[fli4l] Fli4L und Pihole: Hohe Anzahl von Requests

[Kay Martinen]

Am 21.06.2019 um 10:28 schrieb W. Loefstedt:
> Am 21.06.2019 um 00:21 schrieb Kay Martinen:
> 
> Hallo Kay,
> danke für deine Nachricht. Manchmal sieht man den Wald vor lauter Bäumen
> nicht.

So was hab ich vermutet.

>> D.h. der FLI fragt bei namensauflösungen zuerst den pihole und nicht
>>  mehr direkt den Nameserver des Providers? Und wen fragt der pihole 
>> dann - über den FLI oder direkt?
> Genauso war's: Die DNS-Anfrage ging vom Fli an den Pi und der hat sie
> zurück an den Fli geschickt. Damit ergab sich die Rückkopplung mit der
> gigantischen Zahl von Requests. Was ich nicht begreife ist, dass diese
> Konfiguration zumindest teilweise funktioniert konnte.

Könnte eine Frage von Timing und Erreichbarkeit gewesen sein.

Wenn du noch einen zweiten DNS (evtl. vom Provider) im FLI hattest kann
es sein das dein FLI den zwischendurch befragte weil er keine Antwort
bekam. Oder deine Clients bekamen AUCH den FLI und haben den gefragt und
der den Provider weil dein pi ausgelastet war.


> Die (funktionierende !) Konfiguration von Fli und Pi sieht jetzt
> folgendermassen aus: Auf dem Fli ist eingetragen als 1. DNS-Server der
> Pi im lokalen Netz, als 2. DNS-Server 1.1.1.1 (falls der Pi ausfällt).
> Auf dem Pi ist 1.1.1.1 als DNS-Server eingetragen.
> 
>> Ich denke du müsstest mehr erzählen wie dein Setup aussieht. Ist der
>>  pihole auf der LAN-Seite des FLI? Benutzt du ein Externes Modem mit
>>  pppoe am WAN Port des FLI oder hängt dort eine Provider-box/router 
>> und der FLI ist dessen Client? Hängt in dem Fall der pihole zwischen
>>  Provider-router und dem FLI?
> 
> Meine Konfiguration hier sieht folgendermassen aus: Provider ist die
> Telekom mit einem 50/10Mbit Anschluss, als Modem läuft ein Zyxxel
> VMG1312-B30A, daran der Fli auf einem Igel Thin Client. Der Pi hängt mit
> fester IP im lokalen Netz.

Ich kenne den Zyxel nicht. Aber wenn der als Router läuft dann kannst du
den pihole auch in dessen Zwischennetz (also auf die WAN-Seite des FLI)
packen. Dann fragt der FLI den Pi, der Pi den Zyxel und der schickt es
dann raus. Und Antworten gehen den gleichen weg zurück. Und deine
Internen Clients können direkt den FLI ansprechen von dem sie ja auch
ihre IP-Konfig bekommen.

Mit dem pihole im Internen netz besteht immer die Gefahr das eine
Fehlkonfig im DNS-Setup irgendwo den pi umgeht und die Schutzwirkung
wieder aufhebt. Du müsstest sonst eine Firewall-regel einrichten die es
ALLEN verbietet direkt nameserver an zu sprechen - außer dem pihole
selbst und ggf. dem FLI.

>> Oder wolltest du dich selbst Hacken? ;-)
> 
> Das ist mir gelungen ;-)

Dann mache mal einen neuen Proof of Concept und spiele Hacker im LAN.
Dann weißt du ob jetzt alles richtig liefe.

Kay

-- 
Sent via SN (Eisfair-1)