PiHole with Unbound (recursive DNS) Step-by-Step Tutorial | The internet is broken! - Forum - Page 25

spunz

Super Moderator
Super Moderator

Registered: Aug 2000
Location: achse des bösen
Posts: 11181

03.03.2024 - 11:57

Eher als Ersatz, auf den ersten Blick müsste es ja alles abdecken?

liltan0x

Bloody Newbie

Registered: Jul 2024
Location: void
Posts: 30

04.08.2024 - 13:02

Angeturned von diesen Thread hab ich mich heute morgen wieder in die DNS Thematik hineingekniet.

Betreibe seit Jahren ein Pihole in nem Docker Container inkl. Resolver zu Quad1 und Quad9 mit Verschlüsselung über Cloudflared in einem Container und einem DHCP-Helper Container, so dass auch die DHCP Requests ankommen im Container zum Dnsmask.

Ich kann damit mal ausschließen, dass meine DNS Anfragen von aussen abgeschnüffelt werden können, weil verschlüsselt. Ich kann auch davon ausgehen, dass - sofern konfiguriert von der Ziel Domain – mit den Results nicht getampert wird aufgrund von DNSSEC Validation.

Was ich aber nicht ausschließen kann ist, dass Quad1 oder Quad9 meine Anfragen erst recht wieder auswertet und damit Cash verdient. Außerdem ist dieses Setup mit voneinander abhängigen Containern auf einer Single Machine ja quasi eine Einladung dazu zu explodieren (versucht mal nen Container online zu updaten wenn dein DNS Server auf dem der Container lauft down ist – weil ja richtig – du ihn upgrade willst).

Somit: Mach ma neu. In einer VM von Hand nen Dnsmasq installiert und gegen die Root Server A-M in der resolv.conf auflösen lassen, DNSSEC anschalten, Pfad zum Trust Anchor und wuppt schon mal.
Hätte nun angefangen, das Pihole dazuzuflanschen, aber was mir nun fehlt ist die Verschlüsselung meiner Anfragen auf dem Transportweg zu den Root Server– und da steh ich nun an. Wie zur Hölle soll das ohne den Cloudflared und ohne einen von Quad1 oder Quad9 betriebenen Endpunkt funzen? Gibt’s da eine Alternative?

Bearbeitet von liltan0x am 04.08.2024, 13:47

COLOSSUS

Administrator
GNUltra

Registered: Dec 2000
Location: ~
Posts: 12048

04.08.2024 - 13:17

Die Roots bieten afaik kein DoT oder DoH an (sind ja auch per se keine Caches), also musst du fuer diese Protokolle einen Resolver nutzen, der dir "echtes" DNS auf diese Varianten proxied. Ich hab dazu (noch - werde ich wohl bald mal stillegen, weil ich in ein anderes Hosting umziehe, wo der Service nicht mehr erwuenscht ist) https://resolv.us.to in Betrieb, wo mein persoenlicher DNS-Traffic in der Masse an anderen Usern untergeht.

TOM

Super Moderator
Oldschool OC.at'ler

Registered: Nov 2000
Location: Vienna
Posts: 7344

04.08.2024 - 13:48

Ich musste vor ein paar wochen den unbound resolver leider durch das dns service von quad9 ersetzen, da das pihole aus irgendeinem grund und ohne config change plötzlich 180 - 800ms gebraucht hat, je DNS query

Hatte bisher nicht die muse mir das genauer anzuschauen und nehme jetzt den privacy hit einfach hin... hatte bis dahin eigentlich lange und reibungslos funktioniert, aber um diesen eigenartigen fehler zu debuggen würd ich wohl länger analysieren müssen

Viper780

Moderator
Er ist tot, Jim!

Registered: Mar 2001
Location: Wien
Posts: 49657

04.08.2024 - 14:04

Quad 1 ist Cloudflare, die könnten Interesse an deinen Daten haben.

Quad9 ist ein Non Profit dass genau dafür geschaffen wurde für mehr privacy.

Ich hab zwei DNS Filter services (einmal pihole und einmal AdGuard Home) und zwei unbound server auf je zwei unterschiedlichen Hosts am laufen.

Abgefragt werden immer die Root

liltan0x

Bloody Newbie

Registered: Jul 2024
Location: void
Posts: 30

04.08.2024 - 14:45

@COLOSSUS: das hab ich ja befürchtet. Das Thema bzgl. der Roots hab ich vorher mit einem Kollegen besprochen und er hat mich ein "asoziales Heisl" genannt, dafür das ich die Roots abfrage, dafür sind die ja nicht da. Ihm ist es übrigens egal das Thema er nutzt die Quad8...

@TOM: Ich habe ja beide derzeit drinnen in meinem alten Setup die Quad1 und Quad9. Auch ich hatte brutale latenzen beim Surfen vor einigene Monaten und hab bemerkt, dass ich PL zu einer der beiden Destinationen zu unterschiedlichen Zeiten am Tag (Danke, Magenta

) Vl. wars das bei dir auch?

@Viper: Ja, aber wenn du die Roots nur drinnen hast dann können deine DNS Anfragen von jedem auf dem Weg ja erst geprofiled werden.

ich fürchte zu dem Thema gibts keine Perfekte lösung:

a.) Damit leben und nix tun hinter dem Pihole
b.) Voll Berserk gehen und mit Encryption und Validation leben bis zum Endpunkt des cloudflared und denen dort deine Daten in den Pöppes schieben
c.) Halb lustig DNSSEC haben und sich ********t vorkommen, dass das halbe Internet das eigentlich nicht verwendet und somit nicht verlässlich ist.

Welche der drei Schaß Varianten möchten Sie haben, bitte treten sie näher und kotzen sie mit ....

COLOSSUS

Administrator
GNUltra

Registered: Dec 2000
Location: ~
Posts: 12048

04.08.2024 - 15:18

Zitat aus einem Post von liltan0x
er hat mich ein "asoziales Heisl" genannt, dafür das ich die Roots abfrage, dafür sind die ja nicht da.

Frag ihn mal, ob er Chrome-User ist - falls ja, kannst du effektiv zurueckschimpfen: https://arstechnica.com/gadgets/202...ot-dns-servers/

voyager

kühler versilberer :)

Registered: Nov 2001
Location: Stmk/Austria
Posts: 3569

04.08.2024 - 18:28

Zitat aus einem Post von liltan0x
Das Thema bzgl. der Roots hab ich vorher mit einem Kollegen besprochen und er hat mich ein "asoziales Heisl" genannt, dafür das ich die Roots abfrage, dafür sind die ja nicht da

Ist doch imho quasi default setting in unbound?
zumindest hab ich das so im kopf, und alle meine pihole zu hause nutzen nix anderes

spunz Super Moderator Super Moderator Registered: Aug 2000 Location: achse des bösen Posts: 11181	03.03.2024 - 11:57 Eher als Ersatz, auf den ersten Blick müsste es ja alles abdecken?
liltan0x Bloody Newbie Registered: Jul 2024 Location: void Posts: 30	04.08.2024 - 13:02 Angeturned von diesen Thread hab ich mich heute morgen wieder in die DNS Thematik hineingekniet. Betreibe seit Jahren ein Pihole in nem Docker Container inkl. Resolver zu Quad1 und Quad9 mit Verschlüsselung über Cloudflared in einem Container und einem DHCP-Helper Container, so dass auch die DHCP Requests ankommen im Container zum Dnsmask. Ich kann damit mal ausschließen, dass meine DNS Anfragen von aussen abgeschnüffelt werden können, weil verschlüsselt. Ich kann auch davon ausgehen, dass - sofern konfiguriert von der Ziel Domain – mit den Results nicht getampert wird aufgrund von DNSSEC Validation. Was ich aber nicht ausschließen kann ist, dass Quad1 oder Quad9 meine Anfragen erst recht wieder auswertet und damit Cash verdient. Außerdem ist dieses Setup mit voneinander abhängigen Containern auf einer Single Machine ja quasi eine Einladung dazu zu explodieren (versucht mal nen Container online zu updaten wenn dein DNS Server auf dem der Container lauft down ist – weil ja richtig – du ihn upgrade willst). Somit: Mach ma neu. In einer VM von Hand nen Dnsmasq installiert und gegen die Root Server A-M in der resolv.conf auflösen lassen, DNSSEC anschalten, Pfad zum Trust Anchor und wuppt schon mal. Hätte nun angefangen, das Pihole dazuzuflanschen, aber was mir nun fehlt ist die Verschlüsselung meiner Anfragen auf dem Transportweg zu den Root Server– und da steh ich nun an. Wie zur Hölle soll das ohne den Cloudflared und ohne einen von Quad1 oder Quad9 betriebenen Endpunkt funzen? Gibt’s da eine Alternative? Bearbeitet von liltan0x am 04.08.2024, 13:47
COLOSSUS Administrator GNUltra Registered: Dec 2000 Location: ~ Posts: 12048	04.08.2024 - 13:17 Die Roots bieten afaik kein DoT oder DoH an (sind ja auch per se keine Caches), also musst du fuer diese Protokolle einen Resolver nutzen, der dir "echtes" DNS auf diese Varianten proxied. Ich hab dazu (noch - werde ich wohl bald mal stillegen, weil ich in ein anderes Hosting umziehe, wo der Service nicht mehr erwuenscht ist) https://resolv.us.to in Betrieb, wo mein persoenlicher DNS-Traffic in der Masse an anderen Usern untergeht.
TOM Super Moderator Oldschool OC.at'ler Registered: Nov 2000 Location: Vienna Posts: 7344	04.08.2024 - 13:48 Ich musste vor ein paar wochen den unbound resolver leider durch das dns service von quad9 ersetzen, da das pihole aus irgendeinem grund und ohne config change plötzlich 180 - 800ms gebraucht hat, je DNS query Hatte bisher nicht die muse mir das genauer anzuschauen und nehme jetzt den privacy hit einfach hin... hatte bis dahin eigentlich lange und reibungslos funktioniert, aber um diesen eigenartigen fehler zu debuggen würd ich wohl länger analysieren müssen
Viper780 Moderator Er ist tot, Jim! Registered: Mar 2001 Location: Wien Posts: 49657	04.08.2024 - 14:04 Quad 1 ist Cloudflare, die könnten Interesse an deinen Daten haben. Quad9 ist ein Non Profit dass genau dafür geschaffen wurde für mehr privacy. Ich hab zwei DNS Filter services (einmal pihole und einmal AdGuard Home) und zwei unbound server auf je zwei unterschiedlichen Hosts am laufen. Abgefragt werden immer die Root
liltan0x Bloody Newbie Registered: Jul 2024 Location: void Posts: 30	04.08.2024 - 14:45 @COLOSSUS: das hab ich ja befürchtet. Das Thema bzgl. der Roots hab ich vorher mit einem Kollegen besprochen und er hat mich ein "asoziales Heisl" genannt, dafür das ich die Roots abfrage, dafür sind die ja nicht da. Ihm ist es übrigens egal das Thema er nutzt die Quad8... @TOM: Ich habe ja beide derzeit drinnen in meinem alten Setup die Quad1 und Quad9. Auch ich hatte brutale latenzen beim Surfen vor einigene Monaten und hab bemerkt, dass ich PL zu einer der beiden Destinationen zu unterschiedlichen Zeiten am Tag (Danke, Magenta ) Vl. wars das bei dir auch? @Viper: Ja, aber wenn du die Roots nur drinnen hast dann können deine DNS Anfragen von jedem auf dem Weg ja erst geprofiled werden. ich fürchte zu dem Thema gibts keine Perfekte lösung: a.) Damit leben und nix tun hinter dem Pihole b.) Voll Berserk gehen und mit Encryption und Validation leben bis zum Endpunkt des cloudflared und denen dort deine Daten in den Pöppes schieben c.) Halb lustig DNSSEC haben und sich ********t vorkommen, dass das halbe Internet das eigentlich nicht verwendet und somit nicht verlässlich ist. Welche der drei Schaß Varianten möchten Sie haben, bitte treten sie näher und kotzen sie mit ....
COLOSSUS Administrator GNUltra Registered: Dec 2000 Location: ~ Posts: 12048	04.08.2024 - 15:18 Zitat aus einem Post von liltan0x er hat mich ein "asoziales Heisl" genannt, dafür das ich die Roots abfrage, dafür sind die ja nicht da. Frag ihn mal, ob er Chrome-User ist - falls ja, kannst du effektiv zurueckschimpfen: https://arstechnica.com/gadgets/202...ot-dns-servers/
voyager kühler versilberer :) Registered: Nov 2001 Location: Stmk/Austria Posts: 3569	04.08.2024 - 18:28 Zitat aus einem Post von liltan0x Das Thema bzgl. der Roots hab ich vorher mit einem Kollegen besprochen und er hat mich ein "asoziales Heisl" genannt, dafür das ich die Roots abfrage, dafür sind die ja nicht da Ist doch imho quasi default setting in unbound? zumindest hab ich das so im kopf, und alle meine pihole zu hause nutzen nix anderes

PiHole with Unbound (recursive DNS) Step-by-Step Tutorial | The internet is broken!

Forum Index > Hardware > Systeme > DIY/SoC

spunz

liltan0x

COLOSSUS

TOM

Viper780

liltan0x

COLOSSUS

voyager