SoulEvilX
Senior Member
Cái issue này ở Pi not DrayBên mik hay pfsense e cũng NAT mà. Còn không được nữa thím cứ anphat mà táng thôi. 3910 chứ ít ỏi gì
Nên contact cũng vậy ah
thảo luận Setup Home network mình đang có
- Thread starter SoulEvilX
- Start date
Nên contact cũng vậy ahEm redirect dns về adguard đều config trên router mik hết. Adguard chỉ việc chạy resolve dns rồi trả kết quả về client thôi. Còn pihole e ko biết sao, nhưng nghĩ cũng tương tự như adguard thôiCái issue này ở Pi not Dray
sigel
Đã tốn tiền
issue là khi redirect dns thì nó redirect luôn dns request của pihole về chính piholeCái issue này ở Pi not Dray
dẫn đến lặp vòng vô tận rồi tòe luôn.
trên con draytek chắc phải có 1 chỗ nào đấy để add exception tránh vụ này.
Last edited:
Mà tại sao lại phải redirect từ router qua pihole trong khi không setup thẳng DNS server trong phần khai báo của DHCP ?
Hình lụm trong đây: https://www.draytek.com/support/knowledge-base/5314
Như vậy thì pihole mới bắt được đúng IP/thiết bị đang request record đó chứ :v
Dùng switch layer 2 thì nếu có support VLAN hay cả LAG thì tha hồ tận dụng, gộp cổng 1/2.5G
Hình lụm trong đây: https://www.draytek.com/support/knowledge-base/5314
Như vậy thì pihole mới bắt được đúng IP/thiết bị đang request record đó chứ :v
Dùng switch layer 2 thì nếu có support VLAN hay cả LAG thì tha hồ tận dụng, gộp cổng 1/2.5G
SoulEvilX
Senior Member
Chính xác là tui làm vậy VÀ K WORK ah
gato_chuoidong
Senior Member
Vậy nó chính là mô hình
3910 -> Firewall -> Switch
uhm ... Vậy k chạy trời khỏi nắng được Firewall. Firewall Enterprise mắc quá mà lại license hằng năm
E chỉ mún lọc ads thôi mà
có hai phần, phần FW là an ninh, bác nên xài vì ko nên mở mạng ra ngoài internet mà ko có FW đàng hoàng, nếu sợ tốn tiền mua FW HW chuyên dụng thì hiện nay pfsense opnsense là chuẩn rồi.
Còn vụ ads block, như setup của của bạn thì có hai cách, một cách ngu và một cách chuẩn:
Ngu là lấy con pi hole cấp DHCP và làm gw luôn, khi đó thì tất cả mọi DNS request là do pihole gánh hêt, cách nầy ngu vì con 3910 của bạn hình như là hàng xịn nên bỏ nó ko làm GW thì phí, hoặc đỡ ngu chút là nếu 3910 khi cấp DHCP mà cho phép gán DNS server thì bạn có bỏ IP on pihole vô, cách nầy ngu là nếu bạn tự gán IP thì phải tự gắn DNS về pihole luôn hơi thủ công
cách thứ hai là bạn phải forward hết tất cả DNS request của con 3910 về con pihole, cách nầy thì tôi ko chỉ đc vì ko có 3910 mà mò nhưng trên pihole đáng lý ra bạn ko cần setup gì cả, chỉ cần chỉnh con draytek thôi, cái cách nầy bạn trên post là chuẩn rồi nè, tức là forward hết về pihole -
Còn lỗi bạn bị là do pihole to tương thích với lỗi rebind, cũng do ban trên post -
Cái nầy thì bạn có thể sửa bằng hai ba cách:
thứ nhất là tìm coi local domain nào tụi client nó query pihole và whitelist nó bằng cách edit config của dnsmasq trên pihole, đó là tôi thấy họ bảo thế chứ setup phần cứng của tôi ko giông bạn nên ko bị mặc dù là cơ bản là tương tự ví dụ GW trỏ hết DNS về pihole để cho pihole giải guyết, bạn có thể thử add config ở dưới vô dnsmasq của pihole, bạn chỉ cần thay thế cái local.domain là nó whitelist hết
Nếu ko chỉnh sửa thì bạn bạn tạo dns entry cho địa chỉ mà nó query trên draytek (nếu draytek làm đc) hay là bạn cũng có thể thử là tạo record thẳng trên pihole
cách cuối là turn off rebind protection trên draytek, theo tôi thấy thì bạn thử cách số 2 trước, tức là tạo record cho tất cả local dns
//edit ví dụ ở nhà tôi, tôi gọi local domain là home.zc thì ở trong pihole tôi sẽ tạo ra một file /etc/dnsmasq.d/03-domain.conf với content như sau:
Khi đó ở phần local dns trong PI tôi chỉ việc đặt tên cho các dịch vụ và gán IP static cho nó thôi, gắn static IP thì một là bạn chơi kiểu pin MAC vô DHCP và cấp số IP bạn chọn, còn ko thì chơi thủ công set static IP trên mỗi client, vì thật ra mấy cái dịch vụ ở nhà bạn ko giờ muốn nó đổi IP đúng không? nên chắc chắn là phải gán IP cho từng dịch vụ rồi
Last edited:
SoulEvilX
Senior Member
Love you
SoulEvilX
Senior Member
Thật ra tui muốn con CNMatrix 2028-P làm DHCP. Cho Router 3910 nhẹ gánh. Tuy nhiên
- Không ( do tui ngu ) setup DHCP với dãy IP 192.168.1.x được ( mà dãy .x.y thì được ).
- Cái RẤT KHÓ CHỊU là con 2028 này lại không có port 2.5G -_- Mà chỉ có 1G hoặc 10G . Do đó không tận dụng cho con Router ( dùng như AP ) Asus AX86U (
SoulEvilX
Senior Member
K biết bạn có nhận dịch vụ setup network nói chung hem ?
Không work là không work phần nào nhỉ ? Client nhận DHCP thì DNS vẫn trỏ về router ah ?Chính xác là tui làm vậy VÀ K WORK ah
Mà như nói hôm trước thì có thể để Pihole cấp DHCP luôn, nhớ disable DHCP trên router chính để tránh bị trùng.
Như đây trong mạng LAN nhà thì chỉ cấp các IP từ 64-70 qua Pihole, các thiết bị trong nhà sẽ được set static DHCP các IP đầu, trên router block traffic của các IP 64-70. Như vậy thì dù có bị lộ password wifi (thường là do phụ huynh share) nhưng vẫn không truy cập được mạng SERVER và WAN
Add thêm cái hình
gato_chuoidong
Senior Member
tôi ko ở vn, và làm biếng lắm, tuần 7 ngày hết 6 nhìn ba cái thứ nầy, nên ở nhà ráng lắm mới làm cho an toàn chứ oải lắm ... share cái nào tôi biết thì ok chứ làm thì sợ ko đủ trình
SoulEvilX
Senior Member
Chờ xíu mình ghi rõ ra nha. Thanks lot
SoulEvilX
Senior Member
Okay nói sơ thế này
Router 3910 : 192.168.1.1
- Đóng vai trò router ( PPPoE tới ISP ). Và có 4 WANs
- Đóng vai trò DHCP ( cấp DHCP cho các máy phía sau ). Hiện tại có 2 VLAN0 (192.168.1.x) & VLAN1 (192.168.2.x)
Core Switch : EX-2028-P : 192.168.1.2
- Đóng vai trò Switch cho tất cả các thiết bị.
- Em nó connect SFP+ tới router
Router ( Access Point ) AX86U : 192.168.1.3
Như nói trên em nó BUỘC PHẢI connect tới Router thay vì Core Switch vì lý do không có port.
Em nó đóng vai trò cấp Wifi cho 1 mình mình xài thôi. Và tất nhiên thuộc về VLAN0.
Các device connect Wifi em này sẽ lấy DHCP từ Router ( như nói trên - đúng ra nên lấy DHCP từ Core Switch nhưng chưa làm được ).
Prodesk "gatekeeper" : 192.168.1.4
Em này connect port 1G lên Core Switch. Đúng.
Em nó đóng vai trò làm HAProxy tới các service phía sau.
Em nó cũng có PiHole.
Okay cấu hình Router 3910 như sau.
Set DNS Server IP Address về 192.168.1.4 ( chính là con Gatekeeper có chứa Pihole ).
Update
Okay . Vậy còn cách thứ 2.
Sau khi trả DNS Server IP Address về NULL thì vô LAN DNS / DNS Forwarding
Tuy nhiên cách này thì hình như làm "quá tải" PiHole. Liên tục bị báo limit 150
| 2023-03-23 18:46:01 | DNSMASQ_WARN | Warning in dnsmasq core:Maximum number of concurrent DNS queries reached (max: 150) Check out our documentation for further information. |
Có thử vài cách nhưng không work.
Thanks lot
SoulEvilX
Senior Member
Cái ở trên là hiện tại. Khá mess về cấu trúc
Cái dưới là cái mình mong đợi. Tuy nhiên
- Chưa biết setup DHCP / VLAN trên EX-2028P
- Core Switch không có port 2.5Gbps. Như vậy không tận dụng được năng suất trên Asus AX86U
Phần này là về network mình. Không phải nói về vụ PiHole
Chú kiểm tra các thiết bị được cấp DHCP đang được trỏ DNS về đâu ? Về 192.168.1.1 (router) hay về con pihole ?
Phải có kết quả ở đây thì mới biết được đang sai ở đâu, vì nếu cấp đúng DHCP thì DNS phải về con pihole, khi đó thì nó mới biết được IP nào đang request, đi tới domain nào ...
gato_chuoidong
Senior Member
cái hình nầy thấy sai sai rồi nè, nếu tôi ko sai thì linux ngu ở cái là dns nó ko phải là top down, mà là random, ít ra là lâu thật lâu rồi tôi nhớ file config /etc/résolve.conf là thế, bạn nên bỏ 8.8.8.8 mà chỉ để con pihole thôi, để rủi có gì nó ko bị ngáo
Cái này dễ mà, có 2 cách:
1 là chỉnh static route để cho VLAN1 có thể truy cập VLAN0 và ngược lại, như vậy 192.168.2.x vẫn vào được 192.168.2.x, nếu muốn bảo mật thì chỉ cho route đúng IP được chỉ định là 192.168.1.4
2 là trên con pihole hay con server gatekeeper add thêm 1 interface với VLAN1
Như vậy nó sẽ trả lời và bắt được cả 2 VLAN
SoulEvilX
Senior Member
Các thiết bị cuối đều để defaut. Thiết nghĩ là dùng DNS của router.
SoulEvilX
Senior Member
Thanks để mình try. Tại để dự phòng 8.8.8.8
SoulEvilX
Senior Member
Xin thọ giáo
Similar threads
