PiHole with Unbound (recursive DNS) Step-by-Step Tutorial | The internet is broken! - Forum - Page 24

TOM

Super Moderator
Oldschool OC.at'ler

Registered: Nov 2000
Location: Vienna
Posts: 7077

26.05.2023 - 08:16

Hier meine config (/etc/unbound/unbound.conf.d/pi-hole.conf) zum Vergleichen:

Code:

server:
    # If no logfile is specified, syslog is used
    #logfile: "/var/log/unbound/unbound.log"
    #verbosity: 0

    port: 5353
    do-ip4: yes
    do-udp: yes
    do-tcp: yes

    # May be set to yes if you have IPv6 connectivity
    do-ip6: no

    # Use this only when you downloaded the list of primary root servers!
    root-hints: "/var/lib/unbound/root.hints"

    # Trust glue only if it is within the servers authority
    harden-glue: yes

    # Require DNSSEC data for trust-anchored zones, if such data is absent, the zone becomes BOGUS
    harden-dnssec-stripped: yes

    # Don't use Capitalization randomization as it known to cause DNSSEC issues sometimes
    # see [url]https://discourse.pi-hole.net/t/unbound-stubby-or-dnscrypt-proxy/9378[/url] for further details
    use-caps-for-id: no

    # Reduce EDNS reassembly buffer size.
    # Suggested by the unbound man page to reduce fragmentation reassembly problems
    edns-buffer-size: 1232

    # Perform prefetching of close to expired message cache entries
    # This only applies to domains that have been frequently queried
    prefetch: yes

    # One thread should be sufficient, can be increased on beefy machines. In reality for most users running on small networks or on a single machine it should be unnecessary to seek performance enhancement by increasing num-threads above 1.
    num-threads: 1

    # Ensure kernel buffer is large enough to not lose messages in traffic spikes
    so-rcvbuf: 1m

  #  local-zone: "local." static
  #  local-data: "pihole IN A 192.168.0.2"

    # Ensure privacy of local IP ranges
    private-address: 192.168.0.0/16
    private-address: 169.254.0.0/16
    private-address: 172.16.0.0/12
    private-address: 10.0.0.0/8
    private-address: fd00::/8
    private-address: fe80::/10

interface habe ich garnicht definiert und deine /var/lib/unbound/root.hints sind auskommentiert

b_d

pixel imperfect

Registered: Jul 2002
Location: 0x3FC
Posts: 10360

26.05.2023 - 08:39

weiß nicht obs nen eigenen thread wert ist, aber ich hab inzwischen mich und meine nähere umgebung alle auf nextdns umgestellt. das absolut beste daran ist die app, mit der auch die 65+ generation das kurzzeitig ausschalten kann sollte mal was nicht laden/klappen. seit monaten frictionless.

TOM

Super Moderator
Oldschool OC.at'ler

Registered: Nov 2000
Location: Vienna
Posts: 7077

26.05.2023 - 08:52

Zitat aus einem Post von b_d
weiß nicht obs nen eigenen thread wert ist, aber ich hab inzwischen mich und meine nähere umgebung alle auf nextdns umgestellt. das absolut beste daran ist die app, mit der auch die 65+ generation das kurzzeitig ausschalten kann sollte mal was nicht laden/klappen. seit monaten frictionless.

hab ich mir auch angesehen, ist sicher besser als der ISP DNS aber hab mich aus datenschutzgründen dagegen entschieden.

Will meine browse-history nicht bei irgendeiner 3rd party auch noch lagern

b_d

pixel imperfect

Registered: Jul 2002
Location: 0x3FC
Posts: 10360

26.05.2023 - 09:27

welche? versprechen nix weiterzugeben und logs werden nur gespeichert wenn du das willst :shrug: (braucht man ja sowieso maximal für bugfixing, macht also netmal privat sinn).

watercool

-

Registered: Jan 2003
Location: -
Posts: 5786

26.05.2023 - 09:31

@TOM bei dir rennt unbound im selben container wie pihole und über 127.0.0.1 nehm ich an, bei dio ist’s ein separater Container?

COLOSSUS

Administrator
Frickler

Registered: Dec 2000
Location: ~
Posts: 11643

26.05.2023 - 09:43

Zitat aus einem Post von dio
Irgendwer eine Idee? Ich komm ned drauf

Ich hab keine rezente Erfarhung mit unbound, aber das Setup und alles, was du gepastet hast, schaut fuer mich OK aus. Ab jetzt wuerde mit tcpdump (auf lo, UDP Port 53) und strace (gegen die unbound-Prozesse) weiterdebuggen...

watercool

-

Registered: Jan 2003
Location: -
Posts: 5786

26.05.2023 - 09:47

ich schätz mal dig google.at @192.168.1.177 -p 53 liefert das selbe ergebnis wie 127.0.0.1?

TOM

Super Moderator
Oldschool OC.at'ler

Registered: Nov 2000
Location: Vienna
Posts: 7077

26.05.2023 - 10:01

Zitat aus einem Post von b_d
welche? versprechen nix weiterzugeben und logs werden nur gespeichert wenn du das willst :shrug: (braucht man ja sowieso maximal für bugfixing, macht also netmal privat sinn).

kannst du dieses versprechen irgendwie verifizieren?

wodurch haben sie dein vertrauen gewonnen?
Wäre sicher das erste mal, dass ein unternehen sich nicht daran hält => "don't be evil"

.. eben weil ich (nahezu) jegliche internet aktivität als recht privacy kritisch ansehe, betreibe ich meinen eigenen rekursiven DNS resolver
Der Aufwand hält sich sehr in Grenzen, für die im Vergleich dazu gewonnene Privacy

Aber für gewisse use-cases ist NextDNS, Cloudflare (mit und ohne Family/Malware Schutz), Quad9 und co. sicher eine immer noch bessere (und vor allem schnellere) Alternative, als der ISP DNS

An der Stelle vlt. nochmal der Verweis auf DNSBench, um zu vergleichen wie viel flotter verschiedene DNS-Resolver in Bezug auf den ISP-DNS sein können: https://www.grc.com/dns/benchmark.htm

b_d

pixel imperfect

Registered: Jul 2002
Location: 0x3FC
Posts: 10360

26.05.2023 - 10:27

ich nicht, aber mozilla trau ich mal
https://blog.mozilla.org/netpolicy/...icy-technology/
https://wiki.mozilla.org/Security/DOH-resolver-policy
wobei es mir ehrlich gesagt wuscht ist, aber das ist ein thema für einen anderen thread

TOM Super Moderator Oldschool OC.at'ler Registered: Nov 2000 Location: Vienna Posts: 7077	26.05.2023 - 08:16 Hier meine config (/etc/unbound/unbound.conf.d/pi-hole.conf) zum Vergleichen: Code: server: # If no logfile is specified, syslog is used #logfile: "/var/log/unbound/unbound.log" #verbosity: 0 port: 5353 do-ip4: yes do-udp: yes do-tcp: yes # May be set to yes if you have IPv6 connectivity do-ip6: no # Use this only when you downloaded the list of primary root servers! root-hints: "/var/lib/unbound/root.hints" # Trust glue only if it is within the servers authority harden-glue: yes # Require DNSSEC data for trust-anchored zones, if such data is absent, the zone becomes BOGUS harden-dnssec-stripped: yes # Don't use Capitalization randomization as it known to cause DNSSEC issues sometimes # see [url]https://discourse.pi-hole.net/t/unbound-stubby-or-dnscrypt-proxy/9378[/url] for further details use-caps-for-id: no # Reduce EDNS reassembly buffer size. # Suggested by the unbound man page to reduce fragmentation reassembly problems edns-buffer-size: 1232 # Perform prefetching of close to expired message cache entries # This only applies to domains that have been frequently queried prefetch: yes # One thread should be sufficient, can be increased on beefy machines. In reality for most users running on small networks or on a single machine it should be unnecessary to seek performance enhancement by increasing num-threads above 1. num-threads: 1 # Ensure kernel buffer is large enough to not lose messages in traffic spikes so-rcvbuf: 1m # local-zone: "local." static # local-data: "pihole IN A 192.168.0.2" # Ensure privacy of local IP ranges private-address: 192.168.0.0/16 private-address: 169.254.0.0/16 private-address: 172.16.0.0/12 private-address: 10.0.0.0/8 private-address: fd00::/8 private-address: fe80::/10 interface habe ich garnicht definiert und deine /var/lib/unbound/root.hints sind auskommentiert
b_d pixel imperfect Registered: Jul 2002 Location: 0x3FC Posts: 10360	26.05.2023 - 08:39 weiß nicht obs nen eigenen thread wert ist, aber ich hab inzwischen mich und meine nähere umgebung alle auf nextdns umgestellt. das absolut beste daran ist die app, mit der auch die 65+ generation das kurzzeitig ausschalten kann sollte mal was nicht laden/klappen. seit monaten frictionless.
TOM Super Moderator Oldschool OC.at'ler Registered: Nov 2000 Location: Vienna Posts: 7077	26.05.2023 - 08:52 Zitat aus einem Post von b_d weiß nicht obs nen eigenen thread wert ist, aber ich hab inzwischen mich und meine nähere umgebung alle auf nextdns umgestellt. das absolut beste daran ist die app, mit der auch die 65+ generation das kurzzeitig ausschalten kann sollte mal was nicht laden/klappen. seit monaten frictionless. hab ich mir auch angesehen, ist sicher besser als der ISP DNS aber hab mich aus datenschutzgründen dagegen entschieden. Will meine browse-history nicht bei irgendeiner 3rd party auch noch lagern
b_d pixel imperfect Registered: Jul 2002 Location: 0x3FC Posts: 10360	26.05.2023 - 09:27 welche? versprechen nix weiterzugeben und logs werden nur gespeichert wenn du das willst :shrug: (braucht man ja sowieso maximal für bugfixing, macht also netmal privat sinn).
watercool - Registered: Jan 2003 Location: - Posts: 5786	26.05.2023 - 09:31 @TOM bei dir rennt unbound im selben container wie pihole und über 127.0.0.1 nehm ich an, bei dio ist’s ein separater Container?
COLOSSUS Administrator Frickler Registered: Dec 2000 Location: ~ Posts: 11643	26.05.2023 - 09:43 Zitat aus einem Post von dio Irgendwer eine Idee? Ich komm ned drauf Ich hab keine rezente Erfarhung mit unbound, aber das Setup und alles, was du gepastet hast, schaut fuer mich OK aus. Ab jetzt wuerde mit tcpdump (auf lo, UDP Port 53) und strace (gegen die unbound-Prozesse) weiterdebuggen...
watercool - Registered: Jan 2003 Location: - Posts: 5786	26.05.2023 - 09:47 ich schätz mal dig google.at @192.168.1.177 -p 53 liefert das selbe ergebnis wie 127.0.0.1?
TOM Super Moderator Oldschool OC.at'ler Registered: Nov 2000 Location: Vienna Posts: 7077	26.05.2023 - 10:01 Zitat aus einem Post von b_d welche? versprechen nix weiterzugeben und logs werden nur gespeichert wenn du das willst :shrug: (braucht man ja sowieso maximal für bugfixing, macht also netmal privat sinn). kannst du dieses versprechen irgendwie verifizieren? wodurch haben sie dein vertrauen gewonnen? Wäre sicher das erste mal, dass ein unternehen sich nicht daran hält => "don't be evil" .. eben weil ich (nahezu) jegliche internet aktivität als recht privacy kritisch ansehe, betreibe ich meinen eigenen rekursiven DNS resolver Der Aufwand hält sich sehr in Grenzen, für die im Vergleich dazu gewonnene Privacy Aber für gewisse use-cases ist NextDNS, Cloudflare (mit und ohne Family/Malware Schutz), Quad9 und co. sicher eine immer noch bessere (und vor allem schnellere) Alternative, als der ISP DNS An der Stelle vlt. nochmal der Verweis auf DNSBench, um zu vergleichen wie viel flotter verschiedene DNS-Resolver in Bezug auf den ISP-DNS sein können: https://www.grc.com/dns/benchmark.htm
b_d pixel imperfect Registered: Jul 2002 Location: 0x3FC Posts: 10360	26.05.2023 - 10:27 ich nicht, aber mozilla trau ich mal https://blog.mozilla.org/netpolicy/...icy-technology/ https://wiki.mozilla.org/Security/DOH-resolver-policy wobei es mir ehrlich gesagt wuscht ist, aber das ist ein thema für einen anderen thread

PiHole with Unbound (recursive DNS) Step-by-Step Tutorial | The internet is broken!

Forum Index > Hardware > Systeme > DIY/SoC

TOM

b_d

TOM

b_d

watercool

COLOSSUS

watercool

TOM

b_d