Pi-Hole + PiVPN (WG) und unbekannte Konfigzeilen (PostUp,Down)

Hallo in die Runde,

ich hatte bis vor kurzem PiVPN/OpenVPN auf meinem Pi-Hole (RPi4) und habe das gestern durch PiVPN/Wireguard ersetzt. Konfiguriert ist das ganze so das ich vom WG-Client auf den pi-hole zugreifen kann, aber auch Clients im LAN sind für mich von Unterwegs erreichbar. Optional funktioniert auch das umleiten des kompletten Traffics über das Wireguard-VPN (und das wesentlich einfacher als mit OpenVPN)

=> ich bin also zufrieden - läuft alles. Langzeittest fehlt natürlich und da machen mir bei den ganzen konfigs die man im Netz findet (wg0.conf für Wireguard) 2 Zeilen sorgen - ich hab keine Ahnung was die für konsequenzen haben und ob ich die überhaupt benötige (warum hat piVPN die nicht gesetzt?)

PostUp = iptables -A FORWARD -i %i -j ACCEPT; iptables -A FORWARD -o %i -j ACCEPT; iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
PostDown = iptables -D FORWARD -i %i -j ACCEPT; iptables -D FORWARD -o %i -j ACCEPT; iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE

Die beiden Zeilen sind immer als "gesetzt" zu sehen und werden selten verständlich erklärt: Routing ins Netz an/aus. JA das Routing klappte anfangs nicht: pivpn -d und die Frage mit Y beantwortet "IP Masqerade blabla setzen"? Aber seitdem klappt es (oder hab ich mit einem potentiellen Problem nur bisher kein Kontakt gehabt?)

Muss ich in meinem Szenario diese beiden Zeilen setzen oder macht hier piVPN im Hintergrund schon alles? (wie gesagt: einerseits wohl nötig, aber von piVPN nicht gesetzt...)

Vielleicht kann mir hier auch jemand erklären was die genau machen? :wink:
Wenn ich die setze möchte ich halt sicher gestellt haben das ich mich nicht ausschließe :wink: Ich habe noch CUPS/Owntone installiert und Plane Home Assistant drauf zu packen.

Grüße

Deine Fragestellungen haben nichts mit Pi-hole zu tun, sondern mit PiVPNs Konfiguration für Wireguard.

Du solltest Dich daher mit diesen Fragen auch an den PiVPN-Support wenden.

1 Like

naja was macht den den diese iptable-Konfig mit pi-Hole? Pi-Hole ist das Hauptsystem auf dem pi - daher die Frage. Zerschieße ich mir Pi-Hole-Seitig damit etwas? Oder ist das völlig uninteressant? Was für konsequenzen hat das für pihole?

Da viele piVPN in Kombi mit einem Pi-Hole-System nutzen, kann es ja sein das die Entwickler eben genau daher in der Konfig drauf verzichtet haben - weil sich das mit Pi-Hole beißt? Und wer kann mir besser sagen ob sich diese Konfig mit Pi-Hole beißt als diese Comm? :wink:

PS: sind ja recht viele pivpn-Fragen hier im Forum zu finden - liegt wohl daran das es keinen deutschsprachigen Support für pivpn gibt und 99% der User pivpn in Kombi mit pi-Hole nutzen.

Definitiv nicht! Beide Projekte haben eine breite Nutzerbasis welche nur eines von beidem benutzt.

Wie dem auch sei, diese Firewallregeln sorgen dafür dass das System für WireGuard Clients als NAT dient, die clients also über den VPN Server Internetzugang bekommen, wobei Zielhosts von Anfragen nur die IP des VPN Serversystems sehen, oder halt die des vorgelagerten NAT/Routers.

Pi-hole selbst, generell alles was auf dem Server selbst läuft, ist davon nicht betroffen.

Falls der VPN nur dazu dient mit Clients auf Pi-hole zuzugreifen/Ads zu blocken, solltest du die Regeln jedoch raus nehmen und die WireGuard Clients so konfigurieren, dass sie nur Anfragen an die IP des VPN Servers (kann auch die VPN interne sein) getunnelt werden und alle anderen Internetanfragen direkt an den Zielhost gehen. Sonst wird der Server unnötig belastet und Internetanfragen der Clients unnötig langsam.

1 Like