DoH Pi-hole (SOLUCIONADO)

Buenos días,

Actualmentente tengo una raspberry pi 4 con Pi-hole entre otros programas.

He intentado activar DoH en el agujero sin suerte, he seguido entre otros estos manuales
- https://geekland.eu/dns-over-https-doh-pi-hole/
- https://docs.pi-hole.net/guides/dns-over-https/

Pero el resultado es el que sigue

1607940074386.png

Alguna idea que qué puedo estar haciendo mal?

Saludos
 
Última edición:
El mikrotik ya lo tenías con DoH configurado y funcionando, ¿no? Pues apunta el pi-hole al propio mikrotik, y ya lo tienes: servidor de upstream filtrado + pi-hole para las peticiones internas.

Saludos!
 
El mikrotik ya lo tenías con DoH configurado y funcionando, ¿no? Pues apunta el pi-hole al propio mikrotik, y ya lo tienes: servidor de upstream filtrado + pi-hole para las peticiones internas.

Saludos!

El mkrotik que aputan a DoH es el que no tiene la raspi...

Si la raspi apunta al MK en vez del MK a la raspi no va a funcionar el bloqueo de publicidad, me equivoco?
 
Es darle la vuelta a la tortilla. Hasta ahora montábamos el pi-hole como dns primario, con sus servidores de upstream como públicos. El servidor DNS del mikrotik lo poníamos como secundario, por si fallaba el tema.

Ahora lo que te planteo es que montes el DoH en el mikrotik, como creo que ya tienes por otros posts que has puesto en el foro, y uses ese servidor del mikrotik como el "upstream server" del pi-hole. De esa manera vas a ser capaz de resolver en plano las peticiones que van al pi-hole, para que este trabaje adecuadamente filtrando anuncios, y como encriptadas las que salgan de tu red hacia internet, usando DoH. El equema sería este

PC --> (DNS claro) --> Pi-hole --> (DNS claro) --> mikrotik dns proxy server + cache --> (DoH DNS cifrado) --> Cloudflare

Saludos!
 
Como creo que recuerdas tengo varios mikrotiks, cada uno para una cosa.

En el mikrotik principal tengo la siguiente configuración DNS

1607946462999.png


Siendo 172.16.1.70 la ip del agujero.

Además en este aparato tengo dominio "lan" declarado con todas las ip que conforman la red.

El problema radica en el pihole, que siguiendo manuales no adopta el protocolo de seguridad que me interesa.

Este router es el principal y no me apetece jugar mucho con el, de el dependen otros routers y por eso prefiero tocar linux que el router, razón por la que posteé en el apartado de linux y no en el de mikrotik.

Saludos
 
Como creo que recuerdas tengo varios mikrotiks, cada uno para una cosa.

En el mikrotik principal tengo la siguiente configuración DNS

Ver el adjunto 75622

Siendo 172.16.1.70 la ip del agujero.

Además en este aparato tengo dominio "lan" declarado con todas las ip que conforman la red.

El problema radica en el pihole, que siguiendo manuales no adopta el protocolo de seguridad que me interesa.

Este router es el principal y no me apetece jugar mucho con el, de el dependen otros routers y por eso prefiero tocar linux que el router, razón por la que posteé en el apartado de linux y no en el de mikrotik.

Saludos
Pues creo que merece la pena recapitular, porque esa configuración de dns que tienes, ya de partida, es incorrecta.

Ahora mismo ese equipo tiene definidos tres servidores de upstream, los cuales usa el mikrotik para resolver sus peticiones, indistintamente: ahí no hay primario ni secundario ni nada, sólo un array de tres servidores, donde uno de ellos, además, parece el propio equipo (¿quien es el 172.16.1.1?), otro el pi-home y otro un dns público. Si lo quieres hacer bien, ahí irían únicamente uno o dos servidores públicos.

Cuando habilites DoH en el mikrotik, los dns públicos sólo se utilizarán una vez: para resolver la IP detrás de la URL del servidor DoH. Una vez hecho, todo lo demás irá por petición https encriptada, no dejando rastro en la cache del mikrotik.

Si el agujero, en lugar de apuntarlo a un dns público, lo apuntas a la IP del mikrotik como upstream dns resolver, lo que consigues es filtrar anuncios + que todo lo que salga del dns de tu router vaya cifrado.

Saludos.
 
Pues creo que merece la pena recapitular, porque esa configuración de dns que tienes, ya de partida, es incorrecta.

Ahora mismo ese equipo tiene definidos tres servidores de upstream, los cuales usa el mikrotik para resolver sus peticiones, indistintamente: ahí no hay primario ni secundario ni nada, sólo un array de tres servidores, donde uno de ellos, además, parece el propio equipo (¿quien es el 172.16.1.1?), otro el pi-home y otro un dns público. Si lo quieres hacer bien, ahí irían únicamente uno o dos servidores públicos.

Cuando habilites DoH en el mikrotik, los dns públicos sólo se utilizarán una vez: para resolver la IP detrás de la URL del servidor DoH. Una vez hecho, todo lo demás irá por petición https encriptada, no dejando rastro en la cache del mikrotik.

Si el agujero, en lugar de apuntarlo a un dns público, lo apuntas a la IP del mikrotik como upstream dns resolver, lo que consigues es filtrar anuncios + que todo lo que salga del dns de tu router vaya cifrado.

Saludos.
Ya reduje la lista de DNS exclusivamente al pihole.

Del resto de información no me acabo de enterar, pero que quede claro que no quiero tocar el en router.

Saludos
 
Borra la caché del DNS y lanza la prueba otra vez, si ya sólo tienes el pi-hole como resolver.
IP -> DNS Settings -> Cache -> Flush cache.

Por otro lado, asegúrate de que en el DHCP no se entrengan otros DNS que no sean otros que el propio equipo mikrotik o el pi-hole.

Y lanzas la prueba de nuevo.

Saludos!
 
Así es como lo tengo

1607949409034.png


No tengo a nadie conectado vía wifi, si tengo conectados via vpn, pero las vpn resuelven la ip del agujero

Saludos
 
Pues, así tal y como lo tienes, si el apaño ese de configurar el DoH en la raspberry pi con el cliente de Cloudflare funciona, debería darte como resultado que sí estás lanzando el dns sobre https.

Luego os monto yo un cacho manual de cómo hacerlo a la inversa, que es lo que te comentaba antes. El DoH en el mikrotik, y el pi-hole apuntando a este como servidor de upstream.

Saludos!
 
Ahora que el mikrotik está correcto, como reconfiguro el pihole para que funcione con DoH?

1608024710326.png


Saludos
 

Adjuntos

  • 1608024640332.png
    1608024640332.png
    190.7 KB · Visitas: 39
No lo tienes ya ese servicio levantado? porque ese error lo que te está diciendo es que el puerto 5053 está en uso.

Para ver si está corriendo, ejecuta:
Bash:
sudo systemctl status cloudflared

Y, si lo quieres reiniciar, ejecuta:
Bash:
sudo systemctl restart cloudflared

Y, para saber si la pi está resolviendo las peticiones DNS por DoH, con el comando que te viene en la misma guía que me mandaste, desde la terminal de la pi igualmente:
Bash:
dig @127.0.0.1 -p 5053 google.com

Saludos!
 
¿pero qué? ¿Para qué lanzas el comando cloudflared al final, si ya lo tienes corriendo como servicio de sistema y resolviendo peticiones?

Saludos!
 
En el dhcp, estás entregando únicamente el dns del pi-hole, como primario?

chequéalo con esto también, a ver si qué te dice: https://www.cloudflare.com/ssl/encrypted-sni/

Si ves que tampoco, reinicia la pi.

Pero no lances el servicio de nuevo, que ya está corriendo.

Saludos!
 
En el dhcp, estás entregando únicamente el dns del pi-hole, como primario?
1608061143672.png

Las otras redes son wifis para "proveedores y clientes"

chequéalo con esto también, a ver si qué te dice: https://www.cloudflare.com/ssl/encrypted-sni/

1608061248732.png

Si ves que tampoco, reinicia la pi.
Reiniciada y con el mismo resultado

El problema no se de donde viene, pero me baso en el "blind address already in use"

Saludos
 
Pues es raro, y no sabría decirte por qué no te funciona. Lo que sí sé es que el error de los logs es perfectamente normal que te suceda, puesto que ya tienes el mismo servicio levantado en modo demonio y escuchando peticiones en el mismo puerto. Así que, si tratas de levantarlo de nuevo en ese mismo puerto, es normal que te diga que está ocupado.

Saludos.
 
Pues es raro, y no sabría decirte por qué no te funciona. Lo que sí sé es que el error de los logs es perfectamente normal que te suceda, puesto que ya tienes el mismo servicio levantado en modo demonio y escuchando peticiones en el mismo puerto. Así que, si tratas de levantarlo de nuevo en ese mismo puerto, es normal que te diga que está ocupado.

Saludos.

Gracias, esperamos entonces a ver si otro forero sabe a qué puede ser debido

Saludos
 
Arriba