#pihole

scriptkiddie@anonsys.net

Niemals ohne Werbefilter surfen!

Warum einen #Werbefilter verwenden?

#Mozilla behauptet von sich, um unsere #Privatsphäre bemüht zu sein aber sie liefern #Firefox ihren #Browser nicht mit voreingestellten Werbefilter / #Werbeblocker aus. Es gibt diverse kleinere Browser, die das inzwischen machen und somit wäre es nicht mehr so revolutionär wenn Mozilla dies auch tun würde. Sei es drum, die erste Aktion nachdem ihr Firefox installiert habt sollte immer sein einen Werbefilter zu installieren. Dieser schützt euch vor ausufernder teilweise betrügerischer #Werbung. Er spart euch Zeit beim #YouTube schauen. Es wird verhindert, dass euer Surfverhalten großflächig ausgewertet und vermarktet wird. Selbst das FBI empfiehlt Werbefilter zu verwenden. Lasst euch nicht vom Rumheulen mancher Seiten erweichen euren Werbefilter abzuschalten, denn diese Seiten zahlen nicht wenn ihr euch durch abgeschalteten Werbefilter bei ihnen Schadsoftware einfangt und euren Rechner neu installieren müsst.

⚠️ Bitte merkt euch aus Sicherheitsgründen und zum Schutz der Privatsphäre niemals ohne Werbefilter surfen! ⚠️

Uneingeschränkt empfehlen kann ich "uBlock Origin" 👍

"uBlock Origin" filtert in der Defaulteinstellung zuverlässig die Werbung heraus auch bei YouTube. Dafür werden von Freiwilligen Listen gepflegt, die bekannte Werbung so herausfiltern, dass das Surferlebnis nicht durch kaputte Seiten beeinträchtigt wird. Man muss ihn nur installieren und kann dann lossurfen.

Installation für Firefox hier: https://addons.mozilla.org/de/firefox/addon/ublock-origin/

Ein Filter der lernt, Werbung zu filtern ist der "Privacy Badger".

Dieser Werbefilter wurde von der EFF (US-Bürgerrechtsorganisation für Freiheit im Internet) entwickelt. Die haben Ahnung und sind vertrauenswürdig. Hauptunterschied ist, dass dieser Werbefilter erst lernt die Werbung zu filtern anhand ihres negativen Verhaltens für die Privatsphäre. Damit seid ihr nach kurzer Lernphase auch gegen neue Methoden geschützt, da der Filter ständig dazulernt. Hintergrund ist, dass die Listen, die man für "uBlock Origin" herunterladen muss verfälscht sein könnten oder verboten werden könnten von restriktiven Regimen. Hauptkritikpunkt ist, dass man sich einen individuellen Fingerabdruck im Browser erzeugt, anhand dessen ihr theoretisch getrackt werden könntet. Dazu spielt der Server eine für euch individuell erzeugte Werbung aus. Ein anderer Server prüft dann, ob ihr genau diese Werbung filtert und weiß dann, dass ihr schon mal den vorherigen Server besucht habt.

Hier könnt ihr "Privacy Badger" für Firefox installieren:
https://addons.mozilla.org/de/firefox/addon/privacy-badger17/

Für alte und langsame Rechner eignet sich eine Werbefirewall.

Die Werbefirewall "Bluhell" arbeitet mit den selben Listen wie "uBlock Origin". Der Unterschied ist, dass "uBlock Origin" die Werbung filtert. Dazu werden die Werbeanzeigen herausgenommen und die Seite danach neu zusammengebaut, sodass es möglichst gutes Gesamterscheinungsbild im Browser erscheint. Dies braucht Zeit und Rechenleistung, was auf aktuellen Rechnern kein Problem ist. "Bluhell" blockt nur den Zugriff auf die Server, die die Werbung ausspielen. Dies geht schneller und einfacher aber die angezeigten Seiten sehen dann gelegentlich etwas kaputt aus mit einem großen Loch wo vorher die Werbung war.

Zur Installation für Firefox hier: https://addons.mozilla.org/de/firefox/addon/bluhell-firewall/

Werbung ausschalten ohne Filter mit der Leseansicht.

Wie gesagt solltet ihr aus Sicherheitsgründen niemals auf den Werbefilter verzichten. Manchmal sitzt man aber an einem fremden oder öffentlichen Rechner, wo man nicht mal eben was installieren kann oder darf. Dann hilft euch die Leseansicht im Firefox. Sie ist auch hilfreich, wenn ihr Seiten ausdrucken wollt, da unnötiges ausgeblendet wird. Um sie zu nutzen, einfach in der Adressleiste auf das entsprechende Symbol klicken.

Werbung blockieren mit der "hosts" Datei.

Das Prinzip ist ähnlich wie bei "Bluhell" aber ganz ohne Installation. Es gibt die Datei "hosts", die eigentlich dafür gedacht ist im lokalen Netzwerk auf Server weiterzuleiten, die nicht über einen DNS-Server aufgelöst werden können, weil man dafür keinen im lokalen Netzwerk eingerichtet hat. Der Trick ist jetzt Werbedomains, entweder auf die IP 0.0.0.0 oder 127.0.0.1 (localhost) umzuleiten. Klinkt für Anfänger wahrscheinlich nach Technikkaudawelsch bedeutet aber einfach nur, dass die Anfragen an Werbung ins leere gehen. Nachteil ist, dass bestimmte Dienste wie "Spotify" nicht mehr funktionieren, wenn sie keine Verbindung mehr zu ihrer Werbung haben. Ein weitere Nachteil ist, dass sich die Server für Werbung ständig ändern und man manuell Updates einspielen muss. Diese Aufgabe übernimmt sonst "Bluhell" oder "uBlock Origin" für euch.

Wie es geht wird hier beschrieben: https://www.hosteurope.de/blog/hosts-datei-finden-und-aendern-oder-fuer-eigenen-blocklist-blacklist-index-optimieren/

Listen erhält man hier: https://pgl.yoyo.org/as/serverlist.php
Oder hier: https://github.com/lightswitch05/hosts

Werbung filtern an einem zentralen Punkt für alle Geräte im eigenen Netzwerk mit "Pi Hole".

Diese Lösung ist nur etwas für Leute die sich auskennen, weil viele technische Schritte notwendig sind. Als Belohnung erhält man aber eine Lösung, die fertig eingerichtet für alle Geräte verfügbar ist. So kann man seine Wie ganze Familie, Verwandtschaft und Freunde wirkungsvoll schützen. Dazu richtet man sich auf einen #RaspberryPi einen Server ein, der die Werbung filtert. Danach muss man das lokale Netzwerk nur so konfigurieren, dass alle Geräte diesen Server nutzen für den Internetzugriff. Geräte im #Internet verbinden sich per #VPN mit dem eigenen Server. Den Server kann man zusätzlich als eigene Cloud nutzen und für vieles mehr.

Wie man ein sogenanntes "Pi Hole" einrichtet wird hier beschrieben: https://www.heise.de/tipps-tricks/Pi-Hole-auf-dem-Raspberry-Pi-einrichten-so-geht-s-4358553.html

#pihole #uBlockOrigin #Bluhell #firewall #adblocker #freiheit #anleitung #tutorial #Sicherheit #Wissen #software #www #web #Schutz #Betrug #Abofalle

rainerhgw@diasp.org

Smart TV

Heute kam ein neues Smart TV, das alte hat nach ca. 13 Jahren den Geist aufgegeben (genauer: verständlichen Ton aufgegeben) Dyon heißt die Marke, hatte ich noch nie gehört, angeblich sogar ein deutscher Hersteller (https://www.dyon.eu/) – ich glaube das nicht, vermutlich kommen die Geräte doch direkt aus China.

Da wir kein Antennen- oder Sat-TV haben, ging die Inbetriebnahme schnell vonstatten, auch Netz war sofort da:

Die 192.168.1.88 ist ein pihole, der Fernseher soll ja auch was gutes bekommen.

Alles funktioniert also, die diversen Streaming-Dienste sind eingerichtet und funktionieren.

Abschließend werfe ich noch einen Blick in die Logs des pihole um zu sehen, zu welchen Heimtelefonier-Seiten der Fernseher petzen möchte. Stellt sich raus: Der Fernseher benutzt den pihole gar nicht! (und auch nicht die 192.168.1.41)

Ein Verdacht kommt auf. Ich logge mich also auf dem Router ein und mache:

root@sokoll-router:/config# tcpdump -i switch0 -n host 192.168.1.92 and port 53
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on switch0, link-type EN10MB (Ethernet), capture size 262144 bytes
21:17:09.293692 IP 192.168.1.92.49962 > 8.8.8.8.53: 45092+ AAAA? logs.netflix.com. (34)
21:17:09.293699 IP 192.168.1.92.49962 > 8.8.8.8.53: 17557+ AAAA? nrdp.prod.cloud.netflix.com. (45)
21:17:09.293704 IP 192.168.1.92.49962 > 8.8.8.8.53: 15435+ A? nrdp51-appboot.netflix.com. (44)
21:17:09.293708 IP 192.168.1.92.49962 > 8.8.8.8.53: 49981+ AAAA? nrdp51-appboot.netflix.com. (44)
21:17:09.293715 IP 192.168.1.92.49962 > 8.8.8.8.53: 52581+ A? nrdp.nccp.netflix.com. (39)
21:17:09.293719 IP 192.168.1.92.49962 > 8.8.8.8.53: 42306+ AAAA? nrdp.nccp.netflix.com. (39)
21:17:09.293724 IP 192.168.1.92.49962 > 8.8.8.8.53: 27213+ A? api-global.netflix.com. (40)
21:17:09.321424 IP 192.168.1.92.49962 > 8.8.8.8.53: 60092+ A? logs.netflix.com. (34)
21:17:09.344818 IP 8.8.8.8.53 > 192.168.1.92.49962: 45092 6/0/0 CNAME logs.dradis.netflix.com., CNAME logs.eu-west-1.internal.dradis.netflix.com., CNAME apiproxy-logging-7d0bf81651765786.elb.eu-west-1.amazonaws.com., AAAA 2a05:d018:76c:b684::5a89:1099, AAAA 2a05:d018:76c:b680::5a89:1099, AAAA 2a05:d018:76c:b682::5a89:1099 (254)
21:17:09.346588 IP 8.8.8.8.53 > 192.168.1.92.49962: 17557 6/0/0 CNAME nrdp.prod.dradis.netflix.com., CNAME nrdp.prod.eu-west-1.internal.dradis.netflix.com., CNAME apiproxy-nrdp-prod-nlb-1-bc4243efc68f31ae.elb.eu-west-1.amazonaws.com., AAAA 2a05:d018:76c:b685:9ae6:e07a:670d:52e4, AAAA 2a05:d018:76c:b683:194f:a5df:2ad1:ab02, AAAA 2a05:d018:76c:b684:b7f5:7e97:3e99:751e (283)
21:17:09.346728 IP 8.8.8.8.53 > 192.168.1.92.49962: 52581 8/0/0 CNAME nrdp.nccp.dradis.netflix.com., CNAME nrdp.nccp.eu-west-1.origin.prodaa.netflix.com., A 52.19.104.71, A 52.49.155.216, A 54.76.160.164, A 52.210.130.122, A 52.210.124.147, A 52.18.41.61 (214)
21:17:09.346868 IP 8.8.8.8.53 > 192.168.1.92.49962: 49981 10/0/0 CNAME appboot.dradis.netflix.com., CNAME appboot.eu-west-1.origin.prodaa.netflix.com., AAAA 2a01:578:3::3410:ea4e, AAAA 2a01:578:3::34d3:322, AAAA 2a01:578:3::34d4:c576, AAAA 2a01:578:3::34d3:3154, AAAA 2a01:578:3::3430:8bf6, AAAA 2a01:578:3::369a:f1ed, AAAA 2a01:578:3::22f0:a04c, AAAA 2a01:578:3::36f6:b554 (343)

Au weia! Es wird ungebeten Googles DNS verwendet!

Fragen kommen auf: Das Teil erkennt die per DHCP zugewiesenen Nameserver – und verwendet sie nicht. Warum? DasTeil hat kein v6 und fragt doch nach AAAA. Warum?

Nun, ich hole das Schnüffelstück raus und flansche es an:

ubnt@sokoll-router:~$ show configuration commands
[…]
set firewall group address-group google-dns address 8.8.4.4
set firewall group address-group google-dns address 8.8.8.8
[…]
set firewall name LAN_OUT rule 20 action reject
set firewall name LAN_OUT rule 20 description 'Dem Fernseher Google DNS verbieten'
set firewall name LAN_OUT rule 20 destination group address-group google-dns
set firewall name LAN_OUT rule 20 destination port 53
set firewall name LAN_OUT rule 20 log disable
set firewall name LAN_OUT rule 20 protocol udp
set firewall name LAN_OUT rule 20 source address 192.168.1.92
set firewall name LAN_OUT rule 20 source mac-address '18:84:c1:bf:66:f1'
[…]

Und das wirkt, tataa!

root@sokoll-router:/config# tcpdump -i switch0 -n host 192.168.1.92 and port 53
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on switch0, link-type EN10MB (Ethernet), capture size 262144 bytes
21:32:35.659906 IP 192.168.1.92.34723 > 8.8.8.8.53: 23537+ A? logs.netflix.com. (34)
21:32:35.659911 IP 192.168.1.92.34723 > 8.8.8.8.53: 44326+ AAAA? nrdp.prod.cloud.netflix.com. (45)
21:32:35.659916 IP 192.168.1.92.34723 > 8.8.8.8.53: 22112+ A? nrdp51-appboot.netflix.com. (44)
21:32:35.659920 IP 192.168.1.92.34723 > 8.8.8.8.53: 57120+ AAAA? nrdp51-appboot.netflix.com. (44)
21:32:35.659924 IP 192.168.1.92.34723 > 8.8.8.8.53: 44242+ A? nrdp.nccp.netflix.com. (39)
21:32:35.659928 IP 192.168.1.92.34723 > 8.8.8.8.53: 19783+ AAAA? nrdp.nccp.netflix.com. (39)
21:32:35.659932 IP 192.168.1.92.34723 > 8.8.8.8.53: 25321+ A? api-global.netflix.com. (40)
21:32:35.662950 IP 192.168.1.92.43839 > 8.8.8.8.53: 22191+ AAAA? api-global.netflix.com. (40)
21:32:35.662958 IP 192.168.1.92.43839 > 8.8.8.8.53: 64306+ A? secure.netflix.com. (36)
21:32:35.663031 IP 192.168.1.92.43839 > 8.8.8.8.53: 32983+ AAAA? secure.netflix.com. (36)
21:32:35.663041 IP 192.168.1.92.43839 > 8.8.8.8.53: 58766+ A? uiboot.netflix.com. (36)
21:32:35.663049 IP 192.168.1.92.43839 > 8.8.8.8.53: 59032+ AAAA? uiboot.netflix.com. (36)
21:32:35.663094 IP 192.168.1.92.43839 > 8.8.8.8.53: 47968+ A? customerevents.netflix.com. (44)
21:32:35.663132 IP 192.168.1.92.43839 > 8.8.8.8.53: 27882+ A? ichnaea.netflix.com. (37)
21:32:35.663181 IP 192.168.1.92.43839 > 8.8.8.8.53: 18226+ A? cdn-0.nflximg.com. (35)
21:32:35.663231 IP 192.168.1.92.43839 > 8.8.8.8.53: 20002+ A? nrdp.prod.ftl.netflix.com. (43)
21:32:35.663263 IP 192.168.1.92.43839 > 8.8.8.8.53: 42457+ AAAA? nrdp.prod.ftl.netflix.com. (43)
21:32:35.883642 IP 192.168.1.92.43839 > 8.8.8.8.53: 13421+ A? nrdp.prod.cloud.netflix.com. (45)
21:32:36.634192 IP 192.168.1.92.43839 > 8.8.8.8.53: 13421+ A? nrdp.prod.cloud.netflix.com. (45)
21:32:36.787647 IP 192.168.1.92.43839 > 8.8.8.8.53: 44242+ A? nrdp.nccp.netflix.com. (39)

Er befragt weiterhin Google, bekommt aber keine Antworten mehr 🤓

Und gleichzeitig füllt sich das Log vom pihole. Und natürlich funktioniert das Smart am TV immer noch.

Hm, mir fällt gerade auf, daß ich

set firewall name LAN_OUT rule 20 protocol udp

auf

set firewall name LAN_OUT rule 20 protocol all

ändern sollte, nicht daß das Teil auf TCP umschwenkt irgendwann.

Was machen 99% der SmartTV-Nutzer? Die haben weder das Wissen noch die Technik, dem Spionieren wenigstens ein wenig entgegenzutreten. Klar könnte man das Ethernet ziehen und einen Firestick oder so direkt an HDMI anflanschen. Aber ob der weniger spionieren würde?

Wobei ich sagen möchte: Dem TV-Hersteller werfe ich keine Bösartigkeit vor, er liefert seine Kunden mangels Sorgfalt einfach den Datenkraken aus, was im Endeffekt aber egal ist. Das TV soll einfach das annehmen, was man ihm sagt, und gut wäre es.

#dns #pihole

rainerhgw@diasp.org

Ich sollte noch einmal das Logging überdenken…

root@r4:/etc/pihole# ls -lh pihole-FTL.db
-rw-rw-r-- 1 pihole pihole 4.6G Jan 14 00:05 pihole-FTL.db
root@r4:/etc/pihole#

#pihole

rainerhgw@diasp.org

#pi-hole #pihole

I have a pihole running on 192.168.1.88 which works as expected.

~$ dig +short un.org. @192.168.1.88
157.150.185.49
157.150.185.92
~$ dig +short doubleclick.net. @192.168.1.88
0.0.0.0
~$

The pihole has a forwarder:

root@r4:~# grep ^server /etc/dnsmasq.d/01-pihole.conf
server=192.168.1.41
root@r4:~#

192.68.1.41 is authoritative for the TLD sokoll and works fine:

~$ dig -t soa +short sokoll. @192.168.1.41
raspberrypi.sokoll. hostmaster.sokoll.com. 2021102662 7200 3600 2592000 86400
~$

But if I ask my pihole, all I get is a SRVFAIL:
```
~$ dig -t soa sokoll. @192.168.1.88

; <<>> DiG 9.18.9 <<>> -t soa sokoll. @192.168.1.88
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: SERVFAIL, id: 2779
[…]
~$
``
So the question comes up: Why pihole works with the TLD
org, but not with the TLDsokoll`?

rainerhgw@diasp.org

Home Assistant schön(er) gemacht

Bei mir läuft Home Assistant in einem Docker-Container auf einem Raspberry Pi 4, schon sehr lange. Anfangs als native Installation, da wurde dann aber die Updaterei bald nervig, deshalb Docker, da geht das Updaten (und Downgraden) deutlich schmerzfreier — mittlerweile kümmert sich watchtower darum, das geht alles vollautomatisch, sehr schick.
Dann kam irgendwann der Wunsch auf, die Installation auch aus dem Internet zugänglich zu machen. Der nächstliegende Gedanke war, auf dem Router einfach ein Portforwarding zu schalten: Router:TCP/443 -> Pi:TCP/443. Das hat aber mindestens zwei Probleme:

  • DNS-Name. Ich habe zwar die Domain sokoll.com, aber die IP des Routers ändert sich zwar selten, aber eben doch ab und an. Dann müßte das DNS nachgezogen werden. Unter der Voraussetzung, daß man den Wechsel der IP überhaupt bemerkt hat.
  • TLS-Zertifikat für den Webserver. Natürlich will ich nichts selbstsigniertes, Let’s Encrypt soll es schon sein. Dann geht aber die HTTP challenge nicht. DNS challenge ginge, mache ich ohnehin, aber dann müßte ich wild mit cronjobs hampeln und das Zertifikat von meinem Netcup-Server holen.

Alles nicht so fein. Also mußte eine andere Lösung her: der DNS-Name zeigt auf meinen Server bei Netcup, dort läuft ein Apache als reverse proxy:

<VirtualHost 185.207.105.125:443 [2a03:4000:1e:181::1]:443>
Protocols h2 http/1.1
ServerName hass.sokoll.com
ServerAlias home.sokoll.com
ServerAdmin webmaster@sokoll.com
ErrorLog ${APACHE_LOG_DIR}/hass.sokoll.com-error.log
CustomLog ${APACHE_LOG_DIR}/hass.sokoll.com-access.log combined
SSLCertificateFile /etc/dehydrated/certs/wildcard_sokoll.com/fullchain.pem
SSLCertificateKeyFile /etc/dehydrated/certs/wildcard_sokoll.com/privkey.pem
ProxyRequests off
ProxyPreserveHost On
ProxyPass /api/websocket wss://91.66.45.77/api/websocket
ProxyPassReverse /api/websocket wss://91.66.45.77/api/websocket
ProxyPass / https://91.66.45.77/
ProxyPassReverse / https://91.66.45.77/
SSLProxyEngine on
SSLProxyCheckPeerCN off
SSLProxyCheckPeerExpire off
SSLProxyCheckPeerName off
</VirtualHost>

(die IP ist schon lange nicht mehr gültig)
Das heißt: Der Request kommt bei Netcup an, und der Apache dort schubst ihn dann weiter zu meinem Router, dort gibt es ein Portforwarding auf den Pi. Nicht sonderlich elegant, funktioniert aber.

Nun änderte sich kürzlich die IP wieder, und ich mußte die Webserver-Konfiguration ändern, hatte mich vertippt, ging nicht, Fehler suchen und finden und beheben, bis zum nächsten IP-Wechsel, das ist doch alles Mist.
Auf dem Server läuft ein #Wireguard, das versorgt ein Telefon und einen Laptop mit #Pihole, das könnte doch auch den Pi bedienen? Wenn dann der Pi den Tunnel aufbaut, hätte ich immer dieselben IPs und könnte mir das ganze Gehampel mit Portforwarding auf dem Router sparen.
Wireguard ist simpel. Auf dem Server:
```
~$ ssh -l root big wg
interface: wg0
public key: RzZAu5Js3c8/5yQBPlhKg2b0jkOlxHT6vLreiC1BCgo=
private key: (hidden)
listening port: 51820

peer: yS2cSLvEovdsLLT8ne/lixoiU87o821TgBkzrVHRFS4=
endpoint: 91.66.61.253:35710
allowed ips: 192.168.3.6/32
latest handshake: 1 minute, 21 seconds ago
transfer: 16.10 MiB received, 1.83 MiB sent

peer: RF22N9Kb6AO0N+jqZvSIdPxtZj3CxgasdgwuW6ktGys=
endpoint: 91.66.61.253:58623
allowed ips: 192.168.3.5/32
latest handshake: 1 minute, 45 seconds ago
transfer: 50.42 MiB received, 715.71 MiB sent

peer: OAbhrovugDdR8he1UIzy67Szh798C4lxWelSwrd3Z3o=
endpoint: 91.66.61.253:1024
allowed ips: 192.168.3.4/32
latest handshake: 1 minute, 49 seconds ago
transfer: 19.73 MiB received, 77.50 MiB sent
~$

Auf dem Pi:

~$ ssh -l root r4 wg
interface: wg0
public key: yS2cSLvEovdsLLT8ne/lixoiU87o821TgBkzrVHRFS4=
private key: (hidden)
listening port: 35710

peer: RzZAu5Js3c8/5yQBPlhKg2b0jkOlxHT6vLreiC1BCgo=
endpoint: 185.207.105.125:51820
allowed ips: 192.168.3.1/32
latest handshake: 15 seconds ago
transfer: 1.03 MiB received, 8.97 MiB sent
persistent keepalive: every 25 seconds
~$
``
In der Apache-Konfiguration oben noch die VPN-Adresse des Pi eintragen und Apache reloaden.
Fertsch. Funktioniert traumhaft.
Gut. Ein Problem hatte ich: Der Tunnel wird von innen aufgebaut, solange da keine Pakete laufen, ist der Tunnel unten, und das ganze schöne Konstrukt funktioniert nicht. Man könnte einen Dauer-ping im Hintergrund laufen lassen, aber das wäre nun wirklich uncool. Und dann entdeckte ich eben
persistent keepalive`, was das Problem elegant löst.

Wireguard rockt da house!

rainerhgw@diasp.org

Q: Warum? A: Weil es geht!

Ich habe bei AWS (Nord Virginia) eine VM in der kleinsten (kostenlosen) Ausführung.

Auf der läuft ein Wireguard, mein Telefon ist praktisch ständig eingeloggt. Funktioniert. Wo ich früher bei etwa Spiegel Online Werbung hatte, welche die besten Rechtsanwälte in Greifswald seien, sehe ich nun Werbung, wo in Ashburn VA SUVs fast verschenkt werden 🙂

Da ich ja krank geschrieben bin und also Zeit habe, habe ich mir ein meinem Heimnetz mal ein Pi-Hole installiert. Das funktioniert erstaunlich effektiv, damit hatte ich nicht gerechnet. Sicher, ein Werbeblocker im Browser funktioniert noch erfolgreicher, aber bei Mobilgeräten ist das meist nicht möglich, und sobald es zu generischen Apps kommt, ist es ganz vorbei. Und da scheint Pi-Hole einen hervorragenden Job zu machen.

Allerdings: Wenn ich im VPN bin, nützt das nichts. Ich könnte zwar den Pi-Hole im LAN als DNS-Server eintragen, aber wenn ich mobil unterwegs bin, ist der ja nicht mehr erreichbar.

Aber: anders als es der Name vermuten läßt, kann man Pi-Hole nicht nur auf einem Raspberry Pi installieren, sondern praktisch überall, wo ein dnsmasq laufen könnte. Also auch auf meiner Amazon-VM, das ist ein Debian. In Wireguard auf dem Telefon wird das wg0 des VPN-Servers als DNS-Server eingetragen:



Scheint sofort zu funktionieren 🙂

Hübsche Spielerei mit Nutzeffekt.

#wireguard #pi-hole #pihole

#pi #pihole #wireguard

canoodle@nerdpol.ch

PiHole - advertisement & tracking blocking (also runs on the even faster odroids) can speed up surfing +50%

let’s face it: the internet has become a gigantic surveillance machine, with hundreds of private companies, trying to collect as much data on the user as possible in order to “predict the market” while also using with AI to analyze “BigData”.

Advertisement is MORE than annoying, it is a massive privacy issue, which makes millions of web users install the excellent

open source ublock firefox addon (“full spectrum blocker”) but there is even ads & tracking blocking “in hardware”:

https://www.youtube.com/watch?v=FjNkv2aPiiA

https://www.youtube.com/watch?v=FjNkv2aPiiA

pihole blocking advertisement system: cuts website loading times in half

https://www.heise.de/news/c-t-3003-Pi-Hole-kann-Ladezeiten-halbieren-Tutorial-7101911.html

https://magazine.odroid.com/article/pihole/

hurray hurray, South Korean company Odroid (well known for their beefy (performant while using less than 5Watts!) Raspberry competitors) just released “Odroid” “M1” (not getting a penny for this) for little money:

which can be EU shipped from here: https://www.pollin.de/p/odroid-m1-einplatinen-computer-4-gb-ram-811474

more specs here: (and a video review showing it playing back youtube fluently + while running googl earth 3D)

https://www.cnx-software.com/2022/03/29/hardkernel-launches-odroid-m1-rockchip-rk3568b2-sbc/

imho EVERY modern day firewall needs to include advertisement & tracking blocking PER DEFAULT 🙂

#linux #gnu #gnulinux #opensource #administration #sysops #bigdata #privacy #advertisement #blocking #pihole #speed #internet #speedup #fast

Originally posted at: https://dwaves.de/2022/05/21/pihole-advertisement-tracking-blocking-also-runs-on-the-even-faster-odroids-can-speed-up-surfing-50/

danie10@squeet.me

AdGuard Home is an alternative to Pi-hole for network-wide ad and tracker blocking

Bild/Foto
Both AdGuard Home and Pi-hole are free and open source, and both do pretty well much the same as far as functionality goes. They can also both be installed natively or as a docker container image, and will run on Raspberry Pi’s or larger hardware.

The differences really come with AdGuard Home’s UI looking a touch more modern and less cluttered, and supposedly AdGuard Home has additional functionality already included, where that must be installed additionally for Pi-hole.

So I managed to get up and running quite quickly with AdGuard Home by following DB Tech’s video. One thing that tripped me up was that the container would not start, and reported a clash on port 53 (the DNS port). But one of the commenters on the video, Wesley O’Brien, suggested a solution which worked perfectly for me. I set my router’s DHCP server to provide the IP of my AdGuard Home server as the DNS, and now all devices throughout the home network are using it. Speed tests and website page loading appears unaffected (not slower, anyway).

See https://youtu.be/u9ylq5Gry_A

#technology #opensource #adguardhome #pihole #trackers #privacy
#Blog, ##adguardhome, ##opensource, ##pihole, ##privacy, ##technology, ##trackers

toaskoas@pod.geraspora.de

Ich nutze aktuell einen #Raspberry mit #PiHole. Jetzt habe ich noch einen Raspi frei. Ich möchte gerne noch #Nextcloud und #Kodi auf einem Raspi laufen lassen. Brauche ich dafür zwingend noch einen Raspi, oder gibts da eine andere Lösung? Das ich zwei Sachen auf einen Raspi mach, oder so?

actro@pluspora.com

Ich hab mir vor Monaten schon so einen chinesischen Luftquälitätssensordingsi gegönnt, den aber nie eingerichtet. Seit gestern hängt der mit am HASS. Spannend ist, wenn 3 Erwachsene in dem Raum atmen und reden, steigt das CO² auf fast das Doppelte an.

Screenshot-20211016-174723-com-vson-smarthome.jpg

Weniger überraschen ist, dass das Getrommel am PiHole auf das 10fache ansteigt. 3mal dürft Ihr raten, wann die App zu dem Sensor auf dem Handy geöffnet wurde.. Mal sehen, ob ich das nicht tasmotizieren kann..

Screenshot-2021-10-16-Pi-hole-pihole.png

#smarthome #tasmota #pihole #chinajunk