Pi-hole mit Unbound und DoH

Hallo zusammen,
ich betreibe ein Pi-hole mit einem Unbound DNS resolver. Unbound habe ich über den Package Manager installiert (Version 1.13.1), so wie in der Anleitung beschrieben. Läuft auch alles wunderbar, nur leider ohne DNS over HTTPS (DoH).

Wenn ich bei Unbound direkt nachschaue (Unbound Docs) könnte ich eine Version kompilieren, die auch mit DoH läuft.
Funktioniert eine solche Version mit Pi-hole?

Ich bin da etwas verwirrt, da mir der Check von Mullvad mit Librewolf einen DNS Leak und WebRTC Leak anzeigt (ich benutze kein VPN), während bei dem Mullvad Browser kein Leak auftaucht (da sie in den Netzwerk-Einstellungen DoH über den Server von Mullvad aktiviert haben. Läuft das eigentlich am Pi-hole vorbei?).
Kann ich den DNS Leak bei Librewolf vermeiden indem ich Unbound mit DoH installiere?
Besten Dank für eure Antworten.

Du hast also Unbound ohne DNS-Servers eines Drittanbieters konfiguriert? Dann befragt Unbound die Root-Server, welche m. W. kein DoH beherrschen.

Stimmt. Unbound befragt die Root-Server.

Aber welchen Sinn würde dann überhaupt die Option DoH in Unbound machen wenn ich damit doch wieder über die kommerziellen DoH Provider wie Cloudflare oder Google gehen muss, die dann die Auflösung der DNS für mich machen?

Kann man überhaupt beides haben, in der Form: zuerst löst Unbound die DNS Anfrage über die Root-Server auf (unverschlüsselt), die resultierende Anfrage (die gefundene IP-Adresse) geht dann verschlüsselt raus?
Gibt es das überhaupt oder vermische ich da etwas?

PS: wie schafft es der Mullvad Browser ohne VPN meine IP zu verstecken?

Es gibt Konzepte die DNS-Auflösung privater gestalten sollen, indem z. B. die Anfrage von der Antwort getrennt wird. Noch ist aber keins davon ist aber für die Masse leicht verfügbar.

Der Unterschied zwischen DoH/DoT und der Unbound-Anfrage an die Root-Server ist, dass die Anfrage an den DNS-Server verschlüsselt ist. Der folgende Aufruf der Ziel-IP durch dein Browser ist aber z. B. für deinen Internetanbieter in beiden Fällen ersichtlich.

Sofern der Mullvad-Browser die eigenen Anfrage nicht über einen Proxy (oder VPN oder das Tor-Netzwerk) umleitet, wird deine IP-Adresse nicht verborgen. Der Meldung über DNS-Leaks bezieht sich wahrscheinlich auf die Feststellung, dass nicht der DNS-Server von Mullvad genutzt wird und die Anfrage von Unbound zum Root-Server unverschlüsselt verläuft. Wenn du irgendeinen DoH-fähigen DNS-Server konfigurierst, dürfte nur noch feststellbar sein, dass du nicht den DNS-Server von Mullvad nutzt.

Vereine wie Digitalcourage, die Digitale Gesellschaft Zürich und andere Projekte bieten öffentliche DNS-Server mit der Zusicheurng an, keine Logs zu führen oder Tracking zu betreiben. Du musst dich dann eben wieder auf Dritte zwischen dir und den Root-Servern verlassen. Schau dazu mal in die Empfehlungsecke im Kuketz-Blog.

Danke für die Infos. Das passt.

Wenn ich in Firefox unter Verbindungs-Einstellungen DNS über HTTPS aktiviere (z.B. über https://dns.digitale-gesellschaft.ch/dns-query) dann liefert der Mullvad Check mir nur noch einen DNS Leak aber keinen WebRTC Leak zurück.

Was mich verwirrt hat:
Wenn ich im Firefox unter den Verbindungs-Einstellungen einen DNS Server eingebe, wird Pi-hole oder Unbound umgangen, da die Anfrage vom Browser dann direkt an diesen Server geht. Das war mir so nicht klar.

Immer noch nicht klar ist mir die Option von DoH in Unbound. Das widerspricht sich doch eigentlich, oder?

Zu dem Test von Mullvad kann vielleicht jemand anderes mehr sagen, da kenne ich mich nicht aus.

Das ist richtig. Das ist m. M. aber nur sinnvoll, wenn man den DNS-Server weder auf Netzwerkebene (bei dir der Pi-Hole) noch auf Systemebene (z. B. über den Network Manager) konfigurieren kann.

Externe DNS-Server in Unbound zu konfigurieren macht Sinn, wenn man auf Netzwerkebene (d. h. für merere Geräte) Werbung und Tracker blockieren möchte und keinen Pi-Hole oder OpenWrt-Router betreiben mag. Ein weiterer Vorteil wäre, dass externe DNS-Server meistens größere Caches besitzen und ggf. zusätzliche Sicherheitsmechanismen implementiert haben. Wenn man mehrere externe Server konfiguriert, kann auch die Ausfallsicherheit höher sein.

Ich würde sagen, dass das einfach existiert, damit Unbound nicht nur per unverschlüsseltem DNS Anfragen weiterleiten kann, sondern auch per DoT/DoH.
Man kann Unbound ja nicht nur zur „Auflösung“ von Domains verwenden, sondern z.B. auch einfach zum Zwischenspeichern der Antworten deiner gewünschten DNS Server, als auch zum konfigurieren mehrerer DNS Server zum Zweck der Ausfallsicherheit (wie bereits im Thread erwähnt).

Wenn du keinen VPN-Anbieter verwendest, spielt das Ergebnis dort keine Rolle. Der Test ist ausschließlich auf VPN Nutzer ausgelegt.
Siehe unter anderem bezüglich WebRTC hier, in 4 Posts, samt anderen Test, der kann auch für nicht-VPN-Nutzer von Interesse sein.
Bezüglich der DNS „Leaks“:
Diese gibt es auch nur bei Verwendung eines VPNs, dabei geht es darum, dass dein „geschützter VPN Traffic“ für extern u.A. durch deine DNS-Auflösungen sichtbar ist, sprich, welche Webseiten du aufrufst.
Siehe dazu, wenn dich VPN Kram interessiert, z.B.:
Wikipedia zu den Nachteilen von Split Tunneling (VPN) - für gewöhnlich nur theoretisch sinnvoll, und bei VPN-Anbietern afaik. nicht der Fall.
Und Mullvad bezüglich dem Verhindern von „DNS Leaks“ (nur bei VPNs) - was auch tatsächlich für andere VPN-Anbieter gelten sollte.

Theoretisch lässt sich auch feststellen, dass du einen anderen DNS Server verwendest, als du normalerweise als Kunde des VPN-Anbieters nutzen würdest, und anhand dessen ein weiteres Fingerprintingmerkmal definieren. Das ist m.E.n. aber kein DNS Leak.

Vielen Dank für die guten Informationen.
Ich hatte im Zuge der Diskussion hier Brauchst du wirklich ein VPN Lust mich etwas mehr damit zu beschäftigen.
Interessant ist, dass wenn ich Proton VPN nutze, Mullvad mir jeden Test rot anzeigt, weil sie die IP des VPN sehen. Der Test scheint nur für Mullvad-VPN-Nutzer konzipiert zu sein.