SoulEvilX
Senior Member
Cái issue này ở Pi not Dray Nên contact cũng vậy ahBên mik hay pfsense e cũng NAT mà. Còn không được nữa thím cứ anphat mà táng thôi. 3910 chứ ít ỏi gì
Cái issue này ở Pi not Dray Nên contact cũng vậy ahBên mik hay pfsense e cũng NAT mà. Còn không được nữa thím cứ anphat mà táng thôi. 3910 chứ ít ỏi gì
Em redirect dns về adguard đều config trên router mik hết. Adguard chỉ việc chạy resolve dns rồi trả kết quả về client thôi. Còn pihole e ko biết sao, nhưng nghĩ cũng tương tự như adguard thôiCái issue này ở Pi not Dray Nên contact cũng vậy ah
issue là khi redirect dns thì nó redirect luôn dns request của pihole về chính piholeCái issue này ở Pi not Dray Nên contact cũng vậy ah
Chính xác là tui làm vậy VÀ K WORK ahMà tại sao lại phải redirect từ router qua pihole trong khi không setup thẳng DNS server trong phần khai báo của DHCP ?
View attachment 1735991
Hình lụm trong đây: https://www.draytek.com/support/knowledge-base/5314
Như vậy thì pihole mới bắt được đúng IP/thiết bị đang request record đó chứ :v
Dùng switch layer 2 thì nếu có support VLAN hay cả LAG thì tha hồ tận dụng, gộp cổng 1/2.5G
Vậy nó chính là mô hình
3910 -> Firewall -> Switch
uhm ... Vậy k chạy trời khỏi nắng được Firewall. Firewall Enterprise mắc quá mà lại license hằng năm
E chỉ mún lọc ads thôi mà (
rebind-domain-ok=/.example.com/
domain=home.zc
local=/home.zc/
Love youcó hai phần, phần FW là an ninh, bác nên xài vì ko nên mở mạng ra ngoài internet mà ko có FW đàng hoàng, nếu sợ tốn tiền mua FW HW chuyên dụng thì hiện nay pfsense opnsense là chuẩn rồi.
Còn vụ ads block, như setup của của bạn thì có hai cách, một cách ngu và một cách chuẩn:
Ngu là lấy con pi hole cấp DHCP và làm gw luôn, khi đó thì tất cả mọi DNS request là do pihole gánh hêt, cách nầy ngu vì con 3910 của bạn hình như là hàng xịn nên bỏ nó ko làm GW thì phí, hoặc đỡ ngu chút là nếu 3910 khi cấp DHCP mà cho phép gán DNS server thì bạn có bỏ IP on pihole vô, cách nầy ngu là nếu bạn tự gán IP thì phải tự gắn DNS về pihole luôn hơi thủ công
View attachment 1736172
cách thứ hai là bạn phải forward hết tất cả DNS request của con 3910 về con pihole, cách nầy thì tôi ko chỉ đc vì ko có 3910 mà mò nhưng trên pihole đáng lý ra bạn ko cần setup gì cả, chỉ cần chỉnh con draytek thôi, cái cách nầy bạn trên post là chuẩn rồi nè, tức là forward hết về pihole -
Còn lỗi bạn bị là do pihole to tương thích với lỗi rebind, cũng do ban trên post -
Cái nầy thì bạn có thể sửa bằng hai ba cách:
thứ nhất là tìm coi local domain nào tụi client nó query pihole và whitelist nó bằng cách edit config của dnsmasq trên pihole, đó là tôi thấy họ bảo thế chứ setup phần cứng của tôi ko giông bạn nên ko bị mặc dù là cơ bản là tương tự ví dụ GW trỏ hết DNS về pihole để cho pihole giải guyết, bạn có thể thử add config ở dưới vô dnsmasq của pihole, bạn chỉ cần thay thế cái local.domain là nó whitelist hết
Nếu ko chỉnh sửa thì bạn bạn tạo dns entry cho địa chỉ mà nó query trên draytek (nếu draytek làm đc) hay là bạn cũng có thể thử là tạo record thẳng trên pihole
View attachment 1736177
cách cuối là turn off rebind protection trên draytek, theo tôi thấy thì bạn thử cách số 2 trước, tức là tạo record cho tất cả local dns
Thật ra tui muốn con CNMatrix 2028-P làm DHCP. Cho Router 3910 nhẹ gánh. Tuy nhiênNgu là lấy con pi hole cấp DHCP
K biết bạn có nhận dịch vụ setup network nói chung hem ?có hai phần, phần FW là an ninh, bác nên xài vì ko nên mở mạng ra ngoài internet mà ko có FW đàng hoàng, nếu sợ tốn tiền mua FW HW chuyên dụng thì hiện nay pfsense opnsense là chuẩn rồi.
Còn vụ ads block, như setup của của bạn thì có hai cách, một cách ngu và một cách chuẩn:
Ngu là lấy con pi hole cấp DHCP và làm gw luôn, khi đó thì tất cả mọi DNS request là do pihole gánh hêt, cách nầy ngu vì con 3910 của bạn hình như là hàng xịn nên bỏ nó ko làm GW thì phí, hoặc đỡ ngu chút là nếu 3910 khi cấp DHCP mà cho phép gán DNS server thì bạn có bỏ IP on pihole vô, cách nầy ngu là nếu bạn tự gán IP thì phải tự gắn DNS về pihole luôn hơi thủ công
View attachment 1736172
cách thứ hai là bạn phải forward hết tất cả DNS request của con 3910 về con pihole, cách nầy thì tôi ko chỉ đc vì ko có 3910 mà mò nhưng trên pihole đáng lý ra bạn ko cần setup gì cả, chỉ cần chỉnh con draytek thôi, cái cách nầy bạn trên post là chuẩn rồi nè, tức là forward hết về pihole -
Còn lỗi bạn bị là do pihole to tương thích với lỗi rebind, cũng do ban trên post -
Cái nầy thì bạn có thể sửa bằng hai ba cách:
thứ nhất là tìm coi local domain nào tụi client nó query pihole và whitelist nó bằng cách edit config của dnsmasq trên pihole, đó là tôi thấy họ bảo thế chứ setup phần cứng của tôi ko giông bạn nên ko bị mặc dù là cơ bản là tương tự ví dụ GW trỏ hết DNS về pihole để cho pihole giải guyết, bạn có thể thử add config ở dưới vô dnsmasq của pihole, bạn chỉ cần thay thế cái local.domain là nó whitelist hết
Nếu ko chỉnh sửa thì bạn bạn tạo dns entry cho địa chỉ mà nó query trên draytek (nếu draytek làm đc) hay là bạn cũng có thể thử là tạo record thẳng trên pihole
View attachment 1736177
cách cuối là turn off rebind protection trên draytek, theo tôi thấy thì bạn thử cách số 2 trước, tức là tạo record cho tất cả local dns
//edit ví dụ ở nhà tôi, tôi gọi local domain là home.zc thì ở trong pihole tôi sẽ tạo ra một file /etc/dnsmasq.d/03-domain.conf với content như sau:
Khi đó ở phần local dns trong PI tôi chỉ việc đặt tên cho các dịch vụ và gán IP static cho nó thôi, gắn static IP thì một là bạn chơi kiểu pin MAC vô DHCP và cấp số IP bạn chọn, còn ko thì chơi thủ công set static IP trên mỗi client, vì thật ra mấy cái dịch vụ ở nhà bạn ko giờ muốn nó đổi IP đúng không? nên chắc chắn là phải gán IP cho từng dịch vụ rồi
Không work là không work phần nào nhỉ ? Client nhận DHCP thì DNS vẫn trỏ về router ah ?Chính xác là tui làm vậy VÀ K WORK ah
K biết bạn có nhận dịch vụ setup network nói chung hem ?
Không work là không work phần nào nhỉ ? Client nhận DHCP thì DNS vẫn trỏ về router ah ?
Mà như nói hôm trước thì có thể để Pihole cấp DHCP luôn, nhớ disable DHCP trên router chính để tránh bị trùng.
Như đây trong mạng LAN nhà thì chỉ cấp các IP từ 64-70 qua Pihole, các thiết bị trong nhà sẽ được set static DHCP các IP đầu, trên router block traffic của các IP 64-70. Như vậy thì dù có bị lộ password wifi (thường là do phụ huynh share) nhưng vẫn không truy cập được mạng SERVER và WAN
Add thêm cái hình View attachment 1738790
Không work là không work phần nào nhỉ ? Client nhận DHCP thì DNS vẫn trỏ về router ah ?
Mà như nói hôm trước thì có thể để Pihole cấp DHCP luôn, nhớ disable DHCP trên router chính để tránh bị trùng.
Như đây trong mạng LAN nhà thì chỉ cấp các IP từ 64-70 qua Pihole, các thiết bị trong nhà sẽ được set static DHCP các IP đầu, trên router block traffic của các IP 64-70. Như vậy thì dù có bị lộ password wifi (thường là do phụ huynh share) nhưng vẫn không truy cập được mạng SERVER và WAN
Add thêm cái hình View attachment 1738790
Bên cạnh đó cái mình CHƯA LÀM ĐƯỢC là thay thế DHCP trên router 3910 lên Core Switch 2028. Lúc này router chỉ dùng với 2 vai trò : PPPoE với ISP & Firewall
Tuy nhiên cách làm này "cho cảm giác không hiệu quả".
Bên cạnh đó check log trên PiHole thì thấy chỉ có request từ 192.168.1.1 ( router ) & 192.168.1.4 ( chính em nó ).
Request từ 192.168.1.1 có thể hiểu ( như ai đó đã giải thích ở trên ). Vì khi này, các máy con cần request DNS sẽ request tới router. Router request tới .4 . Nên chỉ thấy request từ router.
Okay make sense.
NHƯNG lúc này sẽ có 1 thứ KHÔNG ĐÁP ỨNG được nhu cầu
- Mình cần biết các máy trong LAN đang access những website nào / làm gì . Ví dụ thấy request DNS facebook.com thì biết là họ vô Facebook từ máy 192.168.1.10 ( ví dụ )
- Và mình có thể "block" hoặc "lái" họ theo ý. Ví dụ nếu họ vào facebook.com mình có thể modify DNS thành 1 IP khác theo chủ ý.
Cách làm này thì ... thật ra lại hại chính mình. Vì nếu cho dù có thể control DNS theo ý được. Nhưng chỉ trong phạm vi VLAN0 ( 192.168.1.x ). Còn VLAN1 thì không được ( 192.168.2.x ). Do Pihole nằm ở VLAN0.
Mà VLAN0 lại là dãy VLAN cho các thiết bị của mình. Và dĩ nhiên mình không có nhu cầu "block" chính mình.
VLAN1 mới là dãy VLAN cho các thiết bị khác trong nhà.
2023-03-23 18:46:01 | DNSMASQ_WARN | Warning in dnsmasq core:Maximum number of concurrent DNS queries reached (max: 150) Check out our documentation for further information. |
Tuy nhiên cách này
- Ít ra mình biết được máy nào trong LAN request DNS. Chứ k phải gom về 192.168.1.1
- Nhưng thử set facebook.com IP thành 192.168.1.10 ( server ) , và thử request facebook.com nhưng không force DNS được. ( Mục đích lái user theo ý )
Chú kiểm tra các thiết bị được cấp DHCP đang được trỏ DNS về đâu ? Về 192.168.1.1 (router) hay về con pihole ?Set DNS Server IP Address về 192.168.1.4 ( chính là con Gatekeeper có chứa Pihole ).
Cái này dễ mà, có 2 cách:Nhưng chỉ trong phạm vi VLAN0 ( 192.168.1.x ). Còn VLAN1 thì không được ( 192.168.2.x ). Do Pihole nằm ở VLAN0.
Các thiết bị cuối đều để defaut. Thiết nghĩ là dùng DNS của router.Chú kiểm tra các thiết bị được cấp DHCP đang được trỏ DNS về đâu ? Về 192.168.1.1 (router) hay về con pihole ?
Phải có kết quả ở đây thì mới biết được đang sai ở đâu, vì nếu cấp đúng DHCP thì DNS phải về con pihole, khi đó thì nó mới biết được IP nào đang request, đi tới domain nào ...
Thanks để mình try. Tại để dự phòng 8.8.8.8cái hình nầy thấy sai sai rồi nè, nếu tôi ko sai thì linux ngu ở cái là dns nó ko phải là top down, mà là random, ít ra là lâu thật lâu rồi tôi nhớ file config /etc/résolve.conf là thế, bạn nên bỏ 8.8.8.8 mà chỉ để con pihole thôi, để rủi có gì nó ko bị ngáo
View attachment 1738961
Xin thọ giáoCái này dễ mà, có 2 cách:
1 là chỉnh static route để cho VLAN1 có thể truy cập VLAN0 và ngược lại, như vậy 192.168.2.x vẫn vào được 192.168.2.x, nếu muốn bảo mật thì chỉ cho route đúng IP được chỉ định là 192.168.1.4
2 là trên con pihole hay con server gatekeeper add thêm 1 interface với VLAN1
Như vậy nó sẽ trả lời và bắt được cả 2 VLAN