Bonjour,

Je vous écris un petit article pour vous présenter Pi-hole.

Pi-hole quésaco ?
Pi-hole est un "logiciel/paquet" pour distribution Linux. Une fois le paquet installé, nous définissons notre serveur Linux comme Serveur DNS pour notre réseau.

En quoi il consiste par rapport à un serveur DNS classique ?
La différence entre Pi-hole et un serveur DNS, c'est que Pi-hole s'appuie sur les serveurs DNS les plus connus (Google, Quad9, Opendns, Norton ...) mais filtre les requêtes de nom indésirables.
Je vous donne un exemple, vous jouer à Candy Crush, l'application appelle fait des requêtes vers les serveurs de pub qui sont intégrés (exemple ceux de google) afin d'afficher la pub dans le jeu. C'est là que Pi-hole intervient.
Sachant qu'il filtre l'ensemble des requêtes, quand il voit passer une demande de résolution de nom et que c'est un domaine que nous avons au préalablement bloqué, il ne donnera pas suite à cette requête, ce qui empêche l'affichage de la pub. Voir l'illustration suivante.

Alors comment on le met en place ?
Pour ma part, j'utilise un Raspberry Pi 2 mais le top est d'utiliser le nouveau, le Raspberry Pi 3B+.
C'est le dernier en date est tellement bien plus puissant que le modèle 1 et 2. Voilà le lien chez Kubii

Après rien de plus simple, on télécharge la dernière image de Raspbian ici (https://www.raspberrypi.org/downloads/raspbian/)
3 types de version : Distribution avec les logiciels de base recommandés : Raspbian Stretch with desktop and recommended software
La même version sans les logiciels de base recommandés : Raspbian Stretch with desktop
Enfin la version serveur sans interface graphique : Raspbian Stretch Lite
Libre à vous de choisir, si vous voulez utiliser uniquement Pi-hole alors la version Lite suffit, si vous prévoyer d'autre projet à vous de choisir dans les deux premières versions.

Pour écrire l'iso sur votre carte SD j'utilise Win32DiskImager ou bien Version 64 portable

Fait en sorte qu'il n'y ai pas de partition sur votre carte SD et lancer l'écriture de l'image.
Une fois terminé, il ne vous reste qu'à insérer votre carte SD et démarrer le RPI.

Pour les premières configurations, regarder il y a beaucoup de tuto sur internet ou j'en ferai un plus tard.

Afin que ça soit facile, on fait tout depuis un PC fixe ou portable.

Voici la première commande à entrer dans le terminal afin de mettre à jour les paquets ainsi que le système.

sudo apt-get update && sudo apt-get -y upgrade && sudo apt-get -y dist-upgrade && sudo rpi-update -y

Une fois terminé (une opération qui est assez longue) on entre cette commande :
Voilà ce que donne le lancement :

On suit on met ok

Idem

Là on met ok sauf si le Rpi se connecte aussi en Wifi en plus du LAN.
Par contre je vous déconseille d'utiliser uniquement le Wifi à la place du LAN, ce qui est logique, le Wifi étant moins rapide qu'une connexion câble.

Ici, à choisir je prends Quad9 (un service de DNS français qui respecte la vie privée mieux que Google et consorts)

Là on ne touche à rien, on met ok direct

Pareil ici on vérifie que IPv4 et IPv6 soient bien cochés car on va filtrer les deux.

Cette fenêtre nous demande si on accepte cette adresse IP qui fût donné par le DHCP comme IP Fixe (je vous conseille de la changer et d'utiliser une adresse proche de l'adresse de broadcast, exemple : 192.168.0.253)

Un message peut s'afficher de conflit entre la réservation d'adresse IP fixé par bail DHCP permanent et celle que Pi-Hole va fixer.
En gros si vous avez configurer votre routeur pour que le Rpi garde cette IP, il faut supprimer le Bail DHCP.

Ici on nous demande si on installe l'interface Web, ce qui permet fort logique. On met ok

Ici on met oui aussi

Ici on nous demande si on sauvegarde ou pas les logs, de base je mets oui, le temps de voir ce que donnent les premiers logs et plus tard je conseille de les désactiver afin de préserver la vie de la carte SD.

Ici on nous informe que tout est prêt et ça nous donne l'adresse pour accéder et le mot de passe qui a été généré.
Retenez l'adresse d'accès et le mot de passe si vous comptez garder celui-ci.

Moi je préfère changer le mot de passe en utilisant la commande suivante :

pihole -a -p

Enfin on se connecte sur l'interface d'administration, puis Settings et enfin DNS où on coche l'utilisation de DNSSEC (DNSSEC permet de sécuriser les données envoyées par le DNS. Contrairement à d'autres protocoles comme SSL, il ne sécurise pas juste un canal de communication mais il protège les données, les enregistrements DNS, de bout en bout. Ainsi, il est efficace même lorsqu'un serveur intermédiaire trahit. / Source Wiki).

Maintenant deux possibilités :
Soit votre Box pour autorise à modifier le serveur DNS par défaut comme Numéricable/SFR et Orange Fibre (je précise Fibre et non Adsl,) (et Free si je me souviens bien) donc régler ça dans votre box. Je ne peux vous faire de capture d'écran car j'utilise un routeur Ubiquiti mais vous pouvez trouver cette démarche sur le Web.
Soit votre Box vous l’interdit comme une partie des Box Orange ADSL, Bbox de Bouygues
Et là, il faudra configurer Pi-hole comme DHCP et désactiver celui de votre Box.
On fait ainsi :
Pi-hole -> Settings -> DHCP
Pour l'instant on ne touche à rien, on va sur les paramètres de la Box du FAI.
On désactive le DHCP du FAI en premier, on sauvegarde
On retourne sur Pi-hole, on coche DHCP server enabled et on active en sauvegardant.

Enfin,
On ouvre l'invite de commande Windows et on entre les deux commandes suivantes :

ipconfig -release
ipconfig -renew

Afin de renouveler l'adresse IP mais surtout changer le DNS qui était celui de la Box.

Point important
Dans le cas comme le miens où vous pouvez modifier vos DNS de base, si vous voulez mettre un deuxième DNS, ne jamais faire l'erreur de mettre l'IP d'un DNS autre que Pi-Hole.
Exemple :
192.168.0.252
8.8.8.8
Vous pouvez être sur que des requêtes passe par le second DNS, ce n'est pas un DNS de secours si le premier ne répond pas, la box étant souvent submergé de requête, elle partage entre les DNS. Donc deux choix, soit vous mettez deux fois l'IP du Rpi, soit comme dans mon cas, j'ai un second Rpi chez un collègue qui à la fibre et qui possède mon second Rpi, ce qui me permet d'avoir toujours des réponses.
L'avantage aucun panne possible sauf si c'est les Rpi.
Le miens utilises Quad9 et mon second le DNS de OpenDNS. En gros 4 serveurs DNS pour 2 Rpi. Le problème de panne DNS comme chez Orange ne sont pas possible théoriquement.

Et quand je suis en dehors de chez moi puis-je m'en servir ?
Oui et non,
Pour les téléphones et tablettes j'utilise DNS Changer mais cela ne fonctionne que si je suis sur un Réseau Wifi par contre si je suis en 3G/4G cela ne fonctionne malheureusement pas, en tout cas sur mon samsung. Donc l'autre option possible est de créer un VPN sur son Rpi et se connecter en permanence dessus pour être couvert.
Pour les ordis c'est plus compliqués, je pense développer un petit outil pour switcher rapidement entre Ip Lan et Ip Wan.
Sinon il faut mettre les IP externe des Rpi mais si la Box gère mal le Nat hairpin, à l'intérieur de mon réseau ça reviens à utiliser le second Rpi situé en dehors de mon réseau ou créer quelques bugs.
Dans le cas où je suis à l’extérieur tout fonctionne normal.

Cordialement,
DX90

Dernière modification par DX90 (24/11/2018 22:53:32)