Menü
Artikel Linux

Pi-Hole und Unbound - Netzwerkweiter Adblocker und Lokaler DNS Server

Jannik Rehkemper

• Lesezeit: 5 Min.

Immer wieder kommt im Zuge von DNS die Diskussion auf, wie es um den Datenschutz und die Privatsphäre bei DNS Providern steht. Außerdem sind gerade große DNS Provider wie Google oder Cloudflare ein beliebtes Ziel für DNS-Spoofing Attacken. All diese Bedenken lassen sich um gehen, indem man sich einen lokalen DNS Server aufsetzt und mit dem Pi-Hole kann man im gleichen Schritt noch ein Stückweit den Überfluss an Werbung stoppen.

In Vorbereitung auf diesen Artikel sollte man ein Grundverständnis von DNS haben. Ansonsten habe ich in diesem Artikel nochmal alles erklärt.

Was ist Pi-Hole

Pi-Hole ist ein OpenSource Projekt, dass es sich als Ziel gesetzt hat einen Netzwerkweiten AdBlocker zu entwickeln. Wie der Name schon verrät, ist das Projekt für den Raspberry Pi gedacht und daher sehr Ressourcen schonend. Grundsätzlich ist die Installation für Raspberry-OS ausgelegt, funktioniert in der Regel aber auch auf Ubuntu und anderen Derivaten.

Wie funktioniert Pi-Hole als AdBlocker

Das AdBlocking funktioniert indem man seinen Pi-Hole Server als DNS-Server im Lokalen Netz angibt. Dadurch werden alle DNS Anfragen der Clients and den Pi-Hole geschickt (Voraus gesetzt, jeder Client nutzt den Pi-Hole als DNS-Server).

Auf dem Pi-Hole selber kann man nun Blocklisten führen, die Domains die im Zusammenhang mit Werbung stehen sammeln. Diese Blocklisten gibt es zu Hauf frei verfügbar auf Plattformen wie GitHub. Man muss also nicht mühsam duzende Domains in eine Textdatei schreiben, sondern kann diese einfach kopieren.

Bekommt der Pi-Hole nun eine DNS-Anfrage, schaut er durch seine Blocklisten und blockt alle Domains auf der Blockliste. Dadurch können diese Teile vom Browser nicht geladen werden. Da Werbung im Regelfall über eine externe Internetadresse geladen wird und nicht direkt im HTML der Website verankert ist, sollte die Website weiterhin laden und nur die Werbeelemente blockiert werden.

Man muss allerdings dazusagen dass, da Pi-Hole nur nach Domains filtern kann, das Ergebnis meiste nicht so gut ist wie eine Browser-Erweiterung. Dafür hat er den Vorteil, das er auf allen Geräten wirkt, also auch auf Smartphones und Tablets. Außerdem spricht nichts dagegen den Pi-Hole mit einem Browser-PlugIn zu kombinieren.

Wie beantwortet Pi-Hole nicht geblockte DNS-Anfragen

Gehen wir nun davon aus, es wird eine Domain angefragt, die nicht auf einer der Blocklisten steht. Der Pi-Hole muss nun natürlich eine IP Adresse zurück geben, da der Client sonst nicht weiter arbeiten kann. Doch woher bekommt der Pi-Hole diese Information?

Für diesen Fall hat man bei der Installation einen Upstream DNS-Provider ausgewählt (Google, Cloudflare, etc…). Der Pi-Hole gibt sich nun als Client aus und stellt eine rekursive Anfrage an den Upstream DNS-Provider. Dieser gibt ihm darauf hin die IP Adresse der Domain, die der Pi-Hole an den Client weiter gibt.

Wir können also nun Domains blocken, allerdings haben wir immer noch das Problem, dass wir auf einen Upstream DNS-Provider angewiesen sind. Wir haben also noch keinen der Punkte in der Einleitung gelöst.

An dieser Stelle kommt Unbound ins Spiel.

Was ist Unbound

Unbound ist ein leightweight lokaler DNS-Server mit Caching Funktion. Er nimmt also die Rolle des Upstream DNS-Providers ein. Wenn er eine rekursive Anfrage eines Clients bekommt, fragt er die IP Adresse über interative Anfragen zuerst bei den Root-DNS-Servern, dann bei den Top-Level-Domain-Servern und zum Schluss bei dem Autoiterativen DNS-Server nach und gibt die IP Adresse and den Client zurück.

Wer hier nicht mit gekommen ist, sollte sich nochmal die Erklärung zu DNS anschauen.

Das ist natürlich ein deutlich längerer Web als über den Upstream DNS-Server, allerdings geht nun nicht mehr der gesamte DNS Verkehr über einen Server sondern verteilt sich auf viele verschiedene. Dadurch lässt sich schlechter zurück verfolgen, welcher Nutzer welche Websites aufgerufen hat.

Um dem längeren Weg und die damit verbunden Verzögerungen zu minimieren, führt Unbound einen Cache. Das heißt jede IP Adresse die er infolge einer Anfrage zurück bekommt, speichert er zusammen mit der Domain. So muss er beim nächsten mal nur in seinem Cache schauen und kann die Anfrage sofort beantworten.

Das heißt in der Regel, dass die erste Anfrage einer Domain länger dauert als bei einem Upstream DNS-Provider, jeder weitere Anfrage der Domain ist aber in der Regel schneller, weil die Anfrage Netzwerkintern beantwortet wird.

Um auf möglicherweise wechselnde IP Adressen reagieren zu können ist der Unbound Cache nicht unendlich gültig, sondern läuft irgendwann ab. Allerdings frischt Unbound diese Einträge in festen Intervallen wieder auf, wodurch möglichst viele Anfragen aus dem Cache beantwortet werden.

Unbound installation

Der Original Artikel zur Installation findet sich hier.

Ich gehe hier davon aus, dass Pi-Hole bereits installiert ist und läuft. Außerdem sind die folgenden Befehle für Ubuntu bzw. Raspberry-OS.

Als erstes installiert man Unbound aus dem Repository

sudo apt install unbound

Danach müssen wir eine Konfiguration für den Pi-Hole erstellen. Dazu öffnen wir die Date /etc/unbound/unbound.conf.d/pi-hole.conf mit einem beliebigen Editor (nano, vim, etc…) und fügen folgende Konfiguration ein.

server:
    # If no logfile is specified, syslog is used
    # logfile: "/var/log/unbound/unbound.log"
    verbosity: 0

    interface: 127.0.0.1
    port: 5335
    do-ip4: yes
    do-udp: yes
    do-tcp: yes

    # May be set to yes if you have IPv6 connectivity
    do-ip6: no

    # You want to leave this to no unless you have *native* IPv6. With 6to4 and
    # Terredo tunnels your web browser should favor IPv4 for the same reasons
    prefer-ip6: no

    # Use this only when you downloaded the list of primary root servers!
    # If you use the default dns-root-data package, unbound will find it automatically
    #root-hints: "/var/lib/unbound/root.hints"

    # Trust glue only if it is within the server's authority
    harden-glue: yes

    # Require DNSSEC data for trust-anchored zones, if such data is absent, the zone becomes BOGUS
    harden-dnssec-stripped: yes

    # Don't use Capitalization randomization as it known to cause DNSSEC issues sometimes
    # see https://discourse.pi-hole.net/t/unbound-stubby-or-dnscrypt-proxy/9378 for further details
    use-caps-for-id: no

    # Reduce EDNS reassembly buffer size.
    # Suggested by the unbound man page to reduce fragmentation reassembly problems
    edns-buffer-size: 1472

    # Perform prefetching of close to expired message cache entries
    # This only applies to domains that have been frequently queried
    prefetch: yes

    # One thread should be sufficient, can be increased on beefy machines. In reality for most users running on small networks or on a single machine, it should be unnecessary to seek performance enhancement by increasing num-threads above 1.
    num-threads: 1

    # Ensure kernel buffer is large enough to not lose messages in traffic spikes
    so-rcvbuf: 1m

    # Ensure privacy of local IP ranges
    private-address: 192.168.0.0/16
    private-address: 169.254.0.0/16
    private-address: 172.16.0.0/12
    private-address: 10.0.0.0/8
    private-address: fd00::/8
    private-address: fe80::/10

Danach müssen wir Unbound einmal neustarten

sudo service unbound restart

Nun ist Unbound einsatzbereit.

Unbound als DNS-Server auf dem Pi-Hole einrichten

Nun müssen wir dem Pi-Hole noch mitteilen, dass er bitte unseren Unbound Server anstelle des Upstream DNS-Proviers nutzen soll.

Dazu gehen wir zuerst auf die Weboberfläche (<Ip des Pi-Hole>/admin) und loggen uns ein.

Danach gehen wir links auf Settings und dann auf den Reiter DNS.

Nun löschen wir alle Harken bei den Upstream-DNS Servern und tragen Custom 1 127.0.0.1:5335 ein und setzen den Harken.

Das ganze sollte dann wie folgt aussehen:

Danach gehen wir unten rechts auf Save und unsere Pi-Hole nutzt von nun an den Unbound DNS-Server anstelle eines Upstream DNS-Providers.

Teilen
Kommentare anzeigen

Wir nutzen Cookies

Um die Nutzung der Website zu verbessern, nutzen wir Cookies.
Desweiteren werden Google-Dienste für das schalten von Werbung verwendet. Mit der Nutzung der Website geben Sie ihr Einverständnis.
Sollte die Nutzung von Cookies abgelehnt werden, kann dies Auswirkung auf die Nutzung der Website haben.

Themen

Linux: 38 ubuntu: 26 Windows: 12 Quicktips: 10 LXD: 6 Virtualisierung: 5 Netzwerk: 5 Docker: 4 Datenbanken: 4 Hardware: 4 Guide: 4 Setup: 4 Webserver: 3 SQL: 3 cron: 3 cronjob: 3 mysql: 3 Quicktip: 3 administration: 3 DNS: 3 Container: 2 Host: 2 Linux Container: 2 Microsoft: 2 Aorus Elite x570: 2 Mainboard: 2 vnc: 2 shortcut: 2 cli: 2 github: 2 Software: 2 Festplatte: 2 hdd: 2 ssh: 2 datenbank: 2 quicktipp: 2 crontab: 2 MTA: 2 Nullmailer: 2 Postfix: 2 autostart: 2 skript: 2 startup: 2 Raspberry Pi: 2 Terminal: 2 Server: 2 Powershell: 2 Python: 2 Homelab: 2 Netzwerktechnik: 2 SteamCMD: 2 Lokaler DNS Server: 2 Berechtigungen: 2 Grafana: 2 Update: 2 macvlan: 2 Forward Proxy: 1 NGINX: 1 Proxy: 1 Reverse Proxy: 1 exportieren: 1 importieren: 1 sichern: 1 Snapshot: 1 starten: 1 stoppen: 1 verschieben: 1 wiederherstellen: 1 Entwicklung: 1 Geschichte: 1 Modelle: 1 Systeme: 1 Oracle: 1 Abfrage: 1 Befehle: 1 Join: 1 SQL Language: 1 Tabellen: 1 AMD-V: 1 BIOS: 1 Gigabyte: 1 thinvnc: 1 commands: 1 hacks: 1 tricks: 1 befehl: 1 command: 1 date: 1 datum: 1 format: 1 formatierung: 1 automatisierung: 1 job: 1 commandline: 1 git: 1 repo: 1 energiesparen: 1 hdparm: 1 spindown: 1 standby: 1 externe festplatte: 1 nextcloud: 1 snap: 1 speicher: 1 storage: 1 ram: 1 swap: 1 swappiness: 1 dashboard: 1 endlessh: 1 hackerfalle: 1 Projekt: 1 firewall: 1 ufw: 1 Ausgabe umleitung: 1 corntab: 1 Output redirect: 1 Arbeitsspeicher: 1 innodb: 1 myisam: 1 mailserver: 1 mail: 1 boot: 1 debain: 1 script: 1 systemctl: 1 Systemd: 1 apache: 1 sicherheit: 1 Verzeichnis verstecken: 1 zugang: 1 aktivierung: 1 lizenz: 1 verlängern: 1 Cpu Temperatur: 1 Temperatur Auslesen: 1 Command Line: 1 Timezone: 1 Zeitzone: 1 Cheatsheat: 1 Vim: 1 anmeldung: 1 Authentifizierung: 1 private key: 1 public Key: 1 SSH Keys: 1 OpenVPN: 1 VPN: 1 Begriffserklärungen: 1 DECT: 1 Fachbergriffe: 1 SIP: 1 Telefonie: 1 Voice over IP: 1 VOIP: 1 Beginner Guide: 1 für Anfänger: 1 programmieren: 1 Variablen: 1 Apache2: 1 Flask: 1 Production Server: 1 Webapplikation: 1 Webhosting: 1 Website: 1 WSGI: 1 homenetwork: 1 Homeserver: 1 Rapsberry Pi: 1 Hosting: 1 blurry: 1 gui: 1 hight dpi: 1 scale: 1 skalierung: 1 unscharf: 1 windows forms: 1 2 Tier: 1 3 TIer: 1 Access Layer: 1 Architektur: 1 collapsed Core: 1 Core Layer: 1 Distribution Layer: 1 cluster: 1 k8s: 1 Kubernetes: 1 microk8s: 1 Arma: 1 Arma 3 Exile: 1 Arma3: 1 Game Server: 1 DNS Anfrage: 1 Internet: 1 NSlookup: 1 rekursiv: 1 Adblocker: 1 pi: 1 Pi-Hole: 1 raspberry: 1 Unbound: 1 Funktastatur: 1 leere Batterie: 1 pairing: 1 USB Dongle: 1 USB Pairing: 1 USB Tastatur: 1 USB Verbinden: 1 wirelesskeyboard: 1 Wirelesstastatur: 1 Active Direktory: 1 Organisationseinheiten: 1 Organizational Units: 1 OUs: 1 Conatiner: 1 Tutorial: 1 Import: 1 RRD: 1 RRDTool: 1 Smokeping: 1 Lan: 1 langsam: 1 npcap: 1 verbindung herstellen: 1 wireshark: 1 discord: 1 ip-Adresse: 1 netplan: 1 network: 1 static ip: 1 statische IP: 1 Gameserver: 1 Satisfactory: 1 Spiele: 1 Error: 1 Unkown device type: 1 DIY: 1 FaceTrack: 1 gaming: 1 HeadTracking: 1 Webcam: 1 LDAP: 1 OoenLDAP: 1 Nutzer: 1 FritzBox: 1 PiHole: 1 X11: 1 Fernzugriff: 1 PuTTY: 1 Wake on Lan: 1 Intel ProSet: 1 Bridge: 1 InfluxDB: 1 Bad Gateway: 1 Bad Request: 1 Ghost: 1 CMS: 1 Office: 1 Powerpoint: 1 MDADM: 1 RAID: 1 ZFS: 1 innodb_redo: 1 log: 1 5.1 Surround: 1 Dolby Digital: 1 Ac3Filter: 1 Audio: 1