"dnsmasq" beantwortet DNS-Anfragen der Clients nicht

Hallo, hat sich schon mal jemand von Euch mit "DNS over TLS" (DoT) mittels
"dnsmasq" und "Stubby" beschäftigt?

Habe diesen DNS-Aufbau auf einem "Raspberry Pi 3 Model B+" installiert,
leider funktioniert er nicht wie gewünscht.

Wenn ich auf einem externen Client die IP-Adresse des "Raspberry Pi" (192.168.2.2) als DNS-Server
einstelle, dann kommen zwar die DNS-Pakete beim RasPi an, aber die DNS-Anfrage des Clients wird
nicht beantwortet.

Dass die DNS-Anfragen beim RasPi ankommen, sehe ich per "tcpdump -i eth0 udp and port 53 -nv":
12:08:13.157366 IP (tos 0x0, ttl 127, id 54611, offset 0, flags [none], proto UDP (17), length 62)
192.168.1.50.60718 > 192.168.2.2.53: 3+ AAAA? www.facebook.com. (34)


Ich bin nach folgender Anleitung vorgegangen:
https://blog.sandchaschte.ch/de/pi-hole-with-dns-over-tls

"dnsmasq" läuft bei mir auf UDP-Port 53, welcher die Anfragen der Clients (unverschlüsselt) entgegennimmt
und soll diese dann an 127.0.0.1:5353 (Stubby) weiterleiten.

"Stubby" läuft aber auf jeden Fall auch, das habe ich überprüft:

netstat -aun:

Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address Foreign Address State
udp 0 0 0.0.0.0:53 0.0.0.0:* (dnsmasq)
udp 0 0 0.0.0.0:68 0.0.0.0:*
udp 0 0 0.0.0.0:38489 0.0.0.0:*
udp 0 0 0.0.0.0:51820 0.0.0.0:*
udp 0 0 127.0.0.1:5353 0.0.0.0:* (Stubby)
udp 0 0 0.0.0.0:5353 0.0.0.0:* (Stubby)
udp6 0 0 :::38305 :::*
udp6 0 0 :::53 :::*
udp6 0 0 :::51820 :::*
udp6 0 0 ::1:5353 :::*
udp6 0 0 :::5353 :::*

Warum "Stubby" auf der 127.0.0.1 "lauscht" und ebenfalls auf der 0.0.0.0 weiß ich nicht ^^.

Wenn ich mich per SSH auf dem RasPi einloggen und von dort aus eine DNS-Abfrage starte
(z.B. per dig @127.0.0.1 www.google.de), dann wird problemlos aufgelöst:

dig @127.0.0.1 www.google.de

; <<>> DiG 9.10.3-P4-Raspbian <<>> @127.0.0.1 www.google.de
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 64721
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 1452
;; QUESTION SECTION:
;www.google.de. IN A

;; ANSWER SECTION:
www.google.de. 139 IN A 172.217.168.195

;; Query time: 88 msec
;; SERVER: 127.0.0.1#53(127.0.0.1)
;; WHEN: Fri May 10 12:03:13 BST 2019
;; MSG SIZE rcvd: 71

Nur wie gesagt funktioniert die Auflösung nicht, wenn ich "dnsmasq" von einem Client aus auf der 192.168.2.2 anspreche,
das ist die IP-Adresse des RasPi in dem Netzwerk, wo er angeschlossen ist.

Wenn ich per SSH auf dem RasPi eingeloggt bin, dann kann ich hingegen die 192.168.2.2 als DNS-Server ansprechen und
die Namensauflösung funktioniert:

dig @192.168.2.2 www.teamviewer.com

; <<>> DiG 9.10.3-P4-Raspbian <<>> @192.168.2.2 www.teamviewer.com
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 40525
;; flags: qr rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 1452
;; QUESTION SECTION:
;www.teamviewer.com. IN A

;; ANSWER SECTION:
www.teamviewer.com. 300 IN CNAME djg0l3vj0jvin.cloudfront.net.
djg0l3vj0jvin.cloudfront.net. 0 IN A 54.192.12.53

;; Query time: 89 msec
;; SERVER: 192.168.2.2#53(192.168.2.2)
;; WHEN: Fri May 10 12:05:45 BST 2019
;; MSG SIZE rcvd: 151

Zusammengefasst also:

"dig @127.0.0.1 www.google.de" funktioniert vom RasPi aus
und "dig @192.168.2.2 www.google.de funktioniert vom RasPi aus.

Ein "dig @192.168.2.2 www.google.de" von einem Client aus funktioniert hingegen nicht.

Kann mir da jemand weiterhelfen?

Gruß, Datax