[gelöst] PiHole in Proxmox->LXC->Docker
-
@mickym sagte in PiHole in Proxmox->LXC->Docker:
Sehe ich nicht so - die Maschine fängt zwar zu swappen an
eine einzelne, sprich, ein LXC, aber nicht der HOST selbst, denn der braucht selbst auch etwas RAM, überdimensioniert, kanns in die Hose gehen, wenn gleichzeitig mal etwas mehr benötigt wird.
Beispiel
du hast 8GB RAM zur Verfügung
du hast 3 LXC laufen, jedem stellst du 6GB RAM zur Verfügung, die laufen im ruhigen Zustand zwar nur mit 2,5GB( die restlichen Vergebenen 3,5GB pro LXC sind übrig), ergo benötigen gesamt 7,5GB + Host ca 1-2GB RAM
und nun läuft ein LXC aus dem Ruder und verbraucht seinen komplett vergebenen RAM2,5+2,5+6=11 und nun hat der Host nichts mehr und das System stürzt ab
-
@martinp sagte in PiHole in Proxmox->LXC->Docker:
@david-g Wollte den Wildwuchs an LXC-Containern limitieren...
Wenn man das ernsthaft machen will, muss man da ja wieder mit dem RAM schachern ...Ich nutze Adguard anstatt pihole.
Der CT hat 512mb zu Verfügung wovon 47mb in Benutzung sind. -
Zurück zum Thema:
Das Web-Interface von PI-Hole hat die Lösung:
Manchmal sollte man nicht zu stolz sein, auch da mal nachzuschauen
EDIT Und in der Web-UI war dann auch die Lösung, diesen Haken eins weiter nach Unten gesetzt:
"Potentially dangerous" sollte sich relativieren, wenn der Server aus dem Internet nicht erreichbar ist ...
-
Noch ein etwas deprimierender Nachtrag:
Entweder muss in im Docker noch einen größeren Aufriss machen, oder ich lasse PiHole abseits von Docker laufen: Derzeit hat Docker hier nur IPv4 konfiguriert. Das führt dazu, dass viel Werbung von PiHole nicht geblockt werden kann ...
Auch Werbung, die über IPv4 Adressen ausgeliefert wird ist davon betroffen. Wenn die DNSv4 Antwort vom PiHole nicht passt, wird der DNSv6 Server nach der IPv4 Adresse gefragt ..."Dicht" ist man wahrscheinlich nur, wenn man den kompletten DNS-Verkehr über PiHole leitet ...
-
@martinp sagte in [gelöst] PiHole in Proxmox->LXC->Docker:
Derzeit hat Docker hier nur IPv4 konfiguriert.
Wenn du kein MACVLAN nutzt (sondern ein Bridge-Netzwerk), kannst Du piHole trotzdem über die IPv6 Adresse des Hosts erreichen, auch wenn Docker selbst nicht für IPv6 konfiguriert ist.
Entscheidend ist, dass der Client DNS-seitig auch bei IPv6 auf den Docker Host zeigt.
-
@marc-berg Der Host hat nun eine SLAAC Adresse (vorher nur link lokal IPv6).
Die hängt aber mit dem AdressRange zusammen, den die Fritzbox zugewiesen "2A02:8071:....." bekommen hat.
Wahrscheinlich braucht der LXC aber eine statische Link-Lokale IPv6 https://en.wikipedia.org/wiki/Unique_local_address
-
@martinp sagte in [gelöst] PiHole in Proxmox->LXC->Docker:
Wahrscheinlich braucht der LXC aber eine statische Link-Lokale IPv6
Wie es sich verhält, wenn der LXC dazwischen hängt, kann ich nicht sagen. Mit "Docker-only" ist das unproblematisch.
-
@marc-berg Ich habe jetzt mit der Fritzbox ein wenig gebastelt
Und das hier:
Habe dann gedacht, dass der LXC mit diesen Parameters gut bedient ist:
Adresse: fd00:BC24:118D:96FE:3ea6:2fff:fe78:eb53/64
Gateway fd00:0:0:0:3ea6:2fff:fe78:eb53
Leider lässt sich die FD00:.... Adresse aus dem Heimnetz nicht anpingen...
Die Fritzbox aber schon
Bei den Punkt "Unique Local Addresses (ULA) immer zuweisen" habe ich etwas Bauchschmerzen, ihn zu aktivieren - ob dann AUCH die Provider-Adressen zugewiesen werden. Hätte es nicht gerne, wenn die Geräte keine öffentlichen IPv6 Adressen mehr hättenEDIT: Habe den Punkt mal aktiviert, und der LXC kriegt dann eine Öffentliche Adr und eine ULA
Die ULA lässt sich dann auch anpingen, also alles fein.
Interessant ist auch die Zuweisung ...
inet6 fd00::be24:11ff:fe8d:96fe/64 scope global dynamic mngtmpaddr valid_lft 7179sec preferred_lft 3579sec inet6 xxxx:xxxx:xxxx:xxxx:be24:11ff:fe8d:96fe/64 scope global dynamic mngtmpaddr valid_lft 7179sec preferred_lft 3579secStatisch ist die ULA anscheinend nicht...
MAC-Adresse BC:24:11:8D:96:FE
Die letzten vier Gruppen sind bei beiden IPv6 Adressen identisch
-
Nachdem ich am Spielcontainer DebianTest herumgebastelt habe, nun das Gleiche mit dem docker LXC mit piHole
Funktioniert auch (googlesyndication.com wird abgewiesen):
martin@martin-D2836-S1:~$ nslookup googlesyndication.com fd00::58b6:f7ff:fe7c:f2a2 Server: fd00::58b6:f7ff:fe7c:f2a2 Address: fd00::58b6:f7ff:fe7c:f2a2#53 Name: googlesyndication.com Address: 0.0.0.0 Name: googlesyndication.com Address: :: martin@martin-D2836-S1:~$ nslookup heise.de fd00::58b6:f7ff:fe7c:f2a2 Server: fd00::58b6:f7ff:fe7c:f2a2 Address: fd00::58b6:f7ff:fe7c:f2a2#53 Non-authoritative answer: Name: heise.de Address: 193.99.144.80 Name: heise.de Address: 2a02:2e0:3fe:1001:302:: -
@martinp sagte in [gelöst] PiHole in Proxmox->LXC->Docker:
fd00::58b6:f7ff:fe7c:f2a2
Mein PiHole residiert in einem docker Container innerhalb eines LXC mit folgenden IP-Adressen
192.168.2.146undfd00::58b6:f7ff:fe7c:f2a2/64
Nach Ergänzen der Nuller-Gruppen bei IPv6fd00:0:0:0:58b6:f7ff:fe7c:f2a2/64Das trägt man dann an der jeweiligen Stelle in der Fritzbox ein (Hemnetz->Netzwerk->Netzwerkeinstellungen)
und
Dann noch die Fritzbox selber umbiegen (Internet->Zugangsart->DNS-Server)
Und in PiHole die lokale Domain bekannt machen
Pi-Hole 6 hat das Menu für die Lokalen Auflösungen aber anders als in den bisherigen HowTos gezeigt:
Domain "." Target "fritz.box"
-
Eine Sache werde ich ggfs noch anpassen
CAP_SYS_NICE: FTL sets itself as an important process to get some more processing time if the latter is running low
Das ist im Docker_compose.yml noch aktiviert... finde ich ggfs suboptimal, dass sich PiHole da so breit macht ...
.... # SYS_TIME # Optional, if Pi-hole should get some more processing time - SYS_NICE ....Auf jeden Fall ist piHole schon recht fleißig...
EDIT: Noch zwei Bilder
CPU über 100% angeblich...
Proxmox sagt etwas anderes über den LXC...
