SERVFAIL Probleme mit Pi-Hole + Unbound + Hyperlocal an FreshTomato WRT + NordVPN

So, neues Pi-Hole inkl. Unbound (aber bislang ohne Hyperlocal) ist aufgesetzt. Hier der Vollständigkeit halber mein Vorgehen.

Vorbereitung Raspberry Pi 3B+

- Bereits in Router eingestellt: Static IP für Pi (192.168.1.5)
- Image: "2020-05-27-RASPIOS-BUSTER-LITE.ARMHF.IMG" von https://downloads.raspberrypi.org/raspios_lite_armhf/images/raspios_lite_armhf-2020-05-28/
- Auf microSD mithilfe von Raspberry Pi Imager v1.4 @ macOS
- Leere Datei "ssh" auf Volume "boot" für SSH-Zugang hinzugefügt
- microSD in Raspberry Pi 3B+ eingelegt, an Router angeschlossen, gebootet.
$ ssh-keyscan -t ed25519 192.168.1.5 >> ~/.ssh/known_hosts
$ ssh pi@192.168.1.5
$ sudo raspi-config
- Advanced Options → Expand Filesystem
- Localisation Options → Change Timezone → Europe → Berlin
- Finish, Reboot
$ ssh pi@192.168.1.5
$ sudo apt update && sudo apt upgrade
$ sudo reboot
$ ssh pi@192.168.1.5
$ passwd
- [Vergabe eines starken Passworts]
$ sudoedit /etc/sudoers.d/010_pi-nopasswd
- "NOPASSWD" -> "PASSWD", STRG+X, Y, Enter
$ sudoedit /etc/systemd/timesyncd.conf
- "#NTP" -> "NTP=213.136.94.10 80.241.218.68 78.46.223.134"

Installation Pi-Hole

$ curl -sSL https://install.pi-hole.net | bash
- Alles im Folgenden ungenannte mit "Ok"/"Yes" bestätigt
- Upstream DNS Provider: Custom -> "103.86.96.100, 103.86.99.100" (NordVPN DNS)
- Select Protocols: "IPv6" deselektiert
$ pihole -a -p
- [Vergabe eines starken Passworts]
- Browser: 192.168.1.5/admin -> Group Management -> Adlists -> Copy&Paste des Inhalts von https://v.firebog.net/hosts/lists.php?type=nocross
- Browser: 192.168.1.5/admin -> Tools -> Update Gravity -> Update -> Warten bis "Success!"
- FreshTomato Browser GUI -> Advanced -> DHCP/DNS -> Use internal DNS [Y]
- FreshTomato Browser GUI -> Advanced -> DHCP/DNS -> Intercept DNS port [Y]
- FreshTomato Browser GUI -> Advanced -> DHCP/DNS -> Dnsmasq Custom Configuration: "dhcp-option=6,192.168.1.5 # PiHole's IPv4 address"
- FreshTomato Browser GUI -> Advanced -> DHCP/DNS -> Save
- FreshTomato Browser GUI -> VPN Tunneling -> Client 1 -> Advanced -> Accept DNS configuration: "Disabled" (war: "Strict")
- FreshTomato Browser GUI -> VPN Tunneling -> Client 1 -> Advanced -> Save
- FreshTomato Browser GUI -> Reboot -> Warten auf Router-Reboot

Installation Unbound

$ sudo apt install unbound
$ wget -O root.hints https://www.internic.net/domain/named.root
$ sudo mv root.hints /var/lib/unbound/
$ sudo mkdir /var/log/unbound
$ sudo touch /var/log/unbound/unbound.log
$ sudo chown unbound /var/log/unbound/unbound.log 
$ sudoedit /etc/unbound/unbound.conf.d/pi-hole.conf
- Hier Vorlage von https://docs.pi-hole.net/guides/unbound/ eingefügt
- Änderungen: "# " vor logfile entfernt, "verbosity: 2"
$ sudo service unbound start
$ dig pi-hole.net @127.0.0.1 -p 5335
$ dig sigfail.verteiltesysteme.net @127.0.0.1 -p 5335
- Hier SERVFAIL erwartet
$ dig sigok.verteiltesysteme.net @127.0.0.1 -p 5335
- Hier NOERROR erwartet
- Pi-Hole GUI: http://192.168.1.5/admin -> Settings -> DNS -> Custom 1 (IPv4) -> 127.0.0.1#5335
- Pi-Hole GUI: http://192.168.1.5/admin -> Settings -> DNS -> Alle anderen Haken der Upstream DNS Server entfernen
- Pi-Hole GUI: http://192.168.1.5/admin -> Settings -> DNS -> Save

Quellen:

• Vorbereitung Raspberry Pi
• Installation Pi-Hole
• Installation Unbound