Es geht eigentlich hauptsächlich gar nicht um falsche Antworten, sondern vielmehr dass der DNS-Server (in deinem Beispiel Google) alle Anfragen sieht, und damit ein perfektes Bild von all deinen Online-Aktivitäten hat. Wenn man seinen eigenen hat haben Andere immer nur ein sehr kleines Bild davon (immer nur für ihren Domainbereich, und auch nicht wenn es schon gecacht ist)
Aber ein DNS Server wie von Google ist doch riesig. Geht man da nicht sowieso in der Masse unter? Der Pi greift ja auch trotzdem noch auf die root Server zu
Eine Frage: Wenn ich DNSSEC nutze und aktiviere und auch einen Upstream auswähle der es unterstützt, dann ist doch kein Mann in the Middle oder ähnliches mehr möglich und unbound unnötig oder??
whau ... super erklärt 😀👍danke - aber warum soll diese Lösung mein Netzwerk "sicherer" machen, wenn am Ende der DNS-Eintrag am Client durch Malware abgeändert wird? Am Ende ist mein privater (sicherer) wieder DNS hinfällig.... diese gut-geglaubte Sicherheit ist umgehend auagehebelt....
Habe ich schon seid längerem laufen. Bei mir im Proxmox LXC Container auf Ubuntu20.04. Läuft Top. Nach 2-3 Wochen sind die meistbestuchten Webseiten alle in unserem DNS gecached was den Vorteil von 0.1ms Ansprechzeit bietet. Das einzige was mich daran gerade nervt ist, dass vorher nicht gesehene YT-Videos des öfteren 2x aufgerufen werden müssen um sie zum starten zu bringen. Auch manche Funktionen (wie Autoupdate) vermisst man. - Die Möglichkeiten zur Nutzung als DHCP Server inklusive der Nutzung lokaler DNS & CNAME-Einträge sind aber erwähnenswert. Fazit: Simple Installation, Wartung & Administration - Selbsterklärend und gut dokumentiert.
Hallo. Ich wollte machen alles wie Du leider kann ich nicht finden Adresse(Seiten) wo alle Befehle, Config Daten stehen. Kannst Du kurz schreiben unter welche Adresse kann man die englische Seiten finden.Danke
Du musst aber die Liste der Toplevel-domains so ca. alle 6 Monate aktualisieren, sonst kann es sein, dass du gar keine Webseite mehr bekommst =) Solltest du vielleicht noch irgendwie nachtragen
@@itsdkiller2379 Ja, bei mir wird einfach jeden Monat die Datei automatisch neu heruntergeladen und ersetzt die alte, sofern sie nicht leer ist (um zu verhindern, dass ein Downloadfehler mein DNS kaputt macht).
@@JohnDoe-sx4yk einfach über docker jede woche neu starten dann ist das "problem" gelöst und zum thema dns verwende ich bind9 auch im docker wo ich in files meine routen habe reverse wie auch forward, den docker im compose auch einmal die woche neu builden lassen und alles passt... musst halt immer die files up to date halten, aber dank visual studio und ssh geht das auch gut
Kann Mann die Datenbank von unbound vergrößern so das die IP länger gespeichert werden? Wenn ja wie groß muss diese ungefähr sein klar kommt es auf das surf Verhalten an aber so ein grober Richtwert wäre cool
Hatte gestern nach Deinem Video auf meinem Pi-hole-raspi noch Unbound dazu installiert. Bin dabei genau nach Deiner (und der in der Pi-hole Doku) angegebenen Weise vorgegangen. Hatte wohl zunächst auch alles funktioniert. Heute früh musste ich feststellen, dass nichts mehr geblockt wird. Pi-hole wird wohl nicht mehr zwischengeschaltet. Nur warum ? Kannst Du mir einen Tip geben, woran das nun liegen könnte ?
Danke Dennis, ich habe es bei Semper nie kappiert, bei dir schon :) Abser sag mal, Unbound ist träge, was sind denn die Alternative? Stubby? Hau mal raus, Taddy ausm Discord PS: Noch eine Idee? ReverseProxy mit Sicherheitsfeature?
Hätte ich dieses System nicht erst vor 2 Tagen unter Ubuntu 18.04 in einem LXC Container in Proxmox konfiguriert, würde ich meinen ich werde beobachtet 😘
Könnte man das dann nicht auch so auf dem pihole definieren, dass er nicht zu einem public dns forwarded, sondern direkt zu den "originalen" dns bzw. zu dem zuständigen?
Super Video, vielen Dank! Sehr verständlich ... wie immer Hast Du zufällig auch eine Idee wie sich das ganze auf einer Synology im Docker Container realisieren lässt? Ich hab meinen Pi-hole im Docker Container mit einer eigenen Macvlan IP am laufen ... aber die Erweiterung des DNS Unbound Servers bekomme ich leider nicht ans laufen. Hat das schon mal jemand erfolgreich realisieren können? Viele Grüße Stef
DNSSec. DoT/DoH funktioniert nur mit den Upstream DNS Providern. Die Rootserver haben so einen Mechanismus nicht. Zumal das auch totaler Quatsch ist, da du das Vertrauen durch Nutzung von z.B. Cloudflare nur aus den Händen des ISP zum DNS-Anbieter verlagerst. Der kann auch bei DoT/DoH sehen, welche Seite du besucht hast.
Ich bleibe bei Quad9 als Upstream DNS: 1. Schneller 2. Wir sind keine high value targets und mit dem Einsatz von Pi-Hole machen wir schon mehr als 99,9% der user. 3. Speziell bei Quad9 habe ich eine zusätzliche Filterung wenn ich das will, was meine Sicherheit weiter verbessert. ✌🏻
Dich schickt der Himmel, bin gerade auf dein Video gestoßen und gleich nen Abo dagelassen. Ich habe mich selbst schon mit den ganzen DNS quatsch beschäftigt und komme jetzt langsam ins grübeln, ob ich ein Informatik Studium, um das zu verstehen. Also folgendes: Ich habe für meine Familie en RPi mit piHole und unbound aufgesetzt (Zudem noch UWF, Fail2ban um SSH abzusichern). Das hat soweit alles geklappt, nun aber stehe ich vor ein paar Problemen, da ich mich noch weiter damit befasst habe, und wollte mal fragen, ob du mir dabei helfen kannst. Also ich habe bei meinen Nachforschungen herausgefunden, dass unbound wohl sicherer sein soll als herkömmliche DNS anfragen, aber weniger Privatsphäre schützend ist, da die anfragen in Plain Text übertragen werden. Daraufhin bin ich auf DNScrypt gestoßen, was einen Öffentlichen DNS-Server benutzt welches Anfragen verschlüsselt und dann mittels 2 anderen Servern an den Home Server weiterleitet, um die IP des Home Servers zu verbergen (hat was von Tor und heißt "Anonymized DNS"). Diese2 Threads auf Reddit haben mir dabei etwas geholfen (sind im nächsten Kommentar, damit dieser nicht geblockt wird). Nun stellen sich mir ein Paar Fragen auf: Was sollte ich bzw. ich und meine Familie benutzen? DNScrypt + "Anonymized DNS" oder Unbound. Also was ist sicherer und was ist mehr Privatsphäre freundlicher? Zudem haben sich auch noch weitere Fragen ergeben, wo ich umdeine Hilfe bitte: - Ist DNSmasq noch benötigt? - Wie stelle ich HTTPs bei Unbound und im PiHole ein? Ich bin auch auf deinen Discord Zopy#5384
Vielen Dank, glaube es sollte aber auch erwähnt werden, dass die Cashes von den Public DNS-Servern auch viel Traffic reduzieren und die Rootserver entlasten.
Sehr cooles Video :) in der Unbound Config solltest Du allerdings die root-hints Datei auch noch aktivieren, damit diese auch definitiv verwendet wird (steht auch im Configfile als Kommentar) :-)
Wird im Video ja gut erklärt :) Damit sollen dann auch beim ermitteln der IP-Adresse die Root DNS Server angesprochen werden. Die Details dazu inkl. Schaubild sind im Video.
Ich würde gerne, dass Unbound die Anfragen an Adguard-DNS schickt um sich seinen Cache damit zu füllen. Möchte dabei allerdings gerne die DNS-Anfragen verschlüsselt haben. Kann das Unbound? Adguard-DNS bietet ja "DNS-over-HTTPS" ; "DNS-over-TLS" und "DNS-over-QUIC" in verschlüsselter Variante an. :)
um meinen letzten Eintrag zu erklären, extremer Nachteil der doppel Resolver PiHole Sache: 200ms und mehr für DNS Anfragen. TCP/TLS ist so langsam, weil im TCP alle Datenpakete nummeriert sind und in der richtigen Reihenfolge übertragen werden müssen. Geht ein Paket verloren (Handy im Mobilfunk / VPN) dann kommt es zum Paketstapel. (Head of Line Blocking) Der wird erst abgearbeitet, wenn das verloren gegangene Paket verarbeitet wurde. Bei AdGuard und DoQ (DNS over Quic) werden die Pakete einfach weiter verarbeitet und es bildet sich kein Paketstapel. Das verlorene Paket wird einfach nachträglich verarbeitet. DNS over quic hat 0ms bis max. 100ms Bei mir 4 bis 20ms. Das merkt man extrem beim Seitenaufbau. Jede Webseite ist bei mir sofort komplett geladen, mit allen Grafiken und sonst was. Gibt auch noch diverse weitere Vorteile von DoQ, bessere Verschlüsselung
Das stimmt aber leider nicht ganz wie du erklärt / veranschaulicht hast. Der/die Nameserver die z.B. bei der DENIC für deine Domain eingetragen sind, sind die autoritativen Nameserver für deine Domain. Du hast da aber "Rekursiver Nameserver für Domain" aufgeschrieben. Das ist aber Falsch. In deinem Fall ist dein UNBOUND, Google, Cloudflare, ... der rekursive Nameserver, und der Anbieter bei dem du deine Domain bestellt hast betreibt die autoritativen Nameserver für deine Domain. Bitte ggf. nochmal nachschauen und berichtigen :)
Vielleicht solltest Du erwähnen, dass in dieser Konstellation KEINE lokalen Hostnamen mehr aufgelöst werden, solange nicht der PiHole als DHCP-Server an Stelle einer Fritzbox z.B. fungiert. Dann nämlich müsste man alle lokalen Hosts unter local DNS eintragen, damit der PiHole die lokalen Hosts kennt.
ääääähhhh Falsch. Wenn man seinen externen DHCP in den Conditional Forward einträgt geht es auch mit dem Nachbarn.. sorry. DNS Namen der Lokalen Geräte.
@@RaspberryPiCloud hmm, genau das funktioniert leider nicht. Trotz Eintrag des DHCP-Server im Conditional Forwarding des Pihole werden lokale Hosts nicht mehr aufgelöst, es tauchen im Querylog dann entsprechend auch NXDOMAIN-Einträge für lokale Hosts auf. Warum ?
Unsicher ist weder die eine noch die andere Art. Der einzige Unterschied sind DNS-Sperren! Fragt das Pi-Hole bei Unbound nach, gibt es keine Netzsperren. Fragt das Pi-Hole bei einem DNS-Resolver, kann dieser gezwungen worden sein, DNS-Einträge zu sperren. In der Root-Zone gibts keine Sperrungen, da diese Länderübergreifend währen. Also: DNS-Sperren gibt es nicht mit Unbound. Und die Wartezeit ist wirklich marginal. Ist die IP einmal im Pi-Hole bekannt, gehts viel schneller.
Vielen dank hat überhaupt nicht funktioniert bin schon fast am überlegen den PI 4 zurück zusenden bin schon ne Woche dran schwer as fuck, habe es einmal hinbekommen aber nicht mit diesen Video und es waren alle Seiten überall gesperrt, macht kein spaß mehr habe als Elektriker ab und zu mit PCs und IP-Adressen zu tun nur es gibt nirgends ne vernünftige Anleitung auf Deutsch oder mit dem Standard Pi OS alles nur Exoten mit Linux etc.😢😢
Korrigiere mich. Aber Adguard kostet Geld. Adguard muss auf jedem Gerät installiert werden. Das wären für mich wieder 4,49 € im Monat und dann ist man nicht der Herr über die Daten.
Wie groß ist deine Filtersammlung? Die Standard Listen sind ja nicht so doll. Wo bekomme ich mehr Filterlisten her außer die ich im Webinterface selber anklicken kann.
Leider ist nach einiger Zeit der Unbound-Cache leer ca. 60 sek. Wegen der TTL. Und deshalb immer mal wieder die Abfrage Zeit der DNS-Namen zwischen 150-300 ms. Die Daten sind nicht dauerhaft gespeichert. Man kann aber durch einen bestimmten Befehl Unbound dazu bringen die Daten im Cache nach Ablauf der TTL zu erneuern sodass im Prinzip alle Anfragen zu unserem DNS-Server bei 0-4 ms (in meinem Test) liegen. Dazu einfach am Ende der Unbound Pi-hole Conf unter /etc/unbound/unbound.conf.d/„pi-hole config datei“ Folgendes einsetzen: cache-min-ttl: 60 cache-max-ttl: 86400 serve-expired: yes Dies bringt wie erwähnt den PI bzw. Den unbound dazu die Daten nach Ablauf zu erneuern sodass die Abfrage Zeiten immer niedrig sind.
Wollte ich nur erwähnen da man es so versteht das die Daten dauerhaft gespeichert sind und nur beim allerersten Abruf Zeit Brauch. Man kann dies ganz gut mit dem dig Befehl testen in dem man eine Domain nutzt die selten verwendet wird und da sieht man nach wenigen Minuten wieder 150-300 ms je nach Leitung etc.