Pi-hole als DNS bei Benutzung eines VPN

Guen Morgen zusammen

Ich möchte vorweg nehmen das ich recht neu im Bereich Netzwerk/VPN bin und daher eher Laie als Profi.

Meine Frage währe ob es möglich/sinvoll ist bei der Nutzung eines VPN Anbieters (OVPN) einen
RaspberryPi mit Pi-hole als lokalen DNS-Server laufen zu lassen?

Mein aktuelelles Setup sieht so aus das ich eine FritzBox als Einwahlrouter habe und daran einen
Vilvo Router angeschlossen habe der meine gewünschten Geräte über VPN ins Netzt schickt.

Gedacht habe ich mir das so,dass der Raspberry Pi die funktion eines lokalen DNS Servers übernimmt und
als erstes von den Geräten "angesprochen" wird. Dieser soll dann seine Anfragen an den DNS des VPN Anbieters stellen.

Über Hilfe/Ratrschläge zu meinem Vorhaben würde ich mich sehr freuen

Ich hoffe, jemand mit mehr Erfahrung meldet sich noch zu dem Thema.
Ich würde sagen, dass es prinzipiell jedenfalls möglich sein sollte, Pi-hole als DNS für deine OVPN-Installation zu wählen und dann an einen beliebigen Upstream-DNS-Server zu leiten.

Ja das wäre super.

Ein VPN-Client für den VPN-Dienst eines kommerziellen VPN-Anbieters wird in der Regel sämtlichen DNS-Verkehr abfangen und im VPN-Tunnel auf seine eigenen DNS-Server umleiten, um DNS-Leaks zu verhindern.

Sofern Du einen dedizierten Rechner in Deinem Netzwerk als VPN-Gateway einsetzt, könnten Geräte in Deinem Netzwerk diesen als Router nutzen.
Es ist vermutlich anzunehmen, dass dann lediglich ausgehende Pakete verschlüsselt durch den VPN-Tunnel geschickt werden, während netzinterne Pakete normal und unverschlüsselt übertragen werden. Insofern könnte Dein Ansatz also funktionieren.

Es würde jedoch von der spezifischen VPN-Software abhängen, ob dies tatsächlich und insbesondere für DNS-Pakete der Fall ist.

Die Frage müsste Dir dementsprechend am besten Dein VPN-Anbieter beantworten können.

Ok. vielen Dank für deine Antwort

Ich habe meine VPN Anbieter kontaktiert und folgendes in Erfahrung gebracht.
Es ist möglich den Raspberry Pi mit Pi-Hole als lokalen DNS zu nutzen und als
Upstream Server die des VPN Anbieters zu nutzen. Habe auch die passenden
IP-Akdressen dafür bekommen. Jedoch würden dann die DNS Anfragen vom
Raspy nicht über VPN-Tunnel an den den Upstream DNS-Server laufen , sondern wären
Standard DNS anfragen.
Was mir meiner Meinung nach ja ein Stück Anonymität wieder nehmen würde und mein
ISP meine DNS Abfragen einsehen könnte.
Von Außen jedoch würde es keine Leaks geben , da ja nur die DNS meines VPN Anbieters
zu sehen ist. Oder habe ich da einen Denkfehler?

Das wäre nur der Fall, wenn die Netzwerkpakte Deines Pi-hole-Rechner nicht direkt oder indirekt über Dein VPN-Gateway laufen würden.

Welchen Weg nehmen denn ausgehende Netzwerkpakete bei Dir?
Gibt es Datenverkehr ins Internet, der nicht über den VPN-Dienst geroutet wird?

(Und es sind in jedem Fall Standard-DNS-Anfragen. :wink: )

Hm ok, ja das klingt auch logisch.
Momentan gibt es keinen Datenverkehr der nicht über den
VPN-Router (Vilfo) läuft. Ich habe alle Geräte an den VPN-Router
angeschlossen und dort Gruppen eingerichtet über welchen
VPN-Tunnel sie ins Netz gehen sollen.
Dann müsste ich beim Raspy als upstream DNS Server eigentlich nur die
IP des VPN-Router Gateways eintragen oder?
Dann sollte es der Router wieder verschlüsselt an die Server des
VPN Anbieters schicken?

Das ist kein Pi-hole-Thema, und es sind zudem Hard- und Software (in Form eines dedizierten VPN-Routers) beteiligt, mit denen ich nicht vertraut bin.

Ich kann dazu höchstens Vermutungen anstellen.

Ganz allgemein: Wenn das Routing über Dein VPN-Gateway läuft, ist es unerheblich, welcher DNS-Server in Pi-hole als Upstream eingetragen wird. Entscheidend ist, ob Datenpakete Dein privates Netzwerk ausschließlich über den VPN-Tunnel verlassen. Das würde dann auch die Datenpakete Deines RPis umfassen, und damit auch die DNS-Pakete, die Pi-hole von diesem aus an öffentliche DNS-Server sendet.

Dazu müsste das VPN-Gateway a) über einen DNS-Proxy verfügen und b) die Anfragen dieses Proxys über den VPN-Tunnel ausleiten.

Ob das der Fall ist und wie Du die Clients für die Verwendung des VPN-Gateways konfigurierst, ist keine Frage für Pi-hole, sondern für den Anbieter Deines VPN-Gateways. :wink:

Ok alles klar,

Deine Kommentare haben mich trotzedem einen Schritt weiter gebracht.
Also vielen Dank für deine Zeit und Mühe!
Falls ich das Projekt so in Angriff nehme kann ich mal von meinen Erfahrungen
berichten.

1 Like