"Christmas - the time to fix the computers of your loved ones" « Lord Wyrm

PiHole with Unbound (recursive DNS) Step-by-Step Tutorial | The internet is broken!

TOM 17.01.2020 - 14:35 94030 353 Thread rating
Posts

TOM

Super Moderator
Oldschool OC.at'ler
Avatar
Registered: Nov 2000
Location: Vienna
Posts: 7079
Hier meine config (/etc/unbound/unbound.conf.d/pi-hole.conf) zum Vergleichen:

Code:
server:
    # If no logfile is specified, syslog is used
    #logfile: "/var/log/unbound/unbound.log"
    #verbosity: 0

    port: 5353
    do-ip4: yes
    do-udp: yes
    do-tcp: yes

    # May be set to yes if you have IPv6 connectivity
    do-ip6: no

    # Use this only when you downloaded the list of primary root servers!
    root-hints: "/var/lib/unbound/root.hints"

    # Trust glue only if it is within the servers authority
    harden-glue: yes

    # Require DNSSEC data for trust-anchored zones, if such data is absent, the zone becomes BOGUS
    harden-dnssec-stripped: yes

    # Don't use Capitalization randomization as it known to cause DNSSEC issues sometimes
    # see [url]https://discourse.pi-hole.net/t/unbound-stubby-or-dnscrypt-proxy/9378[/url] for further details
    use-caps-for-id: no

    # Reduce EDNS reassembly buffer size.
    # Suggested by the unbound man page to reduce fragmentation reassembly problems
    edns-buffer-size: 1232

    # Perform prefetching of close to expired message cache entries
    # This only applies to domains that have been frequently queried
    prefetch: yes

    # One thread should be sufficient, can be increased on beefy machines. In reality for most users running on small networks or on a single machine it should be unnecessary to seek performance enhancement by increasing num-threads above 1.
    num-threads: 1

    # Ensure kernel buffer is large enough to not lose messages in traffic spikes
    so-rcvbuf: 1m

  #  local-zone: "local." static
  #  local-data: "pihole IN A 192.168.0.2"

    # Ensure privacy of local IP ranges
    private-address: 192.168.0.0/16
    private-address: 169.254.0.0/16
    private-address: 172.16.0.0/12
    private-address: 10.0.0.0/8
    private-address: fd00::/8
    private-address: fe80::/10

interface habe ich garnicht definiert und deine /var/lib/unbound/root.hints sind auskommentiert

b_d

pixel imperfect
Avatar
Registered: Jul 2002
Location: 0x3FC
Posts: 10361
weiß nicht obs nen eigenen thread wert ist, aber ich hab inzwischen mich und meine nähere umgebung alle auf nextdns umgestellt. das absolut beste daran ist die app, mit der auch die 65+ generation das kurzzeitig ausschalten kann sollte mal was nicht laden/klappen. seit monaten frictionless.

TOM

Super Moderator
Oldschool OC.at'ler
Avatar
Registered: Nov 2000
Location: Vienna
Posts: 7079
Zitat aus einem Post von b_d
weiß nicht obs nen eigenen thread wert ist, aber ich hab inzwischen mich und meine nähere umgebung alle auf nextdns umgestellt. das absolut beste daran ist die app, mit der auch die 65+ generation das kurzzeitig ausschalten kann sollte mal was nicht laden/klappen. seit monaten frictionless.

hab ich mir auch angesehen, ist sicher besser als der ISP DNS aber hab mich aus datenschutzgründen dagegen entschieden.

Will meine browse-history nicht bei irgendeiner 3rd party auch noch lagern

b_d

pixel imperfect
Avatar
Registered: Jul 2002
Location: 0x3FC
Posts: 10361
welche? versprechen nix weiterzugeben und logs werden nur gespeichert wenn du das willst :shrug: (braucht man ja sowieso maximal für bugfixing, macht also netmal privat sinn).

watercool

-
Registered: Jan 2003
Location: -
Posts: 5794
@TOM bei dir rennt unbound im selben container wie pihole und über 127.0.0.1 nehm ich an, bei dio ist’s ein separater Container?

COLOSSUS

Administrator
Frickler
Avatar
Registered: Dec 2000
Location: ~
Posts: 11645
Zitat aus einem Post von dio
Irgendwer eine Idee? Ich komm ned drauf :(

Ich hab keine rezente Erfarhung mit unbound, aber das Setup und alles, was du gepastet hast, schaut fuer mich OK aus. Ab jetzt wuerde mit tcpdump (auf lo, UDP Port 53) und strace (gegen die unbound-Prozesse) weiterdebuggen...

watercool

-
Registered: Jan 2003
Location: -
Posts: 5794
ich schätz mal dig google.at @192.168.1.177 -p 53 liefert das selbe ergebnis wie 127.0.0.1?

TOM

Super Moderator
Oldschool OC.at'ler
Avatar
Registered: Nov 2000
Location: Vienna
Posts: 7079
Zitat aus einem Post von b_d
welche? versprechen nix weiterzugeben und logs werden nur gespeichert wenn du das willst :shrug: (braucht man ja sowieso maximal für bugfixing, macht also netmal privat sinn).

kannst du dieses versprechen irgendwie verifizieren? ;)
wodurch haben sie dein vertrauen gewonnen?
Wäre sicher das erste mal, dass ein unternehen sich nicht daran hält => "don't be evil"

.. eben weil ich (nahezu) jegliche internet aktivität als recht privacy kritisch ansehe, betreibe ich meinen eigenen rekursiven DNS resolver
Der Aufwand hält sich sehr in Grenzen, für die im Vergleich dazu gewonnene Privacy

Aber für gewisse use-cases ist NextDNS, Cloudflare (mit und ohne Family/Malware Schutz), Quad9 und co. sicher eine immer noch bessere (und vor allem schnellere) Alternative, als der ISP DNS

An der Stelle vlt. nochmal der Verweis auf DNSBench, um zu vergleichen wie viel flotter verschiedene DNS-Resolver in Bezug auf den ISP-DNS sein können: https://www.grc.com/dns/benchmark.htm

b_d

pixel imperfect
Avatar
Registered: Jul 2002
Location: 0x3FC
Posts: 10361
ich nicht, aber mozilla trau ich mal
https://blog.mozilla.org/netpolicy/...icy-technology/
https://wiki.mozilla.org/Security/DOH-resolver-policy
wobei es mir ehrlich gesagt wuscht ist, aber das ist ein thema für einen anderen thread ;)
Kontakt | Unser Forum | Über overclockers.at | Impressum | Datenschutz