#264 - PiHole y DNSCrypt

VPN jul. 10, 2019

Instalar PiHole y DNSCrypt

  • Debian Buster
  • Raspberry pi

Instalación de PiHole

sudo curl -sSL https://install.pi-hole.net | bash
  1. Nota: desde terminal, conectados a la raspberry, para cambiar el password de piHole
    sudo pihole -a -p

Instalación de DNSCRYPT

  1. cd /opt
  2. Descargar DNSCrypt
sudo wget https://github.com/jedisct1/dnscrypt-proxy/releases/download/2.0.19/dnscrypt-proxy-linux_arm-2.0.19.tar.gz
  1. Extraer:
sudo tar -xf dnscrypt-proxy-linux_arm-2.0.19.tar.gz
  1. Renombrar la carpeta extraída
sudo mv linux-arm dnscrypt-proxy
  1. cd dnscrypt-proxy
  2. Crear Fichero de config basado en el de ejemplo
    sudo cp example-dnscrypt-proxy.toml dnscrypt-proxy.toml
  3. Editar el fichero (si no sabes como funciona nano, mírate primero algún tuto sencillo en Google)
    sudo nano dnscrypt-proxy.toml
    Ajustar los parámetros:
listen_addresses = ['127.0.0.1:54','[::1]:54']
require_dnssec = true
server_names = ['dnscrypt.nl-ns0']

ACTUALIZACIÓN 2019/10/08

  • Si probáis el test con la página de cloudfare aquí:
Cloudflare ESNI Checker | Cloudflare
Cloudflare is a free global CDN and DNS provider that can speed up and protect any site online.


Verás que te dirá que no pasas el test de Secure DNS, eso es porqué estás con Dns proxy.

  • Pero en esta página nos dice como solucionarlo:
Running a DNS over HTTPS Client - Cloudflare Resolver
Use Cloudflare’s APIs and edge network to build secure, ultra-fast applications.


El resumen es:
Cambiar el server name:
server_names = ['dnscrypt.nl-ns0']

Por este:
server_names = ['cloudflare', 'cloudflare-ipv6']

Y el test será exitoso !!!


8. Instalar el servicio de dnscrypt-proxy
sudo ./dnscrypt-proxy -service install
9. Arrancar el servicio
sudo ./dnscrypt-proxy -service start

Configurar PI-Hole

  1. En Upstream DNS servers: 127.0.0.1#54 (es decri, la propia rasp en el pueerto 54)

2. Marcar “ Listen all devices
Para comprobar que funciona (DnsCrypt):
https://www.dnsleaktest.com

En esta web hay whitelists para que no bloquee plex, etc...

Utilizar nuestra Raspberry Pi como AdBlock en Red Local (Pi-Hole)
Se trata de un sistema que permite bloquear publicidad a nivel de red. Podemos pensar en las extensiones de navegador como adblock/ublock pero a mayor escala. Mas info en Pi-hole [https://pi-hole.net/] PiHole tiene unas ventajas notables frente a los addons tipo adblock/ublock: * Detienes la pub…

Otra web interesante de como instalar pihole y enlaces a listas mediante upgrades de forma automatica

Complete Pi Hole setup guide: Ad-free better internet in 15 minutes
Want to have a better online experience without advertisements and sneaky tracking codes that invade your privacy and monitor your activities? This is exactly what a Pi Hole…


App para IOS que cifra las peticiones DNS.

Dns Cloak -> Gracias a Raúl Piqueras (@raulpise)

‎DNSCloak • Secure DNS client
DNSCrypt is a protocol that authenticates communications between a DNS client and a DNS resolver. It prevents DNS spoofing. It uses signatures to verify that responses originate from the chosen DNS resolver and haven’t been tampered with. You can learn more about DNSCrypt protocol at https://dnscrypt.info…

Pi hole y DoH (en español)

Configurar Pi-Hole para usar DNS over HTTPS “DoH” en una Raspberry Pi
Configurar una Raspberry Pi con Pi-hole para que la totalidad de dispositivos que usen Pi-hole resuelvan las peticiones DNS cifradas mediante DNS over HTTPS

Otras opciones para instalar DoH sobre PiHole:

Securing DNS across all of my devices with Pi-Hole + DNS-over-HTTPS + 1.1.1.1
DNS is the protocol that makes the web work. It’s how we convert easy to remember names like facebook.com into hard to remember IP addresses like 157.240.1.35 and others. Without it, the web wouldn’t work but DNS has a problem, it’s not secure. The Problem DNS queries are not secure, they’re sent …

Para test  DoH:

1.1.1.1 — the Internet’s Fastest, Privacy-First DNS Resolver
✌️✌️ Browse a faster, more private internet.
¡Genial! Te has suscrito con éxito.
¡Genial! Ahora, completa el checkout para tener acceso completo.
¡Bienvenido de nuevo! Has iniciado sesión con éxito.
Éxito! Su cuenta está totalmente activada, ahora tienes acceso a todo el contenido.