Pihole + Unbound

S

shanti

New member
Hallo zusammen,

ich nutze einen Raspi4/DietPi v8.18.2 und bin totaler Neuling bgzl. Pihole und Unbound.


Pihole ist installiert.


Nach dieser Anleitung...

https://www.heimnetz.de/anleitungen...lver-mit-pi-hole-installieren-und-einrichten/

...Unbound installiert.


1. Lt. Anleitung 'sudo nano /etc/unbound/unbound.conf.d/pi-hole.conf' angelegt und den Inhalt von 'https://docs.pi-hole.net/guides/dns/unbound/' hinein kopiert, abgespeichert.

Die Eingabe 'sudo service unbound restart" zeigt keine Fehlermeldung an.

2. Die Anpassungen im Pi-hole entsprechend der Anleitung vorgenommen.

Nach Basheingabe v. './dnsleaktest.sh' werden mir die DNS-Server meines Providers angezeigt.

Was habe ich falsch gemacht?

VG Shanti
 
Moinsen,
Wie sind deine Einstellungen für DNS in deinem Router? Wer macht DHCP im Netzwerk? Wird an die Klienten damit auch der richtige DNS verteilt?
 
Moin auch,

im Router habe ich unter WAN-Einstellungen bei DNS die lokale IP des Raspis/Pihole eingetragen.

Bisher war der DHCP-Server im Router aktiviert.

Muss bei der Konfiguration mit Unbound der DHCP-Server im Pi-Hole aktiviert werden und derjenige im Router deaktiviert? Damit die Verteilung des DNS an die Klienten über den Pi-Hole läuft?

Muss zusätzlich zu den gesetzten DNS-Einstellungen unter WAN auch unter LAN-Einstellungen / DNS- und WINS-Servereinstellungen die IP des Raspis eingetragen werden?
 
Moinsen,
in dem Router bei WAN Einstellungen die IP vom Pihole + unbound angeben, ja. Auch unter Heimnetzwerk (LAN) in der Fritzbox (falls das dein Routermodell sein sollte) die IP des Pihole/unbound eingeben.
Du kannst entweder DHCP via Router ODER Pihole laufen lassen, am Ende IMHO egal, allerdings sollte es nur EINEN DHCP Server im Netzwerk geben.

Du musst NICHT den DHCP des Pihole nutzen, wenn du den Router passend konfiguriert hast, dann verteilt der die IP des DNS Servers an die Gerät mit.
Zeig doch mal die Einrichtungsangaben des Pihole (hier DNS Einstellungen) sowie im Router.
Welche Art Anschluss nutzt du vom ISP her (Dualstack, Dualstack lite...)?

Was wird dir denn angezeigt unter der Konsole (Start > CMD) mit
Code: 
nslookup
?
 
Zuletzt bearbeitet:
the other schrieb:
allerdings sollte es nur EINEN DHCP Server im Netzwerk geben
Zum Vergrößern anklicken....
Das ist IMHO nicht korrekt... es kann durchaus auch sinnvoll sein ZWEI DHCP Server in einer Broadcast-Domäne bereitzustellen. Somit hat man dann sofort auch eine Redundanz, die gegen vermeintliche Ausfälle von DHCP-Servern hilft. Es ist dann lediglich eine Frage der korrekten Konfiguration.

Beispiel: DHCP a und DHCP b bedienen beide das gleiche Segment.

IP-BereichNutzungAnmerkung
10.0.0.0/24IP reservedNetID - IP
10.0.0.1RouterStandard Gateway
10.0.0.2 bis 10.0.0.39reserviert für statische IP
10.0.0.40 bis 10.0.0.139dynamischer Bereich Awird von DHCP a vergeben
10.0.0.140 bis 10.0.0.239dynamischer Bereich Bwird von DHCP b vergeben
10.0.0.240 bis 10.0.0.254reserviert für statische IP
10.0.0.255IP reservedBroadcast - IP
 
Die Frage ist, wo beginnt kompliziert. :D Dieses Konstrukt habe ich bereit vor mehr als 20 Jahren in Firmennetzen, die ich administriert habe so eingesetzt. Dabei war das Standard Gateway zusätzlich über VRRP (bzw. erst HSRP) abgesichert. ;)
 
Zuletzt bearbeitet:
Moinsen,
Gehen tut sicherlich so einiges... :) Auch mehr als ein DHCP, da geb ich @Barungar Recht. Das war unglücklich formuliert.

Im normalen Heimnetz wird aber ein solcher Aufwand eher kaum bis nie betrieben.
Der DNSleaktest zeigt dir vermutlich nur deine externe IP, deinen ISP und dessen DNS setting. Das ist dann normal.
Interessanter ist zB mit nslookup auf deinem Client zu schauen, was im LAN als DNS Server genutzt wird bzw bekannt gegeben wird.
Daher: was wird dir da angezeigt?
 
@the other

Anschluss: Vodafone Kabel. Gelieferter Router von VF befindet sich im Bridgemodus, also nur Modemfunktion; dahinter der Asusrouter. Raspi per Lan am Router.
Bin mir nicht sicher, aber ich denke, natives IPv4.

Habe den DHCP im Pi-Hole nun aktiviert, den im Router deaktiviert. Zusätzlich im Router in den Lan-Einstellungen die IP des Raspi/Pihole angegeben.

Code: 
root@DietPi:~# nslookup 127.0.0.1
1.0.0.127.in-addr.arpa    name = localhost.localdomain.

root@DietPi:~# nslookup 192.168.0.7
7.0.168.192.in-addr.arpa    name = pi.hole.
 

Anhänge

  • PiHole DNS.png
    PiHole DNS.png
    279 KB · Aufrufe: 7
  • Router Lan DHCP-Server.png
    Router Lan DHCP-Server.png
    103,6 KB · Aufrufe: 7
  • Router Waneinstellungen.png
    Router Waneinstellungen.png
    186,9 KB · Aufrufe: 7
Zuletzt bearbeitet von einem Moderator:
Moinsen,
na, dann wird doch scheinbar auch pihole bzw unbound gefragt. Ich nehme an, das war direkt auf dem Raspberry? Was sagt denn zB ein PC, Smartphone etc?
Noch etwas (was du bestimmt auch beachtet hast): du solltest den wichtigen Geräten im Netzwerk eine feste IP vergeben! Also entweder auf dem Gerät selber so einrichten oder via DHCP Server reservieren anhand der MAC Adresse. Wenn du das nicht tust, besteht die Gefahr, dass die DYNAMISCHE Vergabe von IP Adressen irgendwann mal deiner Pihole/unbound Maschine eine andere IP vergibt, dann wäre das doof. Auch doof, wenn etwa dein Router als Standard Gateway eine dynamische IP erhalten würde.

Also: unter Pihole anhand von MAC Adressen den Geräten reservierte IPs zuweisen, diese sollten außerhalb des dynamisch zu vergebenden IP Bereiches sein (also zB alles mit fester/reservierter Adresse von .1 bis .20, dann dynamischer Bereich etwa von .100 bis .250, je nach Bedarf und eigenem "Fuhrpark"...Router, Pihole/unbound sowie switche sollten da immer was reserviertes erhalten)...
:)
 
Zuletzt bearbeitet:
@the other

hallo. Danke erstmal für deine Hilfestellungen und Hinweise!

die nslookup-Anfrage von meinem Linux-PC aus bringt das gleiche Resultat wie jenes, dass unter dem Raspi angezeigt wird.

Ich hatte meinen Clients ( 3-4 ) schon vor der Nutzung von Pihole im Router feste IP-Adressen zugewiesen - zzgl. Mac/Adressbinding - und diese Adressen auch in den Clients eingetragen.
Im PiHole wurden diese dann auch mit den definierten Adressen nebst der MAC angezeigt.
Und mein Router ist auch in den DHCP-Einstellungen vom Pihole mit der IP eingetragen, die dieser sowieso hat.

Da ich den Pihole erst seit 2 Tagen und Unbound erst einen Tag nutze, hätte ich noch ein paar Fragen, wenn das nicht zu viel werden sollte.

Danke schön!

Shanti
 
Moinsen,

shanti schrieb:
hätte ich noch ein paar Fragen, wenn das nicht zu viel werden sollte.
Zum Vergrößern anklicken....
Naja, das ist ja der Sinn eines Forums, dass Fragen gestellt und hoffentlich beantwortet werden, dass Themen diskutiert werden usw. Also immer raus mit den Fragen!
Ich selber habe hier allerdings keinen aktiven Pihole laufen, daher...
;)
 
Noch ein paar Fragen zu PiHole mit Unbound.

Die herunter geladenen Root-DNS-Server befinden sich ja im Verzeichnis /var/lib/unbound/root.hints und sollten in einem gewissen Zeitinterwall aktualisiert werden.
Nach einer Anleitung auf einer anderen Seite habe ich einen Cronjob angelegt, der diese Listen alle 4 Monate aktualisiert.

https://hoerli.net/pi-hole-mit-unbound-betreiben/



Mit ist aufgefallen, dass in meiner PiHole-GUI unter "Query Log" unter Clients ausschließlich mein Router und der Pi-hole aufgeführt werden und unter "Status" bezogen auf die Routereinträge " Insecure" steht.
Zudem wird unter Tools/Network angezeigt, dass 3 meiner Clients den Pi-Hole gar nicht nutzen, obwohl von diesen Seitenaufrufe erfolgt sind und die Seiten ja auch angezeigt wurden. Siehe Anhänge bitte.
 

Anhänge

  • PiHole Querylog.png
    PiHole Querylog.png
    119 KB · Aufrufe: 6
  • Tools Network.png
    Tools Network.png
    163,5 KB · Aufrufe: 6
Moinsen,
Gegen ein regelmäßiges Updaten der authoritative DNS Server ist nix einzuwenden. (y)

Das inecure bedeutet nur, daß dnssec für die besuchte Seite nicht zur Verfügung steht, kannst du nicht ändern.

Wenn einige clients am pihole vorbei die Seiten aufrufen, dann mal schauen, welchen DNS server diese nutzen. Es kann immer sein, dass diese DNSoverHTTPS (DoH) oder auch DNSoverTLS (DoT) nutzen.
Kurz gesagt wird hierbei ein anderer Port für die DNS Anfragen genutzt, damit geht es an pihole vorbei. Lies dich da mal ein, bei Interese, das ist etwas komplex.
Inn Browsern auch gerne genutzt, aber meist deaktivierbar. Mit einer Firewall könntest du den Port für DoT (meist 853) blockieren, um die Anfrage zu blocken oder auf Port 53 umzubiegen. Mit DoH müsstest du allen verschlüsselten Traffic auf Port 443 (also den gesamten Https Verkehr!) erst aufbrechen, dann die enthaltenen DNS Anfragen rausfiltern und diese dann ggf. blockieren, was aber aus vielen Gründen im Heimnetz unpraktikabel ist.
 
@Stationary

Danke für den Hinweis.

Eine Aktivierung von "Use Conditional Forwarding" im Pi hat immer eine Fehlermeldung zur Folge.
Ich habe nun die entsprechenden Einstellungen in meinen Clients vorgenommen und nun werden auch im QueryLog die jeweiligen Clients angezeigt. Zwar umständlich, da man im Falle eines Ausfalls des Raspis alles wieder ändern müsste, aber es geht zunächst erstmal auch so.
 
@the other @Stationary

DoT und DoH sind in meinem FF und Thunderbird nicht aktiviert.

Bzgl. DNSSEC: Bei Nutzung von DNSSEC wird die Integrität eines DNS-Eintrags überprüft und es werden nur sichere DNS-Einträge ausgeliefert. Voraussetzung hier ist dann natürlich, dass der angefragte DNS-Server den DNSSEC-Service überhaupt anbietet; letzteres ist ja aber klar.
Nach meinem jetzigen Kenntnisstand wird bei Nutzung von DNSSEC die Kommunikation zwischen DNS-Server und Endgerät nicht verschlüsselt.

Bzgl. DoT und DoH: Bei Nutzung wird die Kommunikation zwischen DNS-Server und Engerät verschlüsselt, allerdings findet keine Überprüfung auf Echtheit und Integrität statt.

Nutzung PiHole mit Unbound: Bei dieser Konstellation richten sich ja alle Anfragen an meinen eigenen DNS-Server, wobei ich davon ausgehe - bitte um ggf. Korrektur - dass die Integrität der DNS-Einträge dadurch gesichert ist, dass bei Anfragen "nur" die Liste der authoritativen DNS Server abgefragt wird, welche in /var/lib/unbound/root.hints vorgehalten wird.
Sollte Letzteres stimmen, würde der Einsatz von DNSSEC überflüssig sein, da es einer Validierung bzgl. Integrität nicht mehr bedarf. ( Bitte um Korrektur, falls ich das falsch verstanden habe ).

( In diesem Zusammenhang stellt sich mir auch die Frage, ich welchem Fall mein eigener DNS-Server die authoritativen DNS Server anfragt? Nur dann, wenn der eigene DNS-Server Anfragen nicht beantworten kann, da zu einer Anfrage keine Einträge vorliegen? Nach Erstinstallation Unbound zu jeder Anfrage und dann später bei schon bekannten Anfragen aus dem Cache? ) (FF läuft ohne Cache )

Und stellt sich die Frage bei Nutzung Unbound bzgl. Dot/DoH nicht ähnlich? Zur Abfrage eine verschlüsselte Verbindung benutzen im Heimnetz?

Ich würde mich nochmals über Antworten freuen.

Shanti
 
shanti schrieb:
welchem Fall mein eigener DNS-Server die authoritativen DNS Server
Zum Vergrößern anklicken....
Nur mal so am Rande... die authoritativen Nameserver sind für die Zonen zuständig... "Dein" DNS-"Server" ist eigentlich nur ein "Resolver" mit Cache, welcher durch die Manipulation des Cache entsprechende Möglichkeiten bietet:

Unbound is a validating, recursive, and caching DNS resolver
Zum Vergrößern anklicken....
(Quelle: https://en.wikipedia.org/wiki/Unbound_(DNS_server))

Das nur mal so als kleine Info nebenbei, da man (ich bin da auch keine Ausnahme) ja immer recht salopp die Bezeichnung "DNS-Server" in der Gegend rumwirft 😅 Also einfach nur für ein etwas besseres Verständnis 🙃
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Zurzeit aktive Besucher

Gesamt: 115 (Mitglieder: 9, Gäste: 106)

Neueste Beiträge

Letzte Anleitungen

Statistik des Forums

Themen
4.578
Beiträge
46.868
Mitglieder
4.217
Neuestes Mitglied
RalfN

Teilen

Zurück
Oben