PiHole with Unbound (recursive DNS) Step-by-Step Tutorial | The internet is broken! - Seite 24

Seite 24 von 25 - Forum: DIY/SoC auf overclockers.at

URL: https://www.overclockers.at/diy-soc/pihole-with-unbound-recursive-dns-step-by-step-tutorial-the-internet-is-broken_255071/page_24 - zur Vollversion wechseln!


TOM schrieb am 26.05.2023 um 08:16

Hier meine config (/etc/unbound/unbound.conf.d/pi-hole.conf) zum Vergleichen:

Code:
server:
    # If no logfile is specified, syslog is used
    #logfile: "/var/log/unbound/unbound.log"
    #verbosity: 0

    port: 5353
    do-ip4: yes
    do-udp: yes
    do-tcp: yes

    # May be set to yes if you have IPv6 connectivity
    do-ip6: no

    # Use this only when you downloaded the list of primary root servers!
    root-hints: "/var/lib/unbound/root.hints"

    # Trust glue only if it is within the servers authority
    harden-glue: yes

    # Require DNSSEC data for trust-anchored zones, if such data is absent, the zone becomes BOGUS
    harden-dnssec-stripped: yes

    # Don't use Capitalization randomization as it known to cause DNSSEC issues sometimes
    # see [url]https://discourse.pi-hole.net/t/unbound-stubby-or-dnscrypt-proxy/9378[/url] for further details
    use-caps-for-id: no

    # Reduce EDNS reassembly buffer size.
    # Suggested by the unbound man page to reduce fragmentation reassembly problems
    edns-buffer-size: 1232

    # Perform prefetching of close to expired message cache entries
    # This only applies to domains that have been frequently queried
    prefetch: yes

    # One thread should be sufficient, can be increased on beefy machines. In reality for most users running on small networks or on a single machine it should be unnecessary to seek performance enhancement by increasing num-threads above 1.
    num-threads: 1

    # Ensure kernel buffer is large enough to not lose messages in traffic spikes
    so-rcvbuf: 1m

  #  local-zone: "local." static
  #  local-data: "pihole IN A 192.168.0.2"

    # Ensure privacy of local IP ranges
    private-address: 192.168.0.0/16
    private-address: 169.254.0.0/16
    private-address: 172.16.0.0/12
    private-address: 10.0.0.0/8
    private-address: fd00::/8
    private-address: fe80::/10

interface habe ich garnicht definiert und deine /var/lib/unbound/root.hints sind auskommentiert


b_d schrieb am 26.05.2023 um 08:39

weiß nicht obs nen eigenen thread wert ist, aber ich hab inzwischen mich und meine nähere umgebung alle auf nextdns umgestellt. das absolut beste daran ist die app, mit der auch die 65+ generation das kurzzeitig ausschalten kann sollte mal was nicht laden/klappen. seit monaten frictionless.


TOM schrieb am 26.05.2023 um 08:52

Zitat aus einem Post von b_d
weiß nicht obs nen eigenen thread wert ist, aber ich hab inzwischen mich und meine nähere umgebung alle auf nextdns umgestellt. das absolut beste daran ist die app, mit der auch die 65+ generation das kurzzeitig ausschalten kann sollte mal was nicht laden/klappen. seit monaten frictionless.

hab ich mir auch angesehen, ist sicher besser als der ISP DNS aber hab mich aus datenschutzgründen dagegen entschieden.

Will meine browse-history nicht bei irgendeiner 3rd party auch noch lagern


b_d schrieb am 26.05.2023 um 09:27

welche? versprechen nix weiterzugeben und logs werden nur gespeichert wenn du das willst :shrug: (braucht man ja sowieso maximal für bugfixing, macht also netmal privat sinn).


watercool schrieb am 26.05.2023 um 09:31

@TOM bei dir rennt unbound im selben container wie pihole und über 127.0.0.1 nehm ich an, bei dio ist’s ein separater Container?


COLOSSUS schrieb am 26.05.2023 um 09:43

Zitat aus einem Post von dio
Irgendwer eine Idee? Ich komm ned drauf :(

Ich hab keine rezente Erfarhung mit unbound, aber das Setup und alles, was du gepastet hast, schaut fuer mich OK aus. Ab jetzt wuerde mit tcpdump (auf lo, UDP Port 53) und strace (gegen die unbound-Prozesse) weiterdebuggen...


watercool schrieb am 26.05.2023 um 09:47

ich schätz mal dig google.at @192.168.1.177 -p 53 liefert das selbe ergebnis wie 127.0.0.1?


TOM schrieb am 26.05.2023 um 10:01

Zitat aus einem Post von b_d
welche? versprechen nix weiterzugeben und logs werden nur gespeichert wenn du das willst :shrug: (braucht man ja sowieso maximal für bugfixing, macht also netmal privat sinn).

kannst du dieses versprechen irgendwie verifizieren? ;)
wodurch haben sie dein vertrauen gewonnen?
Wäre sicher das erste mal, dass ein unternehen sich nicht daran hält => "don't be evil"

.. eben weil ich (nahezu) jegliche internet aktivität als recht privacy kritisch ansehe, betreibe ich meinen eigenen rekursiven DNS resolver
Der Aufwand hält sich sehr in Grenzen, für die im Vergleich dazu gewonnene Privacy

Aber für gewisse use-cases ist NextDNS, Cloudflare (mit und ohne Family/Malware Schutz), Quad9 und co. sicher eine immer noch bessere (und vor allem schnellere) Alternative, als der ISP DNS

An der Stelle vlt. nochmal der Verweis auf DNSBench, um zu vergleichen wie viel flotter verschiedene DNS-Resolver in Bezug auf den ISP-DNS sein können: https://www.grc.com/dns/benchmark.htm


b_d schrieb am 26.05.2023 um 10:27

ich nicht, aber mozilla trau ich mal
https://blog.mozilla.org/netpolicy/...icy-technology/
https://wiki.mozilla.org/Security/DOH-resolver-policy
wobei es mir ehrlich gesagt wuscht ist, aber das ist ein thema für einen anderen thread ;)


Viper780 schrieb am 14.01.2024 um 23:21

Ich scheitere gerade mit meinen (offensichtlich) zu rudimentären regex Kenntnissen

Ich mag cdn??.hardwareluxx.de als Regex zur Blacklist hinzufügen, leider macht mein pihole daraus immer 2 Einträge, egal was ich da versuche


xtrm schrieb am 15.01.2024 um 00:28

Was genau sollen die Fragezeichen denn sein, Zahlen? Ich nutze immer regexpal.com zum Testen. Aber nutzen solche Listen wirklich Regex? Da müsstest du ja u.a. die Punkte escapen.

Hier ein Beispiel falls nach cdn Zahlen kommen: cdn\d*\.hardwareluxx\.de


Viper780 schrieb am 15.01.2024 um 07:00

Ja sind zahlen von 00 bis 12 "sind mir aktuell aufgefallen. Punkte wurden natürlich escaped.

Pihole hat eine regex engine für Block und Allow-listen https://docs.pi-hole.net/regex/overview/


voyager schrieb am 15.01.2024 um 07:15

Falls wer seinen Pihole (mit evtl anderen Diensten drauf) am Pi 5 mit nvme HAT betreiben will, hier meine Messungen

einmal mit PCIe2 , wie es Original vorgesehen ist
click to enlarge

einmal mit der Änderung auf PCIe3
click to enlarge

SSD war eine Crucial P3+ , also PCIe4 fähige SSD, also noch Reserven. War zum Blackfriday billig zu haben (rund 40€ für 1TB), deswegen kam die rein. SSD HAT ist von Pineberry(bottom)

Stromverbrauch hatte ich rund 4,5W mit SSD im "normalbetrieb" , wenn ich alle 4 CPU Cores auslaste mit Sysbench (4x gestartet), blieb er unter knapp 8W. "Gemessen" hat der Switch (POE+). Im idle ist ein Pi4 mit USB SSD um ca 1,5-2W schlechter. (hängt bei mir auch am selben POE Switch ebenfalls mit POE HAT)

Und ja, da kommen noch so Sachen wie Grafana+ Influx, Homeassistant,... mit drauf, die SSD ist da schon notwendig


spunz schrieb am 03.03.2024 um 08:17

hat jemand https://technitium.com/ als DNS in Verwendung?


voyager schrieb am 03.03.2024 um 11:14

Zitat aus einem Post von spunz
hat jemand https://technitium.com/ als DNS in Verwendung?

In Verbindung mit Pihole und Unbound?




overclockers.at v4.thecommunity
© all rights reserved by overclockers.at 2000-2024