Hallo zusammen.
Ich habe mir auf meinem Heimserver pihole mit unbound installiert und stolpere über ein paar Probleme, die ich alleine irgendwie nicht gelöst bekomme. Ich hoffe hier kann mir jemand helfen.
Ich nutze einen Proxmox Container mit Debian 10 Buster. Installiert ist Unbound Version 1.9.0 und Pi-hole Version v4.4 Web Interface Version v4.3.3 FTL Version v4.3.1.
Ich habe mich bei der Konfiguration von Unbound an die PiHole Doku gehalten, jedoch nach und nach Sachen auskommentiert um mein Problem einzugrenzen.
Ein dig nach google.de einmal an Unbound und einmal nach Cloudflare. Wie zu sehen löst Cloudflare auf und Localhost mit Unbound auf 5353 gibt keine Antwort.
root@pihole:/etc/unbound# dig @127.0.0.1 -p 5353 google.de
server:
interface: 127.0.0.1
port: 5353
# If no logfile is specified, syslog is used
logfile: "/var/log/unbound/unbound.log"
verbosity: 2
log-queries: yes
do-ip4: yes
do-ip6: yes
prefer-ip6: no
do-udp: yes
do-tcp: yes
#root-hints: "/var/lib/unbound/root.hints"
#auto-trust-anchor-file: "/var/lib/unbound/root.key"
#harden-glue: yes
#harden-dnssec-stripped: no
prefetch: yes
#use-caps-for-id: no
#hide-identity: yes
#hide-version: yes
#minimal-responses: yes
#qname-minimisation: yes
# Reduce EDNS reassembly buffer size.
# Suggested by the unbound man page to reduce fragmentation reassembly problems
edns-buffer-size: 1472
num-threads: 2
so-rcvbuf: 1m
# Ensure privacy of local IP ranges
private-address: 192.168.0.0/16
private-address: 169.254.0.0/16
private-address: 172.16.0.0/12
private-address: 10.0.0.0/8
private-address: fd00::/8
private-address: fe80::/10
tls-cert-bundle: /etc/ssl/certs/ca-certificates.crt
forward-zone:
name: "."
forward-tls-upstream: yes
# Cloudflare DNS
forward-addr: 2606:4700:4700::1111@853#cloudflare-dns.com
forward-addr: 1.1.1.1@853#cloudflare-dns.com
forward-addr: 2606:4700:4700::1001@853#cloudflare-dns.com
forward-addr: 1.0.0.1@853#cloudflare-dns.com
# Quad9 Primary & Secondary DNS Server (Beispiel)
forward-addr: 9.9.9.9@853#dns.quad9.net
Wie könnte ich bei der weiteren Fehlersuche vorgehen? Warum bekomme ich ein Servfail bei egal welcher Domain, die ich mit dig auflösen möchte? Ich bin dankbar für jeden Tipp.
The Pi-hole guide does not configure unbound as a forwarding resolver, but your configuration shows this has been done. Please revert to the settings shown in the Pi-hole guide and then we can troubleshoot from there.
Hi,
jfb du hast recht. Später wäre es mein bevorzugtes Verhalten, unbound als forwarding resolver mit cache zu nutzen.
Für das Erste habe ich es mal auskommentiert. Es scheint prinzipiell zu funktionieren, jedoch nicht immer. Wenn ich mehrere querys hintereinander starte, bekomme ich manchmal eine Antwort und manchmal auch nicht.
Wie man an diesem Beispiel sieht. Der erste geht durch und liefert eine Antwort. 2 Sekunden später die gleiche Anfrage mit Fehler. Grob geschätzt sind es 80 % der Anfragen bei denen ich ein Servfail bekomme.
My impression is, that at those occurrences where I do not get an answer, there is nothing written to the log, even with log level / verbosity set to 5.
I put the logoutput on pastebin, because it was larger, than the allowed maximum body size per post.
Danke für den Hinweis. Das habe ich direkt nochmal überprüft.
Ich habe jetzt zur Sicherheit num-threads auch nochmal auf 1 gesetzt und somit 1:1 die config von Redirecting....
Leider bekomme ich trotz alledem immer wieder solche Sachen:
root@pihole:/etc/unbound# dig @127.0.0.1 -p 5353 google.de
; <<>> DiG 9.11.5-P4-5.1-Debian <<>> @127.0.0.1 -p 5353 google.de
; (1 server found)
;; global options: +cmd
;; connection timed out; no servers could be reached
Das, abwechselnd mit servfail und hin und wieder auch eine korrekte Antwort. An der Config kann es demnach wohl nicht liegen, oder? Und ja, ich starte unbound nach jeder Config Änderung neu.
Hm, ich merke jedoch auch, das dieses unregelmäßige Verhalten häufiger mit dig nach google.de auftaucht. Wenn ich pi-hole.net oder andere "kleine" Seiten abfrage, dann werden diese mit hoher Trefferrate konstant aus dem Cache beantwortet.
Mein Problem beschränkt sich somit wohl erstmal auf große Seiten mit vielen IPs. ?
Mir ist der Zahlendreher gerade aufgefallen
Riesiges Danke, ich glaube das wars. Ich Berichte nochmal, falls das Problem nochmal auftritt. Drück mir die Daumen
tja, bin ja froh dass es bei dir nun auch geht...
ich hatte auch schon den gleichen Fehler ... kommt daher dass es auch Anleitungen im Netz gibt welche den Port 5353 haben....
Darf ich vielleicht noch kurz was fragen?
Ich habe manche Anleitungen im Netz gesehen, die den DNS Cache von PiHole auf 0 setzen um alle Anfragen an Unbound weiterzuleiten.
Ist diese Empfehlung noch aktuell? Oder ruhig beides Cachen lassen?