Reprise du message précédent :
+1 pour UniFi / Pihole en @home

oui tout, il n'y a juste plus l'antivirus mais comme je suis full linux plus trop besoin

après il y a surement des fonctionnalité de sophos qui ne sont pas chez Ubiquiti, mais comme je ne les utilisaient pas... elles ne manquent pas

et je n'ai plus la limitation à 50ips de Sophos pour la version gratos

Avec unify vous arrivez à bloquer youtube à des plages horaires pour un/des utilisateurs spécifiques? C'est un de mes besoins parmi d'autres.
 
Et il  y a le DPI sur le petit USG unify? De mémoire non. Après c'est peut être overkill, mais je ne pense pas.

Il y a le DPI, pour les blocage, je ne pense pas, sans doute le pihole est plus adapté pour ça

tin c'est quoi déjà les trucs tout en un pour le mail, un truc genre post.io ?

mail in a box ?
 
pour l'instant j'utilise docker-mailserver, un truc ultra simpliste, me tâte à migrer vers mail in a box

je veux un truc web 3.0 tout auto dans des containers avec gestions des blacklists, dkim et autre trucs qu'on soit se taper à la main.
en gros full rien à faire pour du smtp frontal

Y'a pas.

Gmail

Tu sais jusqu'à quel débit elle tient avec le dpi la petiote ?
Elle m'avait bien tenté, peut-être que ça sera mon choix quand je passerai à la fibre (en faisant le forcing pour un ONT rj45 et pas un module sfp+ en ressortant ma livebox 3), mais en attendant, en vdsl ça le semble plus source de problèmes que de confort.

aucune idée, je n'ai que du 30/3

J'ai vu qu'elle tombe à 120 Mbps avec DPI activé. La bonne excuse pour passer sur la version pro

Me tente pas, déjà que je me disais qu'il me fallait la pro pour le côté rackable... mais bon le prix c'est un peu beaucoup pour le plaisir de se rajouter des contraintes.

 
Je tiens les 300 Mbps avec un USG et le DPI.
C'est IPS/IDS qui plombe les perfs, 85Mbps max

Ça faisait quelques d'années que j'utilisais Pi-Hole, par curiosité j'ai voulu tester Adguard Home (via l'image Docker).
 

 
De base Adguard Home utilise les DNS Quad9 en DoH, et la configuration des DNS upstream est très complète.
 
J'ai par exemple juste ajouté 2 lignes pour la résolution de ma zone locale :
 

DNSSEC, DNSCrypt, DoT, tout est supporté et facilement paramétrable.
Il peut également faire office de serveur DHCP.
 
L'interface est claire, très réactive, et pas mal de fonctionnalités absentes de Pi-Hole sont dispos : blocage des malwares/phishing, des sites adultes, des réseaux sociaux (il suffit de les cocher, la liste est très complète), safe search (plusieurs moteurs de recherche sont supportés), etc.
 
Il est possible d'activer des paramètres particuliers à chaque client (en fonction de son adresse IP ou MAC).
 

 
Au niveau liste, il supporte les listes type "Adblock", et les fichiers hosts.
 

 
Mis à part l'absence de graphes/camemberts, je vois pas trop ce qui manque par rapport à Pi-hole
 
Je gardais une extension sur Safari pour bloquer les popups sur UN site, de base Adguard les bloque. Voila, il est adopté
L'image Docker fait 50 Mo, contre 300 Mo pour Pi-hole.
 
(les captures viennent de ce test)

Merci pour cet excellent feed back  

Est-ce qu'il y a moyen de configurer pihole & firefox pour avoir utiliser des domaines sur un seul mot en local ? Par exemple, j'aimerais qu'en entrant 'pihole' dans la barre d'adresse, j'arrive directement sur mon pihole.

Oui merci pour le feedback sur Adguard Home, je vais faire quelques tests.

 
Oui tu peux, tu mets une entré DNS, mais c'est moche  

ça ou suffixe DNS.

Pourquoi c'est moche?
Perso j'ai un reverse proxy (traeffik), le problème c'est qu'il a pour consigne de tout convertir en https sans réfléchir.
Du coup si j'ai une appli uniquement interne genre pihole.mondomaine.fr , si je passe par mon reverse il essaie de créer un certificat , sauf que je n'ai pas d'entrée  dns chez mon hébergeur pour pihole (logique puisque je ne veux pas l'ouvrir à l'extérieur).

La seule solution que j'ai trouvée est d'utiliser pihole et le fichier /etc/host

J'avoue, je suis noob.

 
J'ai à quelque trucs près la même chose, mais en local je suis aussi en https.
Tu génères un certificat wildcard, *.mondomaine.fr, avec pihole justement tu dis que ton adresse c'est xxx.xxx.xxx.xxx -> pihole.mondomaine.fr dans le dns, et ton certificat sera valide car wildcard. Tu as les mêmes url en local et à l'extérieur, toutes avec certificats valident, après à toi de voir si tu exposes en local ou internet pour chaque url.  

Que se passe-t-il si je n'ai pas d'entrée sur le dns ? J'héberge monsite.mondomaine.fr chez moi. Le site est également ouvert sur internet. Lorsque j'essaie d'atteindre mon propre site depuis le LAN, en réponse à ma requête DNS, je reçois en retour mon adresse IP WAN. Comment réagit le routeur lorsqu'il reçoit un paquet depuis le réseau local qui veut atteindre sa propre interface WAN ? Il loopback le paquet directement ?

Si tu as pas d'entré DNS, ça passe par l'extérieur et donc faut exposer pihole à l'extérieur, si tu exposes tout tu en as pas besoin.
Tu es pas obligé d'en avoir une si ta box/routeur gère le loopback, par contre je préfère en avoir une, comme ça si tu "perds" internet ça fonctionne encore.
 
En gros DNS local, si tu veux pas passer par le net. Et wildcard, car private.xxx.fr par exemple n'est pas connu d'internet.

Ça dépend des routeurs, certains implémentent NAT loopback / airpin / reflection.

Les Freebox gèrent ça, la Livebox 5 le gérait jusqu'au firmware déployé le mois dernier

 
Si je vois un saut unique avec un tracert, ça signifie que mon routeur gère le loopback ?
 
Je vais quand même passer par la solution dns dans pihole, c'est plus propre.

© Orange
   

Rho purée, ce timing parfait pour ma question
 
J'accès à mon NAS via une URL redirigée vers son IP.
 
Donc nas.mondomaine.fr pointe vers 1.2.3.4 qui est mon IP publique.
 
* Avant, j'avais une ligne ADSL avec Pihole en DNS. Quand je voulais contacter nas.mondomaine.fr, il n'y avait pas de problème
 
* maintenant j'ai une ligne Fibre. Je ne peux plus contacter nas.mondomaine.fr depuis la maison.
 
Pourtant le serveur DNS est toujours le même.
 
Si j'ai bien compris, c'est donc la box qui interdit les loopback ?

Certaines Livebox n'ont pas de NAT loopback, en effet.
 
Il te reste la solution du "split DNS", si tu utilises Pi-hole c'est assez simple à faire avec la version 5.0 (qui permet d'ajouter des enregistrements depuis la GUI).
Tu peux par exemple faire pointer nas.ndd.fr vers 192.168.x.y

Tu as changé de box entre temps ?
 
Effectivement, si ta box ne gère pas le loopback/hairpin il te reste la solution du Split DNS, donc il faudra remettre le PiHole (ou n'importe quel serveur DNS)

J'ai demandé au provider : effectivement, pas de loopback sur leur box.
 
Ils me proposent d'utiliser mon propre matos si besoin ...  
 
Bon, ba j'ai plus qu'à mettre à jour Pihole
 
Ou bien tester Adguard

Pour compléter mon post sur Adguard Home, je me suis basé sur ce tuto pour mettre en place le DNS over TLS avec Traefik : https://www.reddit.com/r/pihole/com [...] nsovertls/
 
Il faut avoir son propre nom de domaine, et un certificat TLS (généré par Traefik, dans l'exemple).
 
Ca fonctionne nickel, et ça permet d'utiliser son propre Pi-Hole/Adguard avec un téléphone Android >= 9.0

Quel fournisseur ? Ils donnent les infos nécessaires pour mettre son matériel perso ?

 
Tu es pas obligé de me mettre à jour tout de suite, tu peux mettre les dns dans le fichier lan.txt et tu reboot pihole en V4

lan ou hosts?

lan ou hosts? à voir s'il l'a en container ou en vm

Container. Je suis passé en v5. Il y a moyen de simple de vérifier que ça fonctionne (autre que couper mon routeur) ?

Mais même sans loopback, si tu essaies d'atteindre ton domaine perso, le paquet devrait sortir de chez toi, aller jusqu'au premier routeur de ton FAI et revenir, non ?

Sympa ça. J'ai pas regardé en détail mais il y a moyen d'avoir une authentification afin d'éviter que le dns soit utilisable par n'importe qui ?

Tu peux comparer le résultat de "dig nas.ndd.fr @pihole" et "dig nas.ndd.fr @1.1.1.1", par exemple.

Non, mais avec une URL genre dbfjfkrjfjdjdbrb.ndd.fr ça devrait aller

Nslookup sur le nom, depuis ton pc. Ou on ping sur le nom, tu verra l'IP résolue dans les tentatives de ping.

Non, justement.

 
le fichier lan.list dans pihole
Je suis en container

Je rebondis là-dessus, dans l'hypothèse où tout le réseau est branché à un même Switch (donc y compris la box).
Le client va donc adresser sa demander DNS au PiHole (sans passer par la box), et la box va lui retourner l'IP du NAS (pour notre exemple).
Le client ira donc se connecter ensuite directement au NAS.

Ça ne sort donc pas du réseau local, et a priori il n'y a même aucune raison que ça transite par la box (si le DNS est bien configuré sur le client). J'ai bon ?