URL: https://www.overclockers.at/diy-soc/pihole-with-unbound-recursive-dns-step-by-step-tutorial-the-internet-is-broken_255071/page_25 - zur Vollversion wechseln!
Eher als Ersatz, auf den ersten Blick müsste es ja alles abdecken?
Angeturned von diesen Thread hab ich mich heute morgen wieder in die DNS Thematik hineingekniet.
Betreibe seit Jahren ein Pihole in nem Docker Container inkl. Resolver zu Quad1 und Quad9 mit Verschlüsselung über Cloudflared in einem Container und einem DHCP-Helper Container, so dass auch die DHCP Requests ankommen im Container zum Dnsmask.
Ich kann damit mal ausschließen, dass meine DNS Anfragen von aussen abgeschnüffelt werden können, weil verschlüsselt. Ich kann auch davon ausgehen, dass - sofern konfiguriert von der Ziel Domain – mit den Results nicht getampert wird aufgrund von DNSSEC Validation.
Was ich aber nicht ausschließen kann ist, dass Quad1 oder Quad9 meine Anfragen erst recht wieder auswertet und damit Cash verdient. Außerdem ist dieses Setup mit voneinander abhängigen Containern auf einer Single Machine ja quasi eine Einladung dazu zu explodieren (versucht mal nen Container online zu updaten wenn dein DNS Server auf dem der Container lauft down ist – weil ja richtig – du ihn upgrade willst).
Somit: Mach ma neu. In einer VM von Hand nen Dnsmasq installiert und gegen die Root Server A-M in der resolv.conf auflösen lassen, DNSSEC anschalten, Pfad zum Trust Anchor und wuppt schon mal.
Hätte nun angefangen, das Pihole dazuzuflanschen, aber was mir nun fehlt ist die Verschlüsselung meiner Anfragen auf dem Transportweg zu den Root Server– und da steh ich nun an. Wie zur Hölle soll das ohne den Cloudflared und ohne einen von Quad1 oder Quad9 betriebenen Endpunkt funzen? Gibt’s da eine Alternative?
Die Roots bieten afaik kein DoT oder DoH an (sind ja auch per se keine Caches), also musst du fuer diese Protokolle einen Resolver nutzen, der dir "echtes" DNS auf diese Varianten proxied. Ich hab dazu (noch - werde ich wohl bald mal stillegen, weil ich in ein anderes Hosting umziehe, wo der Service nicht mehr erwuenscht ist) https://resolv.us.to in Betrieb, wo mein persoenlicher DNS-Traffic in der Masse an anderen Usern untergeht.
Ich musste vor ein paar wochen den unbound resolver leider durch das dns service von quad9 ersetzen, da das pihole aus irgendeinem grund und ohne config change plötzlich 180 - 800ms gebraucht hat, je DNS query
Hatte bisher nicht die muse mir das genauer anzuschauen und nehme jetzt den privacy hit einfach hin... hatte bis dahin eigentlich lange und reibungslos funktioniert, aber um diesen eigenartigen fehler zu debuggen würd ich wohl länger analysieren müssen 
Quad 1 ist Cloudflare, die könnten Interesse an deinen Daten haben.
Quad9 ist ein Non Profit dass genau dafür geschaffen wurde für mehr privacy.
Ich hab zwei DNS Filter services (einmal pihole und einmal AdGuard Home) und zwei unbound server auf je zwei unterschiedlichen Hosts am laufen.
Abgefragt werden immer die Root
@COLOSSUS: das hab ich ja befürchtet. Das Thema bzgl. der Roots hab ich vorher mit einem Kollegen besprochen und er hat mich ein "asoziales Heisl" genannt, dafür das ich die Roots abfrage, dafür sind die ja nicht da. Ihm ist es übrigens egal das Thema er nutzt die Quad8...
@TOM: Ich habe ja beide derzeit drinnen in meinem alten Setup die Quad1 und Quad9. Auch ich hatte brutale latenzen beim Surfen vor einigene Monaten und hab bemerkt, dass ich PL zu einer der beiden Destinationen zu unterschiedlichen Zeiten am Tag (Danke, Magenta 
) Vl. wars das bei dir auch?
@Viper: Ja, aber wenn du die Roots nur drinnen hast dann können deine DNS Anfragen von jedem auf dem Weg ja erst geprofiled werden.
ich fürchte zu dem Thema gibts keine Perfekte lösung:
a.) Damit leben und nix tun hinter dem Pihole
b.) Voll Berserk gehen und mit Encryption und Validation leben bis zum Endpunkt des cloudflared und denen dort deine Daten in den Pöppes schieben
c.) Halb lustig DNSSEC haben und sich ********t vorkommen, dass das halbe Internet das eigentlich nicht verwendet und somit nicht verlässlich ist.
Welche der drei Schaß Varianten möchten Sie haben, bitte treten sie näher und kotzen sie mit ....
Zitat aus einem Post von liltan0xer hat mich ein "asoziales Heisl" genannt, dafür das ich die Roots abfrage, dafür sind die ja nicht da.
Zitat aus einem Post von liltan0xDas Thema bzgl. der Roots hab ich vorher mit einem Kollegen besprochen und er hat mich ein "asoziales Heisl" genannt, dafür das ich die Roots abfrage, dafür sind die ja nicht da
Servus zusammen...
als ich gestern aus dem Urlaub zurueckkam, merkte ich, dass meine SD-Karte im Raspberry schlapp gemacht hatte... habe ich das mit dem Backup wohl doch zu lange verschoben 
.
pihole config hatte ich sogar noch ein backup, bzw. das ist ja schnell eingerichtet...
Ein Problem habe ich jetzt noch - unbound habe ich installiert, und das funzt auch (in der Konsole richtig.)
Wenn ich jedoch 127.0.0.1#5353 im pihole als upstream hinterlege, geht jedoch auf ein Clients kein DNS mehr. In der pihole webui sieht jedoch alles ordentlich aus.
Hat hier jemand eine Idee zufaellig?
TIA!
pihole-log_278350.txt
Zitat aus einem Post von __Luki__5353
Zitat aus einem Post von voyager5335 ist der normalerweise. da ist auch in manchen Anleitungen n Fehler
btw, ne kleine usb ssd ist da deutlich langlebiger am Pihole
overclockers.at v4.thecommunity
© all rights reserved by overclockers.at 2000-2025