Pihole mit DNS over TLS

Ich hab mich mal mit dem Thema DNS über TLS beim Pihole beschäftigt. Von Haus aus kann Pihole kein DNS über TLS, daher muss man einen kleinen Umweg über Ubound nehmen. Ich habe mich durch diverse Anleitungen gelesen, und das ganze nun wie folgt gelöst...

Wer mehr darüber erfahren möchte, was ein Pihole ist und wie es funktioniert, hier mal ein paar Links...

• https://de.wikipedia.org/wiki/Pi-hole
• https://www.mielke.de/blog/Mit-dem-Pi-hole-einen-Werbeblocker-fuer-das-gesamte-lokale-Netz-einrichten--488/

Ich gehe an dieser Stelle davon aus, dass Pihole bereits auf einem Raspi installiert und eingerichtet ist!

Ubound auf dem Raspi installieren...

sudo apt install -y unbound dnsutils

Im Ordner /etc/unbound/unbound.conf.d die Datei pihole.conf erstellen

sudo nano /etc/unbound/unbound.conf.d/pihole.conf

mit folgenden Inhalt...

## DNS Over TLS, Simple ENCRYPTED recursive caching DNS, TCP port 853
## unbound.conf, original at https://calomel.org/unbound_dns.html
## tweaks by bartonbytes.com
## DNS changes by [GFT]=Joker=
server:
access-control: 127.0.0.0/8 allow
cache-max-ttl: 14400
cache-min-ttl: 600
do-tcp: yes
hide-identity: yes
hide-version: yes
interface: 127.0.0.1
minimal-responses: yes
prefetch: yes
qname-minimisation: yes
rrset-roundrobin: yes
ssl-upstream: yes
use-caps-for-id: yes
verbosity: 1
port: 5533
#
forward-zone:
name: "."
##forward-addr: 9.9.9.9@853 # quad9.net primary
##forward-addr: 1.1.1.1@853 # cloudflare primary
##forward-addr: 149.112.112.112@853 # quad9.net secondary
##forward-addr: 1.0.0.1@853 # cloudflare secondary

forward-addr: 5.1.66.255@853 # dot.ffmuc.net primary
forward-addr: 185.95.218.42@853 # dns.digitale-gesellschaft.ch primary
forward-addr: 185.150.99.255@853 # dot.ffmuc.net secondary
forward-addr: 185.95.218.43@853 # dns.digitale-gesellschaft.ch secondary

Ich habe die DNS Server aus dem ursprünglichen Script angepasst. Natürlich könnt ihr hier eure eigene Wahl treffen, nützliche Infos zu "sicheren" DNS Servern findet ihr unter https://www.privacy-handbuch.de/handbuch_93d.htm

Sicher stellen, dass Unbound korrekt läuft...

sudo systemctl restart unbound && sudo systemctl enable unbound

Prüfen, ob Unbound die DNS Anfragen korrekt auflöst...

dig @127.0.0.1 example.com -p 5533

Nun im Pihole Interface unter Settings > DNS den IPV4 Upstream Server mit 127.0.0.1#5533 einrichten...

Nun Pihole neu starten...

sudo systemctl restart pihole-FTL

Ab jetzt sollten die Pihole DNS Anfragen über TLS Verschlüsselung laufen.
Ob die DNS Server wie gewünscht angefragt werden, kann man mit folgendem DNS Check überprüfen...

https://www.grc.com/dns/dns.htm

Für die Umsetzung habe ich folgende Quellen verwendet...

• https://bartonbytes.com/posts/…pi-hole-for-dns-over-tls/
• https://www.dnsknowledge.com/u…nd-dns-over-tls-on-linux/
• https://www.privacy-handbuch.de/handbuch_93d.htm