DOT/DOH på Pi-Hole, är det användbart?

VPN
1

Hej,

Frågan har nog redan ställts men jag har en Pi-Hole/Unbound-instans och jag vill veta om DNS-over-TLS eller DNS-over/HTTPS är nödvändigt för Unbound?

Jag vill bara använda min Unbound DNS-server, så är kryptering av förfrågningarna nödvändigt?

Tack för hjälpen

2

Det är antingen eller.

  • Om du för närvarande använder Unbound som en rekursiv resolver, som pratar med DNS-rootservrarna, och är oberoende av leverantörer som Cloudflare, Google, etc för din integritet… då kan du inte kombinera det med DoT/DoH. Rootservrarna stöder inte det.

  • Om du vill ge upp den självständigheten och integriteten, kan du ställa in Unbound att använda DoT/DoH med en leverantör som Cloudflare.

Vilket av dessa alternativ som är mer användbart eller “bättre” är helt upp till dig. Det finns inget universellt svar. Som så ofta är integritet, säkerhet och komfort en kompromiss.

Kom ihåg att även med Unbound som en rekursiv resolver och borttagning av mellanmannen (Cloudflare, Google, etc)… kan din ISP fortfarande se exakt var du surfar.

Detsamma gäller för det krypterade alternativet. ISP:en ser inte tydliga DNS-frågor, men om du följer dem med direktåtkomst till en IP kan de mycket lätt lista ut det. Om de vill.

3

Med standardinställningen för Unbound behöver du inte lita på DNS-servrar, men nackdelen är att även om du använder en VPN för din webbläsare kan webbplatser ta reda på din riktiga IP via “DNS-läckage”.

https://ipleak.net/ kan upptäcka läckan.

Kort sagt, de använder en slumpmässig subdomän som qmzcdk132ojcfcfh64htrowegios.ipleak.net, övervakar den och ber din webbläsare att ansluta till den. Då vet de IP för den inkommande DNS-förfrågan, och eftersom du är den enda som passar på en fråga till den, vet de att det är du.

Kolla dina Pi-Hole-loggar och du kommer att se vad jag menar.

Om du vill ha integritet från DNS-servrar + din ISP + webbplatser, måste du ställa in din webbläsare/PC OCH Unbound bakom en VPN.

4

ingen särskilt användbar från ett integritetsperspektiv. Det bästa är faktiskt att köra unbound tillsammans med Pi-hole vilket du redan verkar göra.

DOT och DOH förhindrar MITM-attacker men gör inget för integritet, så beroende på ditt användningsfall kan mitt ovanstående påstående vara fel.

5

Ett stort tack för alla dessa kommentarer, jag är bra på virtualisering och docker men inte tillräckligt på nätverk och säkerhet.
Jag har skapat en virtuell maskin (wirehole) hemma (på Proxmox VE) med:

  • Unbound som rekursiv DNS,
  • Pi-Hole med Unbound DNS (127.0.0.1#5335) och standardkonfigurationen för Pi-Hole,
  • Wireguard som VPN-server
    Alla är installerade manuellt utan Docker.
    Wireguard: i “AllowedIP”, har jag satt “0.0.0.0/0, ::/0” och jag har angett DNS som Pi-Hole (10.0.0.3). Jag såg till att Pi-Hole endast lyssnar på wg0 och inte eth0, men jag kan fortfarande komma åt den med dess IP-adress 192.168.0.58 (den för VM).
    Så när jag kopplar upp mig via VPN, filtreras allt av Pi-Hole och förfrågningarna löses av Unbound, men jag har intrycket att min konfigurering är långt ifrån tillräcklig medan all min trafik går genom VPN.
    Har ni några förslag?