Pihole unbound + DoH

[funky1]

Hallo Zusammen,

zum Testen habe ich mir den Raspi 1b von meinem Vater geliehen und darauf Pihole einige Tage über den Quad DNS Server am Laufen gehabt. Nun habe ich meinen Raspi 4 in Betrieb genommen und darauf zunächst Docker und Portainer installiert.
Hab es allerdings wieder verworfen und Pihole unbound + Cloudflare DOH installiert.

Anleitung: https://docs.pi-hole.net/guides/dns/cloudflared/

1. Gibt es eine Möglichkeit zu testen, ob die Verbindung tatsächlich gesichert ist?
2. Muss IPV6 nicht eingerichtet werden?
3. Was haltet ihr überhaupt davon? Hab später noch von https://www.dnscrypt.org/ gelesen.
4. Ich verstehe nicht, wieso Bild.de auf dem PC nicht, dafür auf dem Smartphone direkt geblockt wird. Hab es mal auf die Whitelist gepackt, ändert aber nichts. Auf dem Handy = Safari, auf dem PC = Chrome - keine zusätzlichen Adblocker.

Gruß

 

[slrzo]

Hier müsstest du es testen können: https://www.cloudflare.com/ssl/encrypted-sni/

Aber irgendwie unbound und cloudflared zusammen macht doch wenig Sinn.
Unbound dient doch dazu gerade nicht von so einem Dienst wie Cloudflare abhängig zu sein. Cloudflared würde die DNS-Anfragen nur per HTTPS verschlüsseln aber Cloudflare (oder anderer kompatibler DNS-Service) sieht dennoch die Anfragen.

 

[funky1]

Ah super, hat geklappt. Lediglich "Verschlüsselte SNI" war rot.
Vielleicht hab ich das auch falsch verstanden. Für mich klang das nach Ergänzung bzw. mehr Sicherheit durch Verschlüsselung.

Demnach wäre unbound die bessere Variante?

 

[slrzo]

Bin da auch nur Laie, aber ich habe es so verstanden das durch Unbound die DNS-Anfragen direkt an die Root-Server gehen, der antwortet dann wer für die .tld zuständig ist. Danach wird der .tld Nameserver angefragt und so weiter.

So zumindest die Beschreibung unter https://docs.pi-hole.net/guides/dns/unbound/

Spoiler

After you set up your Pi-hole as described in this guide, this procedure changes notably:

1. Your client asks the Pi-hole Who is pi-hole.net?
2. Your Pi-hole will check its cache and reply if the answer is already known.
3. Your Pi-hole will check the blocking lists and reply if the domain is blocked.
4. Since neither 2. nor 3. is true in our example, the Pi-hole delegates the request to the (local) recursive DNS resolver.
5. Your recursive server will send a query to the DNS root servers: "Who is handling .net?"
6. The root server answers with a referral to the TLD servers for .net.
7. Your recursive server will send a query to one of the TLD DNS servers for .net: "Who is handling pi-hole.net?"
8. The TLD server answers with a referral to the authoritative name servers for pi-hole.net.
9. Your recursive server will send a query to the authoritative name servers: "What is the IP of pi-hole.net?"
10. The authoritative server will answer with the IP address of the domain pi-hole.net.
11. Your recursive server will send the reply to your Pi-hole which will, in turn, reply to your client and tell it the answer to its request.
12. Lastly, your Pi-hole will save the answer in its cache to be able to respond faster if any of your clients queries the same domain again.

Ziel durch unbound ist es doch eigentlich sich unabhängig von anderen DNS-Anbietern zu machen.

 

[funky1]

Danke! Evtl. setze ich auch einfach wieder zurück und verwende unbound.
Dann hab ich zumindest verstanden, was dort passiert. Dann verstehe ich Punkt 4 aber noch immer nicht. Bereits auf dem Pi 1b konnte ich z. B. Bild.de nicht auf die Whitelist packen. Hat nichts gebracht und aktuell wird es nur auf den Smartphones geblockt.

 

[0-8-15 User]

@slrzo, unbound kann beides (selber nachschlagen oder weiterleiten).

Was haltet ihr überhaupt davon?

Kommt ganz darauf an, was du dir davon versprichst.

 

[funky1]

Ich möchte eine Verschlüsselung nutzen und so wenig Daten wie möglich hinterlassen.

 

[Legolas]

Vielleicht hilft ja dieser Artikel