Не знаток unbound, но для убедительности можно было бы сравнить два ответа в снифере на один запрос: напрямую и через тунель.
Пример 1, Пример 2
Понятно. Поэтому более десяти лет назад настроил себе DNSCrypt на всякий случай.