Bekomme Unbound nicht zum laufen

Chef 17.02

Lt. Commander
Dabei seit
Dez. 2006
Beiträge
1.176
Ja geht doch. Wenn du beim 2. Aufruf der Domain 0 ms erhälst dann läuft es korrekt, da die Antwort dann von unbound kommt, also aus dem Cache, und das passiert in 0 ms.

Jetzt kannst du 127.0.0.1#5353 in Pihole eintragen, korrekt, und dann mal eine andere Seite öffnen. ebay.de oder sowas und danach dig -p 5353 ebay.de auf der Konsole ausführen. Dann sollte er eigentlich mit 0 ms antworten da er die Seite im Cache haben müsste.
 

Boedefeld1990

Lieutenant
Ersteller dieses Themas
Dabei seit
Aug. 2010
Beiträge
690
Super! Scheint zu funktionieren (siehe Screenshot)
"Query time: 0msec"

Was ist denn dann nun mit den Rautenzeichen in der config? Also die privacy ...?
Womit hat es damit auf sich und kann das nun alles so bleiben oder muss ich die Rautenzeichen nun wieder entfernen?

Und: ich möchte nun gerne die DNS-Server von digitalcourage nutzen.
Wo kann ich diese bei Unbound eintragen?


Vielen Dank für deine Hilfe und Geduld! :-)
 

Anhänge

Chef 17.02

Lt. Commander
Dabei seit
Dez. 2006
Beiträge
1.176
Gerne, kein Problem.

Generell nutzt du mit unbound ja die root dns Server. Dafür ist ja die roots.hint Datei zuständig. Dort stehen die root dns server drin.

Du kannst jetzt theoretisch die private-address wieder einfügen ohne die # davor. Fang aber erstmal mit der Zeile an in der nur 192.xxx steht, denn andere Netze hast du mit ziemlicher Sicherheit nicht.

Den forward zone block brauchst du gar nicht mehr, der war ja nur von mir zum Testen.

Da du ja jetzt weißt, dass unbound startet und die config so stimmt kannst du nach und nach Sachen verändern bist es nicht mehr geht und dann weißt du woran der Fehler gelegen hat. Am besten die aktuelle .conf Datei mal sichern für Notfälle.

Edit: Post nicht ganz gelesen.

Wenn du spezielle DNS Server nutzen willst dann trägst du die in die forward-zone ein. Also das Ende deiner .config Datei sollte dann so aussehen.

Code:
...

so-rcvbuf: 1m

private-address: 192.168.0.0/16

forward-zone:
   name: "."
   forward-addr: digitalcourage-dns-1@53 (hier muss natürlich die ip vom dns stehen)
   forward-addr: digitalcourage-dns-2@53 (hier muss natürlich die ip vom dns stehen)
   usw...
   usw...
 
Zuletzt bearbeitet:

Boedefeld1990

Lieutenant
Ersteller dieses Themas
Dabei seit
Aug. 2010
Beiträge
690
Super, Dankeschön! Werde ich gleich so umsetzen.
Allerdings verstehe ich noch immer nicht, wofür das mit den Private-Adress gedacht ist.
Ich verstehe es so, dass dies eher dafür geeignet ist, wenn Unbound als DHCP Server genutzt wird und dieser die IP-Adressen für die Geräte verteilen soll.
Da aber Pi-Hole die Rolle als DHCP-Server übernimmt, ist das ja über Unbound eher unnötig, oder?
Denn wenn ich das Rautenzeichen unter Private-Adress 192.168.0.0/16 entferne, funktioniert Unbound nicht mehr.
Wenn ich diesen allerdings wieder hinzufüge, funktioniert es wieder.
Hab es also so verstanden, dass Pi-Hole und Unbound sich deswegen in die Quere kommen und deshalb kein Internet mehr zur Verfügung steht.
Oder wofür ist dieses Privat-Adress gedacht?

Mein Router hat die IP 192.168.0.1
Der Pie hat die Adresse 192.168.0.10
Pi-Hole verteilt die IP-Adressen in einem Bereich von 192.168.0.2 bis 8.
(Falls diese Infos hilfreich sein sollten)

Ich bin leider kein Experte in diesem Gebiet. :D
 

Chef 17.02

Lt. Commander
Dabei seit
Dez. 2006
Beiträge
1.176
Das # heißt ja nur, dass die Zeile auskommentiert ist. Also quasi wie, wenn du die Zeile einfach löschen würdest. Das macht man zum testen, damit man schneller umstellen kann, anstatt immer die Zeile neu einzufügen und zu löschen usw.

Zum eigentlichen Problem. Was schonmal richtig ist, das du ein 192.168.0.0er Netz hast, da sich deine Geräte alle im Bereich 192.168.0.xxx befinden. Die privat-address Option ist primär für folgendes zuständig

Zitat von Quelle: unbound doku:
Give IPv4 of IPv6 addresses or classless subnets. These are addresses on your private network, and are not allowed to be returned for public internet names. Any occurrence of such addresses are removed from DNS answers. Additionally, the DNSSEC validator may mark the answers bogus. This protects against so-called DNS Rebinding, where a user browser is turned into a network proxy, allowing remote access through the browser to other parts of your private network. Some names can be allowed to contain your private addresses, by default all the local-data that you configured is allowed to, and you can specify additional names using private-domain. No private addresses are enabled by default. We consider to enable this for the RFC1918 private IP address space by default in later releases. That would enable private addresses for 10.0.0.0/8 172.16.0.0/12 192.168.0.0/16 169.254.0.0/16 fd00::/8 and fe80::/10, since the RFC standards say these addresses should not be visible on the public internet. Turning on 127.0.0.0/8 would hinder many spam- blocklists as they use that. Adding ::ffff:0:0/96 stops IPv4-mapped IPv6 addresses from bypassing the filter.
Frei übersetzt, es verhindert, dass deine privaten Adressen im Internet sichtbar sind und werden deshalb aus jeder DNS Antwort gelöscht.
Es kann gut möglich sein, dass diese Funktion nur funktioniert wenn du auch DNSSEC nutzt, was sowohl pi-hole als auch unbound können. Ich lasse dnssec über unbound laufen und habe es in pi-hole deaktivert und bei mir funktioniert das mit den private-address Einträgen. Dazu müsstest du aber den root.key noch einfügen und die .config nochmal abändern um das testen zu können.
 

Boedefeld1990

Lieutenant
Ersteller dieses Themas
Dabei seit
Aug. 2010
Beiträge
690
So, jetzt scheint soweit erstmal alles zu laufen.

Der DNS-Server von DigitalCourage unterstützt ebenfalls DNSSEC.
Habe den Server nach deiner Anleitung in die Unbound config hinzugefügt und DNSSEC unter Pi-Hole aktiviert.
Jetzt müssten die Anfragen auch so verschlüsselt sein, oder?
Also das gleiche wie mit private-adress?
 

Chef 17.02

Lt. Commander
Dabei seit
Dez. 2006
Beiträge
1.176
Jain. dnssec stellt ja nur sicher, dass man dir keine falschen DNS Informationen als Antwort "unterschieben" kann.

Zitat von Wiki:
Ein DNS-Teilnehmer kann damit verifizieren, dass die erhaltenen DNS-Zonendaten auch tatsächlich identisch sind mit denen, die der Ersteller der Zone autorisiert hat. DNSSEC wurde als Mittel gegen Cache Poisoning entwickelt.
Meine Antwort mit dnssec und privat-address bei unbound bezog sich eher auf den Inhalt von der unbound wiki

Any occurrence of such addresses are removed from DNS answers. Additionally, the DNSSEC validator may mark the answers bogus.
Wo, wie, wer der dnssec validator ist, ob der in unbound ist und über den root.key verfifiziert wird oder ob der im dns server selbst sitzt weiß ich nicht. Ob das überhaupt ein direkten Zusammenhang damit hat, dass privat-address bei dir nicht funktioniert, keine Ahnung 🤷‍♂️. Ich dachte nur, die Vermutung liegt nahe, aber 100% sicher bin ich nicht.

Aber wenn du dnssec schonmal nutzt und das jetzt alles funktioniert ist das schonmal eine gute Basis. Die anderen Sachen kannst du dann ja im laufe der Zeit nach und nach angehen.
 

Boedefeld1990

Lieutenant
Ersteller dieses Themas
Dabei seit
Aug. 2010
Beiträge
690
Alles klar. Ich werde mich mit der Marterie noch ein wenig beschäftigen und künftig noch ein wenig daran basteln.

Vielen Dank nochmals für deine tatkräftige Hilfe! Tagelang saß ich daran und wollte es komplett aleine auf die Kette bekommen, hat dann leider nicht geklappt.
Aber dass das dann so reibungslos über das Forum und dank dir geklappt hat, ist echt nice.

Danke vielmals!

Gruß aus dem Münsterland und einen schönen Abend! :-)
 
Top