NEWS
[gelöst] PiHole in Proxmox->LXC->Docker
-
@martinp sagte in PiHole in Proxmox->LXC->Docker:
Wo siehst Du bei mir 10 LXCs und 3 VMs?
Das war auf mich gemünzt.
-
@mickym Trotzdem sollte man bei mehreren LXC-Containern dafür sorgen, dass man in Summe nicht mehr RAM an die Container verteilt, als verfügbar ist, wenn man ein stabiles System behalten will...
Wenn alles, was an RAM verfügbar ist vergeben ist, muss man da irgendwo etwas abzweigen, wenn man einen weiteren LXC auf das System quetschen will.
Das Gleiche gilt natürlich auch eigentlich für Docker-Container, aber die liegen ja eine Ebene tiefer, und können dann "nur" den LXC in Verdrückung bringen, auf dem sie laufen ...
Hier noch der Portscan von einem anderen LXC aus:
martin@DebianTest:~$ nmap -v -A dockerklon1 Starting Nmap 7.93 ( https://nmap.org ) at 2025-02-23 14:51 CET NSE: Loaded 155 scripts for scanning. NSE: Script Pre-scanning. Initiating NSE at 14:51 Completed NSE at 14:51, 0.00s elapsed Initiating NSE at 14:51 Completed NSE at 14:51, 0.00s elapsed Initiating NSE at 14:51 Completed NSE at 14:51, 0.00s elapsed Initiating Ping Scan at 14:51 Scanning dockerklon1 (192.168.2.146) [2 ports] Completed Ping Scan at 14:51, 0.00s elapsed (1 total hosts) Initiating Parallel DNS resolution of 1 host. at 14:51 Completed Parallel DNS resolution of 1 host. at 14:51, 0.02s elapsed Initiating Connect Scan at 14:51 Scanning dockerklon1 (192.168.2.146) [1000 ports] Discovered open port 22/tcp on 192.168.2.146 Discovered open port 443/tcp on 192.168.2.146 Discovered open port 80/tcp on 192.168.2.146 Discovered open port 53/tcp on 192.168.2.146 Discovered open port 631/tcp on 192.168.2.146 Discovered open port 8000/tcp on 192.168.2.146 Discovered open port 3000/tcp on 192.168.2.146 Discovered open port 32768/tcp on 192.168.2.146 Completed Connect Scan at 14:51, 0.23s elapsed (1000 total ports) Initiating Service scan at 14:51 Scanning 8 services on dockerklon1 (192.168.2.146) martin@DebianTest:~$@martinp sagte in PiHole in Proxmox->LXC->Docker:
@mickym Trotzdem sollte man bei mehreren LXC-Containern dafür sorgen, dass man in Summe nicht mehr RAM an die Container verteilt, als verfügbar ist, wenn man ein stabiles System behalten will...
Sehe ich nicht so - die Maschine fängt zwar zu swappen an - aber der Clou an der Sache ist ja, dass die Resourcenverteilung so intelligent ist, dass man nicht den physischen Speicher braucht, der theoretisch verbraucht werden kann.
Jeder Flow bzw. jedes Script, das ich hier poste implementiert jeder auf eigene Gefahr. Flows und Scripts können Fehler aufweisen und weder der Seitenbetreiber noch ich persönlich können hierfür haftbar gemacht werden. Das gleiche gilt für Empfehlungen aller Art.
-
@martinp sagte in PiHole in Proxmox->LXC->Docker:
@mickym Trotzdem sollte man bei mehreren LXC-Containern dafür sorgen, dass man in Summe nicht mehr RAM an die Container verteilt, als verfügbar ist, wenn man ein stabiles System behalten will...
Sehe ich nicht so - die Maschine fängt zwar zu swappen an - aber der Clou an der Sache ist ja, dass die Resourcenverteilung so intelligent ist, dass man nicht den physischen Speicher braucht, der theoretisch verbraucht werden kann.
@mickym Wenn man keine zeitkritischen Anwendungen hat, mag das stimmen, aber man sollte sich da nicht wundern, wenn dann alles unbedienbar wird, wenn die LXCs sich gegenseitig den Platz streitig machen und anfangen, sich aus dem RAM zu kicken ...
https://forum.proxmox.com/threads/trying-to-understand-lxc-ram-and-swap-allocation.89166/
Zurück zum Thema
martin@DockerKlon1:~/gitea/pihole$ sudo lsof -i -P -n | grep 53 docker-pr 756 root 4u IPv4 166697338 0t0 TCP *:53 (LISTEN) docker-pr 787 root 4u IPv6 166697376 0t0 TCP *:53 (LISTEN) docker-pr 824 root 4u IPv4 166696382 0t0 UDP *:53 docker-pr 844 root 4u IPv6 166696409 0t0 UDP *:53Bei UDP fehlt das "(LISTEN)", könnte das eine Spur sein?
-
@martinp sagte in PiHole in Proxmox->LXC->Docker:
@mickym Trotzdem sollte man bei mehreren LXC-Containern dafür sorgen, dass man in Summe nicht mehr RAM an die Container verteilt, als verfügbar ist, wenn man ein stabiles System behalten will...
Sehe ich nicht so - die Maschine fängt zwar zu swappen an - aber der Clou an der Sache ist ja, dass die Resourcenverteilung so intelligent ist, dass man nicht den physischen Speicher braucht, der theoretisch verbraucht werden kann.
@mickym sagte in PiHole in Proxmox->LXC->Docker:
Sehe ich nicht so - die Maschine fängt zwar zu swappen an
eine einzelne, sprich, ein LXC, aber nicht der HOST selbst, denn der braucht selbst auch etwas RAM, überdimensioniert, kanns in die Hose gehen, wenn gleichzeitig mal etwas mehr benötigt wird.
Beispiel
du hast 8GB RAM zur Verfügung
du hast 3 LXC laufen, jedem stellst du 6GB RAM zur Verfügung, die laufen im ruhigen Zustand zwar nur mit 2,5GB( die restlichen Vergebenen 3,5GB pro LXC sind übrig), ergo benötigen gesamt 7,5GB + Host ca 1-2GB RAM
und nun läuft ein LXC aus dem Ruder und verbraucht seinen komplett vergebenen RAM2,5+2,5+6=11 und nun hat der Host nichts mehr und das System stürzt ab
-
@david-g Wollte den Wildwuchs an LXC-Containern limitieren...
Wenn man das ernsthaft machen will, muss man da ja wieder mit dem RAM schachern ...@martinp sagte in PiHole in Proxmox->LXC->Docker:
@david-g Wollte den Wildwuchs an LXC-Containern limitieren...
Wenn man das ernsthaft machen will, muss man da ja wieder mit dem RAM schachern ...Ich nutze Adguard anstatt pihole.
Der CT hat 512mb zu Verfügung wovon 47mb in Benutzung sind. -
@mickym sagte in PiHole in Proxmox->LXC->Docker:
Sehe ich nicht so - die Maschine fängt zwar zu swappen an
eine einzelne, sprich, ein LXC, aber nicht der HOST selbst, denn der braucht selbst auch etwas RAM, überdimensioniert, kanns in die Hose gehen, wenn gleichzeitig mal etwas mehr benötigt wird.
Beispiel
du hast 8GB RAM zur Verfügung
du hast 3 LXC laufen, jedem stellst du 6GB RAM zur Verfügung, die laufen im ruhigen Zustand zwar nur mit 2,5GB( die restlichen Vergebenen 3,5GB pro LXC sind übrig), ergo benötigen gesamt 7,5GB + Host ca 1-2GB RAM
und nun läuft ein LXC aus dem Ruder und verbraucht seinen komplett vergebenen RAM2,5+2,5+6=11 und nun hat der Host nichts mehr und das System stürzt ab
Zurück zum Thema:
Das Web-Interface von PI-Hole hat die Lösung:
Manchmal sollte man nicht zu stolz sein, auch da mal nachzuschauen ;-)
EDIT Und in der Web-UI war dann auch die Lösung, diesen Haken eins weiter nach Unten gesetzt:
"Potentially dangerous" sollte sich relativieren, wenn der Server aus dem Internet nicht erreichbar ist ...
Intel(R) Celeron(R) CPU N3000 @ 1.04GHz 8G RAM 480G SSD
Virtualization : unprivileged lxc container (debian 12 on Proxmox 8.4.14)
Linux pve 6.8.12-16-pve
6 GByte RAM für den Container
Fritzbox 6591 FW 8.03 (Vodafone Leih-Box)
Remote-Access über Wireguard der Fritzbox -
Zurück zum Thema:
Das Web-Interface von PI-Hole hat die Lösung:
Manchmal sollte man nicht zu stolz sein, auch da mal nachzuschauen ;-)
EDIT Und in der Web-UI war dann auch die Lösung, diesen Haken eins weiter nach Unten gesetzt:
"Potentially dangerous" sollte sich relativieren, wenn der Server aus dem Internet nicht erreichbar ist ...
Noch ein etwas deprimierender Nachtrag:
Entweder muss in im Docker noch einen größeren Aufriss machen, oder ich lasse PiHole abseits von Docker laufen: Derzeit hat Docker hier nur IPv4 konfiguriert. Das führt dazu, dass viel Werbung von PiHole nicht geblockt werden kann ...
Auch Werbung, die über IPv4 Adressen ausgeliefert wird ist davon betroffen. Wenn die DNSv4 Antwort vom PiHole nicht passt, wird der DNSv6 Server nach der IPv4 Adresse gefragt ..."Dicht" ist man wahrscheinlich nur, wenn man den kompletten DNS-Verkehr über PiHole leitet ...
Intel(R) Celeron(R) CPU N3000 @ 1.04GHz 8G RAM 480G SSD
Virtualization : unprivileged lxc container (debian 12 on Proxmox 8.4.14)
Linux pve 6.8.12-16-pve
6 GByte RAM für den Container
Fritzbox 6591 FW 8.03 (Vodafone Leih-Box)
Remote-Access über Wireguard der Fritzbox -
Noch ein etwas deprimierender Nachtrag:
Entweder muss in im Docker noch einen größeren Aufriss machen, oder ich lasse PiHole abseits von Docker laufen: Derzeit hat Docker hier nur IPv4 konfiguriert. Das führt dazu, dass viel Werbung von PiHole nicht geblockt werden kann ...
Auch Werbung, die über IPv4 Adressen ausgeliefert wird ist davon betroffen. Wenn die DNSv4 Antwort vom PiHole nicht passt, wird der DNSv6 Server nach der IPv4 Adresse gefragt ..."Dicht" ist man wahrscheinlich nur, wenn man den kompletten DNS-Verkehr über PiHole leitet ...
@martinp sagte in [gelöst] PiHole in Proxmox->LXC->Docker:
Derzeit hat Docker hier nur IPv4 konfiguriert.
Wenn du kein MACVLAN nutzt (sondern ein Bridge-Netzwerk), kannst Du piHole trotzdem über die IPv6 Adresse des Hosts erreichen, auch wenn Docker selbst nicht für IPv6 konfiguriert ist.
Entscheidend ist, dass der Client DNS-seitig auch bei IPv6 auf den Docker Host zeigt.
NUC10I3+Ubuntu+Docker+ioBroker+influxDB2+Node Red+RabbitMQ+Grafana
Pi-hole, Traefik, Checkmk, Conbee II+Zigbee2MQTT, ESPSomfy-RTS, LoRaWAN, Arduino, KiCad
Benutzt das Voting im Beitrag, wenn er euch geholfen hat.
-
@martinp sagte in [gelöst] PiHole in Proxmox->LXC->Docker:
Derzeit hat Docker hier nur IPv4 konfiguriert.
Wenn du kein MACVLAN nutzt (sondern ein Bridge-Netzwerk), kannst Du piHole trotzdem über die IPv6 Adresse des Hosts erreichen, auch wenn Docker selbst nicht für IPv6 konfiguriert ist.
Entscheidend ist, dass der Client DNS-seitig auch bei IPv6 auf den Docker Host zeigt.
@marc-berg Der Host hat nun eine SLAAC Adresse (vorher nur link lokal IPv6).
Die hängt aber mit dem AdressRange zusammen, den die Fritzbox zugewiesen "2A02:8071:....." bekommen hat.
Wahrscheinlich braucht der LXC aber eine statische Link-Lokale IPv6 https://en.wikipedia.org/wiki/Unique_local_address
Intel(R) Celeron(R) CPU N3000 @ 1.04GHz 8G RAM 480G SSD
Virtualization : unprivileged lxc container (debian 12 on Proxmox 8.4.14)
Linux pve 6.8.12-16-pve
6 GByte RAM für den Container
Fritzbox 6591 FW 8.03 (Vodafone Leih-Box)
Remote-Access über Wireguard der Fritzbox -
@marc-berg Der Host hat nun eine SLAAC Adresse (vorher nur link lokal IPv6).
Die hängt aber mit dem AdressRange zusammen, den die Fritzbox zugewiesen "2A02:8071:....." bekommen hat.
Wahrscheinlich braucht der LXC aber eine statische Link-Lokale IPv6 https://en.wikipedia.org/wiki/Unique_local_address
@martinp sagte in [gelöst] PiHole in Proxmox->LXC->Docker:
Wahrscheinlich braucht der LXC aber eine statische Link-Lokale IPv6
Wie es sich verhält, wenn der LXC dazwischen hängt, kann ich nicht sagen. Mit "Docker-only" ist das unproblematisch.
NUC10I3+Ubuntu+Docker+ioBroker+influxDB2+Node Red+RabbitMQ+Grafana
Pi-hole, Traefik, Checkmk, Conbee II+Zigbee2MQTT, ESPSomfy-RTS, LoRaWAN, Arduino, KiCad
Benutzt das Voting im Beitrag, wenn er euch geholfen hat.
-
@martinp sagte in [gelöst] PiHole in Proxmox->LXC->Docker:
Wahrscheinlich braucht der LXC aber eine statische Link-Lokale IPv6
Wie es sich verhält, wenn der LXC dazwischen hängt, kann ich nicht sagen. Mit "Docker-only" ist das unproblematisch.
@marc-berg Ich habe jetzt mit der Fritzbox ein wenig gebastelt
Und das hier:
Habe dann gedacht, dass der LXC mit diesen Parameters gut bedient ist:
Adresse: fd00:BC24:118D:96FE:3ea6:2fff:fe78:eb53/64
Gateway fd00:0:0:0:3ea6:2fff:fe78:eb53
Leider lässt sich die FD00:.... Adresse aus dem Heimnetz nicht anpingen...
Die Fritzbox aber schon
Bei den Punkt "Unique Local Addresses (ULA) immer zuweisen" habe ich etwas Bauchschmerzen, ihn zu aktivieren - ob dann AUCH die Provider-Adressen zugewiesen werden. Hätte es nicht gerne, wenn die Geräte keine öffentlichen IPv6 Adressen mehr hättenEDIT: Habe den Punkt mal aktiviert, und der LXC kriegt dann eine Öffentliche Adr und eine ULA
Die ULA lässt sich dann auch anpingen, also alles fein.
Interessant ist auch die Zuweisung ...
inet6 fd00::be24:11ff:fe8d:96fe/64 scope global dynamic mngtmpaddr valid_lft 7179sec preferred_lft 3579sec inet6 xxxx:xxxx:xxxx:xxxx:be24:11ff:fe8d:96fe/64 scope global dynamic mngtmpaddr valid_lft 7179sec preferred_lft 3579secStatisch ist die ULA anscheinend nicht...
MAC-Adresse BC:24:11:8D:96:FE
Die letzten vier Gruppen sind bei beiden IPv6 Adressen identisch
Intel(R) Celeron(R) CPU N3000 @ 1.04GHz 8G RAM 480G SSD
Virtualization : unprivileged lxc container (debian 12 on Proxmox 8.4.14)
Linux pve 6.8.12-16-pve
6 GByte RAM für den Container
Fritzbox 6591 FW 8.03 (Vodafone Leih-Box)
Remote-Access über Wireguard der Fritzbox -
@marc-berg Ich habe jetzt mit der Fritzbox ein wenig gebastelt
Und das hier:
Habe dann gedacht, dass der LXC mit diesen Parameters gut bedient ist:
Adresse: fd00:BC24:118D:96FE:3ea6:2fff:fe78:eb53/64
Gateway fd00:0:0:0:3ea6:2fff:fe78:eb53
Leider lässt sich die FD00:.... Adresse aus dem Heimnetz nicht anpingen...
Die Fritzbox aber schon
Bei den Punkt "Unique Local Addresses (ULA) immer zuweisen" habe ich etwas Bauchschmerzen, ihn zu aktivieren - ob dann AUCH die Provider-Adressen zugewiesen werden. Hätte es nicht gerne, wenn die Geräte keine öffentlichen IPv6 Adressen mehr hättenEDIT: Habe den Punkt mal aktiviert, und der LXC kriegt dann eine Öffentliche Adr und eine ULA
Die ULA lässt sich dann auch anpingen, also alles fein.
Interessant ist auch die Zuweisung ...
inet6 fd00::be24:11ff:fe8d:96fe/64 scope global dynamic mngtmpaddr valid_lft 7179sec preferred_lft 3579sec inet6 xxxx:xxxx:xxxx:xxxx:be24:11ff:fe8d:96fe/64 scope global dynamic mngtmpaddr valid_lft 7179sec preferred_lft 3579secStatisch ist die ULA anscheinend nicht...
MAC-Adresse BC:24:11:8D:96:FE
Die letzten vier Gruppen sind bei beiden IPv6 Adressen identisch
Nachdem ich am Spielcontainer DebianTest herumgebastelt habe, nun das Gleiche mit dem docker LXC mit piHole
Funktioniert auch (googlesyndication.com wird abgewiesen):
martin@martin-D2836-S1:~$ nslookup googlesyndication.com fd00::58b6:f7ff:fe7c:f2a2 Server: fd00::58b6:f7ff:fe7c:f2a2 Address: fd00::58b6:f7ff:fe7c:f2a2#53 Name: googlesyndication.com Address: 0.0.0.0 Name: googlesyndication.com Address: :: martin@martin-D2836-S1:~$ nslookup heise.de fd00::58b6:f7ff:fe7c:f2a2 Server: fd00::58b6:f7ff:fe7c:f2a2 Address: fd00::58b6:f7ff:fe7c:f2a2#53 Non-authoritative answer: Name: heise.de Address: 193.99.144.80 Name: heise.de Address: 2a02:2e0:3fe:1001:302::Intel(R) Celeron(R) CPU N3000 @ 1.04GHz 8G RAM 480G SSD
Virtualization : unprivileged lxc container (debian 12 on Proxmox 8.4.14)
Linux pve 6.8.12-16-pve
6 GByte RAM für den Container
Fritzbox 6591 FW 8.03 (Vodafone Leih-Box)
Remote-Access über Wireguard der Fritzbox -
Nachdem ich am Spielcontainer DebianTest herumgebastelt habe, nun das Gleiche mit dem docker LXC mit piHole
Funktioniert auch (googlesyndication.com wird abgewiesen):
martin@martin-D2836-S1:~$ nslookup googlesyndication.com fd00::58b6:f7ff:fe7c:f2a2 Server: fd00::58b6:f7ff:fe7c:f2a2 Address: fd00::58b6:f7ff:fe7c:f2a2#53 Name: googlesyndication.com Address: 0.0.0.0 Name: googlesyndication.com Address: :: martin@martin-D2836-S1:~$ nslookup heise.de fd00::58b6:f7ff:fe7c:f2a2 Server: fd00::58b6:f7ff:fe7c:f2a2 Address: fd00::58b6:f7ff:fe7c:f2a2#53 Non-authoritative answer: Name: heise.de Address: 193.99.144.80 Name: heise.de Address: 2a02:2e0:3fe:1001:302::@martinp sagte in [gelöst] PiHole in Proxmox->LXC->Docker:
fd00::58b6:f7ff:fe7c:f2a2
Mein PiHole residiert in einem docker Container innerhalb eines LXC mit folgenden IP-Adressen
192.168.2.146undfd00::58b6:f7ff:fe7c:f2a2/64
Nach Ergänzen der Nuller-Gruppen bei IPv6fd00:0:0:0:58b6:f7ff:fe7c:f2a2/64Das trägt man dann an der jeweiligen Stelle in der Fritzbox ein (Hemnetz->Netzwerk->Netzwerkeinstellungen)
und
Dann noch die Fritzbox selber umbiegen (Internet->Zugangsart->DNS-Server)
Und in PiHole die lokale Domain bekannt machen
Pi-Hole 6 hat das Menu für die Lokalen Auflösungen aber anders als in den bisherigen HowTos gezeigt:
Domain "." Target "fritz.box"
Intel(R) Celeron(R) CPU N3000 @ 1.04GHz 8G RAM 480G SSD
Virtualization : unprivileged lxc container (debian 12 on Proxmox 8.4.14)
Linux pve 6.8.12-16-pve
6 GByte RAM für den Container
Fritzbox 6591 FW 8.03 (Vodafone Leih-Box)
Remote-Access über Wireguard der Fritzbox -
@martinp sagte in [gelöst] PiHole in Proxmox->LXC->Docker:
fd00::58b6:f7ff:fe7c:f2a2
Mein PiHole residiert in einem docker Container innerhalb eines LXC mit folgenden IP-Adressen
192.168.2.146undfd00::58b6:f7ff:fe7c:f2a2/64
Nach Ergänzen der Nuller-Gruppen bei IPv6fd00:0:0:0:58b6:f7ff:fe7c:f2a2/64Das trägt man dann an der jeweiligen Stelle in der Fritzbox ein (Hemnetz->Netzwerk->Netzwerkeinstellungen)
und
Dann noch die Fritzbox selber umbiegen (Internet->Zugangsart->DNS-Server)
Und in PiHole die lokale Domain bekannt machen
Pi-Hole 6 hat das Menu für die Lokalen Auflösungen aber anders als in den bisherigen HowTos gezeigt:
Domain "." Target "fritz.box"
Eine Sache werde ich ggfs noch anpassen
CAP_SYS_NICE: FTL sets itself as an important process to get some more processing time if the latter is running low
Das ist im Docker_compose.yml noch aktiviert... finde ich ggfs suboptimal, dass sich PiHole da so breit macht ...
.... # SYS_TIME # Optional, if Pi-hole should get some more processing time - SYS_NICE ....Auf jeden Fall ist piHole schon recht fleißig...
EDIT: Noch zwei Bilder
CPU über 100% angeblich...
Proxmox sagt etwas anderes über den LXC...
Support us
398
Online32.5k
Users81.7k
Topics1.3m
Posts