Pi-Hole – DNS über HTTPS (DoH) mit nignx

Hier ist einmal Version 1 meiner Anleitung, um die DNS-Abfragen zum Pi-Hole via HTTPS zu verschlüsseln.
Ich habe schon einmal eine Anleitung für DNS-over-TLS gemacht.
Diese Anleitung knüpft an diese an, kann aber auch komplett getrennt genutzt werden.
Diese Anleitung ist dann Sinnvoll, wenn dein DNS-Server im Internet erreichbar ist.
DoH in diesem Aufbau für Zuhause ist nicht gut, da die DNS-Abfragen ab dem Pi-Hole wieder unverschlüsselt durchs Netz wandern!

Mit DoH lassen sich all unsere DNS-Abfragen über den Port 443 schicken und gleichzeitig mit SSL verschlüsseln.

WARNUNG: Das hier ist aktuell Version 1! Es gibt ggf. noch Verbesserungsbedarf.
Es ist aktuell eine „kopiere alles ab und erfreue dich“-Anleitung. Ich erkläre nur die notwendigen Änderungen, gehe aber nicht tiefer darauf ein.

Los gehts!

Vorraussetzung:
– Eine laufende Pi-Hole-Installation
– nginx als Webserver
– Eine Domain die auf den Server aufgeschaltet ist
– Etwas freier Speicher auf dem Server
– Root-Rechte

Schritt 1: Installieren von Golang

Wir brauchen Golang, damit wir die neuste Version de DoH-Server erstellen können.
Ist GO bei dir schon installiert, kannst du den Schritt überspringen.
Zuerst besorgen wir uns GO.

# wget https://dl.google.com/go/go1.13.8.linux-amd64.tar.gz
# tar xvfz go1.13.8.linux-amd64.tar.gz
# mv go /usr/local/go

Wir fügen Go in unsere Umgebungsvariablen hinzu:
(Alles abkopieren und als eine Befehlszeile abschicken!)

# cat << 'EOF' >> ~/.bashrc
export GOROOT=/usr/local/go
export GOPATH=$HOME/goProjects
export PATH=$GOPATH/bin:$GOROOT/bin:$PATH

Nun noch 3 Befehle und wir sind fertig:

# mkdir ~/goProjects
# source ~/.bashrc
# go version

Schritt 2: DoH installieren

Nun installieren wir unseren DNS over HTTPS Server.

# apt install curl software-properties-common build-essential -y
# wget https://github.com/m13253/dns-over-https/archive/v2.2.1.zip
# unzip v2.2.1.zip
# cd dns-over-https-2.2.1/
# make
# make install

Wir müssen nun die Config noch Anpassen.

# nano /etc/dns-over-https/doh-server.conf

Editiere hier die Upstream-Server auf deine Wünsche. Hast du nur ein Pi-Hole, trage z.B. nur die Localhost-Adresse ein.

upstream = [
    "udp:127.0.0.1:53",
]

Nun lässt sich unser DoH-Server auch schon starten!

# systemctl restart doh-server

Schritt 3: Lets Encryp installieren und ein Zertifikat ausstellen

Wir brauchen ein gültiges Zertifikat, damit wir sichere Abfragen ohne Hindernis machen können.

# apt install certbot -y
# certbot certonly -d deine.domain.de

Schritt 4: Die nginx-Config

Hier ist eine Beispiel-Config für nginx.
Sie muss nun von dir noch etwas angepasst werden. Die FETT markierten Stellen, müssen auf jeden Fall angepasst werden.
Was muss angepasst werden?
server_name → Deine genutzte Domain eintragen
ssl_certificate + ssl_certificate_key → Pfad zu deinem Zertifikat anpassen
access_log + error_log → Pfad anpassen

# apt install nginx
# nano /etc/nginx/sites-enabled/doh

Hier die Beispiel-Config:

upstream dns-backend {
    server 127.0.0.1:8053;
    keepalive 30;
}
server {
    listen 80;
    listen [::]:80;

    location /.well-known/acme-challenge {
        alias /var/www/dehydrated;
    }
    root /var/www/html;

    server_name deine.domain.de;
    return 301 https://$host;
}

server {
    listen 443 ssl http2;
    listen [::]:443 ssl http2;

    location /.well-known/acme-challenge {
      alias /var/www/dehydrated;
    }
    ssl_certificate /etc/letsencrypt/live/deine.domain.de/fullchain.pem;
    ssl_certificate_key /etc/letsencrypt/live/deine.domain.de/privkey.pem;

    # enables all versions of TLS, but not SSLv2 or 3 which are weak and now deprecated.
    ssl_protocols TLSv1 TLSv1.1 TLSv1.2;

    # disables all weak ciphers
    ssl_ciphers 'AES128+EECDH:AES128+EDH';

    ssl_prefer_server_ciphers on;

    root /var/www/html;

    index index.html index.htm index.nginx-debian.html;

    server_name deine.domain.de;
    access_log /var/log/nginx/deine.domain.de-access.log;
    error_log /var/log/nginx/deine.domain.de-error.log;

    location /dns-query {
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header Host $http_host;
        proxy_set_header X-NginX-Proxy true;
        proxy_set_header Connection "";
        proxy_http_version 1.1;
        proxy_set_header Upgrade $http_upgrade;
        proxy_redirect off;
        proxy_set_header        X-Forwarded-Proto $scheme;
        proxy_read_timeout 86400;
        proxy_pass http://dns-backend/dns-query;
    }

}

Nun noch kurz nginx testen und dann neu starten:

# nginx -t
# service nginx restart

Tipp: Wenn du das Webinterface von Internet aus erreichen möchtest, setzte eine weitre Passwortabfrage via nginx davor (zwecks Bruteforce-Schutz) und nutze ein anderen Port (z.B. 8443).
Ich würde den Admin-Bereich zur Sicherheit nicht auf die gleiche Adresse / Port legen, unter dem auch der DoH-Server erreichbar ist.

Damit sind wir fertig!
Nun kannst du mit z.B. dem Firefox testen, ob DNS-Abfragen über HTTPS möglich sind.
Wir können die Funktion auch so testen, indem wir direkt den Server mit einer Aufgabe ansteuern.
Rufe dazu einfach folgende URL auf:

https://dein-pihole.de/dns-query?name=hoerli.net&type=A

Du solltest ein Ausgabe im JSON-Format erhalten.

Viel Spaß mit DoH und Pi-Hole!

---

Denke auch daran GO und DoH von Zeit zur Zeit zu aktualisieren.
Einfach die Pakete neu herunterladen, den GO-Ordner einfach entfernen und gegen das neue Archiv ersetzen.
DoH kann dann einfach “neu” installiert werden. Einfach drüber bügeln und den Dienst neu starten lassen.