"Christmas - the time to fix the computers of your loved ones" « Lord Wyrm

PiHole with Unbound (recursive DNS) Step-by-Step Tutorial | The internet is broken!

TOM 17.01.2020 - 14:35 134988 367 Thread rating
Posts

spunz

Super Moderator
Super Moderator
Avatar
Registered: Aug 2000
Location: achse des bösen
Posts: 11259
Eher als Ersatz, auf den ersten Blick müsste es ja alles abdecken?

liltan0x

Bloody Newbie
Registered: Jul 2024
Location: void
Posts: 38
Angeturned von diesen Thread hab ich mich heute morgen wieder in die DNS Thematik hineingekniet.

Betreibe seit Jahren ein Pihole in nem Docker Container inkl. Resolver zu Quad1 und Quad9 mit Verschlüsselung über Cloudflared in einem Container und einem DHCP-Helper Container, so dass auch die DHCP Requests ankommen im Container zum Dnsmask.

Ich kann damit mal ausschließen, dass meine DNS Anfragen von aussen abgeschnüffelt werden können, weil verschlüsselt. Ich kann auch davon ausgehen, dass - sofern konfiguriert von der Ziel Domain – mit den Results nicht getampert wird aufgrund von DNSSEC Validation.

Was ich aber nicht ausschließen kann ist, dass Quad1 oder Quad9 meine Anfragen erst recht wieder auswertet und damit Cash verdient. Außerdem ist dieses Setup mit voneinander abhängigen Containern auf einer Single Machine ja quasi eine Einladung dazu zu explodieren (versucht mal nen Container online zu updaten wenn dein DNS Server auf dem der Container lauft down ist – weil ja richtig – du ihn upgrade willst).

Somit: Mach ma neu. In einer VM von Hand nen Dnsmasq installiert und gegen die Root Server A-M in der resolv.conf auflösen lassen, DNSSEC anschalten, Pfad zum Trust Anchor und wuppt schon mal.
Hätte nun angefangen, das Pihole dazuzuflanschen, aber was mir nun fehlt ist die Verschlüsselung meiner Anfragen auf dem Transportweg zu den Root Server– und da steh ich nun an. Wie zur Hölle soll das ohne den Cloudflared und ohne einen von Quad1 oder Quad9 betriebenen Endpunkt funzen? Gibt’s da eine Alternative?
Bearbeitet von liltan0x am 04.08.2024, 13:47

COLOSSUS

Administrator
GNUltra
Avatar
Registered: Dec 2000
Location: ~
Posts: 12075
Die Roots bieten afaik kein DoT oder DoH an (sind ja auch per se keine Caches), also musst du fuer diese Protokolle einen Resolver nutzen, der dir "echtes" DNS auf diese Varianten proxied. Ich hab dazu (noch - werde ich wohl bald mal stillegen, weil ich in ein anderes Hosting umziehe, wo der Service nicht mehr erwuenscht ist) https://resolv.us.to in Betrieb, wo mein persoenlicher DNS-Traffic in der Masse an anderen Usern untergeht.

TOM

Super Moderator
Oldschool OC.at'ler
Avatar
Registered: Nov 2000
Location: Vienna
Posts: 7371
Ich musste vor ein paar wochen den unbound resolver leider durch das dns service von quad9 ersetzen, da das pihole aus irgendeinem grund und ohne config change plötzlich 180 - 800ms gebraucht hat, je DNS query

Hatte bisher nicht die muse mir das genauer anzuschauen und nehme jetzt den privacy hit einfach hin... hatte bis dahin eigentlich lange und reibungslos funktioniert, aber um diesen eigenartigen fehler zu debuggen würd ich wohl länger analysieren müssen :(

Viper780

Moderator
Er ist tot, Jim!
Avatar
Registered: Mar 2001
Location: Wien
Posts: 50035
Quad 1 ist Cloudflare, die könnten Interesse an deinen Daten haben.

Quad9 ist ein Non Profit dass genau dafür geschaffen wurde für mehr privacy.

Ich hab zwei DNS Filter services (einmal pihole und einmal AdGuard Home) und zwei unbound server auf je zwei unterschiedlichen Hosts am laufen.

Abgefragt werden immer die Root

liltan0x

Bloody Newbie
Registered: Jul 2024
Location: void
Posts: 38
@COLOSSUS: das hab ich ja befürchtet. Das Thema bzgl. der Roots hab ich vorher mit einem Kollegen besprochen und er hat mich ein "asoziales Heisl" genannt, dafür das ich die Roots abfrage, dafür sind die ja nicht da. Ihm ist es übrigens egal das Thema er nutzt die Quad8...

@TOM: Ich habe ja beide derzeit drinnen in meinem alten Setup die Quad1 und Quad9. Auch ich hatte brutale latenzen beim Surfen vor einigene Monaten und hab bemerkt, dass ich PL zu einer der beiden Destinationen zu unterschiedlichen Zeiten am Tag (Danke, Magenta :) ) Vl. wars das bei dir auch?

@Viper: Ja, aber wenn du die Roots nur drinnen hast dann können deine DNS Anfragen von jedem auf dem Weg ja erst geprofiled werden.


ich fürchte zu dem Thema gibts keine Perfekte lösung:

a.) Damit leben und nix tun hinter dem Pihole
b.) Voll Berserk gehen und mit Encryption und Validation leben bis zum Endpunkt des cloudflared und denen dort deine Daten in den Pöppes schieben
c.) Halb lustig DNSSEC haben und sich ********t vorkommen, dass das halbe Internet das eigentlich nicht verwendet und somit nicht verlässlich ist.

Welche der drei Schaß Varianten möchten Sie haben, bitte treten sie näher und kotzen sie mit ....

COLOSSUS

Administrator
GNUltra
Avatar
Registered: Dec 2000
Location: ~
Posts: 12075
Zitat aus einem Post von liltan0x
er hat mich ein "asoziales Heisl" genannt, dafür das ich die Roots abfrage, dafür sind die ja nicht da.

Frag ihn mal, ob er Chrome-User ist - falls ja, kannst du effektiv zurueckschimpfen: https://arstechnica.com/gadgets/202...ot-dns-servers/

voyager

kühler versilberer :)
Avatar
Registered: Nov 2001
Location: Stmk/Austria
Posts: 3826
Zitat aus einem Post von liltan0x
Das Thema bzgl. der Roots hab ich vorher mit einem Kollegen besprochen und er hat mich ein "asoziales Heisl" genannt, dafür das ich die Roots abfrage, dafür sind die ja nicht da

Ist doch imho quasi default setting in unbound?
zumindest hab ich das so im kopf, und alle meine pihole zu hause nutzen nix anderes
Kontakt | Unser Forum | Über overclockers.at | Impressum | Datenschutz