Docker Container docker-pihole-unbound getestet

[LizenzFass78851]

Ich habe ich mich damit beschäftigt wie man pihole-unbound in Docker laufen lassen kann.

Zuerst habe ich mir die 2-Container Lösungen angeschaut und probiert.
Diese wären:

• https://github.com/patrickfav/pihole-unbound-docker
• https://github.com/chriscrowe/docker-pihole-unbound

Aber hat bei mir zumindest nicht funktioniert.
- Grund war, dass der DNS Port trotz Forwading in der docker-compose.yml, nicht von außen (z.b. im Lokalen Netzwerk) erreichbar ist.
(Liegt an die Schwierigkeit das, das definierte Netzwerk zwischen den Pihole und den Unbound Container zwar funktioniert, aber aus irgendeinen Grund den DNS Port von Pihole wie bereits erwähnt nicht von außen erreichbar ist.)
Funktioniert doch. Man muss nur in der *.conf Datei das interface und die Zugrifsrechte setzen.
Das und mehr steht unter #1542 (comment)

Edit: Es geht noch einfacher den besagten Container zu deployen.
Siehe #1542 (reply in thread)

Erste Ansätze

Eine von den beiden Repos zusammengeführte und optimierte docker-compose.yml wäre

version: '2'

services:
  pihole:
    container_name: pihole
    image: pihole/pihole:2024.06.0 # <- update image version here, see: https://github.com/pi-hole/docker-pi-hole/releases
    ports:
      - 53:53/tcp   # DNS
      - 53:53/udp   # DNS
      - 80:80/tcp   # HTTP
      - 443:443/tcp # HTTPS
    environment:
      - FTLCONF_LOCAL_IPV4=${FTLCONF_LOCAL_IPV4}
      - TZ=${TZ}
      - WEBPASSWORD=${WEBPASSWORD}
      - REV_SERVER=${REV_SERVER}
      - REV_SERVER_TARGET=${REV_SERVER_TARGET}
      - REV_SERVER_DOMAIN=${REV_SERVER_DOMAIN}
      - REV_SERVER_CIDR=${REV_SERVER_CIDR}
      - PIHOLE_DNS_=172.21.200.3#5335 # Hardcoded to our Unbound server
      - DNSSEC=true # Enable DNSSEC
    volumes:
      - etc_pihole:/etc/pihole:rw
      - etc_pihole_dnsmasq:/etc/dnsmasq.d:rw
    networks:
      pihole_dns_network:
        ipv4_address: 172.21.200.2 # <-- use this ip as dns when connected to pihole_dns_network (i.e. within a docker network)
    restart: unless-stopped
    depends_on:
      - unbound

  unbound:
    container_name: unbound
    image: alpinelinux/unbound:latest
    networks:
      pihole_dns_network:
        ipv4_address: 172.21.200.3 # <-- this is used by pihole as upstream DNS
    restart: unless-stopped
    volumes:
      - $PWD/unbound-pihole.conf:/etc/unbound/unbound.conf:ro,Z

networks:
  pihole_dns_network:
    name: "pihole_dns_network"
    ipam:
      driver: default
      config:
        - subnet: 172.21.200.0/24
          gateway: 172.21.200.1
          ip_range: 172.21.200.0/24 # 172.21.200.1 - 172.21.200.254

volumes:
  etc_pihole:
  etc_pihole_dnsmasq:

---

Eine weitere Lösung die aber auch weniger Ressourcen benötigt ist eine 1-Container Lösung
Namentlich docker-pihole-unbound von den Macher des breitbandbessung-docker (fabianbees)

• https://github.com/fabianbees/docker-pihole-unbound

Diese Variante hat auch funktioniert, als ich dies getestet habe.
- Liegt daran das diese 1-Container Lösung auf dem Pihole Container aufbaut aber zusätzlich unbound installiert und dies beim Starten mit im Container startet.

[LizenzFass78851]

Die 2-Container Lösung des docker-pihole-unbound Container-Stacks funktioniert auch wenn man wie folgt vorgeht.

1. Man nehme eine passend optimierte docker-compose.yml die das Offizielle Pihole und das Unbound direkt von alpinelinux benutzen.

mit Pihole Version 5

version: '2'

services:
  pihole:
    container_name: pihole
    image: pihole/pihole:2024.06.0 # <- update image version here, see: https://github.com/pi-hole/docker-pi-hole/releases
    ports:
      - 53:53/tcp   # DNS
      - 53:53/udp   # DNS
      - 80:80/tcp   # HTTP
      - 443:443/tcp # HTTPS
    environment:
      - FTLCONF_LOCAL_IPV4=${FTLCONF_LOCAL_IPV4}
      - TZ=${TZ}
      - WEBPASSWORD=${WEBPASSWORD}
      - REV_SERVER=${REV_SERVER}
      - REV_SERVER_TARGET=${REV_SERVER_TARGET}
      - REV_SERVER_DOMAIN=${REV_SERVER_DOMAIN}
      - REV_SERVER_CIDR=${REV_SERVER_CIDR}
      - PIHOLE_DNS_=172.21.200.3#5335 # Hardcoded to our Unbound server
      - DNSSEC=true # Enable DNSSEC
    volumes:
      - etc_pihole:/etc/pihole:rw
      - etc_pihole_dnsmasq:/etc/dnsmasq.d:rw
    networks:
      pihole_dns_network:
        ipv4_address: 172.21.200.2 # <-- use this ip as dns when connected to pihole_dns_network (i.e. within a docker network)
    restart: unless-stopped
    depends_on:
      - unbound

  unbound:
    container_name: unbound
    image: alpinelinux/unbound:latest
    networks:
      pihole_dns_network:
        ipv4_address: 172.21.200.3 # <-- this is used by pihole as upstream DNS
    restart: unless-stopped
    volumes:
      - $PWD/unbound-pihole.conf:/etc/unbound/unbound.conf:ro,Z

networks:
  pihole_dns_network:
    name: "pihole_dns_network"
    ipam:
      driver: default
      config:
        - subnet: 172.21.200.0/24
          gateway: 172.21.200.1
          ip_range: 172.21.200.0/24 # 172.21.200.1 - 172.21.200.254

volumes:
  etc_pihole:
  etc_pihole_dnsmasq:

mit Pihole Version 6

version: '2'

services:
  pihole:
    container_name: pihole
    image: pihole/pihole:development-v6 # <- update image version here, see: https://github.com/pi-hole/docker-pi-hole/releases
    ports:
      - 53:53/tcp   # DNS
      - 53:53/udp   # DNS
      - 80:80/tcp   # HTTP
      - 443:443/tcp # HTTPS
    environment:
      - TZ=${TZ}
      - FTLCONF_webserver_api_password=${FTLCONF_webserver_api_password}
      - FTLCONF_dns_revServers=${FTLCONF_dns_revServers}
      - FTLCONF_dns_upstreams=172.21.200.3#5335 # Hardcoded to our Unbound server
      - FTLCONF_dns_dnssec=true # Enable DNSSEC
    volumes:
      - etc_pihole:/etc/pihole:rw
      - etc_pihole_dnsmasq:/etc/dnsmasq.d:rw
    networks:
      pihole_dns_network:
        ipv4_address: 172.21.200.2 # <-- use this ip as dns when connected to pihole_dns_network (i.e. within a docker network)
    restart: unless-stopped
    depends_on:
      - unbound

  unbound:
    container_name: unbound
    image: alpinelinux/unbound:latest
    networks:
      pihole_dns_network:
        ipv4_address: 172.21.200.3 # <-- this is used by pihole as upstream DNS
    restart: unless-stopped
    volumes:
      - $PWD/unbound-pihole.conf:/etc/unbound/unbound.conf:ro,Z

networks:
  pihole_dns_network:
    name: "pihole_dns_network"
    ipam:
      driver: default
      config:
        - subnet: 172.21.200.0/24
          gateway: 172.21.200.1
          ip_range: 172.21.200.0/24 # 172.21.200.1 - 172.21.200.254

volumes:
  etc_pihole:
  etc_pihole_dnsmasq:

2. In der ausgewählten docker-compose.yml die environment's anpassen (aber nicht FTLCONF_dns_upstreams bzw. PIHOLE_DNS_), DNSSEC wäre empfohlen aktiv zu lassen und die environment's die nicht benutzt werden, auskommentieren mit #-Zeichen.
3. im selben Verzeichnis der docker-compose.yml nun folgende Datei erstellen, die sich unbound-pihole.conf nennt.

Inhalt der unbound-pihole.conf

• In der Datei sollte die interface: auf die interne IP-Adresse des Unbound-Containers (zusehen in der docker-compose-yml) definiert sein inkl. Zugriffsrecht.
• Und je nach verfügbaren CPU Kerne des Host-Systems oder VM in den Docker läuft sollte mit echo $(nproc) geprüft werden, wie viele CPU Kerne man zur Verfügung hat und das Ergebnis (die angezeigte Zahl aus der Ausgabe des Befehls) in der .conf Datei unter num-threads: anpassen.

server:
    verbosity: 0

    interface: 172.21.200.3
    access-control: 172.21.200.0/24 allow

    port: 5335
    do-ip4: yes
    do-udp: yes
    do-tcp: yes

    # May be set to yes if you have IPv6 connectivity
    do-ip6: no

    # You want to leave this to no unless you have *native* IPv6. With 6to4 and
    # Terredo tunnels your web browser should favor IPv4 for the same reasons
    prefer-ip6: no

    # One thread should be sufficient, can be increased on beefy machines. In reality for most users
    # running on small networks or on a single machine, it should be unnecessary to seek performance
    # enhancement by increasing num-threads above 1.
    num-threads: 1

    # ----------------------------------------------------------------------------------------------

    harden-glue: yes

    harden-dnssec-stripped: yes

    use-caps-for-id: no

    edns-buffer-size: 1232

    prefetch: yes

    private-address: 192.168.0.0/16
    private-address: 169.254.0.0/16
    private-address: 172.16.0.0/12
    private-address: 10.0.0.0/8
    private-address: fd00::/8
    private-address: fe80::/10

4. Wenn alles an den Dateien erstellt worden ist und die entsprechenden Werten richtig angepasst wurden, wird der Container-Stack gestartet, mit docker compose up -d
5. Ob alles inkl. die Antwort von Pihole auch erhält, ist es ratsam auf nummersicher zu gehen und mit dem Befehl dig test.de @127.0.0.1 auf dem Docker-Host oder vom entfernten Gerät im selben Netzwerk (da den Befehl aber entsprechend anpassen) um sicherzustellen, das es funktioniert.

[LizenzFass78851]

Laut den letzten Recherchen ist mir aufgefallen, es geht noch einfacher, und zwar wie folgt:

Den Informationen nach kann das Pihole als Docker Container scheinbar auch intern DNS verstehen, was bedeutet das, wenn man wie man es eigentlich von Docker Compose Stacks gewohnt ist, das man um mehre Dienste zu verbinden das man den DNS Name des Docker Containers verwendet. (z.b. unbound statt die (manuelle) IP des Containers)

Daher ist es auch möglich, die 2-Container-Lösung von docker-pihole-unbound ohne diese komplizierte Konfiguration von manuellen IPs zu definieren.

mit Pihole Version 5

version: '2'

services:
  pihole:
    container_name: pihole
    image: pihole/pihole:2024.06.0 # <- update image version here, see: https://github.com/pi-hole/docker-pi-hole/releases
    ports:
      - 53:53/tcp   # DNS
      - 53:53/udp   # DNS
      - 80:80/tcp   # HTTP
      - 443:443/tcp # HTTPS
    environment:
      - FTLCONF_LOCAL_IPV4=${FTLCONF_LOCAL_IPV4}
      - TZ=${TZ}
      - WEBPASSWORD=${WEBPASSWORD}
      - REV_SERVER=${REV_SERVER}
      - REV_SERVER_TARGET=${REV_SERVER_TARGET}
      - REV_SERVER_DOMAIN=${REV_SERVER_DOMAIN}
      - REV_SERVER_CIDR=${REV_SERVER_CIDR}
      - PIHOLE_DNS_=unbound # Hardcoded to our Unbound server
      - DNSSEC=true # Enable DNSSEC
    volumes:
      - etc_pihole:/etc/pihole:rw
      - etc_pihole_dnsmasq:/etc/dnsmasq.d:rw
    networks:
      - pihole-unbound
    restart: unless-stopped
    depends_on:
      - unbound

  unbound:
    container_name: unbound
    image: mvance/unbound:latest
    networks:
      - pihole-unbound
    restart: unless-stopped

networks:
  pihole-unbound:

volumes:
  etc_pihole:
  etc_pihole_dnsmasq:

mit Pihole Version 6

version: '2'

services:
  pihole:
    container_name: pihole
    image: pihole/pihole:development-v6 # <- update image version here, see: https://github.com/pi-hole/docker-pi-hole/releases
    ports:
      - 53:53/tcp   # DNS
      - 53:53/udp   # DNS
      - 80:80/tcp   # HTTP
      - 443:443/tcp # HTTPS
    environment:
      - TZ=${TZ}
      - FTLCONF_webserver_api_password=${FTLCONF_webserver_api_password}
      - FTLCONF_dns_revServers=${FTLCONF_dns_revServers}
      - FTLCONF_dns_upstreams=unbound # Hardcoded to our Unbound server
      - FTLCONF_dns_dnssec=true # Enable DNSSEC
    volumes:
      - etc_pihole:/etc/pihole:rw
      - etc_pihole_dnsmasq:/etc/dnsmasq.d:rw
    networks:
      - pihole-unbound
    restart: unless-stopped
    depends_on:
      - unbound

  unbound:
    container_name: unbound
    image: mvance/unbound:latest
    networks:
      - pihole-unbound
    restart: unless-stopped

networks:
  pihole-unbound:

volumes:
  etc_pihole:
  etc_pihole_dnsmasq:

Dadurch wird auch keine extra *.conf für das unbound benötigt, bedeutet aber das der unbound-Container auf einen nicht offiziellen Docker Container aufbaut.
Es ist unter Portainer noch einfacher möglich, dies zu deployen, da man nicht mit der besagten *.conf arbeiten muss.