Pihole + unbound -- Konfiguration fehlerhaft

[Boombastic]

Kann aber nicht sein, da ich mit copy+paste die Datei erstellt habe

 

[DeusoftheWired]

Falls es darum geht (private-address: 192.168.0.0/16), dann lag es sicher nicht daran, denn 192.168.0.0/16 beinhaltet auch alle 192.168.x.0/24er Netze.

Kann ein Gerät mit der IP 192.168.42.0 und der Subnetzmaske 255.255.0.0 mit einem Gerät der IP 192.168.0.23 und der Subnetzmaske 255.255.255.0 kommunizieren, wenn der Router keine dafür passende Route konfiguriert hat?

 

[???]

Nein, aber darum geht es doch hier gar nicht. Hier geht es um Adressbereiche, die nicht in DNS-Antworten vorkommen dürfen.

Auszug aus "man unbound.conf":

private-address: <IP address or subnet>
Give IPv4 of IPv6 addresses or classless subnets. These are addresses on your private network, and are not allowed to be returned for public internet names. Any occurence of such addresses are removed from DNS answers. [...]

PS: Genau genommen kann das Gerät mit der Adresse 192.168.42.0/16 mit 192.168.0.23/24 kommunizieren, nur der Rückweg wird nicht funktionieren. 😉 Also UDP in eine Richtung würde gehen... duck-und-weg

 

[DeusoftheWired]

Da für eine Aushandlung/Kommunikation zwischen den beiden ein Rückweg immer erfolderlich ist, ist die Sache keine kosmetische, sondern wichtig. Ich tippe darauf, daß es daran lag. Selbst wenn nicht, weshalb sollte man unbound in seiner Konfig falsche Angaben zu den eigenen Netzen machen?

 

[???]

Nochmal: Es geht nicht darum, dass eine Kommunikation stattfinden soll. Es geht um die Behandlung von privaten Adressen in DNS-Antworten.

Du hast offensichtlich immer noch nicht verstanden, was der Parameter bewirkt. Lies dir einfach die Passage der man-page durch, dann siehst du auch, weshalb 192.168.0.0/16 an dieser Stelle völlig okay ist.

 

[DeusoftheWired]

private-address: <IP address or subnet>

Give IPv4 of IPv6 addresses or classless subnets. These are addresses on your private network, and are not allowed to be returned for public internet names. Any occurence of such addresses are removed from DNS answers. Additionally, the DNSSEC validator may mark the answers bogus. This protects against so-called DNS Rebinding, where a user browser is turned into a network proxy, allowing remote access through the browser to other parts of your private network. Some names can be allowed to contain your private addresses, by default all the local-data that you configured is allowed to, and you can specify additional names using private-domain. No private addresses are enabled by default. We consider to enable this for the RFC1918 private IP address space by default in later releases. That would enable private addresses for 10.0.0.0/8 172.16.0.0/12 192.168.0.0/16 169.254.0.0/16 fd00::/8 and fe80::/10, since the RFC standards say these addresses should not be visible on the public internet. Turning on 127.0.0.0/8 would hinder many spamblocklists as they use that.

Okay, das hab ich tatsächlich falsch verstanden. Das Pi-hole Wiki beschreibt in der Anleitung die zusätzlichen Einträge in der Konfiguration ja als „Apply a few security and privacy tricks“. Das bietet die Option private-address, weil sie DNS-Rebind-Attacken verhindert, indem DNS-Anfragen zu öffentlichen URLs, die mit lokalen/privaten IPs beantwortet werden, verworfen werden.