TOM
Super ModeratorOldschool OC.at'ler
|
Hier meine config (/etc/unbound/unbound.conf.d/pi-hole.conf) zum Vergleichen: server:
# If no logfile is specified, syslog is used
#logfile: "/var/log/unbound/unbound.log"
#verbosity: 0
port: 5353
do-ip4: yes
do-udp: yes
do-tcp: yes
# May be set to yes if you have IPv6 connectivity
do-ip6: no
# Use this only when you downloaded the list of primary root servers!
root-hints: "/var/lib/unbound/root.hints"
# Trust glue only if it is within the servers authority
harden-glue: yes
# Require DNSSEC data for trust-anchored zones, if such data is absent, the zone becomes BOGUS
harden-dnssec-stripped: yes
# Don't use Capitalization randomization as it known to cause DNSSEC issues sometimes
# see [url]https://discourse.pi-hole.net/t/unbound-stubby-or-dnscrypt-proxy/9378[/url] for further details
use-caps-for-id: no
# Reduce EDNS reassembly buffer size.
# Suggested by the unbound man page to reduce fragmentation reassembly problems
edns-buffer-size: 1232
# Perform prefetching of close to expired message cache entries
# This only applies to domains that have been frequently queried
prefetch: yes
# One thread should be sufficient, can be increased on beefy machines. In reality for most users running on small networks or on a single machine it should be unnecessary to seek performance enhancement by increasing num-threads above 1.
num-threads: 1
# Ensure kernel buffer is large enough to not lose messages in traffic spikes
so-rcvbuf: 1m
# local-zone: "local." static
# local-data: "pihole IN A 192.168.0.2"
# Ensure privacy of local IP ranges
private-address: 192.168.0.0/16
private-address: 169.254.0.0/16
private-address: 172.16.0.0/12
private-address: 10.0.0.0/8
private-address: fd00::/8
private-address: fe80::/10
interface habe ich garnicht definiert und deine /var/lib/unbound/root.hints sind auskommentiert
|
b_d
© Natural Ignorance (NI)
|
weiß nicht obs nen eigenen thread wert ist, aber ich hab inzwischen mich und meine nähere umgebung alle auf nextdns umgestellt. das absolut beste daran ist die app, mit der auch die 65+ generation das kurzzeitig ausschalten kann sollte mal was nicht laden/klappen. seit monaten frictionless.
|
TOM
Super ModeratorOldschool OC.at'ler
|
weiß nicht obs nen eigenen thread wert ist, aber ich hab inzwischen mich und meine nähere umgebung alle auf nextdns umgestellt. das absolut beste daran ist die app, mit der auch die 65+ generation das kurzzeitig ausschalten kann sollte mal was nicht laden/klappen. seit monaten frictionless. hab ich mir auch angesehen, ist sicher besser als der ISP DNS aber hab mich aus datenschutzgründen dagegen entschieden. Will meine browse-history nicht bei irgendeiner 3rd party auch noch lagern
|
b_d
© Natural Ignorance (NI)
|
welche? versprechen nix weiterzugeben und logs werden nur gespeichert wenn du das willst :shrug: (braucht man ja sowieso maximal für bugfixing, macht also netmal privat sinn).
|
watercool
BYOB
|
@TOM bei dir rennt unbound im selben container wie pihole und über 127.0.0.1 nehm ich an, bei dio ist’s ein separater Container?
|
COLOSSUS
AdministratorGNUltra
|
Irgendwer eine Idee? Ich komm ned drauf Ich hab keine rezente Erfarhung mit unbound, aber das Setup und alles, was du gepastet hast, schaut fuer mich OK aus. Ab jetzt wuerde mit tcpdump (auf lo, UDP Port 53) und strace (gegen die unbound-Prozesse) weiterdebuggen...
|
watercool
BYOB
|
ich schätz mal dig google.at @192.168.1.177 -p 53 liefert das selbe ergebnis wie 127.0.0.1?
|
TOM
Super ModeratorOldschool OC.at'ler
|
welche? versprechen nix weiterzugeben und logs werden nur gespeichert wenn du das willst :shrug: (braucht man ja sowieso maximal für bugfixing, macht also netmal privat sinn). kannst du dieses versprechen irgendwie verifizieren? wodurch haben sie dein vertrauen gewonnen? Wäre sicher das erste mal, dass ein unternehen sich nicht daran hält => "don't be evil" .. eben weil ich (nahezu) jegliche internet aktivität als recht privacy kritisch ansehe, betreibe ich meinen eigenen rekursiven DNS resolver Der Aufwand hält sich sehr in Grenzen, für die im Vergleich dazu gewonnene Privacy Aber für gewisse use-cases ist NextDNS, Cloudflare (mit und ohne Family/Malware Schutz), Quad9 und co. sicher eine immer noch bessere (und vor allem schnellere) Alternative, als der ISP DNS An der Stelle vlt. nochmal der Verweis auf DNSBench, um zu vergleichen wie viel flotter verschiedene DNS-Resolver in Bezug auf den ISP-DNS sein können: https://www.grc.com/dns/benchmark.htm
|
b_d
© Natural Ignorance (NI)
|
|
Viper780
ModeratorEr ist tot, Jim!
|
Ich scheitere gerade mit meinen (offensichtlich) zu rudimentären regex Kenntnissen
Ich mag cdn??.hardwareluxx.de als Regex zur Blacklist hinzufügen, leider macht mein pihole daraus immer 2 Einträge, egal was ich da versuche
|
xtrm
social assassin
|
Was genau sollen die Fragezeichen denn sein, Zahlen? Ich nutze immer regexpal.com zum Testen. Aber nutzen solche Listen wirklich Regex? Da müsstest du ja u.a. die Punkte escapen.
Hier ein Beispiel falls nach cdn Zahlen kommen: cdn\d*\.hardwareluxx\.de
Bearbeitet von xtrm am 15.01.2024, 00:31
|
Viper780
ModeratorEr ist tot, Jim!
|
|
voyager
kühler versilberer :)
|
Falls wer seinen Pihole (mit evtl anderen Diensten drauf) am Pi 5 mit nvme HAT betreiben will, hier meine Messungen einmal mit PCIe2 , wie es Original vorgesehen ist einmal mit der Änderung auf PCIe3 SSD war eine Crucial P3+ , also PCIe4 fähige SSD, also noch Reserven. War zum Blackfriday billig zu haben (rund 40€ für 1TB), deswegen kam die rein. SSD HAT ist von Pineberry(bottom) Stromverbrauch hatte ich rund 4,5W mit SSD im "normalbetrieb" , wenn ich alle 4 CPU Cores auslaste mit Sysbench (4x gestartet), blieb er unter knapp 8W. "Gemessen" hat der Switch (POE+). Im idle ist ein Pi4 mit USB SSD um ca 1,5-2W schlechter. (hängt bei mir auch am selben POE Switch ebenfalls mit POE HAT) Und ja, da kommen noch so Sachen wie Grafana+ Influx, Homeassistant,... mit drauf, die SSD ist da schon notwendig
|
spunz
Super ModeratorSuper Moderator
|
|
voyager
kühler versilberer :)
|
|