Hej,
Frågan har redan ställts antar jag, men jag har en Pi-Hole/Unbound-instans och jag vill veta om DNS-over-TLS eller DNS-over/HTTPS är nödvändigt för Unbound?
Jag vill bara använda min Unbound DNS-server, så är kryptering av förfrågningarna nödvändigt?
Tack för er hjälp
Det är antingen eller.
Om du använder Unbound som en rekursiv resolver, som kommunicerar med root-servrarna, och är oberoende av leverantörer som Cloudflare, Google, etc för din integritet… då kan du inte kombinera det med DoT/DoH. Root-servrarna stöder inte detta.
Om du vill ge upp den självständigheten och integriteten, kan du ställa in Unbound att använda DoT/DoH med en tjänsteleverantör som Cloudflare.
Vilket av dessa alternativ är mer användbart eller “bättre” beror helt på dig. Det finns inget universellt svar. Som så ofta, är integritet, säkerhet och bekvämlighet en kompromiss.
Kom ihåg att även med Unbound som en rekursiv resolver och att ta bort mellanmannen (Cloudflare, Google, etc)… kan din ISP fortfarande se exakt vart du surfar.
Det samma gäller för det krypterade alternativet. ISP:n ser inte DNS-frågorna i klartext, men om du följer upp med direkt tillgång till en IP, kan de mycket lätt ta reda på det. Om de vill.
Med standardinställningen för Unbound slipper du förtro dig till DNS-servrar, men nackdelen är att även om du använder ett VPN för din webbläsare, kan webbplatser ta reda på din riktiga IP, via “DNS leak”.
https://ipleak.net/ kan upptäcka läckan.
I princip använder de en slumpmässig subdomän som qmzcdk132ojcfcfh64htrowegios.ipleak.net, övervakar den och ber din webbläsare att ansluta till den. Då vet de IP-adressen för DNS-frågan, och eftersom du är den enda som skickade en förfrågan till den, vet de att det är du.
Kontrollera dina Pi-hole-loggar och du kommer att se vad jag menar.
Om du vill ha integritet från DNS-servrar + din ISP + webbplatser, måste du placera din webbläsare/PC OCH Unbound bakom en VPN.
antingen är DoT och DoH inte särskilt användbart ur ett integritetsperspektiv. det bästa är att köra unbound tillsammans med Pi-hole vilket verkar vara fallet du redan gör
DOT och DOH förhindrar MitM-attacker men gör ingenting för integritet så beroende på din användning kan mitt ovanstående påstående vara fel.
Stort tack för all denna information, jag är bra på virtualisering och docker men inte tillräckligt på nätverk och säkerhet.
Jag har skapat en virtuell maskin (wirehole) hemma (på Proxmox VE) med:
- Unbound som rekursiv DNS,
- Pi-Hole med Unbound DNS (127.0.0.1#5335) och standardkonfigurationen för Pi-Hole,
- Wireguard som VPN-server
Allt är installerat manuellt utan Docker.
Wireguard: i “AllowedIP”, har jag angett “0.0.0.0/0, ::/0” och jag har angett DNS som den från Pi-Hole (10.0.0.3). Jag har säkerställt att Pi-Hole endast lyssnar på wg0 och inte eth0, men jag kan fortfarande nå den med dess IP-adress 192.168.0.58 (den för VM).
Så när jag ansluter via VPN, filtreras allt av Pi-Hole och förfrågningarna löses av Unbound, men jag har intrycket att min konfiguration är långt ifrån tillräcklig medan all min trafik går via VPN.
Har ni några förslag?
Förutom, får någon legit SERVFAILs från Unbound dagligen?
Jag vill veta om DNS-over-TLS eller DNS-over/HTTPS är nödvändigt för Unbound?
Det är det inte. Du kan välja att köra unbound som en rekursiv resolver (som vår guide sätter upp) eller som en vidarebefordrande resolver med eller utan kryptering.
Det här innehållet har raderats på grund av ett orättvist Reddit-avstängning.
Om du vill ge upp den självständigheten och integriteten, kan du ställa in Unbound att använda DoT/DoH med en tjänsteleverantör som Cloudflare.
Det är ett falskt dikotomiskt val. Du kan använda en cachande/forwarding resolver, med kryptering, och välja en integritetsrespektfull rekursiv resolver, istället för Cloudflare eller Google.
Tack för informationen, vad skulle lösningen vara i detta fall?
Jag använder följande verktyg:
- Pi-Hole för att blockera annonser och telemetri,
- Unbound för att ha min egen rekursiva DNS-server,
- Wireguard som VPN-server,
Även med dessa verktyg kan ISP fortfarande spåra mig? Finns det ett verktyg som kan gå längre?
Jag förstod att det var ett eller det andra självklart 
Tack för svar, så om jag vill använda en extern DNS, är det DOH eller DOT, men om jag bara vill använda min egen, är det inte nödvändigt
Jag förstod allt
Hur kan jag verifiera detta i Pi-hole?
De hjälper till att förhindra att vissa webbplatser hittar din IP, om du är bakom en VPN och använder Unbound för DNS-lösning.
cf: min andra kommentar
och välj en integritetsrespektfull rekursiv resolver
Det finns självklart leverantörer som är mer integritetsskyddande än Google eller Cloudflare. Men ingen är densamma som att köra din egen rekursiva resolver. Det var poängen med jämförelsen.
välja en integritetsrespektfull rekursiv resolver
Vem respekterar din integritet mer än du själv?
Ja, de kan.
Det enda två alternativen för att undvika att din ISP lätt kan ta reda på vad du gör är
VPN-tunnel för all din trafik. Vanligtvis en kommersiell VPN-leverantör som NordVPN osv… Då ser din ISP bara att du ansluter till dem, men inte någon okrypterad trafik. Nackdelen är att du naturligtvis flyttar förtroendet från en leverantör till en annan. Om det är bättre eller sämre beror på dig själv. Kanske är din ISP inte trovärdig, eller så förändrar/blockerar de viss trafik. Eller så kan VPN-leverantören inte vara värd att lita på och du ger dem hela din trafik och betalar för den. Eller så hostar du din egen VPN-server i molnet, ansluter till den därifrån hemifrån via tunneln, men då litar du självklart på den som hostar den.
TOR-nätverket. Men det har många andra nackdelar.
Det beror på vad du försöker lösa.
Om du försöker förhindra att din ISP och din regering spårar din olagliga verksamhet, kommer du att ha en väldigt svår tid. TOR var länge det bästa sättet, men myndigheterna har visat att de kan spåra dig via det, det är bara merarbete. Det finns ingen säker metod för att förhindra att de spårar eller pekar ut dig. Det finns alltid en spårbarhet tillbaka till dig.
Om du bara försöker förhindra att din ISP spårar dig så att de inte säljer din data till annonsföretag, då gör du nog så gott du kan. Observera bara att, som andra kommentatorer nämnde, skjuter du ansvaret till din VPN. Jag tvivlar på att någon av dem är trovärdiga.
Eller om du bara försöker ta dig förbi censur i ditt land, är din VPN ofta tillräckligt bra också.
Det är därför vi säger att det inte finns någon lösning som passar alla.
Alternativt:
En virtuell maskin någonstans i molnet som fungerar som din DoH/DoT-resolver, och fungerar som en rekursiv DNS-klient för att få svaren för dina DoH/DoT-klienter.
Din Pi-hole kommer att prata DoT/DoH med din resolver, vilket döljer dina DNS-uppgifter från din ISP.
Moln-VM:en kommer självklart att göra rena rekursiva DNS-förfrågningar, så frågan är om du litar (eller bryr dig om) moln-VM-leverantören respekterar din integritet.
Eller bara ge upp önskan att göra rekursiv DNS. Det finns inget praktiskt dagligt nytta av det för dig, låt oss vara ärliga.
Kör DNS-läckagetesten, och sök sedan i Pi-hole-loggarna efter ipleak.net
det enda sättet att förhindra att en webbplats får din hem-IP är att dirigera allt genom en VPN. om du inte gör det kommer din webbläsare fortfarande att nå sidan med din IP