Richtige und Sichere DNS Einstellungen

Hallo,
bitte helfen Sie mir die richtigen und Sichersten DNS Einstellungen zu setzen.

Mein Hardware:
RockPro64 mit Armbian-Buster-Desktop Image. (Armbian_20.02.1_Rockpro64_buster_current_5.4.20_desktop)
OMV (OpenMediaVault) wird zusätzlich genutzt, auch Pi-Hole wurde über "armbian-config" installiert.
Sowie ein privates / kostenpflichtiges VPN dienst wird verwendet.

Das soll erreicht werden:
Der kompletten DNS anfragen/traffic soll nur über Pi-Hole + Unbound laufen ohne mein Internet Provider oder den VPN Provider nach IP Auflösung zu fragen.

Zur Klärung:
DHCP am Router oder im Pi-Hole wird nicht verwendet bzw. DNS wird zur Zeit manuell jeweils Gerät (SmartPhone, Notebook) gesetzt.
Der privates / kostenpflichtiges VPN dienst verwendet seine eigene DNS Server.
In meinem Fall, um zu erzwingen das die gesamte DNS anfragen/traffic über Pi-Hole geleitet wird, kann ich nur durch das manuelle ändern in DNS Einstellungen
/etc/resolv.conf bzw. /etc/resolvconf/resolv.conf.d/head.
Eine verbindung zu VPN wird durch eingabe ./vpn script hergestellt.

#!/bin/sh
sudo openvpn --config /etc/openvpn/united.kingdom.udp.ovpn --script-security 2

Oder mit einem start script, $ sudo systemctl start vpn.service in.
/etc/systemd/system/vpn.service
In der .ovpn wird zusätzlich eingefügt:

script-security 2
dhcp-option DNS 192.168.1.17

Wenn ich die DNS Einstellungen verändere (wie oben beschrieben) bekomme ich: (IP des Armbian-Buster-Desktop / Pi-Hole 192.168.1.17)>

$ sudo -i -- cat /etc/resolv.conf
nameserver 192.168.1.17
nameserver 127.0.0.1

Erst jetzt mit diesen Einstellungen wird in der Pi-Hole Web GUI in der Top Clients (total) Liste mein "Server 192.168.1.17" angezeigt und ich kann den Datenverkehr beobachten z.B. in pihole.log file (live).
Auch ohne 127.0.0.1 wurde getestet.
Dann wird in der Pi-Hole Web GUI in der Top Clients (total) Liste kein localhost.localdomain erstellt.

In Pi-Hole Web GUI ist der Custom 1 (IPv4) auf 127.0.0.1#5353 gesetzt (Unbound).

Zur Test / Kontrolle wird z.B. "nslookup whoami.akamai.net" ausgeführt (215.XXX.XXX.108 IP-VPN):

$ nslookup whoami.akamai.net
Server:         192.168.1.17
Address:        192.168.1.17#53

Non-authoritative answer:
Name:   whoami.akamai.net
Address: 215.XXX.XXX.108

Der dnsleaktest gibt das zurück:

$ ./dnsleaktest.sh
Your IP:
215.XXX.XXX.108 [United Kingdom xxxxxxxxxxxxxx]

You use 1 DNS server:
215.XXX.XXX.108 [United Kingdom xxxxxxxxxxxxxx]

Conclusion:
DNS is not leaking.

Wird der privates / kostenpflichtiges VPN dienst beendet bekomme ich folgendes (77.XXX.XXX.98 IP-Provider):

$ nslookup whoami.akamai.net
Server:         192.168.1.17
Address:        192.168.1.17#53

Non-authoritative answer:
Name:   whoami.akamai.net
Address: 77.XXX.XXX.98

$ ./dnsleaktest.sh
Your IP:
77.XXX.XXX.98 [Germany]

You use 1 DNS server:
77.XXX.XXX.98 [Germany]

Conclusion:
DNS is not leaking.

Mein Frage:

1. Demnach stelle ich fest das bei einer getrennter VPN Verbindung mein Provider-DNS genutzt wird anstelle Pi-Hole + Unbound?
2. Auch mit der privates / kostenpflichtiges VPN dienst Verbindung wird trotz der interner DNS Einstellungen nicht Pi-Hole + Unbound genutzt?
3. Wie genau kontrolliere ich welcher DNS gerade gebraucht wird?
4. Wo und Welche Einstellungen muss ich setzen um ausschließlich nur Pi-Hole + Unbound genutzt wird?
5. Muss in den internen DNS Einstellungen auch der (nameserver 127.0.0.1) stehen oder nur die IP des Pi-Hole (nameserver 192.168.1.17)?
6. Sind durch Unbound meine DNS anfragen sicher und nur local aufbewahrt?
7. Fraglich ist auch warum ich ohne den ganzen manuellen Einstellungen kein Eintrag in der Pi-Hole Web GUI mit localhost erstellt wird obwohl das ein und der selbe "Server" ist.

Ich bin ziemlich verwirrt durch die ganzen DNS hin und her.
Über eine verstehende Erklärung/Hilfe für Kohlköpfe wie ich, bin ich sehr dankbar.

Hallo und willkommen in der Pi-hole Community, neo.

Zu 1 bis 3

Beide nslookup-Kommandos (d.h. mit und ohne VPN) zeigen, dass in der Tat nominell Pi-hole unter der IP-Adresse 192.168.1.17 als DNS-Server genutzt wird (ersichtlich durch Server: 192.168.1.17, Address: 92.168.1.17#53).

Eine Prüfung, ob Pi-hole auch wie gewünscht filtert, kann stichprobenartig über folgendes Kommando erfolgen:

nslookup flurry.com

Diese Domäne sollte von Pi-hole geblockt werden (Name: flurry.com, Address: 0.0.0.0).

Die Tatsache, dass Ihre IP-Adresse dabei über whoami.akamai.net in eine jeweils andere IP-Adresse aufgelöst wird (mit VPN: 215.XXX.XXX.108, ohne VPN: 77.XXX.XXX.98) resultiert unmittelbar aus der Verwendung des VPN, dessen Zweck ja gerade ist, die Herkunft Ihrer Verbindung zu verstecken bzw. zu verschleiern.

Zu 4

Es sieht so aus, als wäre das zumindest für Pi-hole bereits korekt konfiguriert. Ob unbound als Upstream-DNS-Server für Pi-hole genutzt wird, lässt sich anhand Ihrer bisherigen Angaben nicht prüfen.

Zu 5

Im Normalfall ist es nicht nötig, /etc/resolv.conf manuell zu ändern.
Der Inhalt dieser Datei wird automatisch generiert (jedoch nicht von Pi-hole).
In Ihrem Fall ist der Eintrag 192.168.1.17 ungewöhnlich, verweist aber letzlich ebenfalls auf Pi-hole, also nicht fehlerhaft.
Ich vermute, dass er entweder durch die Konfiguration des VPN oder durch den Einsatz auf OMV zustande kommt.

Zu 6

Nein.
Wenn man eine Antwort auf eine DNS-Anfrage haben möchte, muss diese natürlich auch den Rechner verlassen.

Im Unterschied zur Verwendung eines dedizierten ISP-DNS-Servers befragt unbound aber nicht nur einen DNS-Server, sondern jeweils den authoritativen Server für die jeweils gesuchte Domäne, wobei bestenfalls jeder Server nur den für ihn bestimmten Anteil einer gesuchten Domäne sieht. Dadurch werden Anfragen zum einen nicht mehr zentral an einer Stelle gebündelt und im Idealfall kennt keiner der Server die vollständige Anfrage.

Vielen Dank für eine ausfürliche und schnelle Antwort.
Ich bin erstmal besenftigt das ich so gesehen die richtigen Einstellungen gesetzt habe.
Jetzt fallen natürlich andere fragen auf.

Zu Frage/Antwort 4:
Welche Angaben werden benötigt um zu überprüfen Ob unbound als Upstream-DNS-Server für Pi-hole genutzt wird.

Zu Frage/Antwort 6:
6a. Angenommen Pi-Hole / Unbound muss eine IP erfragen, geht die Anfrage über mein Provider oder stellt Unbound die Anfrage "selbst" ?
6b. Aus dem Guides Pi-hole as All-Around DNS Solution verstehe ich das so das Unbound die Anfrage "selbst" stellt ohne Hilfe meines Provider, richtig?
6c. Grob gesagt, die erhaltene Antwort wird dann ins "Unbound local cashe" gespeichert um weitere Anfrage/Zeit zu ersparen, richtig?
6d. Somit bleibt die DNS-Anfrage so gesehen für den Provider nicht sichtbar, richtig?

Vielen Dank.

Zu Frage/Antwort 4:

Da DNS-Aufllösung funktioniert, sollte auch unbound korrekt für Pi-hole eingerichtet sei, wenn es - wie jetzt angegeben - anhand des Guides auf derselben Maschine wie Pi-hole eingerichtet wurde, und in Pi-hole als einziger Custom Upstream DNS Server eingetragen ist.

Zu Frage/Antwort 6a und 6b:

Unbound stellt keine DNS-Anfragen an die DNS-Servers des Providers, es sei denn, diese Server sind authoritativ für die angefragte Domäne (wenn z.B. Vodafone Ihr ISP wäre, ist es bei Anfrage von support.vodafone.de theoretisch denkbar, dass die Vodafone-DNS-Server die Namensauflösung für den support.vodafone-Anteil übernehmen)

Zu Frage/Antwort 6c

Ja, das ist richtig.
Während die erste Namensauflösung (auch wegen der Rekursion) ggf. geringfügig länger dauert als bei einer direkten Anfrage, werden alle Folgeanfragen bis zum Ablauf der TTL quasi sofort über den lokalen Cache ausgeliefert.

Zu Frage/Antwort 6d

Nein.
Die DNS-Anfrage wird zwar nicht an den Provider gestellt, und es fällt damit auch keine direkte DNS-Historie an. Und da Domänen nicht vollständig, sonder rekursiv aufgelöst werden, erhält im Idealfall auch keiner der angefragten DNS-Server die vollständige angefragte Domäne.

Die einzelnen DNS-Anfragen selbst sind auf dem Übertragungsweg jedoch weiterhin von Dritten (und damit auch vom ISP) beobachtbar und einsehbar, sofern nicht zusätzlich Verschlüsselung zum Einsatz kommt. Diese wird jedoch noch nicht flächendeckend unterstützt.

N.B.: Das von unbound unterstützte DNSSEC ist kein Verschlüsselungsverfahren. Es ist vielmehr eine digitale Signatur für den angeforderten DNS-Record, über die geprüft werden kann, dass der entsprechende Datensatz während der Übertragung nicht manipuliert wurde.

Immerhin lassen sich allein aus der Beobachtung des DNS-Datenverkehrs die angefragten Domänen nur noch indirekt (also mit erheblichem Mehraufwand und ggf. nur statistisch) ableiten, da DNS-Anfragen möglichst mit gekürztem Domänen-Namen erfolgen.

Und selbstverständich bestünde bei gezielter Überwachung Ihres Anschlusses durch Ihren ISP auch nach wie vor die Möglichkeit, statt des DNS-Verkehrs (oder zusätzlich) sämtliche kontaktierten IP-Adressen zu loggen und auszuwerten (wobei die Aussagekraft hier mit der stetig zunehmenden Zahl von Clouddiensten abnimmt).

Nochmals Vielen Dank für die so ausführliche Beschreibung, verständlich sogar für mich.

Ist dann sinnvoll doch die DNS-Server des VPN-Provider zu nutzen, oder kommt es auf das selbe heraus ob Unbound oder DNS-Server des VPN-Provider bezogen auf > dem Übertragungsweg jedoch weiterhin von Dritten (und damit auch vom ISP) beobachtbar und einsehbar.

Gibt es weitere externe Möglichkeiten die DNS-Anfragen zu Verschlüsseln oder ähnliches.
Oder weitere Einstellungen zur Nutzung Pi-Hole + OpenVPN (für privates / kostenpflichtiges VPN dienst) für zusätzliche Anonymität.

Wie oder Welche Einstellungen würden Sie persönlich vornehmen?

Vielen Lieben Dank!

Meine Antworten bezogen sich bislang nur auf DNS, Ihre Verwendung eines VPN-Dienstes habe ich nicht einbezogen.

Sobald Sie einen VPN-Dienst zur Verbindung ins Internet nutzen, sollte bei entsprechender Konfiguration sämtlicher Verkehr über den VPN-Tunnel geleitet und damit auch durch Verschlüsselung vor neugierigen Dritten geschützt werden.

Durch die Verwendung von Pi-hole als DNS-Filter leiten Sie den DNS-Verkehr allerdings aus. Jetzt kommt es darauf an, welches Gerät den VPN-Zugang zur Verfügung stellt.

Wenn Sie Ihren VPN-Client nur lokal auf Ihrem Rechner installiert haben, wird Pi-hole / Unbound seinen DNS-Verkehr über den Router abwickeln, wodurch er in der beschriebenen Weise öffentlich wird.
In Ihrem konkreten Fall wird durch die Verwendung von unbound eine Überwachung allerdings deutlich erschwert, wenn auch nicht unmöglich.

Haben Sie einen VPN-Client auf einem Gateway in Ihrem Netzwerk (also z.B. Deinem Router) aktiviert, sollte die gesamte öffentiche Kommunikation aus dem Heimatnetz über das VPN laufen.

Sollte Ihr Router das nicht unterstützen, liesse sich ggf. der von Pi-hole verursachte DNS-Verkehr separat über TOR absichern, siehe TOR & Pihole.

Bei einer Verwendung von unterwegs sollte der Zugang zu Ihrem Heimnetzwerk ebenfalls durch ein VPN erfolgen, wodurch Sie möglicherweise auch noch einen VPN-Server im Heimnetz benötigen. Alternativ kann Pi-hole auch sicher in einer Cloud installiert werden, solange der Zugang dorthin ebenfalls auf VPN-Verbindungen beschränkt wird. Ob und wie gut in einem solchen Nutzungsszenario der Betrieb von Pi-hole, Router, Heimnetz und VPN-Anbieter funktionieren würde, hängt von allen beteiligten Komponenten ab und wäre mir damit zu spezifisch, um einen allgemeinen brauchbaren Vorschlag ableiten zu können.

Ich hoffe aber, dass meine bisherigen Erläuterungen Ihnen beim Finden der für Sie optimalen Lösung helfen können.

Natürlich helfen mir mit Ihre bisherigen Erläuterungen sehr, bin ich sehr dankbar dafür. Eine professionelle "Support" und sogar auf Deutsch ist nicht überall gegeben.
Mit Ihrer Hilfe helfen Sie mir sehr, ich hoffe auch ein paar anderen Nutzer auch, da ich nicht soviel Information über das Thema online gefunden habe. Dafür Danke nochmals!

Wie am Anfang beschrieben ist der VPN-Client local auf dem SBC installiert und soll den kompletten traffic über VPN leiten.
Zusätzlich war der Wunsch das Pi-Hole + Unbound den DNS-Verkehr geschützt leiten soll.

Wenn ich richtig verstanden habe (mit Pi-Hole+Unbound) ist der DNS-Verkehr zwar offen, dennoch für den Provider / Dritten nicht direkt "Überwachbar"?
Möchte man ein "geschlossene" DNS-Verkehr ist es besser den DNS-Verkehr über den VPN-Provider zu leiten, und den Daten Sammlung / Einsicht vertrauen?

Ist eine Interessante Sache die man in sich Anschauen muss. Wird aber in meinem Fall glaube nicht funktionieren, wen es nur über den Router geht?

Der betrieb findet ausschließlich nur local zuhause statt.

Direkt überwachbar ist Ihr gesamter Netzwerkverkehr, solange er nicht verschlüsselt erfolgt, spätestens bei gezielter Überwachung Ihres Internetanschlusses.
Unbound sorgt dafür, dass der DNS-Verkehr nicht zu den ISP-DNS-Servern oder sonst irgendwelchen einzelnen Servern läuft, sondern sich über Kontakte zu den authoritativen Servern verteilt.
Dadurch fallen keine DNS-Logs beim ISP an, und eine Ableitung der angefragten Domänen wäre bei Überwachung oder Ausleitung des DNS-Verkehrs schwieriger, aber nicht unmöglich.

Der DNS-Verkehr ist in diesem Szenario vor Dritten geschützt.
Verwenden Sie im VPN die DNS-Server Ihres VPN-Dienstleisters (oder GoogleDNS oder sonst einen öffentlichen DNS-Server), so fällt die DNS-Historie notwendigerweise im Klartext auf diesem DNS-Server an.
Kann Pi-hole / Unbound seine DNS-Anfragen ebenfalls durch einen DNS-Tunnel leiten, entfällt dies natürlich.

Doch, TOR kann auf dem Pi-hole-Rechner installiert werden.

OK! Ich bin jetzt ein ganzes Stück schlauer geworden, und soweit das Prinzip verstanden.

Jetzt stelle ich mir die Frage:
Wie am Anfang erwähnt "DHCP am Router oder im Pi-Hole wird nicht verwendet bzw. DNS wird zur Zeit manuell jeweils Gerät (SmartPhone, Notebook) gesetzt."
Wie wird sich Pi-Hole + Unbound verhalten wen ich DHCP am Router oder im Pi-Hole einschalte und ich die DNS des VPN-Provider nutze.
Jetzt wird ja "erzwungen" das ich Pi-Hole nutze. Wird es dann doppelt laufen oder wird einer der beiden DNS ignoriert?

Was oder wie ist mit einer Verschlüsselung genau gemeint, ist eine Domäne oder ein Dienst wie z.B. locale Nextcloud die nur über http laufen schon ein Risiko Fall?
Oder sind locale Dienste gar nicht betroffen, obwohl ja auch Nextcloud für z.B. Updates das Internet nutzt.
Wie verschlüsselt man sein Netzwerk am einfachsten und besten?

Wenn ich richtig verstanden habe geht es hier über ein Tor / DNSCrypt resolvers.
Über die Kombinierung Pi-Hole + Unbound + Tor DNSCrypt bin ich noch nicht schlau geworden. Das kann ja nicht alles sein? TOR & Pi-hole / Basic Setup

(SORRY wen die Fragen Dumm oder Nervig sind, das Thema interessierter mich einfach sehr)
Vielen Dank

Pi-hole selbst deckt nur den Bereich DNS ab. Hier helfen wir gern bei Pi-hole-spezifischen Problemen.

Theoretisch ist Pi-hole flexibel genug, um als DNS-Dienst in alle erdenklichen Netzwerkonfigurationen integriert zu werden. Dies erfodert jedoch jeweils spezifisches Wissen bezüglich der Netzwerk-Konfiguration. Die Community Guides liefern hier zusätzlich auf jeweils ein bestimmtes Thema bezogene Beispiel-Konfigurationen.
Die Kombination und Konfiguration unterschiedlicher Netzwerkdienste ist aber bei weitem nicht auf die aufgeführten Beispiele begrenzt und fällt letztlich dem jeweiligen Netzwerkbetreiber zu (also Ihnen). Verfügen Sie noch nicht über das dazu notwendige Wissen, so sollten Sie im Zweifel lieber eine einfachere Konfiguration anstreben oder im Vorfeld entsprechendes Wissen aufbauen (wobei Pi-hole bzw. dieses Forum nur den Pi-hole-spezifischen, DNS-relevanten Teil wirklich gut abdecken kann).

Ihre Fragen sind weder dumm noch nervig, aber insbesondere Ihre letzten Fragestellungen gehen deutlich über Pi-hole und DNS-Auflösung hinaus und sind daher wahrscheinlich besser in einem Forum für Netzwerk-Experten aufgehoben.

Verständlich das Sie / Community / Forum mir nicht jede beliebige Frage beantworten kann.
Ich bin schon mega dankbar für die bisherige super Hilfe von Ihnen!
Ich bin fleißig nach suche auch anderweitig, blöß so eine Professionelle Hilfe wie von Ihnen ist nicht zu finden!

Die Frage über das verhalten wen DHCP aktiviert wird, würde ich doch gerne wissen , wenn das noch im Raum des Pi-hole ist.
Vielen Dank

Ist es möglich eine Kombi Konfiguration aus Pi-Hole + Unbound + DNS-Over-HTTPS + TOR & Pihole zu erstellen, oder nur eine Konfiguration (entweder oder) ???
Ich versuche ein neues Topic zu erstellen, eventuell hat jemand ein Lösung für solch eine Kombi Konfiguration oder ähnliches.
Vielen Dank!

Zunächst einmal sind DHCP und DNS zwei verschiedene Themen.
Pi-hole wird sich nicht anders verhalten, wenn DHCP-Einstellungen geändert werden - die DHCP-Clients im Netzwerk dagegen schon: Wenn Sie über DHCP Ihren Provider-DNS-Server verteilen, wird auch ausschließlich dieser von den Clients genutzt.
Mehr zur Konfiguration findet sich in der Pi-hole-Dokumentation.

DoH (DNS-Over-HTTPS) muss als Protokoll von dem jeweils verwendeten DNS-Server unterstützt werden. Da wie bereits erwähnt bislang nur einige davon DoH anbieten, ist ein Einsatz mit unbound derzeit nicht empfehlenswert, wenn überhaupt möglich.

Sowohl TOR als DNS-Server als auch Unbound sind aus Sicht von Pi-hole Upstream-DNS-Server und somit nur alternativ zu sehen.

Am sinnvollsten wäre in Ihrem Netzwerk die Etablierung eines zentralen VPN-Clients für Ihren VPN-Provider im Router (oder einem anderen geeigneten Gerät) mit Pihole und einem Upstream-DNS-Provider Ihres Vertrauens (also z.B. ein DoH- oder DoT-Server oder Unbound).
Wenn die VPN-Clients jeweils einzeln pro Gerät installiert und gestartet werden, käme auch noch Pihole mit TOR in Frage.

Hier habe ich mich falsch ausgedrückt. Gemeint war; dass ich DHCP am Router oder im Pi-Hole einschalte und die Geräte die jetzt verbunden werden eine DNS des Providers haben. (der Zeit habe ich manuel die DNS jeweils Gerät geändert, immer die IP des Pi-hole eingetragen).
Demnach müssen jetzt die verbundene Geräte die Pi-hole Konfiguration nutzen und die im Gerät gesetzte DNS-Einstellungen ignorieren, richtig?

Wird z.B pi-dns.com aus der Liste nicht funktionieren, oder bin ich wieder ganz falschen Thema?

Ich habe ein Raspberry Pi noch rumliegen! Würde das zu Ihrem Vorschlag passen? Mein Router unterstützt kein VPN. Außerdem möchte / reicht mir eigentlich dass nur 2 Geräte (1-Windows-PC, 1-RockPro64 mit Armbian-Buster-Desktop) den VPN nutzen.

Neue Topic

Vielen Dank

This topic was automatically closed 21 days after the last reply. New replies are no longer allowed.