"Christmas - the time to fix the computers of your loved ones" « Lord Wyrm

PiHole with Unbound (recursive DNS) Step-by-Step Tutorial | The internet is broken!

TOM 17.01.2020 - 14:35 113721 360 Thread rating
Posts

TOM

Super Moderator
Oldschool OC.at'ler
Avatar
Registered: Nov 2000
Location: Vienna
Posts: 7280
Hier meine config (/etc/unbound/unbound.conf.d/pi-hole.conf) zum Vergleichen:

Code:
server:
    # If no logfile is specified, syslog is used
    #logfile: "/var/log/unbound/unbound.log"
    #verbosity: 0

    port: 5353
    do-ip4: yes
    do-udp: yes
    do-tcp: yes

    # May be set to yes if you have IPv6 connectivity
    do-ip6: no

    # Use this only when you downloaded the list of primary root servers!
    root-hints: "/var/lib/unbound/root.hints"

    # Trust glue only if it is within the servers authority
    harden-glue: yes

    # Require DNSSEC data for trust-anchored zones, if such data is absent, the zone becomes BOGUS
    harden-dnssec-stripped: yes

    # Don't use Capitalization randomization as it known to cause DNSSEC issues sometimes
    # see [url]https://discourse.pi-hole.net/t/unbound-stubby-or-dnscrypt-proxy/9378[/url] for further details
    use-caps-for-id: no

    # Reduce EDNS reassembly buffer size.
    # Suggested by the unbound man page to reduce fragmentation reassembly problems
    edns-buffer-size: 1232

    # Perform prefetching of close to expired message cache entries
    # This only applies to domains that have been frequently queried
    prefetch: yes

    # One thread should be sufficient, can be increased on beefy machines. In reality for most users running on small networks or on a single machine it should be unnecessary to seek performance enhancement by increasing num-threads above 1.
    num-threads: 1

    # Ensure kernel buffer is large enough to not lose messages in traffic spikes
    so-rcvbuf: 1m

  #  local-zone: "local." static
  #  local-data: "pihole IN A 192.168.0.2"

    # Ensure privacy of local IP ranges
    private-address: 192.168.0.0/16
    private-address: 169.254.0.0/16
    private-address: 172.16.0.0/12
    private-address: 10.0.0.0/8
    private-address: fd00::/8
    private-address: fe80::/10

interface habe ich garnicht definiert und deine /var/lib/unbound/root.hints sind auskommentiert

b_d

pixel imperfect
Avatar
Registered: Jul 2002
Location: 0x3FC
Posts: 10500
weiß nicht obs nen eigenen thread wert ist, aber ich hab inzwischen mich und meine nähere umgebung alle auf nextdns umgestellt. das absolut beste daran ist die app, mit der auch die 65+ generation das kurzzeitig ausschalten kann sollte mal was nicht laden/klappen. seit monaten frictionless.

TOM

Super Moderator
Oldschool OC.at'ler
Avatar
Registered: Nov 2000
Location: Vienna
Posts: 7280
Zitat aus einem Post von b_d
weiß nicht obs nen eigenen thread wert ist, aber ich hab inzwischen mich und meine nähere umgebung alle auf nextdns umgestellt. das absolut beste daran ist die app, mit der auch die 65+ generation das kurzzeitig ausschalten kann sollte mal was nicht laden/klappen. seit monaten frictionless.

hab ich mir auch angesehen, ist sicher besser als der ISP DNS aber hab mich aus datenschutzgründen dagegen entschieden.

Will meine browse-history nicht bei irgendeiner 3rd party auch noch lagern

b_d

pixel imperfect
Avatar
Registered: Jul 2002
Location: 0x3FC
Posts: 10500
welche? versprechen nix weiterzugeben und logs werden nur gespeichert wenn du das willst :shrug: (braucht man ja sowieso maximal für bugfixing, macht also netmal privat sinn).

watercool

BYOB
Registered: Jan 2003
Location: -
Posts: 5890
@TOM bei dir rennt unbound im selben container wie pihole und über 127.0.0.1 nehm ich an, bei dio ist’s ein separater Container?

COLOSSUS

Administrator
GNUltra
Avatar
Registered: Dec 2000
Location: ~
Posts: 11958
Zitat aus einem Post von dio
Irgendwer eine Idee? Ich komm ned drauf :(

Ich hab keine rezente Erfarhung mit unbound, aber das Setup und alles, was du gepastet hast, schaut fuer mich OK aus. Ab jetzt wuerde mit tcpdump (auf lo, UDP Port 53) und strace (gegen die unbound-Prozesse) weiterdebuggen...

watercool

BYOB
Registered: Jan 2003
Location: -
Posts: 5890
ich schätz mal dig google.at @192.168.1.177 -p 53 liefert das selbe ergebnis wie 127.0.0.1?

TOM

Super Moderator
Oldschool OC.at'ler
Avatar
Registered: Nov 2000
Location: Vienna
Posts: 7280
Zitat aus einem Post von b_d
welche? versprechen nix weiterzugeben und logs werden nur gespeichert wenn du das willst :shrug: (braucht man ja sowieso maximal für bugfixing, macht also netmal privat sinn).

kannst du dieses versprechen irgendwie verifizieren? ;)
wodurch haben sie dein vertrauen gewonnen?
Wäre sicher das erste mal, dass ein unternehen sich nicht daran hält => "don't be evil"

.. eben weil ich (nahezu) jegliche internet aktivität als recht privacy kritisch ansehe, betreibe ich meinen eigenen rekursiven DNS resolver
Der Aufwand hält sich sehr in Grenzen, für die im Vergleich dazu gewonnene Privacy

Aber für gewisse use-cases ist NextDNS, Cloudflare (mit und ohne Family/Malware Schutz), Quad9 und co. sicher eine immer noch bessere (und vor allem schnellere) Alternative, als der ISP DNS

An der Stelle vlt. nochmal der Verweis auf DNSBench, um zu vergleichen wie viel flotter verschiedene DNS-Resolver in Bezug auf den ISP-DNS sein können: https://www.grc.com/dns/benchmark.htm

b_d

pixel imperfect
Avatar
Registered: Jul 2002
Location: 0x3FC
Posts: 10500
ich nicht, aber mozilla trau ich mal
https://blog.mozilla.org/netpolicy/...icy-technology/
https://wiki.mozilla.org/Security/DOH-resolver-policy
wobei es mir ehrlich gesagt wuscht ist, aber das ist ein thema für einen anderen thread ;)

Viper780

Moderator
Er ist tot, Jim!
Avatar
Registered: Mar 2001
Location: Wien
Posts: 49200
Ich scheitere gerade mit meinen (offensichtlich) zu rudimentären regex Kenntnissen

Ich mag cdn??.hardwareluxx.de als Regex zur Blacklist hinzufügen, leider macht mein pihole daraus immer 2 Einträge, egal was ich da versuche

xtrm

social assassin
Avatar
Registered: Jul 2002
Location:
Posts: 11934
Was genau sollen die Fragezeichen denn sein, Zahlen? Ich nutze immer regexpal.com zum Testen. Aber nutzen solche Listen wirklich Regex? Da müsstest du ja u.a. die Punkte escapen.

Hier ein Beispiel falls nach cdn Zahlen kommen: cdn\d*\.hardwareluxx\.de
Bearbeitet von xtrm am 15.01.2024, 00:31

Viper780

Moderator
Er ist tot, Jim!
Avatar
Registered: Mar 2001
Location: Wien
Posts: 49200
Ja sind zahlen von 00 bis 12 "sind mir aktuell aufgefallen. Punkte wurden natürlich escaped.

Pihole hat eine regex engine für Block und Allow-listen https://docs.pi-hole.net/regex/overview/

voyager

kühler versilberer :)
Avatar
Registered: Nov 2001
Location: Stmk/Austria
Posts: 3202
Falls wer seinen Pihole (mit evtl anderen Diensten drauf) am Pi 5 mit nvme HAT betreiben will, hier meine Messungen

einmal mit PCIe2 , wie es Original vorgesehen ist
click to enlarge

einmal mit der Änderung auf PCIe3
click to enlarge

SSD war eine Crucial P3+ , also PCIe4 fähige SSD, also noch Reserven. War zum Blackfriday billig zu haben (rund 40€ für 1TB), deswegen kam die rein. SSD HAT ist von Pineberry(bottom)

Stromverbrauch hatte ich rund 4,5W mit SSD im "normalbetrieb" , wenn ich alle 4 CPU Cores auslaste mit Sysbench (4x gestartet), blieb er unter knapp 8W. "Gemessen" hat der Switch (POE+). Im idle ist ein Pi4 mit USB SSD um ca 1,5-2W schlechter. (hängt bei mir auch am selben POE Switch ebenfalls mit POE HAT)

Und ja, da kommen noch so Sachen wie Grafana+ Influx, Homeassistant,... mit drauf, die SSD ist da schon notwendig

spunz

Super Moderator
Super Moderator
Avatar
Registered: Aug 2000
Location: achse des bösen
Posts: 11134
hat jemand https://technitium.com/ als DNS in Verwendung?

voyager

kühler versilberer :)
Avatar
Registered: Nov 2001
Location: Stmk/Austria
Posts: 3202
Zitat aus einem Post von spunz
hat jemand https://technitium.com/ als DNS in Verwendung?

In Verbindung mit Pihole und Unbound?
Kontakt | Unser Forum | Über overclockers.at | Impressum | Datenschutz