Starthilfe
Pi-hole: Dnsmasq und Stubby automatisch starten
Wenn man vor den DNS-Filter Pi-hole einen verschlüsselnden DNS-Proxy schaltet, läuft der Dienst nach einem Neustart nicht mehr automatisch an. Wir erklären, woran das liegt und was dagegen hilft.
Der DNS-Filter Pi-hole hält Schadcode, Werbung und Tracker aus dem privaten Netz fern. Er hat jedoch ein großes Manko: Der dafür eingesetzte DNS-Resolver Dnsmasq kommuniziert nur unverschlüsselt, sodass Dritte, die Zugriff auf Internet-Backbones haben, den Verkehr leicht mitlesen können. Dagegen hilft ein verschlüsselnder Proxy wie Stubby, der DNS-Anfragen über einen TLS-Tunnel zum Upstream-Resolver schickt.
Wie man Stubby für Pi-hole einrichtet, haben wir ausführlich beschrieben [1, 2]. Dnsmasq und Stubby nutzen dabei auf dem Raspi verschiedene IPv4-Loopback-Adressen (z. B. 127.0.0.1:53 und 127.0.0.2:53). Pi-hole, beziehungsweise Dnsmasq, richtet man so ein, dass es als Upstream-Resolver Stubby verwendet, seine DNS-Anfragen also an 127.0.0.2, UDP-Port 53 schickt.
