Es geht eigentlich hauptsächlich gar nicht um falsche Antworten, sondern vielmehr dass der DNS-Server (in deinem Beispiel Google) alle Anfragen sieht, und damit ein perfektes Bild von all deinen Online-Aktivitäten hat. Wenn man seinen eigenen hat haben Andere immer nur ein sehr kleines Bild davon (immer nur für ihren Domainbereich, und auch nicht wenn es schon gecacht ist)

Ich mag deine Videos mit anschaulicher Theorie! Danke und weiter so :)

Danke, super erklärt Professor Dennis ✌️alles perfekt

Habe ich schon seid längerem laufen. Bei mir im Proxmox LXC Container auf Ubuntu20.04. Läuft Top. Nach 2-3 Wochen sind die meistbestuchten Webseiten alle in unserem DNS gecached was den Vorteil von 0.1ms Ansprechzeit bietet. Das einzige was mich daran gerade nervt ist, dass vorher nicht gesehene YT-Videos des öfteren 2x aufgerufen werden müssen um sie zum starten zu bringen. Auch manche Funktionen (wie Autoupdate) vermisst man. - Die Möglichkeiten zur Nutzung als DHCP Server inklusive der Nutzung lokaler DNS & CNAME-Einträge sind aber erwähnenswert. Fazit: Simple Installation, Wartung & Administration - Selbsterklärend und gut dokumentiert.

Klasse, vielen Dank. Bitte noch für den Docker/Portainer.

Du musst aber die Liste der Toplevel-domains so ca. alle 6 Monate aktualisieren, sonst kann es sein, dass du gar keine Webseite mehr bekommst =) Solltest du vielleicht noch irgendwie nachtragen

Hätte ich dieses System nicht erst vor 2 Tagen unter Ubuntu 18.04 in einem LXC Container in Proxmox konfiguriert, würde ich meinen ich werde beobachtet 😘

Eine Frage: Wenn ich DNSSEC nutze und aktiviere und auch einen Upstream auswähle der es unterstützt, dann ist doch kein Mann in the Middle oder ähnliches mehr möglich und unbound unnötig oder??

Super gutes Tutorial! Muss ich jetzt in der Fritzbox noch was bei den DNS Einstellungen ändern?

Danke Dennis, ich habe es bei Semper nie kappiert, bei dir schon :) Abser sag mal, Unbound ist träge, was sind denn die Alternative? Stubby? Hau mal raus, Taddy ausm Discord PS: Noch eine Idee? ReverseProxy mit Sicherheitsfeature?

Wird nachgemacht sobald mein Raspberry da ist 😊

So einfach kann es sein. Sehr geil, Danke!

whau ... super erklärt 😀👍danke - aber warum soll diese Lösung mein Netzwerk "sicherer" machen, wenn am Ende der DNS-Eintrag am Client durch Malware abgeändert wird? Am Ende ist mein privater (sicherer) wieder DNS hinfällig.... diese gut-geglaubte Sicherheit ist umgehend auagehebelt....

probiere ich mal aus, danke für die Vorführung :)

immer nette Musik im Hintergrund 🙂

Vielen Dank, glaube es sollte aber auch erwähnt werden, dass die Cashes von den Public DNS-Servern auch viel Traffic reduzieren und die Rootserver entlasten.

Super erklärt! Vielen Dank :)

Ich bleibe bei Quad9 als Upstream DNS: 1. Schneller 2. Wir sind keine high value targets und mit dem Einsatz von Pi-Hole machen wir schon mehr als 99,9% der user. 3. Speziell bei Quad9 habe ich eine zusätzliche Filterung wenn ich das will, was meine Sicherheit weiter verbessert. ✌🏻

könntest du das vielleicht auch mit Docker/Portainer zeigen?

Sehr cooles Video :) in der Unbound Config solltest Du allerdings die root-hints Datei auch noch aktivieren, damit diese auch definitiv verwendet wird (steht auch im Configfile als Kommentar) :-)

Hatte gestern nach Deinem Video auf meinem Pi-hole-raspi noch Unbound dazu installiert. Bin dabei genau nach Deiner (und der in der Pi-hole Doku) angegebenen Weise vorgegangen. Hatte wohl zunächst auch alles funktioniert. Heute früh musste ich feststellen, dass nichts mehr geblockt wird. Pi-hole wird wohl nicht mehr zwischengeschaltet. Nur warum ? Kannst Du mir einen Tip geben, woran das nun liegen könnte ?

Super Video, vielen Dank! Sehr verständlich ... wie immer Hast Du zufällig auch eine Idee wie sich das ganze auf einer Synology im Docker Container realisieren lässt? Ich hab meinen Pi-hole im Docker Container mit einer eigenen Macvlan IP am laufen ... aber die Erweiterung des DNS Unbound Servers bekomme ich leider nicht ans laufen. Hat das schon mal jemand erfolgreich realisieren können? Viele Grüße Stef

THX, great work. it runs great

Dich schickt der Himmel, bin gerade auf dein Video gestoßen und gleich nen Abo dagelassen. Ich habe mich selbst schon mit den ganzen DNS quatsch beschäftigt und komme jetzt langsam ins grübeln, ob ich ein Informatik Studium, um das zu verstehen. Also folgendes: Ich habe für meine Familie en RPi mit piHole und unbound aufgesetzt (Zudem noch UWF, Fail2ban um SSH abzusichern). Das hat soweit alles geklappt, nun aber stehe ich vor ein paar Problemen, da ich mich noch weiter damit befasst habe, und wollte mal fragen, ob du mir dabei helfen kannst. Also ich habe bei meinen Nachforschungen herausgefunden, dass unbound wohl sicherer sein soll als herkömmliche DNS anfragen, aber weniger Privatsphäre schützend ist, da die anfragen in Plain Text übertragen werden. Daraufhin bin ich auf DNScrypt gestoßen, was einen Öffentlichen DNS-Server benutzt welches Anfragen verschlüsselt und dann mittels 2 anderen Servern an den Home Server weiterleitet, um die IP des Home Servers zu verbergen (hat was von Tor und heißt "Anonymized DNS"). Diese2 Threads auf Reddit haben mir dabei etwas geholfen (sind im nächsten Kommentar, damit dieser nicht geblockt wird). Nun stellen sich mir ein Paar Fragen auf: Was sollte ich bzw. ich und meine Familie benutzen? DNScrypt + "Anonymized DNS" oder Unbound. Also was ist sicherer und was ist mehr Privatsphäre freundlicher? Zudem haben sich auch noch weitere Fragen ergeben, wo ich umdeine Hilfe bitte: - Ist DNSmasq noch benötigt? - Wie stelle ich HTTPs bei Unbound und im PiHole ein? Ich bin auch auf deinen Discord Zopy#5384

Könnte man das ganze mit dem Apple Privacy Relay vergleichen? Ist das nicht quasi das selbe, nur dass man die zwei Server in der Mitte selber hostet?

Kann Mann die Datenbank von unbound vergrößern so das die IP länger gespeichert werden? Wenn ja wie groß muss diese ungefähr sein klar kommt es auf das surf Verhalten an aber so ein grober Richtwert wäre cool

Geil, perfektes Timing!

Könnte man das dann nicht auch so auf dem pihole definieren, dass er nicht zu einem public dns forwarded, sondern direkt zu den "originalen" dns bzw. zu dem zuständigen?

Hallo, eine Frage zu ipv6: Du hast in deinem Video dazu keine Einstellung.. Warum? Oder ist es nicht nötig das zu konfigurieren?

Kann es zu Problemen kommen, wenn man Twitch Streamer ist? Erhöhte Latenzen oder ähnliches?

Blöde Frage: Warum wird die Werbung vor einem YT Video (auf dem Handy) nicht geblockt. Aber auf dem pc (mit Plugin) schon?

Wie sieht es mit dem upstream server iptv6 aus? Braucht man den überhaupt?

Was taugt eigentlich nextdns im Vergleich?

Zum besseren Verständnis, nutzt Unbound jetzt DoT / DoH / DNSSec ?

Könntest du ein Video machen, wie man das Ganze in einem Docker laufen lassen könnte zB auf einem RPi 3? Ich beiss mir daran die Zähne aus.

Wenn ich mich nicht täusche, dann fehlt noch das automatische Updaten für die dns Server, hin und wieder ändern sich mal die IP Adressen.

um meinen letzten Eintrag zu erklären, extremer Nachteil der doppel Resolver PiHole Sache: 200ms und mehr für DNS Anfragen. TCP/TLS ist so langsam, weil im TCP alle Datenpakete nummeriert sind und in der richtigen Reihenfolge übertragen werden müssen. Geht ein Paket verloren (Handy im Mobilfunk / VPN) dann kommt es zum Paketstapel. (Head of Line Blocking) Der wird erst abgearbeitet, wenn das verloren gegangene Paket verarbeitet wurde. Bei AdGuard und DoQ (DNS over Quic) werden die Pakete einfach weiter verarbeitet und es bildet sich kein Paketstapel. Das verlorene Paket wird einfach nachträglich verarbeitet. DNS over quic hat 0ms bis max. 100ms Bei mir 4 bis 20ms. Das merkt man extrem beim Seitenaufbau. Jede Webseite ist bei mir sofort komplett geladen, mit allen Grafiken und sonst was. Gibt auch noch diverse weitere Vorteile von DoQ, bessere Verschlüsselung

Hallo. Ich wollte machen alles wie Du leider kann ich nicht finden Adresse(Seiten) wo alle Befehle, Config Daten stehen. Kannst Du kurz schreiben unter welche Adresse kann man die englische Seiten finden.Danke

Habe ich durch die ganzen zusätzlichen Wege nicht viel mehr Risiko, dass da irgendwo ein MitM zwischen hängt?

Vielleicht solltest Du erwähnen, dass in dieser Konstellation KEINE lokalen Hostnamen mehr aufgelöst werden, solange nicht der PiHole als DHCP-Server an Stelle einer Fritzbox z.B. fungiert. Dann nämlich müsste man alle lokalen Hosts unter local DNS eintragen, damit der PiHole die lokalen Hosts kennt.

Ich würde gerne, dass Unbound die Anfragen an Adguard-DNS schickt um sich seinen Cache damit zu füllen. Möchte dabei allerdings gerne die DNS-Anfragen verschlüsselt haben. Kann das Unbound? Adguard-DNS bietet ja "DNS-over-HTTPS" ; "DNS-over-TLS" und "DNS-over-QUIC" in verschlüsselter Variante an. :)

Es sind nun mehr als 2 Jahre vergangen, wenn ich jetzt die Anleitung 1:1 befolge bekomme ich immer ein SERVFAIL.

Geht mit Unbound auch DoH und DoT?

Hey, kann ich irgendwie testen oder nachsehen ob alles richtig läuft?

und wie wird IPv6 konfiguriert?

Das scheint nicht unter docker zu funktionieren. Kann unbound nicht starten

Unsicher ist weder die eine noch die andere Art. Der einzige Unterschied sind DNS-Sperren! Fragt das Pi-Hole bei Unbound nach, gibt es keine Netzsperren. Fragt das Pi-Hole bei einem DNS-Resolver, kann dieser gezwungen worden sein, DNS-Einträge zu sperren. In der Root-Zone gibts keine Sperrungen, da diese Länderübergreifend währen. Also: DNS-Sperren gibt es nicht mit Unbound. Und die Wartezeit ist wirklich marginal. Ist die IP einmal im Pi-Hole bekannt, gehts viel schneller.

Das stimmt aber leider nicht ganz wie du erklärt / veranschaulicht hast. Der/die Nameserver die z.B. bei der DENIC für deine Domain eingetragen sind, sind die autoritativen Nameserver für deine Domain. Du hast da aber "Rekursiver Nameserver für Domain" aufgeschrieben. Das ist aber Falsch. In deinem Fall ist dein UNBOUND, Google, Cloudflare, ... der rekursive Nameserver, und der Anbieter bei dem du deine Domain bestellt hast betreibt die autoritativen Nameserver für deine Domain. Bitte ggf. nochmal nachschauen und berichtigen :)

bringt pihole wss wenn man vpn verwendet?

Also eine bessere erklärung gibts net! :D

How did I even end up in this part of youtube?!

Sempervideo gesehen ?

vorsicht mit aussagen wie "dafür jetzt absolut sicher"... sonst schönes video

Deshalb 2 Pihole einsetzen, um solche Anfragen schneller zu beantworten?

Bei den dig Befehlen bekomme ich immer SERVFAIL 😭

English would have been nice considering title was in Englisih.....

11:12 ab da ist bei mir das internet weg

Vielen dank hat überhaupt nicht funktioniert bin schon fast am überlegen den PI 4 zurück zusenden bin schon ne Woche dran schwer as fuck, habe es einmal hinbekommen aber nicht mit diesen Video und es waren alle Seiten überall gesperrt, macht kein spaß mehr habe als Elektriker ab und zu mit PCs und IP-Adressen zu tun nur es gibt nirgends ne vernünftige Anleitung auf Deutsch oder mit dem Standard Pi OS alles nur Exoten mit Linux etc.😢😢

t

Ich benutze seit längerem Adguard Home anstatt Pi-hole. Pi-hole ist mir zu altbacken 😜

Leider ist nach einiger Zeit der Unbound-Cache leer ca. 60 sek. Wegen der TTL. Und deshalb immer mal wieder die Abfrage Zeit der DNS-Namen zwischen 150-300 ms. Die Daten sind nicht dauerhaft gespeichert. Man kann aber durch einen bestimmten Befehl Unbound dazu bringen die Daten im Cache nach Ablauf der TTL zu erneuern sodass im Prinzip alle Anfragen zu unserem DNS-Server bei 0-4 ms (in meinem Test) liegen. Dazu einfach am Ende der Unbound Pi-hole Conf unter /etc/unbound/unbound.conf.d/„pi-hole config datei“ Folgendes einsetzen: cache-min-ttl: 60 cache-max-ttl: 86400 serve-expired: yes Dies bringt wie erwähnt den PI bzw. Den unbound dazu die Daten nach Ablauf zu erneuern sodass die Abfrage Zeiten immer niedrig sind.