Installation, configuration, administration de Pi-hole + certificat ssl sur Rasberry Pi

Article original Publié le : 04 octobre 2020 Mise a jour le : –

 

Entre le big data et le rgpd on se fait éplucher ..

Au quotidien j’utilise Blokada et sur PC Ublock et d’autre module complémentaire.
Pi-hole est une bonne alternative pour se libérer de la publicité sur son réseau domestique.
Les listes par défaut bloque déjà pas mal d’ads/malware, la navigation c’est faite rapidement sur des sites bourrés de pubs, c’est assez efficace.
Pour aller plus loin il y a des listes alternatives que l’on peut importer pour bloquer d’autres types de domaines que l’ads (porn, phising, drogue …)

Pas de client a installer, des que le serveur est opérationnel, il faut simplement ajouter en DNS primaire sur chaque device, (téléphone, tablette, pc …) l’adresse IP de ce serveur pour que les requêtes transite par lui.

Un petit schéma fait rapidement sur draw.io

 

Pour le déploiement de ce service, j’utilise un Raspberry Pi 3 qui héberge déjà un service (serveur OpenVPN), cela n’altère en rien le fonctionnement

 

Sommaire

• Installation de Pi-hole
• Génération du certificat
• Mise en route
• Administration

 

 

Installation de Pi-hole        UP

L’installation se fait via le script

/!\ Si l’erreur ci dessous apparaît en début d’installation, pi-hole curl: (60) SSL certificate problem: unable to get local issuer certificate Il faut installer le paquet ca-certificates $ sudo apt install ca-certificates 1 $ sudo apt install ca-certificates

Installation en cours, des fenêtres de dialogue apparaîtront pour personnaliser le serveur..

L’installation est assez sommaire, il faut définir sa carte réseau, son fournisseur dns, on laisse par défaut les 2 listes de blocages ads, et on installe un serveur lighttp auquel on rajoutera un certificat Let’s encrypt pour l’interface web.

L’installation prend quelques minutes

L’installation terminé, il génère un mot de passe aléatoire que l’on peut changer facilement en cli avec la commande ci dessous

 

 

Génération du certificat            UP

Récupération du script Cerbot et génération du certificat (se référer a cette doc si besoin)

 

Une fois le certificat généré, concaténer la private key et le certificat pour en faire un fichier combined.pem

 

Ajouter la configuration ssl dans le fichier external.conf

 

Sans oublier d’ajouter le module mod_openssl dans le fichier lighttpd.conf

Normalement on est OK, on peut tester son fichier de conf

Et redémarrer le service

 

 

Mise en route              UP

Le serveur est opérationnel en https, on peut se connecter a l’interface web

 

Voici un screenshot après quelques heures d’utilisation sur quelques appareils

 

 

Administration                 UP

En cli

Vérifier le bon fonctionnement

 

Mise a jour

 

Pour suivre en temps réel l’activité

 

Blacklisté/whitlisté un nom de domaine

 

Avoir un état général de Pi-hole

 

Mettre a jour les listes de blocages

 

Changer le mot de passe admin

 

Toute les options

 

 

Depuis l’interface web

Dans l’onglet Tools/network on peut lister les machines utilisant le dns de pi-hole et avoir quelques infos

 

Depuis Settings/DNS on retrouve le(s) dns utilisé(s) par pi-hole

 

Toujours dans l’onglet Settings et DHCP, il faut configurer son serveur dhcp et désactiver celui de son routeur afin que les devices se connecte directement au Pi-hole. (Je n’utilise pas de serveur dhcp)

 

L’ajout de nouvelle règle de blocage dans l’onglet Groupe Management/Adlist
Il ‘y a juste a taper “liste pi-hole” et on trouve rapidement de quoi personnalisé son Pi-hole

Ne pas oublier de faire un update, je suis passé de 83811 a 324482 unique domains bloqué

 

Il y a également une application Android qui permet d’accéder au contenu de l’interface web; il faut juste récupérer un token depuis l’onglet Settings/Api web interface et de renseigné ce token sur le profil de l’appli

 

 

Pour fixer les adresses mac / ip dans le serveur dhcp cela se fait dans /etc/dnsmasq.d/04-pihole-static-dhcp.conf sous la forme

dhcp-host=00:00:00:00:00:00,192.168.3.201,pc1
dhcp-host=11:11:11:11:11:11,192.168.3.202,pc2
dhcp-host=22:22:22:22:22:22,192.168.3.203,pc3
…

 

 

Quelques liens

https://pi-hole.net/

https://discourse.pi-hole.net/t/enabling-https-for-your-pi-hole-web-interface/5771

https://docs.pi-hole.net/core/pihole-command/

https://docs.pi-hole.net/main/prerequisites/

 

Édit: Un p’tit article intéressant sur la collecte des donnees

https://www.pixeldetracking.com/fr/le-bon-coin-donnees-personnelles-rgpd