Ursprünglich veröffentlicht: https://www.kuketz-blog.de/pi-hole-ergaenzende-commandsbefehle-fuer-den-unbound-betrieb/
Die unbound-Konfiguration des Pi-hole-Projektes für den Pi-hole ist eher konservativ ausgelegt. Die Priorität liegt auf einer funktionierenden Konfiguration. Dies ist verständlich, da zusätzliche Befehle oder Änderungen das Verhalten von unbound negativ beeinflussen können. Die Folge: DNS-Auflösungen funktionieren nicht mehr sauber und Clients erhalten keine bzw. veraltete IP-Adressen. Das Pi-hole-Forum würde dann wahrscheinlich mit noch mehr Support-Anfragen überschwemmt werden 
Persönlich habe ich die folgenden Befehle ergänzt – also der Pi-hole-unbound-Konfiguration hinzugefügt. Ich bitte um Feedback, da ich gerade an einem Artikel über Pi-hole mit unbound arbeite: sudo nano /etc/unbound/unbound.conf.d/pi-hole.conf ## Performance # More cache memory, rrset=msg*2 | Default: 4m, 4…
Hallo,
ich habe zwei Piholes nach deiner Doku mit hyperlokalem Unbound aufgebaut und bisher nur gute Erfahrungen gemacht. Mit meinen Adlisten und etwas Nacharbeit filtere ich laut d3ward „Test Ad Block“ 93% raus und alles funktioniert noch (Apple, Amazon, BILD, Spiegel etc).
Ein Pihole läuft auf einem Raspi 3B im Homenetz und der Zweite Pihole bei Strato auf einem VPS Entry Linux VC1-1 (1 Euro/Monat). Beide Pihole sind als DNS in der Fritzbox eingetragen.
Den Strato-Pihole habe ich mit fail2ban über zwei Jails abgesichert: GeoIP und Anzahl Aufrufe. Zusätzlich stoppe ich Pihole-FTL zwischen 23:00h und 06:00h. Damit habe ich die täglichen Zugriffe von teilweise über 100.000 auf unter 15.000 reduziert und davon stammt der größte Anteil von meinen IPs (WLAN, Mobilfunk).
Deine Ergänzungen habe ich mal aufgenommen 
Gruß
Manfred
Ich habe das ähnlich wie du, also ebenfalls eine zweite Instanz. Nur habe ich dort auch AdGuard Home mit unbound gekoppelt und in AGH bei den DNS Einstellungen definiert, welche IP Adressen bzw. Clients überhaupt den DNS nutzen dürfen. So sperre ich Drittnutzer und Portscanner aus. In Unbound habe ich auch nahezu dieselben Einträge, wie sie Mike Kuketz oben angibt.
Ja in AGH kann man die berechtigten Clients definieren, was in Pihole nicht geht, was auch OK ist, da ja nicht für Public vorgesehen. Wäre eine sehr gute Idee auf meinem Strato-DNS auf AGH umzusteigen. Zusammen mit fail2ban kann man den Zugriff dann sehr gut definieren.
Ist dein PiHole DNS auf dem Strato Server von aussern für „Jedermann“ erreichbar? Denn wenn du schreibst, dass du den DNS in der Fritzbox eingetragen hast, dann klingt das so. Das wäre keine gute Idee.
Moin, ja der StratoPihole ist quasi (fail2ban) für jedermann über Port 53 erreichbar so wie jeder andere öffentliche DNS auch. Es wäre momentan theoretisch möglich die Antwort vom DNS zum Client zu manipulieren, Pihole selber nutzt DNSSEC.
Warum wäre es deiner Meinung nach keine gute Idee?
Ach so, das hatte ich mal gleich am Anfang und mit fail2ban ist das Thema erledigt… Zusätzlich schalte ich nachts über systemd.timer Pihole-FTL auch ein paar Stunden aus.
Nichts wird mehr gehasst als „unzuverlässige“ DNS und da ist das Interesse schnell vorbei😂
Die ergänzenden Befehle laufen unauffällig, dh. gut! 
Zum Thema DNS Attacks, das war im Sommer noch richtig übel, aber das habe ich mit einer Anpassung in fail2ban nun seit September nachhaltig abgestellt. Obwohl public bei Strato läuft da nur noch mein Traffic drüber:
Der Server wird täglich nur noch von wenigen Passworthackern frequentiert, welche aber nach einem Versuch aufgeben:
Du könntest via UFW auch nur die IP Adressen deines ISP zulassen und alle anderen aussperren. Dann werden die Versuche gen 0 reduziert.
Moin Mike,
die ergänzenden Befehle schienen gut zu laufen. Es gibt bei mir aber tatsächlich einen Fall, wo es zu Problemen kommt.
prefetch-key: yes
läuft unauffällig aber nicht mit der App „Slack“ auf dem iphone. Hier bekomme ich teilweise keine Verbindung oder erst mit großer Verzögerung. Im PiHole Query Log finden sich dann „BOGUS (DNSSEC signature expired)“ bei A und AAAA Queries.
Setze ich prefetch-key auf „no“ ist alles ok. Betrifft aber wirklich nur die App Slack.