Ich hab mich mal mit dem Thema DNS über TLS beim Pihole beschäftigt. Von Haus aus kann Pihole kein DNS über TLS, daher muss man einen kleinen Umweg über Ubound nehmen. Ich habe mich durch diverse Anleitungen gelesen, und das ganze nun wie folgt gelöst...
Wer mehr darüber erfahren möchte, was ein Pihole ist und wie es funktioniert, hier mal ein paar Links...
- https://de.wikipedia.org/wiki/Pi-hole
- https://www.mielke.de/blog/Mit-dem-Pi-hole-einen-Werbeblocker-fuer-das-gesamte-lokale-Netz-einrichten--488/
Ich gehe an dieser Stelle davon aus, dass Pihole bereits auf einem Raspi installiert und eingerichtet ist!
Ubound auf dem Raspi installieren...
sudo apt install -y unbound dnsutils
Im Ordner /etc/unbound/unbound.conf.d die Datei pihole.conf erstellen
sudo nano /etc/unbound/unbound.conf.d/pihole.conf
mit folgenden Inhalt...
## DNS Over TLS, Simple ENCRYPTED recursive caching DNS, TCP port 853
## unbound.conf, original at https://calomel.org/unbound_dns.html
## tweaks by bartonbytes.com
## DNS changes by [GFT]=Joker=
server:
access-control: 127.0.0.0/8 allow
cache-max-ttl: 14400
cache-min-ttl: 600
do-tcp: yes
hide-identity: yes
hide-version: yes
interface: 127.0.0.1
minimal-responses: yes
prefetch: yes
qname-minimisation: yes
rrset-roundrobin: yes
ssl-upstream: yes
use-caps-for-id: yes
verbosity: 1
port: 5533
#
forward-zone:
name: "."
##forward-addr: 9.9.9.9@853 # quad9.net primary
##forward-addr: 1.1.1.1@853 # cloudflare primary
##forward-addr: 149.112.112.112@853 # quad9.net secondary
##forward-addr: 1.0.0.1@853 # cloudflare secondary
forward-addr: 5.1.66.255@853 # dot.ffmuc.net primary
forward-addr: 185.95.218.42@853 # dns.digitale-gesellschaft.ch primary
forward-addr: 185.150.99.255@853 # dot.ffmuc.net secondary
forward-addr: 185.95.218.43@853 # dns.digitale-gesellschaft.ch secondary
Alles anzeigen
Ich habe die DNS Server aus dem ursprünglichen Script angepasst. Natürlich könnt ihr hier eure eigene Wahl treffen, nützliche Infos zu "sicheren" DNS Servern findet ihr unter https://www.privacy-handbuch.de/handbuch_93d.htm
Sicher stellen, dass Unbound korrekt läuft...
sudo systemctl restart unbound && sudo systemctl enable unbound
Prüfen, ob Unbound die DNS Anfragen korrekt auflöst...
dig @127.0.0.1 example.com -p 5533
Nun im Pihole Interface unter Settings > DNS den IPV4 Upstream Server mit 127.0.0.1#5533 einrichten...
Nun Pihole neu starten...
sudo systemctl restart pihole-FTL
Ab jetzt sollten die Pihole DNS Anfragen über TLS Verschlüsselung laufen.
Ob die DNS Server wie gewünscht angefragt werden, kann man mit folgendem DNS Check überprüfen...
https://www.grc.com/dns/dns.htm
Für die Umsetzung habe ich folgende Quellen verwendet...