Es geht eigentlich hauptsächlich gar nicht um falsche Antworten, sondern vielmehr dass der DNS-Server (in deinem Beispiel Google) alle Anfragen sieht, und damit ein perfektes Bild von all deinen Online-Aktivitäten hat. Wenn man seinen eigenen hat haben Andere immer nur ein sehr kleines Bild davon (immer nur für ihren Domainbereich, und auch nicht wenn es schon gecacht ist)
Aber ein DNS Server wie von Google ist doch riesig. Geht man da nicht sowieso in der Masse unter? Der Pi greift ja auch trotzdem noch auf die root Server zu
Du musst aber die Liste der Toplevel-domains so ca. alle 6 Monate aktualisieren, sonst kann es sein, dass du gar keine Webseite mehr bekommst =) Solltest du vielleicht noch irgendwie nachtragen
@@itsdkiller2379 Ja, bei mir wird einfach jeden Monat die Datei automatisch neu heruntergeladen und ersetzt die alte, sofern sie nicht leer ist (um zu verhindern, dass ein Downloadfehler mein DNS kaputt macht).
@@JohnDoe-sx4yk einfach über docker jede woche neu starten dann ist das "problem" gelöst und zum thema dns verwende ich bind9 auch im docker wo ich in files meine routen habe reverse wie auch forward, den docker im compose auch einmal die woche neu builden lassen und alles passt... musst halt immer die files up to date halten, aber dank visual studio und ssh geht das auch gut
Eine Frage: Wenn ich DNSSEC nutze und aktiviere und auch einen Upstream auswähle der es unterstützt, dann ist doch kein Mann in the Middle oder ähnliches mehr möglich und unbound unnötig oder??
Habe ich schon seid längerem laufen. Bei mir im Proxmox LXC Container auf Ubuntu20.04. Läuft Top. Nach 2-3 Wochen sind die meistbestuchten Webseiten alle in unserem DNS gecached was den Vorteil von 0.1ms Ansprechzeit bietet. Das einzige was mich daran gerade nervt ist, dass vorher nicht gesehene YT-Videos des öfteren 2x aufgerufen werden müssen um sie zum starten zu bringen. Auch manche Funktionen (wie Autoupdate) vermisst man. - Die Möglichkeiten zur Nutzung als DHCP Server inklusive der Nutzung lokaler DNS & CNAME-Einträge sind aber erwähnenswert. Fazit: Simple Installation, Wartung & Administration - Selbsterklärend und gut dokumentiert.
Danke Dennis, ich habe es bei Semper nie kappiert, bei dir schon :) Abser sag mal, Unbound ist träge, was sind denn die Alternative? Stubby? Hau mal raus, Taddy ausm Discord PS: Noch eine Idee? ReverseProxy mit Sicherheitsfeature?
Hätte ich dieses System nicht erst vor 2 Tagen unter Ubuntu 18.04 in einem LXC Container in Proxmox konfiguriert, würde ich meinen ich werde beobachtet 😘
Ich bleibe bei Quad9 als Upstream DNS: 1. Schneller 2. Wir sind keine high value targets und mit dem Einsatz von Pi-Hole machen wir schon mehr als 99,9% der user. 3. Speziell bei Quad9 habe ich eine zusätzliche Filterung wenn ich das will, was meine Sicherheit weiter verbessert. ✌🏻
whau ... super erklärt 😀👍danke - aber warum soll diese Lösung mein Netzwerk "sicherer" machen, wenn am Ende der DNS-Eintrag am Client durch Malware abgeändert wird? Am Ende ist mein privater (sicherer) wieder DNS hinfällig.... diese gut-geglaubte Sicherheit ist umgehend auagehebelt....
Vielen Dank, glaube es sollte aber auch erwähnt werden, dass die Cashes von den Public DNS-Servern auch viel Traffic reduzieren und die Rootserver entlasten.
Super Video, vielen Dank! Sehr verständlich ... wie immer Hast Du zufällig auch eine Idee wie sich das ganze auf einer Synology im Docker Container realisieren lässt? Ich hab meinen Pi-hole im Docker Container mit einer eigenen Macvlan IP am laufen ... aber die Erweiterung des DNS Unbound Servers bekomme ich leider nicht ans laufen. Hat das schon mal jemand erfolgreich realisieren können? Viele Grüße Stef
Sehr cooles Video :) in der Unbound Config solltest Du allerdings die root-hints Datei auch noch aktivieren, damit diese auch definitiv verwendet wird (steht auch im Configfile als Kommentar) :-)
Wird im Video ja gut erklärt :) Damit sollen dann auch beim ermitteln der IP-Adresse die Root DNS Server angesprochen werden. Die Details dazu inkl. Schaubild sind im Video.
Dich schickt der Himmel, bin gerade auf dein Video gestoßen und gleich nen Abo dagelassen. Ich habe mich selbst schon mit den ganzen DNS quatsch beschäftigt und komme jetzt langsam ins grübeln, ob ich ein Informatik Studium, um das zu verstehen. Also folgendes: Ich habe für meine Familie en RPi mit piHole und unbound aufgesetzt (Zudem noch UWF, Fail2ban um SSH abzusichern). Das hat soweit alles geklappt, nun aber stehe ich vor ein paar Problemen, da ich mich noch weiter damit befasst habe, und wollte mal fragen, ob du mir dabei helfen kannst. Also ich habe bei meinen Nachforschungen herausgefunden, dass unbound wohl sicherer sein soll als herkömmliche DNS anfragen, aber weniger Privatsphäre schützend ist, da die anfragen in Plain Text übertragen werden. Daraufhin bin ich auf DNScrypt gestoßen, was einen Öffentlichen DNS-Server benutzt welches Anfragen verschlüsselt und dann mittels 2 anderen Servern an den Home Server weiterleitet, um die IP des Home Servers zu verbergen (hat was von Tor und heißt "Anonymized DNS"). Diese2 Threads auf Reddit haben mir dabei etwas geholfen (sind im nächsten Kommentar, damit dieser nicht geblockt wird). Nun stellen sich mir ein Paar Fragen auf: Was sollte ich bzw. ich und meine Familie benutzen? DNScrypt + "Anonymized DNS" oder Unbound. Also was ist sicherer und was ist mehr Privatsphäre freundlicher? Zudem haben sich auch noch weitere Fragen ergeben, wo ich umdeine Hilfe bitte: - Ist DNSmasq noch benötigt? - Wie stelle ich HTTPs bei Unbound und im PiHole ein? Ich bin auch auf deinen Discord Zopy#5384
um meinen letzten Eintrag zu erklären, extremer Nachteil der doppel Resolver PiHole Sache: 200ms und mehr für DNS Anfragen. TCP/TLS ist so langsam, weil im TCP alle Datenpakete nummeriert sind und in der richtigen Reihenfolge übertragen werden müssen. Geht ein Paket verloren (Handy im Mobilfunk / VPN) dann kommt es zum Paketstapel. (Head of Line Blocking) Der wird erst abgearbeitet, wenn das verloren gegangene Paket verarbeitet wurde. Bei AdGuard und DoQ (DNS over Quic) werden die Pakete einfach weiter verarbeitet und es bildet sich kein Paketstapel. Das verlorene Paket wird einfach nachträglich verarbeitet. DNS over quic hat 0ms bis max. 100ms Bei mir 4 bis 20ms. Das merkt man extrem beim Seitenaufbau. Jede Webseite ist bei mir sofort komplett geladen, mit allen Grafiken und sonst was. Gibt auch noch diverse weitere Vorteile von DoQ, bessere Verschlüsselung
Hatte gestern nach Deinem Video auf meinem Pi-hole-raspi noch Unbound dazu installiert. Bin dabei genau nach Deiner (und der in der Pi-hole Doku) angegebenen Weise vorgegangen. Hatte wohl zunächst auch alles funktioniert. Heute früh musste ich feststellen, dass nichts mehr geblockt wird. Pi-hole wird wohl nicht mehr zwischengeschaltet. Nur warum ? Kannst Du mir einen Tip geben, woran das nun liegen könnte ?
Könnte man das dann nicht auch so auf dem pihole definieren, dass er nicht zu einem public dns forwarded, sondern direkt zu den "originalen" dns bzw. zu dem zuständigen?
Hallo. Ich wollte machen alles wie Du leider kann ich nicht finden Adresse(Seiten) wo alle Befehle, Config Daten stehen. Kannst Du kurz schreiben unter welche Adresse kann man die englische Seiten finden.Danke
Kann Mann die Datenbank von unbound vergrößern so das die IP länger gespeichert werden? Wenn ja wie groß muss diese ungefähr sein klar kommt es auf das surf Verhalten an aber so ein grober Richtwert wäre cool
DNSSec. DoT/DoH funktioniert nur mit den Upstream DNS Providern. Die Rootserver haben so einen Mechanismus nicht. Zumal das auch totaler Quatsch ist, da du das Vertrauen durch Nutzung von z.B. Cloudflare nur aus den Händen des ISP zum DNS-Anbieter verlagerst. Der kann auch bei DoT/DoH sehen, welche Seite du besucht hast.
Ich würde gerne, dass Unbound die Anfragen an Adguard-DNS schickt um sich seinen Cache damit zu füllen. Möchte dabei allerdings gerne die DNS-Anfragen verschlüsselt haben. Kann das Unbound? Adguard-DNS bietet ja "DNS-over-HTTPS" ; "DNS-over-TLS" und "DNS-over-QUIC" in verschlüsselter Variante an. :)
Vielleicht solltest Du erwähnen, dass in dieser Konstellation KEINE lokalen Hostnamen mehr aufgelöst werden, solange nicht der PiHole als DHCP-Server an Stelle einer Fritzbox z.B. fungiert. Dann nämlich müsste man alle lokalen Hosts unter local DNS eintragen, damit der PiHole die lokalen Hosts kennt.
ääääähhhh Falsch. Wenn man seinen externen DHCP in den Conditional Forward einträgt geht es auch mit dem Nachbarn.. sorry. DNS Namen der Lokalen Geräte.
@@RaspberryPiCloud hmm, genau das funktioniert leider nicht. Trotz Eintrag des DHCP-Server im Conditional Forwarding des Pihole werden lokale Hosts nicht mehr aufgelöst, es tauchen im Querylog dann entsprechend auch NXDOMAIN-Einträge für lokale Hosts auf. Warum ?
Das stimmt aber leider nicht ganz wie du erklärt / veranschaulicht hast. Der/die Nameserver die z.B. bei der DENIC für deine Domain eingetragen sind, sind die autoritativen Nameserver für deine Domain. Du hast da aber "Rekursiver Nameserver für Domain" aufgeschrieben. Das ist aber Falsch. In deinem Fall ist dein UNBOUND, Google, Cloudflare, ... der rekursive Nameserver, und der Anbieter bei dem du deine Domain bestellt hast betreibt die autoritativen Nameserver für deine Domain. Bitte ggf. nochmal nachschauen und berichtigen :)
Unsicher ist weder die eine noch die andere Art. Der einzige Unterschied sind DNS-Sperren! Fragt das Pi-Hole bei Unbound nach, gibt es keine Netzsperren. Fragt das Pi-Hole bei einem DNS-Resolver, kann dieser gezwungen worden sein, DNS-Einträge zu sperren. In der Root-Zone gibts keine Sperrungen, da diese Länderübergreifend währen. Also: DNS-Sperren gibt es nicht mit Unbound. Und die Wartezeit ist wirklich marginal. Ist die IP einmal im Pi-Hole bekannt, gehts viel schneller.
Vielen dank hat überhaupt nicht funktioniert bin schon fast am überlegen den PI 4 zurück zusenden bin schon ne Woche dran schwer as fuck, habe es einmal hinbekommen aber nicht mit diesen Video und es waren alle Seiten überall gesperrt, macht kein spaß mehr habe als Elektriker ab und zu mit PCs und IP-Adressen zu tun nur es gibt nirgends ne vernünftige Anleitung auf Deutsch oder mit dem Standard Pi OS alles nur Exoten mit Linux etc.😢😢
Korrigiere mich. Aber Adguard kostet Geld. Adguard muss auf jedem Gerät installiert werden. Das wären für mich wieder 4,49 € im Monat und dann ist man nicht der Herr über die Daten.
Wie groß ist deine Filtersammlung? Die Standard Listen sind ja nicht so doll. Wo bekomme ich mehr Filterlisten her außer die ich im Webinterface selber anklicken kann.
Leider ist nach einiger Zeit der Unbound-Cache leer ca. 60 sek. Wegen der TTL. Und deshalb immer mal wieder die Abfrage Zeit der DNS-Namen zwischen 150-300 ms. Die Daten sind nicht dauerhaft gespeichert. Man kann aber durch einen bestimmten Befehl Unbound dazu bringen die Daten im Cache nach Ablauf der TTL zu erneuern sodass im Prinzip alle Anfragen zu unserem DNS-Server bei 0-4 ms (in meinem Test) liegen. Dazu einfach am Ende der Unbound Pi-hole Conf unter /etc/unbound/unbound.conf.d/„pi-hole config datei“ Folgendes einsetzen: cache-min-ttl: 60 cache-max-ttl: 86400 serve-expired: yes Dies bringt wie erwähnt den PI bzw. Den unbound dazu die Daten nach Ablauf zu erneuern sodass die Abfrage Zeiten immer niedrig sind.
Wollte ich nur erwähnen da man es so versteht das die Daten dauerhaft gespeichert sind und nur beim allerersten Abruf Zeit Brauch. Man kann dies ganz gut mit dem dig Befehl testen in dem man eine Domain nutzt die selten verwendet wird und da sieht man nach wenigen Minuten wieder 150-300 ms je nach Leitung etc.
Es geht eigentlich hauptsächlich gar nicht um falsche Antworten, sondern vielmehr dass der DNS-Server (in deinem Beispiel Google) alle Anfragen sieht, und damit ein perfektes Bild von all deinen Online-Aktivitäten hat. Wenn man seinen eigenen hat haben Andere immer nur ein sehr kleines Bild davon (immer nur für ihren Domainbereich, und auch nicht wenn es schon gecacht ist)
Aber ein DNS Server wie von Google ist doch riesig. Geht man da nicht sowieso in der Masse unter? Der Pi greift ja auch trotzdem noch auf die root Server zu
Ich mag deine Videos mit anschaulicher Theorie! Danke und weiter so :)
Ich mach weiter, JA CHEF !
Danke, super erklärt Professor Dennis ✌️alles perfekt
In diesem Video kam es leider mal auf die Theorie an.
@@RaspberryPiCloud Find ich gut :D
Klasse, vielen Dank. Bitte noch für den Docker/Portainer.
Du musst aber die Liste der Toplevel-domains so ca. alle 6 Monate aktualisieren, sonst kann es sein, dass du gar keine Webseite mehr bekommst =) Solltest du vielleicht noch irgendwie nachtragen
Kann man das denn nicht per Cronjob automatisieren?
@@itsdkiller2379 Ja, bei mir wird einfach jeden Monat die Datei automatisch neu heruntergeladen und ersetzt die alte, sofern sie nicht leer ist (um zu verhindern, dass ein Downloadfehler mein DNS kaputt macht).
@@Thomas0918273645 Würdest du deinen Code hier posten? Würde mich sehr freuen.
@@JohnDoe-sx4yk einfach über docker jede woche neu starten dann ist das "problem" gelöst und zum thema dns verwende ich bind9 auch im docker wo ich in files meine routen habe reverse wie auch forward, den docker im compose auch einmal die woche neu builden lassen und alles passt... musst halt immer die files up to date halten, aber dank visual studio und ssh geht das auch gut
Eine Frage: Wenn ich DNSSEC nutze und aktiviere und auch einen Upstream auswähle der es unterstützt, dann ist doch kein Mann in the Middle oder ähnliches mehr möglich und unbound unnötig oder??
Habe ich schon seid längerem laufen. Bei mir im Proxmox LXC Container auf Ubuntu20.04. Läuft Top.
Nach 2-3 Wochen sind die meistbestuchten Webseiten alle in unserem DNS gecached was den Vorteil von 0.1ms Ansprechzeit bietet.
Das einzige was mich daran gerade nervt ist, dass vorher nicht gesehene YT-Videos des öfteren 2x aufgerufen werden müssen um sie zum starten zu bringen.
Auch manche Funktionen (wie Autoupdate) vermisst man. - Die Möglichkeiten zur Nutzung als DHCP Server inklusive der Nutzung lokaler DNS & CNAME-Einträge sind aber erwähnenswert. Fazit: Simple Installation, Wartung & Administration - Selbsterklärend und gut dokumentiert.
Warum nicht LXD Container?
So einfach kann es sein. Sehr geil, Danke!
könntest du das vielleicht auch mit Docker/Portainer zeigen?
... und mit IPv6
Würde mich auch interessieren.
1 Jahr keine Reaktion. Scheint wohl ein NEIN zu sein :(
Danke Dennis, ich habe es bei Semper nie kappiert, bei dir schon :)
Abser sag mal, Unbound ist träge, was sind denn die Alternative? Stubby? Hau mal raus, Taddy ausm Discord
PS: Noch eine Idee? ReverseProxy mit Sicherheitsfeature?
Ich merke keinen Geschwindigkeitsunterschied
Super gutes Tutorial!
Muss ich jetzt in der Fritzbox noch was bei den DNS Einstellungen ändern?
Hätte ich dieses System nicht erst vor 2 Tagen unter Ubuntu 18.04 in einem LXC Container in Proxmox konfiguriert, würde ich meinen ich werde beobachtet 😘
Raspberry Pi Cloud is watching you
Super erklärt!
Vielen Dank :)
Wird nachgemacht sobald mein Raspberry da ist 😊
probiere ich mal aus, danke für die Vorführung :)
immer nette Musik im Hintergrund 🙂
Geil, perfektes Timing!
THX, great work. it runs great
Ich bleibe bei Quad9 als Upstream DNS:
1. Schneller
2. Wir sind keine high value targets und mit dem Einsatz von Pi-Hole machen wir schon mehr als 99,9% der user.
3. Speziell bei Quad9 habe ich eine zusätzliche Filterung wenn ich das will, was meine Sicherheit weiter verbessert.
✌🏻
whau ... super erklärt 😀👍danke - aber warum soll diese Lösung mein Netzwerk "sicherer" machen, wenn am Ende der DNS-Eintrag am Client durch Malware abgeändert wird? Am Ende ist mein privater (sicherer) wieder DNS hinfällig.... diese gut-geglaubte Sicherheit ist umgehend auagehebelt....
Wenn ich mich nicht täusche, dann fehlt noch das automatische Updaten für die dns Server, hin und wieder ändern sich mal die IP Adressen.
Du täuscht dich nicht. ;)
Vielen Dank, glaube es sollte aber auch erwähnt werden, dass die Cashes von den Public DNS-Servern auch viel Traffic reduzieren und die Rootserver entlasten.
Super Video, vielen Dank! Sehr verständlich ... wie immer
Hast Du zufällig auch eine Idee wie sich das ganze auf einer Synology im Docker Container realisieren lässt? Ich hab meinen Pi-hole im Docker Container mit einer eigenen Macvlan IP am laufen ... aber die Erweiterung des DNS Unbound Servers bekomme ich leider nicht ans laufen. Hat das schon mal jemand erfolgreich realisieren können?
Viele Grüße
Stef
Genau da häng ich auch seit Tagen dran, allerdings nicht in der Synology, sondern im Raspi mit Portainer. Nen vernünftiges Tutorial dazu wär spitze!
Sehr cooles Video :) in der Unbound Config solltest Du allerdings die root-hints Datei auch noch aktivieren, damit diese auch definitiv verwendet wird (steht auch im Configfile als Kommentar) :-)
Was hats denn damit auf sich? Kannst du das näher erklären?
Wird im Video ja gut erklärt :) Damit sollen dann auch beim ermitteln der IP-Adresse die Root DNS Server angesprochen werden. Die Details dazu inkl. Schaubild sind im Video.
Dich schickt der Himmel, bin gerade auf dein Video gestoßen und gleich nen Abo dagelassen. Ich habe mich selbst schon mit den ganzen DNS quatsch beschäftigt und komme jetzt langsam ins grübeln, ob ich ein Informatik Studium, um das zu verstehen.
Also folgendes: Ich habe für meine Familie en RPi mit piHole und unbound aufgesetzt (Zudem noch UWF, Fail2ban um SSH abzusichern). Das hat soweit alles geklappt, nun aber stehe ich vor ein paar Problemen, da ich mich noch weiter damit befasst habe, und wollte mal fragen, ob du mir dabei helfen kannst.
Also ich habe bei meinen Nachforschungen herausgefunden, dass unbound wohl sicherer sein soll als herkömmliche DNS anfragen, aber weniger Privatsphäre schützend ist, da die anfragen in Plain Text übertragen werden. Daraufhin bin ich auf DNScrypt gestoßen, was einen Öffentlichen DNS-Server benutzt welches Anfragen verschlüsselt und dann mittels 2 anderen Servern an den Home Server weiterleitet, um die IP des Home Servers zu verbergen (hat was von Tor und heißt "Anonymized DNS").
Diese2 Threads auf Reddit haben mir dabei etwas geholfen (sind im nächsten Kommentar, damit dieser nicht geblockt wird).
Nun stellen sich mir ein Paar Fragen auf: Was sollte ich bzw. ich und meine Familie benutzen? DNScrypt + "Anonymized DNS" oder Unbound. Also was ist sicherer und was ist mehr Privatsphäre freundlicher?
Zudem haben sich auch noch weitere Fragen ergeben, wo ich umdeine Hilfe bitte:
- Ist DNSmasq noch benötigt?
- Wie stelle ich HTTPs bei Unbound und im PiHole ein?
Ich bin auch auf deinen Discord Zopy#5384
um meinen letzten Eintrag zu erklären, extremer Nachteil der doppel Resolver PiHole Sache:
200ms und mehr für DNS Anfragen. TCP/TLS ist so langsam, weil im TCP alle Datenpakete nummeriert sind und in
der richtigen Reihenfolge übertragen werden müssen. Geht ein Paket verloren (Handy im Mobilfunk / VPN) dann
kommt es zum Paketstapel. (Head of Line Blocking) Der wird erst abgearbeitet, wenn das verloren gegangene Paket verarbeitet wurde. Bei AdGuard und DoQ (DNS over Quic) werden die Pakete einfach weiter verarbeitet und es bildet sich kein
Paketstapel. Das verlorene Paket wird einfach nachträglich verarbeitet. DNS over quic hat 0ms bis max. 100ms
Bei mir 4 bis 20ms. Das merkt man extrem beim Seitenaufbau. Jede Webseite ist bei mir sofort komplett
geladen, mit allen Grafiken und sonst was. Gibt auch noch diverse weitere Vorteile von DoQ, bessere Verschlüsselung
Hatte gestern nach Deinem Video auf meinem Pi-hole-raspi noch Unbound dazu installiert. Bin dabei genau nach Deiner (und der in der Pi-hole Doku) angegebenen Weise vorgegangen. Hatte wohl zunächst auch alles funktioniert. Heute früh musste ich feststellen, dass nichts mehr geblockt wird. Pi-hole wird wohl nicht mehr zwischengeschaltet. Nur warum ? Kannst Du mir einen Tip geben, woran das nun liegen könnte ?
Könnte man das dann nicht auch so auf dem pihole definieren, dass er nicht zu einem public dns forwarded, sondern direkt zu den "originalen" dns bzw. zu dem zuständigen?
und wie wird IPv6 konfiguriert?
siehe conf-Datei: # May be set to yes if you have IPv6 connectivity do-ip6: no
@@JohnDoe-sx4yk Muss mann nichts in Settings (Upstream DNS Servers) noch was eintragen in IPv6?
Könnte man das ganze mit dem Apple Privacy Relay vergleichen?
Ist das nicht quasi das selbe, nur dass man die zwei Server in der Mitte selber hostet?
Hallo. Ich wollte machen alles wie Du leider kann ich nicht finden Adresse(Seiten) wo alle Befehle, Config Daten stehen. Kannst Du kurz schreiben unter welche Adresse kann man die englische Seiten finden.Danke
Kann Mann die Datenbank von unbound vergrößern so das die IP länger gespeichert werden? Wenn ja wie groß muss diese ungefähr sein klar kommt es auf das surf Verhalten an aber so ein grober Richtwert wäre cool
Habe ich durch die ganzen zusätzlichen Wege nicht viel mehr Risiko, dass da irgendwo ein MitM zwischen hängt?
schönes schaubild, ist der pi wirklich so höflich? :>
Bitte Danke ... natürlich ist der so nett.
Das scheint nicht unter docker zu funktionieren. Kann unbound nicht starten
Blöde Frage: Warum wird die Werbung vor einem YT Video (auf dem Handy) nicht geblockt. Aber auf dem pc (mit Plugin) schon?
Wie sieht es mit dem upstream server iptv6 aus? Braucht man den überhaupt?
Kann es zu Problemen kommen, wenn man Twitch Streamer ist? Erhöhte Latenzen oder ähnliches?
Hallo, eine Frage zu ipv6: Du hast in deinem Video dazu keine Einstellung.. Warum? Oder ist es nicht nötig das zu konfigurieren?
Egal, der Scheißdreck hört eh nach 1-2 Tagen auf irgendwas zu machen. Seit dem letzten Update ist es nur noch Dreck.
Könntest du ein Video machen, wie man das Ganze in einem Docker laufen lassen könnte zB auf einem RPi 3? Ich beiss mir daran die Zähne aus.
Zum besseren Verständnis, nutzt Unbound jetzt DoT / DoH / DNSSec ?
DNSSec. DoT/DoH funktioniert nur mit den Upstream DNS Providern. Die Rootserver haben so einen Mechanismus nicht. Zumal das auch totaler Quatsch ist, da du das Vertrauen durch Nutzung von z.B. Cloudflare nur aus den Händen des ISP zum DNS-Anbieter verlagerst. Der kann auch bei DoT/DoH sehen, welche Seite du besucht hast.
Was taugt eigentlich nextdns im Vergleich?
Es sind nun mehr als 2 Jahre vergangen, wenn ich jetzt die Anleitung 1:1 befolge bekomme ich immer ein SERVFAIL.
Ich würde gerne, dass Unbound die Anfragen an Adguard-DNS schickt um sich seinen Cache damit zu füllen. Möchte dabei allerdings gerne die DNS-Anfragen verschlüsselt haben. Kann das Unbound?
Adguard-DNS bietet ja "DNS-over-HTTPS" ; "DNS-over-TLS" und "DNS-over-QUIC" in verschlüsselter Variante an. :)
Geht mit Unbound auch DoH und DoT?
bringt pihole wss wenn man vpn verwendet?
Vielleicht solltest Du erwähnen, dass in dieser Konstellation KEINE lokalen Hostnamen mehr aufgelöst werden, solange nicht der PiHole als DHCP-Server an Stelle einer Fritzbox z.B. fungiert. Dann nämlich müsste man alle lokalen Hosts unter local DNS eintragen, damit der PiHole die lokalen Hosts kennt.
ääääähhhh Falsch. Wenn man seinen externen DHCP in den Conditional Forward einträgt geht es auch mit dem Nachbarn.. sorry. DNS Namen der Lokalen Geräte.
@@RaspberryPiCloud hmm, genau das funktioniert leider nicht. Trotz Eintrag des DHCP-Server im Conditional Forwarding des Pihole werden lokale Hosts nicht mehr aufgelöst, es tauchen im Querylog dann entsprechend auch NXDOMAIN-Einträge für lokale Hosts auf.
Warum ?
Sempervideo gesehen ?
Jaaa, kommentiert für mich fleißig unter dem Video. Und vermerkt mich dort. :)
Hey, kann ich irgendwie testen oder nachsehen ob alles richtig läuft?
Dnslookup?
Das stimmt aber leider nicht ganz wie du erklärt / veranschaulicht hast. Der/die Nameserver die z.B. bei der DENIC für deine Domain eingetragen sind, sind die autoritativen Nameserver für deine Domain. Du hast da aber "Rekursiver Nameserver für Domain" aufgeschrieben. Das ist aber Falsch. In deinem Fall ist dein UNBOUND, Google, Cloudflare, ... der rekursive Nameserver, und der Anbieter bei dem du deine Domain bestellt hast betreibt die autoritativen Nameserver für deine Domain.
Bitte ggf. nochmal nachschauen und berichtigen :)
Also eine bessere erklärung gibts net! :D
How did I even end up in this part of youtube?!
Unsicher ist weder die eine noch die andere Art. Der einzige Unterschied sind DNS-Sperren! Fragt das Pi-Hole bei Unbound nach, gibt es keine Netzsperren. Fragt das Pi-Hole bei einem DNS-Resolver, kann dieser gezwungen worden sein, DNS-Einträge zu sperren. In der Root-Zone gibts keine Sperrungen, da diese Länderübergreifend währen. Also: DNS-Sperren gibt es nicht mit Unbound. Und die Wartezeit ist wirklich marginal. Ist die IP einmal im Pi-Hole bekannt, gehts viel schneller.
Bei den dig Befehlen bekomme ich immer SERVFAIL 😭
richtige IP eingegeben?
English would have been nice considering title was in Englisih.....
vorsicht mit aussagen wie "dafür jetzt absolut sicher"... sonst schönes video
Joar könnte man auf die Goldwagen legen, aber sagen wir mal "es ist sicherer"
11:12 ab da ist bei mir das internet weg
Vielen dank hat überhaupt nicht funktioniert bin schon fast am überlegen den PI 4 zurück zusenden bin schon ne Woche dran schwer as fuck, habe es einmal hinbekommen aber nicht mit diesen Video und es waren alle Seiten überall gesperrt, macht kein spaß mehr habe als Elektriker ab und zu mit PCs und IP-Adressen zu tun nur es gibt nirgends ne vernünftige Anleitung auf Deutsch oder mit dem Standard Pi OS alles nur Exoten mit Linux etc.😢😢
Deshalb 2 Pihole einsetzen, um solche Anfragen schneller zu beantworten?
t
Ich benutze seit längerem Adguard Home anstatt Pi-hole. Pi-hole ist mir zu altbacken 😜
Korrigiere mich. Aber Adguard kostet Geld. Adguard muss auf jedem Gerät installiert werden. Das wären für mich wieder 4,49 € im Monat und dann ist man nicht der Herr über die Daten.
@@michaelundkerstin36 Adguard Home ist kostenlos. Du kannst ihn wie pi-hole auf einen Server oder LXC container installieren
@@ocinemod2066 Danke für den Hinweis. Habe es jetzt mal installiert. Sieht sehr aufgeräumt und modern aus. Mal schauen wie es sich so schlägt
Wie groß ist deine Filtersammlung? Die Standard Listen sind ja nicht so doll. Wo bekomme ich mehr Filterlisten her außer die ich im Webinterface selber anklicken kann.
Leider ist nach einiger Zeit der Unbound-Cache leer ca. 60 sek. Wegen der TTL.
Und deshalb immer mal wieder die Abfrage Zeit der DNS-Namen zwischen 150-300 ms.
Die Daten sind nicht dauerhaft gespeichert.
Man kann aber durch einen bestimmten Befehl Unbound dazu bringen die Daten im Cache nach Ablauf der TTL zu erneuern sodass im Prinzip alle Anfragen zu unserem DNS-Server bei 0-4 ms (in meinem Test) liegen.
Dazu einfach am Ende der Unbound Pi-hole Conf unter /etc/unbound/unbound.conf.d/„pi-hole config datei“
Folgendes einsetzen:
cache-min-ttl: 60
cache-max-ttl: 86400
serve-expired: yes
Dies bringt wie erwähnt den PI bzw. Den unbound dazu die Daten nach Ablauf zu erneuern sodass die Abfrage Zeiten immer niedrig sind.
Wollte ich nur erwähnen da man es so versteht das die Daten dauerhaft gespeichert sind und nur beim allerersten Abruf Zeit Brauch.
Man kann dies ganz gut mit dem dig Befehl testen in dem man eine Domain nutzt die selten verwendet wird und da sieht man nach wenigen Minuten wieder 150-300 ms je nach Leitung etc.