Ich wollte auch mal die deutsch Kategorie ausprobieren
Also stell ich mal hier meine Frage.
Heute Morgen hab ich mir mal das PiHole.log Live File im Dashboard angeschaut und dabei etwas festgestellt.
Zuerst muss ich allerdings noch dazu sagen das ich das Update von dnsmasq. was heute in der Repo. war auch ausgeführt hab und mein Config File beibehalten hab.
Ich benutze DNSSEC mit dem DNS.Watch Primary und Secondary Server.
Folgendes hab ich immer wieder im Log File lesen müssen
Apr 15 10:05:26 dnsmasq[1482]: query[A] www.pcmasters.de from 192.168.178.23
Apr 15 10:05:26 dnsmasq[1482]: forwarded www.pcmasters.de to 84.200.69.80
Apr 15 10:05:26 dnsmasq[1482]: validation result is INSECURE
Bei manchen Seiten steht anstatt Insecure, Secure das erscheint mir richtig, nicht aber Insecure.
Mache ich irgendwas falsch oder wie soll ich diesen Auszug verstehen?
DNSSEC ist leider immer noch nicht in allen Hinsichten korrekt in dnsmasq implementiert. Wir haben intensive Diskussionen über dieses Thema im Forums laufen.
Aufgrund der vielfältigen Probleme empfehlen wir (d.h. das Pi-hole Entwicklerteam) aktuell niemandem DNSSEC für den alltäglichen Gebrauch zu verwenden (im wesentlichen also nur für zeitlich begrenzte Experimente). Falls Du ein ausreichend großes Interesse daran hast, liste ich Dir hier ein paar lesenswerte Diskussionen auf:
Interessante Sache.
Anscheinend ist das ganze gar nicht mal so einfach und man muss wirklich vieles beachten. Wenn ich das richtig verstehe macht DNSSEC nur Sinn wenn ich DNSCrypt verwende?
Und DNSSEC funktioniert wohl auch nur teilweise auf einem Dnsmasq. Der nicht stable ist.
Ja, ich denke das ist die richtige Schlussfolgerung. Es kommt stark auf das persönliche "Bedrohungsgefühl" an. Wenn man der Meinung ist, dass der Internetprovider einen ganz spezifisch ausspät, dann reicht dieses aber wohl auch nicht aus - er kann dann zwar nicht mehr mitlesen was Du nachfragst, aber natprlich kann er weiterhin sehen mit wem Du kommunizierst.
Ja ... wie gesagt ...
D.h. auch von uns verwendet es niemand produktiv (z.B. zuhause)
dnsmasq v2.76-5 only has a problem if you also use dnscrypt, otherwise it will work fine.
There are four states that dnsmasq will report:
SECURE: the dns entry has valid DNSSEC records associated with it
INSECURE: most dns entries have no DNSSEC records associated with them, but there is not really a problem, although it is not secure.
BOGUS: The dns entry OR/AND the associated DNSSEC records have been tampered with, dnsmasq will see this -> no access
ABANDONED: the dns entry has DNSSEC records associated with it, but they have expired -> no access
If you want to use dnsmasq + dnscrypt + DNSSEC, you need a test release of dnsmasq (v2.77test4). I have been running it for over two months now, without any problems, dnsmasq & dnscrypt work perfectly with DNSSEC enabled.
If you want to install dnsmasq v2.77test4 (on raspbian jessie lite - builds january, february, march OR april 2017) you can use this script to upgrade (somewhere near the end of the topic). Beware, the script has no error handling!
If you are working on this and would like to comment on this issue (the first item only about adding "ntpd -gq" in the start part of the dnsmasq deamon) , that would be greatly appriciated.
Thanks for this explanation.
So DNSSEC is working with the actual dnsmasq Version. But when i want to use it with dnscrypt i have to use the Experimental version of dnsmasq.