

Używasz DHCP? W MT utwórz regułę w firewall która przekieruje wszystkie zapytania na porcie 53 do serwera DNS wskazując IP Pihole.

/ip firewall nat

add chain=dstnat action=dst-nat to-addresses=192.168.88.1 to-ports=53 protocol=tcp dst-port=53

add chain=dstnat action=dst-nat to-addresses=192.168.88.1 to-ports=53 protocol=udp dst-port=53

Jako 192.168.88.1 podaj adres IP pihole

 

[zgoneq]

jak do tej pory mam te 4 wpisy z wątku "projekt..."
wieczorem wbiję tylko te dwa i dam znać

 

[SiewcaRyżu]

a nie prościej poprawić definicje w serwerze DHCP ?

 

[Silas Mariusz]

SiewcaRyżu jesli uzywa DHCP to mu wskoczą dodatkowe dynamiczne adresy z DHCP
po za tym, jesli znika mu internet tzn, ze cos nie tak, wiec lepiej sprawdzic force przekierowanie

 

[zgoneq]

Jasne że prościej - i na pewno zadziała , ale nie o to chodzi.
Chcę, żeby w domyślnej konfiguracji przez DHCP szła informacja o serwerze DNS operatora (dynamic), a wtedy kiedy działa PiHole to mikrotik podmieniał w locie DNS.

 

[SiewcaRyżu]

no tak racja, firewall zareaguje szybciej niż skrypt.

 

[Silas Mariusz]

hmmm
czekaj ten redirect moze nie zadzialac... bo to wymusi piholowi zeby sam siebie pytal
nie uzywaj mojej propozycji

 

[zgoneq]

spokojnie - dopiero po 18 będę w domu
Niestety - jest tak, jak pisałeś nie ma netu dla hostów dodałem do tego wpisu src-address=192.168..., żeby to sprawdzić dla jednego hosta.

 

[Silas Mariusz]

wpisz serwer dns normalnie w w ustawieniach dns
i tyle

 

[SiewcaRyżu]

a nie prościej poprawić definicje w serwerze DHCP ?

back to square #1 ? :>

 

[zgoneq]

Jeszcze się nie poddaję - czytam i przetestuję wątek z Hairpin Nat,

Force Users to Use Specific DNS Server - MikroTik

 

[SiewcaRyżu]

@Silas Mariusz - te nie zadziałają , bo nie masz wyjatku dla PiHole'a.

moim zdaniem lepiej postawić drugiego pihole'a na malince i po prostu wpisać ją w #2 DNS w MT.

hosty bez pihole'a - konfigurować z palca (i o dziwo .. to tylko TV u mnie) xD

 

[Silas Mariusz]

Wiem wiem. Ale ja bym włączył serwer DNS w MT i zrobił podał adresy pihole.
I zablokował dnsy od dhcp reguła w Mt.

 

[zgoneq]

Udało się (przynajmniej tak wygląda)
zadziałało to:

Type these in terminal, replace 192.168.1.250 with your Pi-hole IP address, and replace 192.168.1.0/24 with your LAN subnet:

 /ip firewall nat

add chain=dstnat action=dst-nat to-addresses=192.168.1.250 protocol=udp src-address=!192.168.1.250 dst-address=!192.168.1.250 dst-port=53
add chain=dstnat action=dst-nat to-addresses=192.168.1.250 protocol=tcp src-address=!192.168.1.250 dst-address=!192.168.1.250 dst-port=53

add chain=srcnat action=masquerade protocol=udp src-address=192.168.1.0/24 dst-address=192.168.1.250 dst-port=53
add chain=srcnat action=masquerade protocol=tcp src-address=192.168.1.0/24 dst-address=192.168.1.250 dst-port=53

dodałem tylko wpisy udp

i zamiast adresu sieci podałem adres hosta, dla którego ma działać filtrowanie