ich habe einen Pihole mit Unbound installiert und möchte gerene meine DNS anfragen verbergen.
Kann man bei Pihole und Unbound einen weiteren externen DNS-Server eintragen, der Verschlüsselung unterstützt.
Z.B. https://dnsforge.de/
Wenn ja, wo müsste ich diesen DNS Server eintragen?
Ja, das geht.
Dann werden alle regelmäßig alle DNS Server abgefragt und dein o.g. Zweck wird nicht erfüllt.
Du kannst entweder nur die DoT Server im Pihole eintragen (dann brauchst du den unbound nicht), oder du trägst die in unbound ein (s.u.). Dann solltest Du im PiHole nur den unbound eintragen.
hinzugefügt. Ich habe das mit Quad9 auch einmal ausprobiert.
Dann ein systemctl restart unbound.service und der status ist in Ordnung.
Nur bekomme ich dann bei allen Diensten vom Client aus keine Verbundungen mehr.
ich wollte einmal Nachfragen ob sich jemand die DNS Einstellungen ansehen kann.
Ich habe jetzt das wie in der Anleitung getestet, für mich sieht das gut aus.
userr@pihole:~$ dig fail01.dnssec.works @127.0.0.1 -p 5335
; <<>> DiG 9.16.48-Debian <<>> fail01.dnssec.works @127.0.0.1 -p 5335
;; global options: +cmd
;; connection timed out; no servers could be reached
stefan@pihole:~$ dig +nocmd +noall +answer @root-dns.netcup.net www.kuketz-blog.de
www.kuketz-blog.de. 86400 IN CNAME kuketz-blog.de.
kuketz-blog.de. 86400 IN A 46.38.242.112
stefan@pihole:~$ dig +nocmd +noall +answer @pns101.cloudns.net www.spiegel.de
www.spiegel.de. 300 IN CNAME aacfb9d106f4.link11.de.
stefan@pihole:~$ dig fail01.dnssec.works @127.0.0.1 -p 5335
; <<>> DiG 9.16.48-Debian <<>> fail01.dnssec.works @127.0.0.1 -p 5335
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: SERVFAIL, id: 15748
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 1
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 1232
;; QUESTION SECTION:
;fail01.dnssec.works. IN A
;; Query time: 267 msec
;; SERVER: 127.0.0.1#5335(127.0.0.1)
;; WHEN: Wed Jun 26 18:39:23 UTC 2024
;; MSG SIZE rcvd: 48
stefan@pihole:~$ dig dnssec.works @127.0.0.1 -p 5335
; <<>> DiG 9.16.48-Debian <<>> dnssec.works @127.0.0.1 -p 5335
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 63302
;; flags: qr rd ra ad; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 1232
;; QUESTION SECTION:
;dnssec.works. IN A
;; ANSWER SECTION:
dnssec.works. 3600 IN A 5.45.107.88
;; Query time: 35 msec
;; SERVER: 127.0.0.1#5335(127.0.0.1)
;; WHEN: Wed Jun 26 18:40:01 UTC 2024
;; MSG SIZE rcvd: 57
stefan@pihole:~$ dig txt qnamemintest.internet.nl +short @127.0.0.1 -p 5335
a.b.qnamemin-test.internet.nl.
"HOORAY - QNAME minimisation is enabled on your resolver :)!"
kleines Missverständnis, ich habe die unblound.conf schon oben aber ohne Kommentare gepostet.
less /etc/unbound/unbound.conf
# Unbound configuration file for Debian.
#
# See the unbound.conf(5) man page.
#
# See /usr/share/doc/unbound/examples/unbound.conf for a commented
# reference config file.
#
# The following line includes additional configuration files from the
# /etc/unbound/unbound.conf.d directory.
include-toplevel: "/etc/unbound/unbound.conf.d/*.conf"
/etc/unbound/unbound.conf
forward-zone:
name: "."
forward-first: yes
forward-ssl-upstream: yes
forward-addr: 176.9.93.198@853#dnsforge.de
forward-addr: 176.9.1.117@853#dnsforge.de
forward-addr: 2a01:4f8:151:34aa::198@853#dnsforge.de
forward-addr: 2a01:4f8:141:316d::117@853#dnsforge.de
GNU nano 5.4 pi-hole.conf
edns-buffer-size: 1232
# Perform prefetching of close to expired message cache entries
# This only applies to domains that have been frequently queried
prefetch: yes
# One thread should be sufficient, can be increased on beefy machines. In r>
num-threads: 1
# Ensure kernel buffer is large enough to not lose messages in traffic spik>
so-rcvbuf: 1m
# Ensure privacy of local IP ranges
private-address: 192.168.0.0/16
private-address: 169.254.0.0/16
private-address: 172.16.0.0/12
private-address: 10.0.0.0/8
private-address: fd00::/8
private-address: fe80::/10
und die root-auto-trust-anchor-file.conf
server:
# The following line will configure unbound to perform cryptographic
# DNSSEC validation using the root trust anchor.
auto-trust-anchor-file: „/var/lib/unbound/root.key“
root-auto-trust-anchor-file.conf (END)