{"id":1232,"date":"2022-12-18T10:39:14","date_gmt":"2022-12-18T09:39:14","guid":{"rendered":"https:\/\/torstenzimmermann.de\/wordpress\/?p=1232"},"modified":"2023-01-17T18:12:29","modified_gmt":"2023-01-17T17:12:29","slug":"pihole-mit-eigenen-recursive-dns-server-unbound-installieren-raspberry-pi-etc","status":"publish","type":"post","link":"https:\/\/torstenzimmermann.de\/wordpress\/pihole-mit-eigenen-recursive-dns-server-unbound-installieren-raspberry-pi-etc\/","title":{"rendered":"Pihole mit eigenen recursive DNS Server (unbound) installieren (Raspberry Pi \/ etc.)"},"content":{"rendered":"\n

Gr\u00fczi liebe Freunde der gepflegten Unterhaltung,<\/p>\n\n\n\n

hier findet ihr eine Anleitung, wie wir Pihole und unbound installieren z.b. auf einem Raspberry Pi der sich daf\u00fcr super eignet. Aus eigener Erfahrung kann ich sagen: selbst der Pi der Gernation 1 reicht daf\u00fcr v\u00f6llig.<\/p>\n\n\n\n

<\/p>\n\n\n\n

Kurze Frage: Ich wei\u00df was Pi-hole ist aber was ist ein recursive DNS Servern bzw \u201eunbound\u201c ?<\/p>\n\n\n\n

Long Story short: normalerweise werden alle Internet Anfragen an ein DNS Server, z.b. Google 8.8.8.8 oder Cloudflare 1.1.1.1 gesendet (bzw oder auch den vom Provider automatisch zugewiesenen DNS Server). Ein DNS Server ist sowas wie ein Adressbuch f\u00fcr Computer wo zu einer Internet Adresse z.b. www.heise.de zur IP 193.99.144.80 nachgeschlagen kann.

Quelle:<\/p>\n\n\n\n

https:\/\/www.giga.de\/extra\/internet\/specials\/was-ist-dns-dns-server-einfach-erklaert\/<\/a><\/p>\n\n\n\n

Hier mal 2 Gr\u00fcnde warum ihr einen eigenen DNS Server wollt:
Theoretisches Problem: Was ist wenn das Adresssbuch eine falsche Antwort liefert ?
Dann w\u00e4re die Seite \u00fcber die URL nicht erreichbar. Genau das machen wir ja gezielt teilweise mit dem Pihole indem wir Webeadressen \u201eumbiegen\u201c
Ausserdem: Jede Internetanfrage die ihr macht gehr \u00fcber den DNS Server mindestens 1x um nachzufragen wie die Adresse ist. Das hei\u00dft euer DNS Server wei\u00df theoretisch eine Menge \u00fcber euch.
weitere infos dazu gerne auch hier https:\/\/www.reddit.com\/r\/pihole\/comments\/dgc2io\/what_is_unbound\/<\/a><\/p>\n\n\n\n

oder
https:\/\/docs.pi-hole.net\/guides\/dns\/unbound\/<\/a><\/p>\n\n\n\n

<\/p>\n\n\n\n

Wovon ich hier ausgehen werde: Ihr habt bereits ein Raspberry OS<\/a> (oder \u00e4hnliches) auf dem Zielsystem.<\/p>\n\n\n\n

\n

Schritt 1: Pihole installieren:
root@pihole:~# curl -sSL https:\/\/install.pi-hole.net | bash<\/strong>

Das wars auch schon, pihole ist installiert und kann eigentlich schon genutzt werden. Ggfs wollt ihr eigene blocklists noch einf\u00fcgen, ist aber optional hier.
detailierte infos findet ihr u.a. hier:
https:\/\/www.heise.de\/tipps-tricks\/Pi-Hole-auf-dem-Raspberry-Pi-einrichten-so-geht-s-4358553.html<\/a>

Schritt 2: unbound installieren
root@pihole:~# apt update && apt install unbound<\/strong>

hier noch die ben\u00f6tigte config f\u00fcr die \/etc\/unbound\/unbound.conf.d\/pi-hole.conf<\/strong><\/p>\n<\/div><\/div>\n\n\n\n

server:\n    # If no logfile is specified, syslog is used\n    # logfile: \"\/var\/log\/unbound\/unbound.log\"\n    verbosity: 0\n\n    interface: 127.0.0.1\n    port: 5335\n    do-ip4: yes\n    do-udp: yes\n    do-tcp: yes\n\n    # May be set to yes if you have IPv6 connectivity\n    do-ip6: no\n\n    # You want to leave this to no unless you have *native* IPv6. With 6to4 and\n    # Terredo tunnels your web browser should favor IPv4 for the same reasons\n    prefer-ip6: no\n\n    # Use this only when you downloaded the list of primary root servers!\n    # If you use the default dns-root-data package, unbound will find it automatically\n    #root-hints: \"\/var\/lib\/unbound\/root.hints\"\n\n    # Trust glue only if it is within the server's authority\n    harden-glue: yes\n\n    # Require DNSSEC data for trust-anchored zones, if such data is absent, the zone becomes BOGUS\n    harden-dnssec-stripped: yes\n\n    # Don't use Capitalization randomization as it known to cause DNSSEC issues sometimes\n    # see https:\/\/discourse.pi-hole.net\/t\/unbound-stubby-or-dnscrypt-proxy\/9378 for further details\n    use-caps-for-id: no\n\n    # Reduce EDNS reassembly buffer size.\n    # IP fragmentation is unreliable on the Internet today, and can cause\n    # transmission failures when large DNS messages are sent via UDP. Even\n    # when fragmentation does work, it may not be secure; it is theoretically\n    # possible to spoof parts of a fragmented DNS message, without easy\n    # detection at the receiving end. Recently, there was an excellent study\n    # >>> Defragmenting DNS - Determining the optimal maximum UDP response size for DNS <<<\n    # by Axel Koolhaas, and Tjeerd Slokker (https:\/\/indico.dns-oarc.net\/event\/36\/contributions\/776\/)\n    # in collaboration with NLnet Labs explored DNS using real world data from the\n    # the RIPE Atlas probes and the researchers suggested different values for\n    # IPv4 and IPv6 and in different scenarios. They advise that servers should\n    # be configured to limit DNS messages sent over UDP to a size that will not\n    # trigger fragmentation on typical network links. DNS servers can switch\n    # from UDP to TCP when a DNS response is too big to fit in this limited\n    # buffer size. This value has also been suggested in DNS Flag Day 2020.\n    edns-buffer-size: 1232\n\n    # Perform prefetching of close to expired message cache entries\n    # This only applies to domains that have been frequently queried\n    prefetch: yes\n\n    # One thread should be sufficient, can be increased on beefy machines. In reality for most users running on small networks or on a single machine, it should be unnecessary to seek performance enhancement by increasing num-threads above 1.\n    num-threads: 1\n\n    # Ensure kernel buffer is large enough to not lose messages in traffic spikes\n    so-rcvbuf: 1m\n\n    # Ensure privacy of local IP ranges\n    private-address: 192.168.0.0\/16\n    private-address: 169.254.0.0\/16\n    private-address: 172.16.0.0\/12\n    private-address: 10.0.0.0\/8\n    private-address: fd00::\/8\n    private-address: fe80::\/10<\/em><\/code><\/code><\/pre>\n\n\n\n
startet den Rechner danach neu und das wars zur installation schon. hier gibts keine fancy r\u00fcckmeldung, es wird einfach installiert. damit w\u00e4re unbound an sich schon arbeitsf\u00e4hig.\n\nwollt ihr testen \u00fcber welchen DNS Server die anfragen kommen ? okay:\nrootdig pi-hole.net @127.0.0.1 -p 5335<\/strong><\/code><\/pre>\n\n\n\n
root@pihole:~# dig torstenzimmermann.de @127.0.0.1 -p 5335<\/p>\n\n\n\n
das ergebnis sieht dann so aus:<\/p>\n\n\n\n
; <<>> DiG 9.16.33-Raspbian <<>> torstenzimmermann.de @127.0.0.1 -p 5335\n;; global options: +cmd\n;; Got answer:\n;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 10068\n;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1\n\n;; OPT PSEUDOSECTION:\n; EDNS: version: 0, flags:; udp: 1232\n;; QUESTION SECTION:\n;torstenzimmermann.de. IN A\n\n;; ANSWER SECTION:\ntorstenzimmermann.de. 97 IN A 213.136.81.240\n\n;; Query time: 0 msec\n;; SERVER: 127.0.0.1#5335(127.0.0.1)\n;; WHEN: Sun Dec 18 10:28:34 CET 2022\n;; MSG SIZE rcvd: 65<\/em>\n<\/code><\/pre>\n\n\n\n
wie ihr seht hat 127.0.0.1 geantwortet.<\/p>\n\n\n\n
<\/p>\n\n\n\n
Ich w\u00fcrde zus\u00e4tzlich noch gerne ein cronjob einrichten der in regelm\u00e4ssigen abst\u00e4nden die „root.hints“ von den internic DNS Servern abfragt und bei sich aktualisiert, an sich sollten diese aber vom paket unbound kommen:<\/p>\n\n\n\n
root@pihole:~# crontab -e<\/strong><\/p>\n\n\n\n
55 3 * * 7 \/usr\/bin\/wget https:\/\/www.internic.net\/domain\/named.root -qO- | sudo tee \/var\/lib\/unbound\/root.hints<\/strong><\/code><\/p>\n\n\n\n
Das bedeutet, das ihr jeden Sonntag um 3:55 die Daten aktualisiert. Euch passt die Zeit nicht ? Kein Problem, klickt euch euren eigenen cronjob zusammen:<\/p>\n\n\n\n
https:\/\/www.bennetrichter.de\/tools\/crontab-generator\/<\/a><\/p>\n\n\n\n
der auszuf\u00fchrende Befehl ist im cronjob ist:
wget https:\/\/www.internic.net\/domain\/named.root -qO- | sudo tee \/var\/lib\/unbound\/root.hints<\/strong><\/p>\n\n\n\n
wobei hier vieleicht nochmal angemerkt werden sollte: so oft \u00e4ndern sich die root server von denic nicht. 1x im monat w\u00e4re auch mehr als ausreichend.<\/p>\n\n\n\n
<\/p>\n\n\n\n
Jetzt m\u00fcssen wir nur noch Pihole selbst dazu bringen den unbound zu nutzen, das geht wie folgt:<\/p>\n\n\n\n
Im „Pihole“ bei „Settings“ die „DNS“ ausw\u00e4hlen und dort bei „Custom DNS 1“ den wert „127.0.0.1#5335“ ein.<\/p>\n\n\n\n
\"\"<\/figure>\n\n\n\n
Und das wars: ihr seid euer eigener DNS Server, keine dNS abfragen an Telekom, Google, Cloudflare oder was auch immer.<\/p>\n\n\n\n
<\/p>\n\n\n\n
Frohe Weihnachten und guten Rutsch<\/p>\n\n\n\n
Euer Rudi<\/p>\n
\n                \n             <\/div>
\"ajax<\/div><\/div>","protected":false},"excerpt":{"rendered":"
Gr\u00fczi liebe Freunde der gepflegten Unterhaltung, hier findet ihr eine Anleitung, wie wir Pihole und unbound installieren z.b. auf einem Raspberry Pi der sich daf\u00fcr super eignet. Aus eigener Erfahrung kann ich sagen: selbst der Pi der Gernation 1 reicht daf\u00fcr v\u00f6llig. Kurze Frage: Ich wei\u00df was Pi-hole ist aber was ist ein recursive DNS […]<\/p>\n","protected":false},"author":6,"featured_media":0,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1],"tags":[],"class_list":["post-1232","post","type-post","status-publish","format-standard","hentry","category-uncategorized"],"_links":{"self":[{"href":"https:\/\/torstenzimmermann.de\/wordpress\/wp-json\/wp\/v2\/posts\/1232","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/torstenzimmermann.de\/wordpress\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/torstenzimmermann.de\/wordpress\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/torstenzimmermann.de\/wordpress\/wp-json\/wp\/v2\/users\/6"}],"replies":[{"embeddable":true,"href":"https:\/\/torstenzimmermann.de\/wordpress\/wp-json\/wp\/v2\/comments?post=1232"}],"version-history":[{"count":3,"href":"https:\/\/torstenzimmermann.de\/wordpress\/wp-json\/wp\/v2\/posts\/1232\/revisions"}],"predecessor-version":[{"id":1238,"href":"https:\/\/torstenzimmermann.de\/wordpress\/wp-json\/wp\/v2\/posts\/1232\/revisions\/1238"}],"wp:attachment":[{"href":"https:\/\/torstenzimmermann.de\/wordpress\/wp-json\/wp\/v2\/media?parent=1232"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/torstenzimmermann.de\/wordpress\/wp-json\/wp\/v2\/categories?post=1232"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/torstenzimmermann.de\/wordpress\/wp-json\/wp\/v2\/tags?post=1232"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}