Vakantieklusje. Ik heb een pi-hole gescoord op marktplaats, geconfigureerd en het werkt. Voor alle apparaten die thuis verbinding maken met de Fritzbox.
Maar hoe configureer ik het zo dat ik ook buitenshuis er plezier van heb? Om te beginnen op mijn iPhone.
Een VPN-verbinding maken met de Fritzbox? Ik probeerde het, maar toen stopte internet volledig met werken tot ik weer een reguliere DNS had ingevuld.
Meer specifiek, ik vul de DNS van het interne netwerk in waar de Raspberry Pi op zit: 192.168.178.143
Dat werkt thuis wel, maar buitenshuis (na het opbouwen van een VPN-verbinding) niet. Ook de DNS van Freedom werkt er niet (want geen Freedom verbinding), die had ik eerder in het Fritzmodem gelezen:
185.93.175.43
185.232.98.76
2a10:3780:2:52:185:93:175:43
2a10:3780:2:53:185:232:98:76
Maar als ik 8.8.8.8 weer toevoeg werkt het weer wel, maar dat is juist eentje die ik wil vermijden (want van Google).
Of moet ik het publieke ip-adres van mijn Fritzmodem invoeren als DNS? Maar dat bereikt de pi-hole dan niet veronderstel ikā¦
misschien heb je hier iets aan:
Een DNS server vanaf buitenaf bereikbaar maken zou ik niet zo 1-2-3 doen. Je krijgt dan namelijk te maken met een open resolver en als je niet kan bepalen wie jouw resolver mag gebruiken kun je daar vervelende problemen van ondervinden.
Ik weet niet in hoeverre de FRITZ!Box het toe laat om van het WireGuard netwerk naar het interne netwerk te gaan of zelfs of de pi-hole het wel toe laat om vanaf een ander IP-adres/range informatie op te halen (zover ik kan zien de dns.listeningMode instelling).
Als test kun je altijd kijken of je wel IP-adressen kunt pingen binnen je netwerk (naar bijvoorbeeld je pi-hole) om te zien of dat wel werkt. Werkt het pingen wel, dan denk ik dat het in de pi-hole instellingen ligt.
Hm, ik zag ām eerder maar begin ik me af te vragen of ik moet overschakelen van IPSec naar Wireguard voor een betere VPN-verbinding vanuit de buitenwereld met mijn iPhone.
Binnen mijn LAN heeft PiHole het IP 192.168.178.2. De FritzBox 192.168.178.1 (gateway). In de Fitzbox staan bij de internet instellingen de Freedom DNS-adressen. Bij de LAN instellingen wijs ik de DNS naar het Pihole IP 192.168.178.2
VPN middels WireGuard gebruik ik op al onze mobiele devices. Werkt perfectā¦
Ow. Zit me ineens te bedenken dat ik nog een toevoeging had om een pi-hole te configureren. Ik configureer ze altijd als recursive DNS-server. Dan heb je geen publieke DNS aanbieder meer nodig om de domeinen te resolven.
Instructie die ik daar altijd voor volg is unbound - Pi-hole documentation
Dank. Door het lezen van het genoemde voorbeeld begreep ik wat een recursive DNS-server is. Weer wat geleerd! Ga ik denk ik ook doen, zeker omdat het installeren een eenvoudig commando is. Maar eerst moet de standaard configuratie goed werken als ik buitenshuis ben. Via de VPN naar de Fritzbox dus. Als ik pe1hma lees is het heel makkelijk. Enige verschil lijkt te zijn dat hij WireGuard heeft gekozen.
Vraagje. Wat voor mobiel apparaat gebruik je buiten de deur via een VPN om het internet op te gaan? Is dat een iPhone? En gebruikt die ook DNS via de Pi-hole binnen dat VPN? Want dat krijg ik niet geconfigureerd. Ik kan geen iOS netwerkinstellingen vinden voor de DNS.
Mijn setup kan een inspiratie zijnā¦ā¦
Ik draai op mn firewall (OpnSense, en daarvoor al jaren een zelfgebouwde Linux firewall), Wireguard en heb een permanente tunnel tussen mobiel en firewall.
(AL mān verkeer loopt via mān firewall, ook al āt internet verkeer vanaf de mobiel.
DNS van de Wireguard verwijst naar mān pi-hole.
Evt. firewall filters zijn ook van toepassing op mān mobiele verbindingen 
Wireguard profiel op telefoon is: Allowed IP (0.0.0.0/0 & ::/0)
Je router / firewall moet dit wel evt. kunnen oplossen in de NAT ā¦ zodat je verkeer op het prive LAN van wireguard ook via NAT op uitgaande verbindingen weer terugkomt.
Het complete LAN is op deze manier ontsloten, zonder dat derden erbij kunnen.
Al het verkeer van mān mobiel is dan ook via het Huis IP adres.
Mijn Mobiel kan bij alle interne systemen (bv. HomeAssistant) zonder internet verbinding /cloud voor HA.
Mān NASsen zijn bereikbaar zonder dat de NASsen een directe verbinding met internet nodig hebben etc. etc.
Leuk neven effect, mān huis verhuist on-regelmatig, afhankelijk van waar verbinding gemaakt wordt met de telefoon apps van de kids waarbij GEO-IP gelekt wordt.
Wireguard is de beste keus vooor Mobiele VPN (het is light weight, met twee pakketten, worst case 3 is er een verbinding. Bij OpenVPN zijn dat er 7+ bij IPSEC is dat gesplitst tussen tunnel en IKE, en IKE is 5 - 9 packets uitwisseling. Waarbij 5 packets een shortcut is die minder veilig is.
Die uitwisseling zorgt voor vertraging.
(Aanvulling: na volgende post van @meh)
Door de extra packets bij setup van tunnels is ook het batterij verbruik hoger. Zorg ook voor een Persistent Keepalive van 120 seconden op de tunnels, dan blijven de IP verbindingen stabiel beschikbaar ongeacht NAT door de TELCO en evt. wisselingen van medium, de verbinding is dan ook geschikt voor bv. VOIP vanaf het mobiel.
Ik heb 2 tunnelsā¦, een equivalent met LAN netwerk, andere equivalent met GAST netwerk.
Beide hebben pihole, maar de GAST LAN wat meer liberaal ingesteld dan de andere.
Ik heb een soortgelijke setup, maar dan met OpenWRT. Ik maak wel gebruik van twee verschillende VPN tunnels (Wireguard), omdat mijn mobiel wel āthuis internetā gebruikt, maar echt niet direct bij bijvoorbeeld de NAS hoeft. Ik proxy of laat verkeer toe tot sommige dingen die wel nuttig zijn (bv. jellyfin/media server), en heb DNS via adblock lists voor dit netwerk. Intern zelf heeft ānormaalā DNS. Vanaf mij laptop gebruik ik de tweede tunnel die direct op het interne netwerk zit. Dit is handig op reis/vakanties met onbekende WiFi netwerken enzo, kun je wel gewoon bestanden openen van de NAS/bestandsserver (Samba).
Ik gebruik een iPhone en Wireguard werkt daar buitengewoon prettig en goed. Ik heb maar een heel klein beetje batterijverlies door de extra versleutelkosten, dat neem ik graag voor lief. Heb nog nooit ergens een probleem gehad om de VPN tot stand te laten komen (vereist UDP, vooral op openbare WiFi netwerken vaak een probleem) via het mobiele netwerk, ook niet in het buitenland. De snelheid is altijd meer dan prima, ik gok dat dat ook komt omdat we een uiterst goede internetverbinding van Freedom krijgen 
De router die ik gebruik is ook niet of nauwelijks onder de indruk van het rekenwerk dat nodig is voor Wireguard, maar je hebt wel een sterke CPU nodig. Zoiets als een 64-bits (MIPS64, ARMv8) chip en het liefst met meerdere cores is wel handig.
Ja, dit wil ik ook. Al mijn traffic via de VPN die thuis aan Freedom hangt.
Kan een Fritzmodem dat aan? Want dat is niet bepaald een 64-bits zware chip, lijkt me zo.
Hebben jullie ook een iPhone? Want ik vermoed dat jullie een open systeem hebben waar alles in te configureren is en ik zit vast aan een gesloten iPhone met iOS. Er zijn vast wel apps met tools te vinden om meer te kunnen in zoān situatie maar dan vind ik liever niet het wiel zelf opnieuw uit.
Encryptie is niet het zware werk dat gedaan moet worden. Keygeneratie is met name het meest problematische in cryptografie. En dat hoeft niet zo heel vaakā¦
Daarnaast zijn voor de echte encryptie juist de moderne CPUs voorzien van extra instructies die het zware werk doen. Juist de chipsets voor telefoons (zijn ook al jaren 64bit, en multicore), hebben die instructies.
Die chipsets worden ook vaak gebruikt in modems. (Telefoon is ook een Modem + Computer).
De telefoons hebben vaak 6 tot 8 cores, waarbij een paar cores low power zijn en andere cores juist heel snelā¦ waarbij er slechts 2-4 echt in gebruik (kunnen) zijn.
Wireguard is juist goed bruikbaar hiervoor. Ik heb een Pixel 8 met GrapheneOS en gebruik een gewone Android App. Ook voor iPhone moet er een wireguard versie zijn. Ik denk dat Wireguard in heel veel gevallen OpenVPN aan het vervangen is.
De issues rondom Tunneling zijn meer ivm hairpinning (u-bocht verkeer) waarbij verkeer door de tunnel van buiten komt en direct weer naar buiten moet, maar dan via een andere route waarbij via NAT niet via de tunnel moet, maar wel via de WAN interface. Het OS van de Frtiz kan het (Linux), de vraag is of de userland & tooling het goed ondersteund.
Zal prima in orde zijn (ik had het over oudere apparaatjes met mipselwerk). Alleen is een fritz niet zo flexibel in configuratie, dus of je gaat krijgen wat je wil hangt af van de AVM-goden.
Ja, zie mijn antwoord.
Overigens ging mijn CPU verhaal over als je in de honderden mbps over zoān tunnel wil gaan trekken. Dat doe ik zelf voor backups en als ik grotere bestanden (isos voor VM installaties ofzo) open, en dan zie je de belasting wel toenemen. Maar voor je telefoon een mailtje, berichtje, kaartje, website, etc. is dat allemaal helemaal van geen belang, en kan zelfs een ER-X met zān ramips chip er nog prima wat van maken.
Ik heb ādezelfde oplossingā op opnsense en al jaren verbinding met alles via vpn naar de OPNsense. eerst openvpn en vrij snel over naar wireguard. Ik ben alleen benieuwd naar je GEO-IP wijzigingen opzet. Of gebruik je niet de wireguard van opnsense maar een VPN provider?
De telefoon van mān vriendin gebruikt software die ook GEOlocatie deelt (WhatsApp).
Kids (zijn inmiddels het huis uit), gebruikten natuurlijk (helaas) Whatsapp, FB, TikTok, etc. etc.
(Met geolocatie aan want je zou je telefoon toch eens kwijt kunnen raken, en je vrienden kunnen je niet vinden etc.).
Daarna was ons huis ook op lokaties waar we met bv. de boot geweest waren, of waar iemand van het gezin geweest was. (IP adres wordt gekoppeld aan Locatie van telefoons), afhankelijk van waar je advertenties zou ontvangen. Meestal wist ik vrij goed waar mān dochter naar aan het shoppen was omdat random reclame vaak betrekking had op aankoop van Jurkjes, Bikiniās, schoenen cosmetica etc.
Zelf gebruik ik alleen Signal, staat GPS alleen aan als ik OsmAND gebruik. Dus ik verwacht weining lekkage van mān google vrije telefoon.
Inspirerend topic! Maar hmmm, een pi-hole. Ik heb al 5 kastjes met een netadapter in de meterkast. Twee daarvan draaien docker en hebben best nog wat over. Ik zie dat het pi-hole project zelf een docker image levert, maar er zijn ook andere DNS-sinkholes. Iemand ervaring in een constructie als deze met Technitium of AdGuard Home?
En hoe ziet het rampenplan er uit? Stel je bent onderweg met alleen je telefoon en de Internet verbinding thuis valt uit of je servertje crasht. Kwestie van Wireguard app uitzetten?
Inderdaad, wireguard uit en je zit weer gewoon op je mobile netwerk. Nog nooit nodig gehad overigens. Ik ben ooit begonnen met pi hole en later overgestapt naar Adguard Home.
toen vanwege deze vergelijking
zie GitHub - AdguardTeam/AdGuardHome: Network-wide ads & trackers blocking DNS server
Adguard bevalt me uitstekend, maar pi hole is ook al jaren een betrouwbare oplossing, Technitium heb ik wel van gelezen maar nooit zelf gebruikt. Ik denk dat het ook een beetje je eigen keuze is wat je het prettigste vindt werken.
Net als: de een wil alleen DNS over TLS of DNS over HTTPS (DOT en DOH) waar andere juist zeggen dat je dan alles neer legt bij die dns en juist kiezen voor een local DNS met direct contact met de root servers, zodat geen enkele server je complete dns in beeld heeft.
Mijn pihole draait in een Proxmox LXC container.
In mijn geval een cluster van 3 NUCās met pakweg ~30 LXCāen en ~10 VMās
Max theoretisch vermogen 180W en dat is een stuk minder dan voorheen.
Als onder weg (of thuis) idd echt internet nodig zonder router, is dan de VPN optie in de telefoon uitzetten de nood uitgang.
Maar jaā¦. liever niet. En het is tot nog toe alleen nodig geweest tijdens een dag (~30 uur, met af en toe stroom op een van de 3 fasen) zonder spanning in huis door stroom storing ergens in de straat.
Voor routeplanning en zo gebruik ik OsmAND met uitsluitend off-line kaarten (maandelijks vers).
Vrij beschikbaar op F-Droid, er wordt gewerkt aan een iOS versie.
Ook beschikbaar via een Google Playstore (was ooit een One time fee van EUR 7 oid).
Dus internet is op de mobiel niet direct nodig, alleen voor zoeken op het internet & signal oid.
Beetje laat misschien, maar ik kom er nu achter dat ik het uitdelen van adressen voor devices in mijn netwerk vanuit mijn Fritzbox waarschijnlijk uit moet zetten? En dan de Raspberry Pi als DHCP-server moet laten werken?
Ik heb wat veranderd, maar nu heeft mijn Raspberry Pi alleen een IPv6-adres en krijgt maar geen IPv4-adres. Ik kom er niet meer achter waar ik iets heb veranderd. Fritz OS 8.20 op een Fritz!box 9590.
Wat moet ik doen om de Fritbox een vast eigen adres te geven?
