B
Du verwendest einen veralteten Browser. Es ist möglich, dass diese oder andere Websites nicht korrekt angezeigt werden.
Du solltest ein Upgrade durchführen oder einen alternativen Browser verwenden.
Du solltest ein Upgrade durchführen oder einen alternativen Browser verwenden.
Chef 17.02
Lt. Commander
- Registriert
- Dez. 2006
- Beiträge
- 1.250
Ja geht doch. Wenn du beim 2. Aufruf der Domain 0 ms erhälst dann läuft es korrekt, da die Antwort dann von unbound kommt, also aus dem Cache, und das passiert in 0 ms.
Jetzt kannst du 127.0.0.1#5353 in Pihole eintragen, korrekt, und dann mal eine andere Seite öffnen. ebay.de oder sowas und danach dig -p 5353 ebay.de auf der Konsole ausführen. Dann sollte er eigentlich mit 0 ms antworten da er die Seite im Cache haben müsste.
Jetzt kannst du 127.0.0.1#5353 in Pihole eintragen, korrekt, und dann mal eine andere Seite öffnen. ebay.de oder sowas und danach dig -p 5353 ebay.de auf der Konsole ausführen. Dann sollte er eigentlich mit 0 ms antworten da er die Seite im Cache haben müsste.
B
Boedefeld1990
Gast
Super! Scheint zu funktionieren (siehe Screenshot)
"Query time: 0msec"
Was ist denn dann nun mit den Rautenzeichen in der config? Also die privacy ...?
Womit hat es damit auf sich und kann das nun alles so bleiben oder muss ich die Rautenzeichen nun wieder entfernen?
Und: ich möchte nun gerne die DNS-Server von digitalcourage nutzen.
Wo kann ich diese bei Unbound eintragen?
Vielen Dank für deine Hilfe und Geduld! :-)
"Query time: 0msec"
Was ist denn dann nun mit den Rautenzeichen in der config? Also die privacy ...?
Womit hat es damit auf sich und kann das nun alles so bleiben oder muss ich die Rautenzeichen nun wieder entfernen?
Und: ich möchte nun gerne die DNS-Server von digitalcourage nutzen.
Wo kann ich diese bei Unbound eintragen?
Vielen Dank für deine Hilfe und Geduld! :-)
Anhänge
Chef 17.02
Lt. Commander
- Registriert
- Dez. 2006
- Beiträge
- 1.250
Gerne, kein Problem.
Generell nutzt du mit unbound ja die root dns Server. Dafür ist ja die roots.hint Datei zuständig. Dort stehen die root dns server drin.
Du kannst jetzt theoretisch die private-address wieder einfügen ohne die # davor. Fang aber erstmal mit der Zeile an in der nur 192.xxx steht, denn andere Netze hast du mit ziemlicher Sicherheit nicht.
Den forward zone block brauchst du gar nicht mehr, der war ja nur von mir zum Testen.
Da du ja jetzt weißt, dass unbound startet und die config so stimmt kannst du nach und nach Sachen verändern bist es nicht mehr geht und dann weißt du woran der Fehler gelegen hat. Am besten die aktuelle .conf Datei mal sichern für Notfälle.
Edit: Post nicht ganz gelesen.
Wenn du spezielle DNS Server nutzen willst dann trägst du die in die forward-zone ein. Also das Ende deiner .config Datei sollte dann so aussehen.
Generell nutzt du mit unbound ja die root dns Server. Dafür ist ja die roots.hint Datei zuständig. Dort stehen die root dns server drin.
Du kannst jetzt theoretisch die private-address wieder einfügen ohne die # davor. Fang aber erstmal mit der Zeile an in der nur 192.xxx steht, denn andere Netze hast du mit ziemlicher Sicherheit nicht.
Den forward zone block brauchst du gar nicht mehr, der war ja nur von mir zum Testen.
Da du ja jetzt weißt, dass unbound startet und die config so stimmt kannst du nach und nach Sachen verändern bist es nicht mehr geht und dann weißt du woran der Fehler gelegen hat. Am besten die aktuelle .conf Datei mal sichern für Notfälle.
Edit: Post nicht ganz gelesen.
Wenn du spezielle DNS Server nutzen willst dann trägst du die in die forward-zone ein. Also das Ende deiner .config Datei sollte dann so aussehen.
Code:
...
so-rcvbuf: 1m
private-address: 192.168.0.0/16
forward-zone:
name: "."
forward-addr: digitalcourage-dns-1@53 (hier muss natürlich die ip vom dns stehen)
forward-addr: digitalcourage-dns-2@53 (hier muss natürlich die ip vom dns stehen)
usw...
usw...
Zuletzt bearbeitet:
B
Boedefeld1990
Gast
Super, Dankeschön! Werde ich gleich so umsetzen.
Allerdings verstehe ich noch immer nicht, wofür das mit den Private-Adress gedacht ist.
Ich verstehe es so, dass dies eher dafür geeignet ist, wenn Unbound als DHCP Server genutzt wird und dieser die IP-Adressen für die Geräte verteilen soll.
Da aber Pi-Hole die Rolle als DHCP-Server übernimmt, ist das ja über Unbound eher unnötig, oder?
Denn wenn ich das Rautenzeichen unter Private-Adress 192.168.0.0/16 entferne, funktioniert Unbound nicht mehr.
Wenn ich diesen allerdings wieder hinzufüge, funktioniert es wieder.
Hab es also so verstanden, dass Pi-Hole und Unbound sich deswegen in die Quere kommen und deshalb kein Internet mehr zur Verfügung steht.
Oder wofür ist dieses Privat-Adress gedacht?
Mein Router hat die IP 192.168.0.1
Der Pie hat die Adresse 192.168.0.10
Pi-Hole verteilt die IP-Adressen in einem Bereich von 192.168.0.2 bis 8.
(Falls diese Infos hilfreich sein sollten)
Ich bin leider kein Experte in diesem Gebiet.
Allerdings verstehe ich noch immer nicht, wofür das mit den Private-Adress gedacht ist.
Ich verstehe es so, dass dies eher dafür geeignet ist, wenn Unbound als DHCP Server genutzt wird und dieser die IP-Adressen für die Geräte verteilen soll.
Da aber Pi-Hole die Rolle als DHCP-Server übernimmt, ist das ja über Unbound eher unnötig, oder?
Denn wenn ich das Rautenzeichen unter Private-Adress 192.168.0.0/16 entferne, funktioniert Unbound nicht mehr.
Wenn ich diesen allerdings wieder hinzufüge, funktioniert es wieder.
Hab es also so verstanden, dass Pi-Hole und Unbound sich deswegen in die Quere kommen und deshalb kein Internet mehr zur Verfügung steht.
Oder wofür ist dieses Privat-Adress gedacht?
Mein Router hat die IP 192.168.0.1
Der Pie hat die Adresse 192.168.0.10
Pi-Hole verteilt die IP-Adressen in einem Bereich von 192.168.0.2 bis 8.
(Falls diese Infos hilfreich sein sollten)
Ich bin leider kein Experte in diesem Gebiet.
Chef 17.02
Lt. Commander
- Registriert
- Dez. 2006
- Beiträge
- 1.250
Das # heißt ja nur, dass die Zeile auskommentiert ist. Also quasi wie, wenn du die Zeile einfach löschen würdest. Das macht man zum testen, damit man schneller umstellen kann, anstatt immer die Zeile neu einzufügen und zu löschen usw.
Zum eigentlichen Problem. Was schonmal richtig ist, das du ein 192.168.0.0er Netz hast, da sich deine Geräte alle im Bereich 192.168.0.xxx befinden. Die privat-address Option ist primär für folgendes zuständig
Frei übersetzt, es verhindert, dass deine privaten Adressen im Internet sichtbar sind und werden deshalb aus jeder DNS Antwort gelöscht.
Es kann gut möglich sein, dass diese Funktion nur funktioniert wenn du auch DNSSEC nutzt, was sowohl pi-hole als auch unbound können. Ich lasse dnssec über unbound laufen und habe es in pi-hole deaktivert und bei mir funktioniert das mit den private-address Einträgen. Dazu müsstest du aber den root.key noch einfügen und die .config nochmal abändern um das testen zu können.
Zum eigentlichen Problem. Was schonmal richtig ist, das du ein 192.168.0.0er Netz hast, da sich deine Geräte alle im Bereich 192.168.0.xxx befinden. Die privat-address Option ist primär für folgendes zuständig
Quelle: unbound doku schrieb:Give IPv4 of IPv6 addresses or classless subnets. These are addresses on your private network, and are not allowed to be returned for public internet names. Any occurrence of such addresses are removed from DNS answers. Additionally, the DNSSEC validator may mark the answers bogus. This protects against so-called DNS Rebinding, where a user browser is turned into a network proxy, allowing remote access through the browser to other parts of your private network. Some names can be allowed to contain your private addresses, by default all the local-data that you configured is allowed to, and you can specify additional names using private-domain. No private addresses are enabled by default. We consider to enable this for the RFC1918 private IP address space by default in later releases. That would enable private addresses for 10.0.0.0/8 172.16.0.0/12 192.168.0.0/16 169.254.0.0/16 fd00::/8 and fe80::/10, since the RFC standards say these addresses should not be visible on the public internet. Turning on 127.0.0.0/8 would hinder many spam- blocklists as they use that. Adding ::ffff:0:0/96 stops IPv4-mapped IPv6 addresses from bypassing the filter.
Frei übersetzt, es verhindert, dass deine privaten Adressen im Internet sichtbar sind und werden deshalb aus jeder DNS Antwort gelöscht.
Es kann gut möglich sein, dass diese Funktion nur funktioniert wenn du auch DNSSEC nutzt, was sowohl pi-hole als auch unbound können. Ich lasse dnssec über unbound laufen und habe es in pi-hole deaktivert und bei mir funktioniert das mit den private-address Einträgen. Dazu müsstest du aber den root.key noch einfügen und die .config nochmal abändern um das testen zu können.
B
Boedefeld1990
Gast
So, jetzt scheint soweit erstmal alles zu laufen.
Der DNS-Server von DigitalCourage unterstützt ebenfalls DNSSEC.
Habe den Server nach deiner Anleitung in die Unbound config hinzugefügt und DNSSEC unter Pi-Hole aktiviert.
Jetzt müssten die Anfragen auch so verschlüsselt sein, oder?
Also das gleiche wie mit private-adress?
Der DNS-Server von DigitalCourage unterstützt ebenfalls DNSSEC.
Habe den Server nach deiner Anleitung in die Unbound config hinzugefügt und DNSSEC unter Pi-Hole aktiviert.
Jetzt müssten die Anfragen auch so verschlüsselt sein, oder?
Also das gleiche wie mit private-adress?
Chef 17.02
Lt. Commander
- Registriert
- Dez. 2006
- Beiträge
- 1.250
Jain. dnssec stellt ja nur sicher, dass man dir keine falschen DNS Informationen als Antwort "unterschieben" kann.
Meine Antwort mit dnssec und privat-address bei unbound bezog sich eher auf den Inhalt von der unbound wiki
Wo, wie, wer der dnssec validator ist, ob der in unbound ist und über den root.key verfifiziert wird oder ob der im dns server selbst sitzt weiß ich nicht. Ob das überhaupt ein direkten Zusammenhang damit hat, dass privat-address bei dir nicht funktioniert, keine Ahnung 🤷♂️. Ich dachte nur, die Vermutung liegt nahe, aber 100% sicher bin ich nicht.
Aber wenn du dnssec schonmal nutzt und das jetzt alles funktioniert ist das schonmal eine gute Basis. Die anderen Sachen kannst du dann ja im laufe der Zeit nach und nach angehen.
Wiki schrieb:Ein DNS-Teilnehmer kann damit verifizieren, dass die erhaltenen DNS-Zonendaten auch tatsächlich identisch sind mit denen, die der Ersteller der Zone autorisiert hat. DNSSEC wurde als Mittel gegen Cache Poisoning entwickelt.
Meine Antwort mit dnssec und privat-address bei unbound bezog sich eher auf den Inhalt von der unbound wiki
Any occurrence of such addresses are removed from DNS answers. Additionally, the DNSSEC validator may mark the answers bogus.
Wo, wie, wer der dnssec validator ist, ob der in unbound ist und über den root.key verfifiziert wird oder ob der im dns server selbst sitzt weiß ich nicht. Ob das überhaupt ein direkten Zusammenhang damit hat, dass privat-address bei dir nicht funktioniert, keine Ahnung 🤷♂️. Ich dachte nur, die Vermutung liegt nahe, aber 100% sicher bin ich nicht.
Aber wenn du dnssec schonmal nutzt und das jetzt alles funktioniert ist das schonmal eine gute Basis. Die anderen Sachen kannst du dann ja im laufe der Zeit nach und nach angehen.
B
Boedefeld1990
Gast
Alles klar. Ich werde mich mit der Marterie noch ein wenig beschäftigen und künftig noch ein wenig daran basteln.
Vielen Dank nochmals für deine tatkräftige Hilfe! Tagelang saß ich daran und wollte es komplett aleine auf die Kette bekommen, hat dann leider nicht geklappt.
Aber dass das dann so reibungslos über das Forum und dank dir geklappt hat, ist echt nice.
Danke vielmals!
Gruß aus dem Münsterland und einen schönen Abend! :-)
Vielen Dank nochmals für deine tatkräftige Hilfe! Tagelang saß ich daran und wollte es komplett aleine auf die Kette bekommen, hat dann leider nicht geklappt.
Aber dass das dann so reibungslos über das Forum und dank dir geklappt hat, ist echt nice.
Danke vielmals!
Gruß aus dem Münsterland und einen schönen Abend! :-)
Chef 17.02
Lt. Commander
- Registriert
- Dez. 2006
- Beiträge
- 1.250
Kein Problem, ebenso schönen Abend 🌞
ChrisChros
Cadet 3rd Year
- Registriert
- Okt. 2004
- Beiträge
- 63
Hallo,
ich schließe mich dem Thema mal an, da bei mir unbound auch nicht richtig läuft.
folgende Ausgabe bekomme ich bei "systemctl status unbound":
die Eingabe von "unbound -d -vvvv" ergibt folgendes:
Jemand eine Idee wie ich unbound zum laufen bekomme?
ich schließe mich dem Thema mal an, da bei mir unbound auch nicht richtig läuft.
folgende Ausgabe bekomme ich bei "systemctl status unbound":
Code:
pi@raspberrypi:~ $ sudo systemctl status unbound
● unbound.service - Unbound DNS server
Loaded: loaded (/lib/systemd/system/unbound.service; enabled; vendor preset: enabled)
Active: failed (Result: exit-code) since Sun 2019-09-22 21:07:06 CEST; 4s ago
Docs: man:unbound(8)
Process: 15559 ExecStart=/usr/sbin/unbound -d $DAEMON_OPTS (code=exited, status=1/FAILURE)
Process: 15549 ExecStartPre=/usr/lib/unbound/package-helper root_trust_anchor_update (code=exited, status=1/FAILURE)
Process: 15536 ExecStartPre=/usr/lib/unbound/package-helper chroot_setup (code=exited, status=1/FAILURE)
Main PID: 15559 (code=exited, status=1/FAILURE)
Sep 22 21:07:06 raspberrypi systemd[1]: unbound.service: Main process exited, code=exited, status=1/FAILURE
Sep 22 21:07:06 raspberrypi systemd[1]: unbound.service: Unit entered failed state.
Sep 22 21:07:06 raspberrypi systemd[1]: unbound.service: Failed with result 'exit-code'.
Sep 22 21:07:06 raspberrypi systemd[1]: unbound.service: Service hold-off time over, scheduling restart.
Sep 22 21:07:06 raspberrypi systemd[1]: Stopped Unbound DNS server.
Sep 22 21:07:06 raspberrypi systemd[1]: unbound.service: Start request repeated too quickly.
Sep 22 21:07:06 raspberrypi systemd[1]: Failed to start Unbound DNS server.
Sep 22 21:07:06 raspberrypi systemd[1]: unbound.service: Unit entered failed state.
Sep 22 21:07:06 raspberrypi systemd[1]: unbound.service: Failed with result 'exit-code'.
pi@raspberrypi:~ $
Code:
pi@raspberrypi:~ $ unbound -d -vvvv
[1569178939] unbound[14383:0] notice: Start of unbound 1.6.0.
/etc/unbound/unbound.conf.d/localroot.conf:1: error: unknown keyword 'auth-zone'
/etc/unbound/unbound.conf.d/localroot.conf:1: error: stray ':'
/etc/unbound/unbound.conf.d/localroot.conf:2: error: syntax error
read /etc/unbound/unbound.conf failed: 3 errors in configuration file
[1569178939] unbound[14383:0] fatal error: Could not read config file: /etc/unbound/unbound.conf
Jemand eine Idee wie ich unbound zum laufen bekomme?
Chef 17.02
Lt. Commander
- Registriert
- Dez. 2006
- Beiträge
- 1.250
/etc/unbound/unbound.conf.d/localroot.conf:1: error: unknown keyword 'auth-zone'
/etc/unbound/unbound.conf.d/localroot.conf:1: error: stray ':'
/etc/unbound/unbound.conf.d/localroot.conf:2: error: syntax error
read /etc/unbound/unbound.conf failed: 3 errors in configuration file
[1569178939] unbound[14383:0] fatal error: Could not read config file: /etc/unbound/unbound.conf
Im unteren Code-Auszug steht es. Deine .conf scheint fehlerhaft zu sein und deswegen kann unbound sie nicht laden. Vermutlich bei auth-zone. Wenn du magst pack den Inhalt der Datei mal hier rein und lösch ggf. die privaten / öffentlichen Adressen.
/etc/unbound/unbound.conf.d/localroot.conf:1: error: stray ':'
/etc/unbound/unbound.conf.d/localroot.conf:2: error: syntax error
read /etc/unbound/unbound.conf failed: 3 errors in configuration file
[1569178939] unbound[14383:0] fatal error: Could not read config file: /etc/unbound/unbound.conf
Im unteren Code-Auszug steht es. Deine .conf scheint fehlerhaft zu sein und deswegen kann unbound sie nicht laden. Vermutlich bei auth-zone. Wenn du magst pack den Inhalt der Datei mal hier rein und lösch ggf. die privaten / öffentlichen Adressen.
ChrisChros
Cadet 3rd Year
- Registriert
- Okt. 2004
- Beiträge
- 63
Hier mal der Inhalt der localroot.conf:
An der Datei habe ich nichts geändert, sie wurde so während der installation angelegt. Von daher verstehe ich nicht warum diese Datei Fehler enthalten soll.
Code:
auth-zone:
name: "."
# A.ROOT-SERVERS.NET.
master: 198.41.0.4
master: 2001:503:ba3e::2:30
# B.ROOT-SERVERS.NET.
master: 199.9.14.201
master: 2001:500:200::b
# C.ROOT-SERVERS.NET.
master: 192.33.4.12
master: 2001:500:2::c
# D.ROOT-SERVERS.NET.
master: 199.7.91.13
master: 2001:500:2d::d
# E.ROOT-SERVERS.NET.
master: 192.203.230.10
master: 2001:500:a8::e
# F.ROOT-SERVERS.NET.
master: 192.5.5.241
master: 2001:500:2f::f
# G.ROOT-SERVERS.NET.
master: 192.112.36.4
master: 2001:500:12::d0d
# H.ROOT-SERVERS.NET.
master: 198.97.190.53
master: 2001:500:1::53
# I.ROOT-SERVERS.NET.
master: 192.36.148.17
master: 2001:7fe::53
# J.ROOT-SERVERS.NET.
master: 192.58.128.30
master: 2001:503:c27::2:30
# K.ROOT-SERVERS.NET.
master: 193.0.14.129
master: 2001:7fd::1
# L.ROOT-SERVERS.NET.
master: 199.7.83.42
master: 2001:500:9f::42
# M.ROOT-SERVERS.NET.
master: 202.12.27.33
master: 2001:dc3::35
fallback-enabled: yes
for-downstream: no
for-upstream: yes
zonefile: "/var/lib/unbound/root.zone"
An der Datei habe ich nichts geändert, sie wurde so während der installation angelegt. Von daher verstehe ich nicht warum diese Datei Fehler enthalten soll.
Chef 17.02
Lt. Commander
- Registriert
- Dez. 2006
- Beiträge
- 1.250
Die Datei ist in Ordnung ja. Anscheinend ist die unbound Version zu alt. Laut Log benutzt du 1.6.0 und laut diesem Auszug hier kann diese ältere Version nichts mit auth-zone anfangen.
Vermutlich benutzt du noch Raspbian Stretch oder? Denn dort wird in der Tat noch unbound 1.6 installiert, erst in Buster ist 1.9 in der Repo vorhanden.
Laut dem verlinkten Zitat von weiter oben reicht es aus die localroot.conf zu löschen damit unbound startet. Wenn du diese Funktion nicht brauchst sollte dies ausreichend sein. Alternativ kannst du versuchen unbound 1.9 manuell zu installieren.
P.S. Das hier ist das perfekte Beispiel für Docker. Wenn du unbound (und vermutlich PiHole) in Docker Containern laufen lassen würdest wäre es egal ob dein Rasbian Stretch oder Buster ist. Im Docker Container kann man sich unabhängig davon die neuste unbound Version installieren.
Für die lokal vorgehaltene Root-Zone brauchst du mindestens die Unbound-Version 1.7. Hier zeigt sich warum: Die Option auth-zone ist anscheinend erst seit besagter Version verfügbar und daher weiß Unbound in Version 1.6, die du verwendest, nicht, wie es die Config-Datei auswerten soll.
Vermutlich benutzt du noch Raspbian Stretch oder? Denn dort wird in der Tat noch unbound 1.6 installiert, erst in Buster ist 1.9 in der Repo vorhanden.
Laut dem verlinkten Zitat von weiter oben reicht es aus die localroot.conf zu löschen damit unbound startet. Wenn du diese Funktion nicht brauchst sollte dies ausreichend sein. Alternativ kannst du versuchen unbound 1.9 manuell zu installieren.
P.S. Das hier ist das perfekte Beispiel für Docker. Wenn du unbound (und vermutlich PiHole) in Docker Containern laufen lassen würdest wäre es egal ob dein Rasbian Stretch oder Buster ist. Im Docker Container kann man sich unabhängig davon die neuste unbound Version installieren.
Zuletzt bearbeitet:
ChrisChros
Cadet 3rd Year
- Registriert
- Okt. 2004
- Beiträge
- 63
OK, dann schau ich mal nach ob ich wirklich noch Strech am laufen habe.
Wenn ja werde ich mal ein update auf Buster machen und hoffen das ich dann Unbound 1.9 installiert bekomme-
Danke für den Hinweis.
Wenn ja werde ich mal ein update auf Buster machen und hoffen das ich dann Unbound 1.9 installiert bekomme-
Danke für den Hinweis.
ChrisChros
Cadet 3rd Year
- Registriert
- Okt. 2004
- Beiträge
- 63
So nach einem update auf Buster klappt das auch mit unbound.
Danke noch mal für die Hilfe.
Danke noch mal für die Hilfe.
Ähnliche Themen
- Antworten
- 5
- Aufrufe
- 2.364
- Frage
- Antworten
- 7
- Aufrufe
- 8.395
- Antworten
- 25
- Aufrufe
- 4.414
- Antworten
- 6
- Aufrufe
- 6.391
- Antworten
- 8
- Aufrufe
- 4.044