Hallo zusammen.
Ich bin auf der Suche nach Hilfe, da ich in dem Thema nicht so sicher bin.
Pi-hole läuft bei mir auf einem Pi4 mit Unbound.
Im Heimnetz greife ich über LAN oder WLAN auf den Pi-hole mit einer festen DNS IP zu.
Ins Internet geht es dann mit einem Router weiter (Speedport 3).
Ich würde gerne den gesamten Verkehr vom Pi-hole und Unbound über ein externes VPN (Mullvad oder Proton) senden. Wenn ich nun die Apps von Mullvad oder Proton nutze, wird der gesamte Verkehr inclusive der DNS Abfragen direkt über den Router im VPN Tunnel am Pi-Hole vorbei gesendet.
Wie schaffe ich die Reihenfolge:
Browser -> Pi-Hole -> Unbound -> externes VPN
Hat das jemand schon einmal über Wireguard oder OpenVPN gemacht?
In den Anleitungen zu Wireguard oder OpenVPN finde ich nur die Konfigurationen, wenn ich von aussen auf mein Pi-Hole zugreifen möchte. Mullvad oder Proton bieten ja auch Konfigurationsfiles für Wireguard oder OpenVPN an.
Kann ich Wireguard auf dem Pi so konfigurieren, dass es nach dem Pi-Hole und Unbound kommt?
Vielen Dank für eure Antworten.
Sofern Endgeräte sich über eigene VPN-Client-Apps direkt mit dem VPN-Serviceanbieter verbinden, kann das nur funktionieren, wenn die VPN-Client-App die Konfiguration lokaler DNS-Server erlaubt.
Ich halte das für eher unwahrscheinlich - oftmals leiten VPN-Serviceanbieter den DNS-Verkehr innerhalb des VPN-Tunnels zwangsweise auf ihre eigenen DNS-Server um.
Das kann letztendlich aber nur über den VPN-Serviceanbieter sicher geklärt werden.
Sofern Du in Deinem Heimnetz ein VPN-Gateway zu Deinem VPN-Service-Anbieter installiert hast, würde der komplette öffentliche Netzwerkverkehr aller Clients in Deinem Netzwerk, die dieses Gateway verwenden, über Deinen VPN-Service-Anbieter abgewickelt - potentiell also auch die DNS-Anfragen Deines Pi-hole-Rechners.
Allerdings lässt sich Unbound nicht mehr als rekursiver DNS-Server nutzen, wenn die erwähnte zwangsweise DNS-Umleitung im VPN-Tunnel erfolgt: Da statt der autoritativen DNS-Server die DNS-Server Deines VPN-Anbieters befragt würden, wird Unbounds DNSSEC-Validierung fehlschlagen.
Das klingt so, als hättest Du noch keinen Vertrag mit einem VPN-Anbieter.
Warum möchtest Du überhaupt einen VPN-Anbieter nutzen?
Würde ein eigener VPN-Server Dir vielleicht schon ausreichen?
Verstehe. Vielen Dank für die ausführliche Antwort.
Im Zuge des Themas Datensicherheit und --armut denkt man zwangsläufig über die eigene IP Adresse nach. Ich hatte mich gefragt, ob es neben Tor auch mit einem VPN möglich sein kann seine IP zu verschleiern und mich gewundert warum ich in Zusammenhang mit dem Pi-hole darüber fast nichts finde. Ich würde VPN nur für diese Richtung einsetzen wollen (anders rum bräuchte ich es nicht).
Deine Antwort bringt da etwas Klarheit rein.
Was mich immer zusätzlich verwirrt:
Gibt es eine Möglichkeit nachzuvollziehen (und dann eventuell auch zu definieren), in welcher Reihenfolge der Internetverkehr überhaupt abläuft?
Beispiel:
Als Laie dachte ich, wenn ich in meiner WLAN oder LAN Einstellung den DNS Server fest auf die Pi-hole Adresse einstelle, dass es keine Möglichkeit mehr daran vorbei gibt, da das ja die eigentliche Verbindung zum Router und damit zum Netz ist.
Dennoch kann Firefox seinen eigenen DNS Server aufrufen, wenn ich ihm das in den Verbindungseinstellungen sage. Die VPN App etabliert ebenfalls seine eigenen Parameter.
Ausser dem Router gibt es in meinem Heimnetz kein "Master" der für alle definiert, welche Anfrage an welchen Server geht. D.h. jedes Programm auf meinem Rechner kann dann doch wieder selbst definieren, wo es seine Anfragen hinschickt.
Pi-hole sieht ja -wie jeder filternde DNS-Server- ausschließlich DNS-Anfragen.
Pi-hole ist weder ein Router noch eine Firewall:
Pi-hole sieht weder den gesamten Netzwerk-Verkehr wie ein Router oder Gateway, noch kann kann Pi-hole den DNS-Verkehr wie eine Firewall umleiten oder unterdrücken.