Demande d'avis sur une cohabitation Pi-Hole + unbound + wireguard

:fr: Modèle de message (français)

Mon serveur YunoHost

Matériel: Vieil ordinateur
Version de YunoHost: 4.2.8
J’ai accès à mon serveur : En SSH | Par la webadmin
Êtes-vous dans un contexte particulier ou avez-vous effectué des modificiations particulières sur votre instance ? : non

Description :

  • Bonjour, Yunohost est installé à distance (pas chez moi), et j’y ai configuré un reverse DNS (via la freebox à laquelle il est connecté).
  • J’aimerais utiliser pi-Hole à distance, et la doc pi-Hole propose d’utiliser wireguard pour cela.
  • Enfin, j’aimerais utiliser un recursive DNS afin d’améliorer la sécurité/confidentialité du serveur et la doc pi-Hole propose de mettre en place unbound pour cela. A noter que unbound s’installe via Debian, mais il n’existe pas d’app officielle Yunohost (on trouve un brouillon sur la liste des app souhaitées, mais il date de 3 ans).

Question :

J’ai bien trouvé dans le forum un sujet se rapprochant un peu du mien, mais la réponse ne me semble pas sûre. Alors voici ma question :

Est-ce que toute cette config ne risque-t-elle pas de générer des conflits sur mon serveur (le fait d’avoir configuré un reverse DNS via la freebox, etc.) ? Avez-vous des idées de bonnes pratiques (ordre d’installation pour chaque app, ou bien une option à utiliser/ne surtout pas utiliser, etc.) pour éviter une erreur ?

Merci beaucoup pour votre aide !

Tout ce que je peux dire, au cas où ça aide, c’est que la mise à jour vers une version à jour de pi-hole est en cours (dernière activité il y a 15min) :Testing by kay0u · Pull Request #63 · YunoHost-Apps/pihole_ynh · GitHub
Sinon de mon côté, le temps que ça fonctionne, j’ui utilisé un petit contournement à base de raspberry-pi (qui est dédié à ça)
En gros, la Freebox (v6 et plus) propose un serveur DNS, et pi-hole proposent une image pour raspberry-pi.
Comme le raspberry est délié à pi-hole, je n’ai pas peur de casser des trucs :slightly_smiling_face:
(Et wireguard, il faut que je me replonge dedans, je dois avoir un soucis entre la chaise et le clavier et “ça ne marche pas”)

Merci pour ton retour ! En quelques sortes, tu déplace le problème en déportant la gestion de pi-hole dans ton raspberry pi.
C’est une bonne méthode effectivement pour éviter les éventuels conflits. Dans mon cas, je souhaite éviter de déporter plusieurs machines à distance, une seule, c’est déjà largement suffisant à gérer ^^

Sinon merci pour le lien, ce serait super intéressant qu’il n’y ait plus d’exception de compatibilité entre pi-hole et Yunohost par rapport au dnsmasq.

Pull request mergée, maintenant tu peux installer pi.hole 5.3.1
De mon côté j’essaierai dans quelques jours, quand j’aurai un moment.

1 Like

Merci beaucoup Mamie. J’ai mis à jour mais le problème persiste, je pense que c’est une histoire de permission mais je n’en suis pas si sûr. J’ai ouvert un incident sur github.

Hello Mamie ! Tu avais raison, il fallait installer la version 5.x, mais pas n’importe comment : il fallait désinstaller la version 3.x qui contenait le dnsmasq de Debian/Yunohost, puis réinstaller la version latest (équivalent à la 5.x, et contenant le dnsmasq à la sauce pi-hole, nommé FTLDNS).

Ensuite, en suivant le guide officiel (c.f. mon 1er post) pour faire cohabiter Unbound et pi-Hole, tout fonctionne. C’est top ! Encore merci de m’avoir aidé !

1 Like

Dernière question si ça ne te dérange pas : pi-hole marche… mais j’arrive pas à l’utiliser. Je m’explique :

  • j’ai pris un téléphone android, j’ai téléchargé l’appli pi-hole officielle (je voulais faciliter la connexion), puis il me propose de rentrer une IP et un token, ou alternativement de scanner un QR code.

  • je me rends donc sur mon instance pi-hole à la recherche de ce token. Déjà, 1er indice : j’y vois des requêtes de tracking affichées pour un client, mais aucune requête bloquée. Ensuite, je me rends sur Settings > API > Show API token, et là réponse : page blanche affichant no password set.

  • enfin malgré mon installation propre, j’ai en diagnostique que pi-hole-FTL est exited, dnsmasq est exited, et que le fichier de configuration /etc/dnsmasq.d/01-pi-hole.conf semble avoir été modifié manuellement (je pense à unbound, mais j’en suis pas sûr).

Du coup, est-ce que tu as déjà rencontré ces soucis ? Merci

Je ne pense pas qu’il y aitquoi que ce soit à faire sur ton téléphone (sauf si ta rom impose un DNS ? )

De mon côté, chacun de mes appareils as déjà un fichier host modifié avec la même chose que ce que fait pi-hole, mais les autres appareils sur le réseau sont auto-configurés pour l’utiliser.

Pour faire ça, il faut que l’appareilqui configure le réseau dise aux appareils que le serveur DNS à utiliser sur le réseau est ton pi-hole.
Je n’ai pas de vpn chez moi, c’est la box qui s’en charge, et on ne peut pas la configurer alors j’ai désactivé son serveur DHCP et j’ai activé celui de pi-hole.

Bon j’ai eu un soucis : mon serveur refusait de se donner une ip à lui même alors j’ai du le configurer en statique, mais pour les autres appareils du réseau, tout se fait tout seul.

Après, peut-être que j’ai mal compris vu que je n’ai aucune idée de ce que peut bien faire l’appli pi-hole officielle, et comme elle n’est pas sur f-droid, je ne peux pas l’essayer.

Pour les soucis de diagnostique, je les ai aussi mais ilfaudrait les remonter en ticket pour que ces modifications passent par des hooks et ne comptent plus comme des modifications à la main (mais pas sur que ce soit possible car c’est pi-hole lui même qui modifie ces fichiers pour se configurer)

D’accord, tu es passé par la méthode DHCP, il parait que c’est avantageux pour connecter automatiquement les appareils à pi-hole, mais qu’il faut savoir ce qu’on fait.
Je vais essayer de creuser du coup avec les éléments que tu m’as donné, encore merci pour ton aide.

Dernière chose : j’ai bel et bien téléchargé pi-hole sur F-Droid, donc si un jour tu veux connecter un appareil android, fais-toi plaisir, c’est open-source !

Si tu parles de celle là, c’est indiqué “non officiel”

Pi-hole Droid (Client Pi-hole non officiel pour afficher des graphiques et statistiques)
Pi-hole Droid | F-Droid - Free and Open Source Android App Repository

Et visiblement c’est surtout pour visualiser les données non ?

Pour le DHCP, oui, c’est mieux de ne pas se rater, et surtout de ne pas avoir 2 serveurs DHCP sur le même réseau, et je n’ai aucune idée de si toutes les box permettent de le désactiver, ou alors de le configurer manuellement.
La j’ai une freebox v4 (crystal), elle permet de désactiver le DHCP mais pas de configurer le DNS.
Avant j’avais une box de la fausse fibre de red, et la on pouvait configurer le DNS.
Bref, ça dépend de chaque box…

Oui c’est bien cette appli, je pensais qu’on pouvait y connecter pi-hole dessus, tant pis !
Moi j’ai une freebox révolution, mais je vais essayer de voir si je peux pas connecter un client sur le pi-hole sans avoir à jouer du DHCP, j’ai pas assez d’expérience pour faire le cow-boy avec ça.