@kuketzblog Bezüglich DOT für Android: Es gibt eine open source App (Intra), welche DOT auch für Android Versionen < 9 erlaubt.

github.com/Jigsaw-Code/intra

@UnicornKnight @kuketzblog Immerhin opensource, vielleicht könnte man das mal forken und in fdroid kippen

@kuketzblog Du schreibt PiHole würde auf Unbound setzen. Das stimmt nicht.
Es setzt auf dnsmasqd. Siehe github.com/pi-hole/pi-hole/#th

Da dnsmasqd kein DoT unterstützt, muss man zwangsläufig auf dem Gerät noch einen Resolver laufen lassen, der DoT untersützt. Dies kann Stubby oder Unbound sein.
Nach meinem Stand, hat Unbound hier Nachteile wie einen fehlenden Strict Mode und auch Performance soll schlechter sein.

@sinden2333 Stimmt, ich dachte die haben mittlerweile auf unbound gewechselt. In der offiziellen Doku ist dafür eine Beschreibung: docs.pi-hole.net/guides/unboun

@kuketzblog
RIchtig. Aber ich bevorzuge weiterhin Stubby. Allein schon Aufgrund des Strict Modes.

dnsprivacy.org/wiki/display/DP
Siehe Punkt 5

Den Cache würde ich auch nicht als Argument für Unbound in diesem Fall anführen, da ja bereits der PiHole selbst einen Cache hat.

Unter Debian Stretch muss Stubby leider noch selbst kompiliert werden und das mitgelieferte OpenSSL ist zu alt um TLS 1.3 zu unterstützen. Wobei ich nicht weiß, welche DoT Server überhaupt schon TLS 1.3 unterstüzen außer Google

@kuketzblog "Manche möchten statt Stubby
einen Resolver mit größerem Funktionsumfang vor den Pi-hole schalten, etwa
Unbound. Das sollte man nicht
tun. Unbound eignet sich beispielsweise
für Caching, Resolving, DNS-over-TLS,
DNSSEC-Validierung, Ad-Blocking und
für lokale DNS-Daten kleiner Netze. Aber
Dnsmasq eignet sich bis auf DoT für
dieselben Anwendungen, sodass man sie
mit Unbound nur unnötig verdoppeln
würde. In Kombination mit Dnsmasq ist
Stubby daher die bessere Wahl"
Aus c't 19/05 S. 151

Sign in to participate in the conversation
Mastodon

The social network of the future: No ads, no corporate surveillance, ethical design, and decentralization! Own your data with Mastodon!