Bekomme Unbound nicht zum laufen

[Boedefeld1990]

Hallo,

seit einigen Tagen versuche ich vergeblich Unbound zum laufen zu bekommen, aber es will einfach nicht funktionieren.
Pi-Hole funktioniert dagegen einwandfrei auf dem RP3b+.
Auf dem RP3 b+ läuft DietPi.
Ich bin nach dieser Anleitung vorgegangen: https://docs.pi-hole.net/guides/unbound/

Der Pi hat folgende IP: 192.168.0.10

Wenn ich testen möchte ob ein Server aufgelöst wird, erhalte ich jedes Mal folgende Fehlermeldung:

"“; <<>> DiG 9.10.3-P4-Raspbian <<>> pi-hole.net @192.168.0.10 -p 5353
;; global options: +cmd
;; connection timed out; no servers could be reached”

Auch wenn ich in den Pi-Hole DNS Einstellungen) die IP 192.168.0.10#5353, also die IP mit Port von Unbound, funktioniert es natürlich nicht.
Es werden danach keinerlei Internetseite geladen bzw. funktioniert das Internet überhaupt nicht mehr.

Ich nutze eine Connect Box von Unitymedia und Dual Stack.
DHCP habe ich im Router deaktiviert, da Pi-Hole die IP-Adressen verteilt.

Könnt ihr mir bei meinem Problem mit Unbound helfen?

Gruß

 

[Chef 17.02]

Hast dus in Docker laufen oder alles fix installiert? Ich könnte dir, wenn alles in Docker läuft, helfen, da habe ich erfolgreich ipv4 + ipv6 in pihole und unbound am laufen.

Wenn du dig google.com @127.0.0.1 -p 5353 machst, was kommt dann raus? Unbound sollte ja via localhost und 5353 erreichbar sein, wenn der Dienst läuft.

 

[Boedefeld1990]

Ich habe alles fix installiert und bei Eingabe des Befehls erhalte ich wieder folgende Fehlermeldung:

<<>> DiG 9.10.3-P4-Raspbian <<>> google.com @127.0.0.1 -p 5353
;; global options: +cmd
;; connection timed out; no servers could be reached

 

[Chef 17.02]

Unbound ist auch am laufen? Was sagt "sudo service unbound status" ?

Was kommt bei "sudo netstat -tulpn" raus? Bei mir kommen aktive Verbindungen auf 5333 raus, 5333 ist bei mir unbound (im Docker Contrainer).

bash-4.4# netstat -tulpn
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name
tcp        0      0 127.0.0.11:35857        0.0.0.0:*               LISTEN      -
tcp        0      0 0.0.0.0:5333            0.0.0.0:*               LISTEN      -
udp        0      0 0.0.0.0:5333            0.0.0.0:*                           -
udp        0      0 127.0.0.11:32902        0.0.0.0:*                           -

Unbound Konfig ist richtig? Irgendwelche Settings bezüglich Private-Address eingestellt die ggf. falsch sind und die Verbindung blocken?

Hast du Interface Settings in der Konfig.-Datei drin? In dem verlinkten Tut wird das nicht gemacht, vielleicht nimmt er den falschen Adapter?

interface: 0.0.0.0@5333 hab ich bei mir eingetragen.

 

[Boedefeld1990]

Folgendes wird mir mit dem Befehl: "sudo Service Status" angezeigt:

root@DietPi:~# sudo service unbound status
● unbound.service - Unbound DNS server
Loaded: loaded (/lib/systemd/system/unbound.service; enabled; vendor preset: enabled)
Active: failed (Result: exit-code) since Mon 2019-04-15 10:53:4
4 CEST; 29min ago
Docs: man:unbound(8)
Process: 845 ExecStart=/usr/sbin/unbound -d $DAEMON_OPTS (code=exit
ed, status=1/FAILURE)
Process: 840 ExecStartPre=/usr/lib/unbound/package-helper root_trust_anchor_update (code=exited, status=1/FAILURE)
Process: 837 ExecStartPre=/usr/lib/unbound/package-helper chroot_setup
(code=exited, status=1/FAILURE)
Main PID: 845 (code=exited, status=1/FAILURE)

Apr 15 10:53:44 DietPi systemd[1]: unbound.service: Main process exit
ed, code=exited, status=1/FAILURE
Apr 15 10:53:44 DietPi systemd[1]: unbound.service: Unit entered fail
ed state.
Apr 15 10:53:44 DietPi systemd[1]: unbound.service: Failed with resul
t 'exit-code'.
Apr 15 10:53:44 DietPi systemd[1]: unbound.service: Service hold-off time over, scheduling restart.
Apr 15 10:53:44 DietPi systemd[1]: Stopped Unbound DNS server.
Apr 15 10:53:44 DietPi systemd[1]: unbound.service: Start request rep
eated too quickly.
Apr 15 10:53:44 DietPi systemd[1]: Failed to start Unbound DNS server
.
Apr 15 10:53:44 DietPi systemd[1]: unbound.service: Unit entered fail
--More--

Und beim anderen Befehl folgendes:

Aktive Internetverbindungen (Nur Server)
Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name
tcp 0 0 0.0.0.0:80 0.0.0.0:* LISTEN 1165/lighttpd
tcp 0 0 0.0.0.0:53 0.0.0.0:* LISTEN 2595/pihole-FTL
tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN 930/sshd
tcp 0 0 127.0.0.1:4711 0.0.0.0:* LISTEN 2595/pihole-FTL
tcp6 0 0 :::80 :::* LISTEN 1165/lighttpd
tcp6 0 0 :::53 :::* LISTEN 2595/pihole-FTL
tcp6 0 0 :::22 :::* LISTEN 930/sshd
udp 0 0 0.0.0.0:53 0.0.0.0:* 2595/pihole-FTL
udp 0 0 0.0.0.0:67 0.0.0.0:* 2595/pihole-FTL
udp 0 0 0.0.0.0:1194 0.0.0.0:* 354/openvpn
udp6 0 0 :::53 :::* 2595/pihole-FTL


Ich habe nebenbei noch ein wenig gegoogelt und habe den Befehl zur Fehleranalyse eingegeben: unbound -d -vvvv

Das kam heraus:


root@DietPi:~# unbound -d -vvvv
[1555319531] unbound[2708:0] notice: Start of unbound 1.6.0.
[1555319531] unbound[2708:0] error: Could not open /etc/unbound/unbound.conf: No such file or directory
[1555319531] unbound[2708:0] warning: Continuing with default config settings[1555319531] unbound[2708:0] debug: increased limit(open files) from 1024 to 4152
[1555319531] unbound[2708:0] debug: creating udp6 socket ::1 53
[1555319531] unbound[2708:0] error: can’t bind socket: Cannot assign requested address for ::1 port 53 (len 28)
[1555319531] unbound[2708:0] fatal error: could not open ports

 

[Chef 17.02]

Apr 15 10:53:44 DietPi systemd[1]: Failed to start Unbound DNS server

Jou dann lief bzw. läuft unbound die ganze Zeit schon nicht. Und der Fehler ist

[1555319531] unbound[2708:0] fatal error: could not open ports

Und das liegt vermutlich daran

[1555319531] unbound[2708:0] error: Could not open /etc/unbound/unbound.conf: No such file or directory

Hast du die .conf ins richtige Verzeichnis kopiert. Denn wenn er mit der Standard Konfig startet, dann versucht er vermutlich auf Port 53 DNS zu machen und dort macht Pi-Hole ja schon DNS. Deswegen kann unbound den Port nicht für sich nutzen. Mit deiner Konfig sollte er ja auf 5353 starten, tut er aber nicht

Cannot assign requested address for ::1 port 53

Lese, Schreibrechte für die .conf richtig?

 

[Boedefeld1990]

Die Config hab ich im Ordner gar nicht liegen.
Woher bekomme ich die?
Die pi-hole.conf liegt aber im Ordner unbound.conf.d.

Im Hauptordner von Unbound liegen nur folgende configs.

 

[Chef 17.02]

Das ist die selbe Konfig. Benenne sie einfach um in unbound.conf und pack sie in den etc/unbound Ordner. Keine Ahnung wieso die Anleitung mit pi-hole.conf arbeitet.

 

[Boedefeld1990]

Habe es umgesetzt und beim Befehl Unbound Status kommt nun folgendes:





Wenn ich nun in den Einstellungen von Pi-Hole als DNS 127.0.0.1#5353 eingebe, wird dennoch keine Seite aufgerufen bzw. das Internet funktioniert gar nicht.

 

[Chef 17.02]

Aber unbound läuft jetzt zumindest und auch auf 5353. Jetzt könnte nur noch die Konfig selbst falsch sein, dass die zuweisung der "private-address:" falsch ist. Hast du den unteren Block in der Konfig mal testweise auskommentiert?

Die restlichen Sachen sind vermutlich 1:1 aus der Beispiel Konfig vom Tut oder? Die "root.hints" Datei hast du geladen und ist am richtigen Ort? -> "/var/lib/unbound/root.hints" Denn ohne root.hints kann unbound die root dns Server nicht erreichen und wenn du sonst gar keinen DNS Server in Pihole eingetragen hast, dann gibt es in der Tat keinen DNS Server.

Zum Testen kannst du mal in Unbound die "normalen" Dns Server eintragen. Einfach unten in die Konfig mal das einfügen, dann sollte unbound den google dns usw nutzen.

forward-zone:
   name: "."
   forward-addr: 1.1.1.1@53#one.one.one.one
   forward-addr: 8.8.8.8@53#dns.google
   forward-addr: 1.0.0.1@53#one.one.one.one
   forward-addr: 8.8.4.4@53#dns.google

Du musst ggf. auch auf IPv6 achten, du hast in unbound ja ipv6 deaktiviert weswegen pihole dann der einzige dns resolver für ipv6 ist. Keine Ahnung ob er eine ipv6 Adresse ohne separaten ipv6 dns auflösen kann.

EDIT: Hm das 2. Bild habe ich eben erst gesehen. Scheinbar startet unbound immer noch nicht korrekt. Wenn du etwas an der Konfig änderst startest du unbound mit "sudo service unbound restart" neu oder startest du den ganzen pi neu?

 

[Boedefeld1990]

Die Root.hints habe ich im Ordner.
Den Befehl den du gepostet hast, habe ich eingefügt und es funktioniert leider immer noch nicht.
Wenn ich den Befehl "sudo service unbound restart" eingebe, wird lediglich Unbound neugestartet.

 

[Chef 17.02]

Mich wundert es eher, wieso auf dem 2. Bild im #9 Post oben unbound immer noch nicht startet obwohl inzwischen der Port 5353 eine aktive Verbindung von unbound hat.

Kannst du unbound nochmal stoppen mit sudo service unbound stop und dann unbound nochmal mit -d -vvvv starten?

 

[Boedefeld1990]

Jetzt wird mir folgendes angezeigt, obwohl die Unbound.conf im Ordner liegt.

 

[Chef 17.02]

Ja weil in der Konfig File Fehler drin sind. Sagt er dir ja, an 3 Stellen gibts ein Fehler. Wenn du keine privaten IP Adressen in der Konfig hast, dann mach am besten mal ein Bild davon. Das macht es leichter.

 

[Boedefeld1990]

Ganz oben in der config stand 6server. Habe das gelöscht, gespeichert und nochmals unbound -d -vvvv ausgeführt.
Nun ist in der config nur noch ein Fehler.

Habe von der config nun ein Foto gemacht.

 

[Chef 17.02]

Nimm das ab "private address" und den block von mir "forward-zone" mal raus. Kannst einfach ein # vor jede Zeile schreiben. Die private address habe ich vorhin btw. gemeint, als ich danach gefragt hatte ob du die richtig eingestellt hast. Du hast die einfach 1:1 aus dem Tut kopiert, dabei hast du vermutlich nichtmal ein 10er oder 172er Netz. Deswegen mal unten alles raus, private Adressen festlegen kannst du dann wenn unbound mal funktioniert.

Sollte also dann so aussehen:

# traffic spikes
so-rcvbuf : 1m
# ...
# ...
# ...

 

[Boedefeld1990]

So?

Habe ich gemacht, hab den Pi dann neugestartet und die gleiche Fehlermeldung wie eben mit dem einem Fehler.

 

[Chef 17.02]

Die # sind richtig ja. Wenn du jetzt noch den Block von mir, also forward-zone rausnimmst (entweder löschen oder auch # überall davor) dann ja.

Nimm das ab "private address" und den block von mir "forward-zone" ... raus

Kurze Zwischenfrage, wieso eigentlich mit dem Handy? Hast du kein PC mit Putty? Oder Laptop? Mit Handy ist schon arg umständlich und fehleranfällig, grade auch was die Übersicht angeht.

 

[Boedefeld1990]

So, "Service unbound Status" und "sudo netstat -tulpn" spuckt nun folgendes aus.

Einen PC habe ich nicht und mein Laptop hat sich eine Freundin notgedrungen ausgeliehen, da ihrer den Geist aufgegeben hat.

 

[Chef 17.02]

Was sagt jetzt "dig" bzw. Pihole dazu. Laut service status sollte unbound ja jetzt laufen, außer nach der Zeile "Starting unbound dns server" kommt noch eine Errormeldung die aber nicht mehr angezeigt wird. netstat stimmt eigentlich auch. 5353 auf unbound in tcp und udp.