[Tiger]

Attivare DnsCrypt su Pi-Hole

Qualcuno si chiederà cosa sia Dnscrypt o servizi similari tipo cloudflare dns crypt e opendsn crypt

Entrambi rientrano fra i servizi di Secure DNS.

Allora: tradizionalmente, le query DNS vengono inviate in chiaro. 
Chiunque ascolti su Internet può vedere a quali siti web ti stai collegando.

Per garantire che le tue query DNS rimangano private, 
devi utilizzare un resolver che supporti il trasporto DNS sicuro come DNS su HTTPS (DoH) o DNS su TLS (DoT).

In questa guida sfrutteremo come resolver dnscrypt che sfrutterà cloudflare come isp dns
per me uno dei migliori sebbene in giro ve ne siano altri.

Cloudflare quindi sarà il risolutore 1.1.1.1 veloce, gratuito e incentrato sulla privacy supporta DNS su TLS (DoT) e DNS su Https (DoH), 
su cui  è possibile configurare utilizzando un client che lo supporta. (dnscrypt+PiHole)

Cio ci garantirà che le nostre query DNS rimangano private.

dnscrypt supporta anche dnssec ammesso che il nostro risolutore lo supporti, in questo caso cloudflare supporta non solo il secure dns ma anche il dnssec, come encrypt sni ma di lui ve ne parlerò dopo.

Cos'è il DNSSEC?

DNSSEC consente a un utente, 
a un'applicazione o a un risolutore ricorsivo 
di credere che la risposta alla propria query DNS sia ciò che il proprietario del dominio intende che sia.

In altre parole: DNSSEC dimostra autenticità e integrità (anche se non confidenzialità) di una risposta dal server dei nomi autorevole. 
In questo modo è molto più difficile per un cattivo attore iniettare record DNS dannosi nel percorso di risoluzione attraverso perdite BGP e avvelenamento della cache. 
Questo tipo di manomissione può consentire a un utente malintenzionato di deviare tutto il traffico verso un server che controlla o di interrompere la crittografia di SNI, esponendo il nome host a cui ci si sta connettendo.
su questo Cloudflare fornisce supporto DNSSEC gratuito a tutti.

Procediamo ora con attivazione del servizio dnscrypt sul nostro sistema PiHole

Scaricare ultima versione dnscrypt [dnscrypt-proxy-linux_arm-2.0.25.tar.gz] da qui:

Codice:

https://github.com/jedisct1/dnscrypt-proxy/releases

(attualmente è la 2.0.25) da terminale useremo il comando wget per lo scarico.

posizioniamoci in /opt 

Codice:

1) cd /opt

e digitiamo:

Codice:

2) sudo wget https://github.com/jedisct1/dnscrypt-proxy/releases/download/2.0.25/dnscrypt-proxy-linux_arm-2.0.25.tar.gz

decomprimere il file appena scaricato  in /opt con il comando :

Codice:

3) sudo tar xzvf dnscrypt-proxy-linux_arm-2.0.25.tar.gz

4) sudo mv linux-arm dnscrypt-proxy

5) cd dnscrypt-proxy

6) sudo cp example-dnscrypt-proxy.toml dnscrypt-proxy.toml

7) sudo nano dnscrypt-proxy.toml

8) modifichiamo il file di configurazione toml modificando  3 delle voci al suo interno

con queste indicate qui sotto:

Codice:

 
listen_addresses = ['127.0.0.1:54','[::1]:54']
require_dnssec = true
server_names = ['cloudflare']

Poi dare:

Codice:

8) sudo ./dnscrypt-proxy -service install

9) sudo ./dnscrypt-proxy -service start

fatto ciò in pihole disabilitiamo voce dnssec se è abilitata 
poiché l'abbiamo gia abilitata da dnscript e modifichiamo la voce dns
mettendo il nostro dns customizzato che punta al servizio localhost di dnscrypt
indirizzo 127.0.0.1#54

Vedi immagine in allegato:

   

--------------------------
Per finire chi voglia abilitare anche encrypt SNi, unico browser che supporta ciò è firefox

cos'é lo sni crittografato?
Sni sta per: indicazione del nome del server (SNI),
esso espone il nome host al quale il client si connette quando stabilisce una connessione TLS.
Ciò potrebbe compromettere la tua privacy.

SNI crittografato mantiene privato il nome host quando si visita un sito abilitato SNI crittografato nascondendo il nome host richiesto del browser da chiunque ascolti su Internet.

e per farlo basta digitare nella barra degli indirizzi: 

Codice:

about:config

e premere invio, dopo ricercare la voce: 

Codice:

network.security.esni.enabled

cliccarci sopra 2 volte per impostarlo come valore true

riavviare firefox. avremo ora 

Secure Dns+ Dnssec+Tls 1.3+Encrypt sni abilitati (tls 1.3 lo supporta sia firefox che chrome di suo)

Vedi immagine in allegato:

   

fare test qui e verificare che tutte le voci siano in verde.

abbiamo finito.

[Daynolavilan]

Ciao Tiger.
Grazie per la guida. Volevo proprio implementare dnscrypt con pihole.

Ti vorrei chiedere una cosa.
Ho installato dnscrypt due giorni fa e ieri ed oggi mi si è bloccato tutto.
Pihole ha ricevuto un quantità di richieste enorme da parte soprattutto del mac.
In allegato ho inserito uno screenshot:

Cosa può essere?
Non era mai accaduto da quando lo ho installato.

[Tiger]

stai usando pihole su un pizero w?

vedi le query bloccate a quale sito puntano.

[Daynolavilan]

stai usando pihole su un pizero w?

vedi le query bloccate a quale sito puntano.

Si gira su un rpi 0 w.
Ma ha sempre girato bene.

Per le query ci sto lavorando

[Tiger]

il servizio dnscrypt fa largo uso di cpu, devi fare un test procurarti un adattatore microusb--->Lan e testarlo con cavo lan

o un adatattore microusb-->Usb su cui poi mettere un usb-lan

in entrambi i casi devi testare se con cavo lan ti si blocca

[Daynolavilan]

Il problema non è tanto la cpu penso ma quanto la quantità di richieste.
Come vedi la media giornaliera è relativamente bassa poi improvvisamente
schizza in alto.

[Tiger]

il problema potrebbe essere la wifi come il carico cpu che potrebbe saturarsi con un elevata richiesta in pochi secondi.

opterei per una prova con lan

[Daynolavilan]

In effetti il carico era arrivato a load 2.5 con il pallino rosso.
Normalmente sta tra 0.20 e 0.30

[Tiger]

Il pizero w va bene con il solo pihole/PiVpn con dnscrypt devi testare con lan. Oppure usare un pi3b

[Daynolavilan]

Il pizero w va bene con il solo pihole/PiVpn con dnscrypt devi testare con lan. Oppure usare un pi3b

Vedo una quantità di richieste dal mio mac di questo genere 
179.1.168.192.in-addr.arpa

Cosa sarebbe?