piHole+Unbound IPv6

Andi17 · September 13, 2022, 1:04pm

Hallo zusammen,

ich habe heute versucht, dass ich in meinem Netzwerk IPv6 aktivieren.
Ich habe es nach einer Anleitung der Ct-zeitschrift gemacht und die ULA-Adresse des PiHole als DNS über DHCP verteilt sowie auch als DNS in der Fritzbox angegeben.

Leider konnte ich keine Webseiten auflösen.
Jetzt ist mir eingefallen, dass ich unbound nutze und es die Zeile:

# May be set to yes if you have IPv6 connectivity
    do-ip6: no

Unter /etc/unbound/unbound.conf.d/pi-hole.conf gibt.

Das habe ich auf "Yes" gestellt und leider ich danach keine Seiten mehr aufösen.

Wenn ich im Pihole anstatt Unbound z.B. Cloudflare als DNS-Server mit IPv4 und IPv6 Eintrage, dann geht es.

Wäre super, wenn mir jemand helfen könnte.

Vielen Dank.im Voraus.

Andi17 · September 15, 2022, 9:47am

Hat hier jemand eine Idee, woran es liegen kann, dass es bei mir nicht funktioniert.

Ich finde es komisch, dass sobald ich in meinem Netzwerk IPv6 aktiviere, mein PiHole mit Unbound keine Weseite mehr auflösen kann und sobald ich "Cloudflare" als DNS mit IPv4 in PiHole angebe, funktioniert die Auflösung der Webseiten wieder.

Ich bin über jede Hilfe sehr dankbar, da ich selbst nicht weiß, wo ich ansetzen soll.

Bucking_Horn · September 15, 2022, 5:04pm

Die unbound-Konfiguration würde ich nicht ändern.

Bitte lade ein Debug Log hoch und poste hier anschließend nur die Token-URL.
Das Token generierst Du über

pihole -d

wobei Du die Frage nach dem Upload bejahst, oder Du machst das über die Weboberfläche:
Tools > Generate Debug Log

Andi17 · September 15, 2022, 5:09pm

Hallo Bucking_Horn,

vielen Dank für deine Hilfe.

Der Token lautet: https://tricorder.pi-hole.net/tUEHAwfo/

Bucking_Horn · September 15, 2022, 5:45pm

Ich sehe in Deinem Debug Log erst einmal keinen Hinweis darauf, dass Pi-hole nicht funktioniert.
Insbesondere zeigt es, dass IPv6 in Deinem Netzwerk bereits aktiv ist - Dein Pi-hole-Rechner hat link-lokale, ULA- und GUA-IPv6-Adressen zugeordnet.

*** [ DIAGNOSING ]: Name resolution (IPv6) using a random blocked domain and a known ad-serving domain
[✓] miralofoto.com is :: on lo (::1)
[✓] miralofoto.com is :: on eth0 (2003:<redacted>c8e)
[✓] miralofoto.com is :: on eth0 (fd00::<redacted>b62)
[✓] miralofoto.com is :: on eth0 (fe80::<redacted>ab8)
[✗] Failed to resolve doubleclick.com via a remote, public DNS server (2001:4860:4860::8888)

Ausgeführt auf einem Client, was geben folgende Kommandos zurück:

nslookup pi.hole

nslookup flurry.com

nslookup flurry.com 192.168.178.53

nslookup heise.de 192.168.178.53

Andi17 · September 15, 2022, 6:15pm

PiHole funktioniert bei mir, nur nicht in Kombination mit Unbound -> erst seit der Umstellung auf IPv6

Sobald ich IPv6 in Komination mit Unbound nutze, kann keine Internetseite mehr aufgelöst werden.
Erst wenn ich im PiHole als DNS Resolver z.B. Cloudflare einstelle funktioniert es wieder.

Aktuell eingestellter DNS Resolver: Cloudflare

nslookup pi-hole
Name: pi.hole
Addresses: fd00::2bc1:xxxxxxxxxx -> habe die ULA-Adresse hier zensiert
192.168.178.53

nslookup flury-com
Server: pi.hole
Address: 192.168.178.53

Name: flurry.com
Addresses: ::
0.0.0.0

nslookup flurry.com 192.168.178.53
Server: pi.hole
Address: 192.168.178.53

Name: flurry.com
Addresses: ::
0.0.0.0

nslookup heise.de 192.168.178.53
Server: pi.hole
Address: 192.168.178.53

Nicht autorisierende Antwort:
Name: heise.de
Addresses: 2a02:2e0:3fe:1001:302::
193.99.144.80

Soll ich den Debug nochmal hochladen, wenn Unbound als DNS-Resolver bei mir hinterlegt ist?

Bucking_Horn · September 15, 2022, 6:40pm

Die *nslookup*s sehen soweit auch alle gut aus.

Das würde wahrscheinlich kaum neue Erkenntnisse bringen.
Die Konfiguration von Pi-hole ändert sich dadurch ja überhaupt nicht.

Es wäre sinnvoller, mit direkten DNS-Anfragen an unbound zu arbeiten.

Also z.B.
(sofern unbound bei Dir auf Port 5335 läuft)

dig heise.de @127.0.0.1 -p 5335

Andi17 · September 15, 2022, 6:55pm

; <<>> DiG 9.16.27-Raspbian <<>> heise.de @127.0.0.1 -p 5335
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: SERVFAIL, id: 46433
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 1232
;; QUESTION SECTION:
;heise.de. IN A

;; Query time: 0 msec
;; SERVER: 127.0.0.1#5335(127.0.0.1)
;; WHEN: Thu Sep 15 20:52:06 CEST 2022
;; MSG SIZE rcvd: 37

Die Ausgabe habe ich direkt auf dem Raspberry pi ausgeführt.

Wie gesagt, wenn ich IPv4 in der Fritzbox verwende, funktioniert PiHole+Unbound, sobald ich IPv6 im Router aktiviere funktioniert es nicht mehr

Bucking_Horn · September 15, 2022, 7:05pm

Das heisst, das obenstehende dig ist erfolgreich, wenn Du in Deiner FritzBox IPv6 deaktivierst?

Ausgeführt auf dem Pi-hole-Rechner, was gibt folgendes Kommando zurück:

sudo grep -v '#\|^$' -R /etc/unbound/unbound.conf*

Andi17 · September 15, 2022, 7:11pm

Die Ausgabe mit dig, die ich gepostet habe, war mit aktivierter IPv6

/etc/unbound/unbound.conf:include-toplevel: "/etc/unbound/unbound.conf.d/*.conf"
/etc/unbound/unbound.conf.d/resolvconf_resolvers.conf:forward-zone:
/etc/unbound/unbound.conf.d/resolvconf_resolvers.conf: name: "."
/etc/unbound/unbound.conf.d/resolvconf_resolvers.conf: forward-addr: fd00::xxxxx -> zensiert
/etc/unbound/unbound.conf.d/root-auto-trust-anchor-file.conf:server:
/etc/unbound/unbound.conf.d/root-auto-trust-anchor-file.conf: auto-trust-anchor-file: "/var/lib/unbound/root.key"
/etc/unbound/unbound.conf.d/pi-hole.conf:server:
/etc/unbound/unbound.conf.d/pi-hole.conf: verbosity: 0
/etc/unbound/unbound.conf.d/pi-hole.conf: interface: 127.0.0.1
/etc/unbound/unbound.conf.d/pi-hole.conf: port: 5335
/etc/unbound/unbound.conf.d/pi-hole.conf: do-ip4: yes
/etc/unbound/unbound.conf.d/pi-hole.conf: do-udp: yes
/etc/unbound/unbound.conf.d/pi-hole.conf: do-tcp: yes
/etc/unbound/unbound.conf.d/pi-hole.conf: do-ip6: no
/etc/unbound/unbound.conf.d/pi-hole.conf: prefer-ip6: no
/etc/unbound/unbound.conf.d/pi-hole.conf: harden-glue: yes
/etc/unbound/unbound.conf.d/pi-hole.conf: harden-dnssec-stripped: yes
/etc/unbound/unbound.conf.d/pi-hole.conf: use-caps-for-id: no
/etc/unbound/unbound.conf.d/pi-hole.conf: edns-buffer-size: 1232
/etc/unbound/unbound.conf.d/pi-hole.conf: prefetch: yes
/etc/unbound/unbound.conf.d/pi-hole.conf: num-threads: 1
/etc/unbound/unbound.conf.d/pi-hole.conf: so-rcvbuf: 1m
/etc/unbound/unbound.conf.d/pi-hole.conf: private-address: 192.168.0.0/16
/etc/unbound/unbound.conf.d/pi-hole.conf: private-address: 169.254.0.0/16
/etc/unbound/unbound.conf.d/pi-hole.conf: private-address: 172.16.0.0/12
/etc/unbound/unbound.conf.d/pi-hole.conf: private-address: 10.0.0.0/8
/etc/unbound/unbound.conf.d/pi-hole.conf: private-address: fd00::/8
/etc/unbound/unbound.conf.d/pi-hole.conf: private-address: fe80::/10

Bucking_Horn · September 15, 2022, 7:29pm

Diese Datei macht Dir vermutlich die Schwierigkeiten.
Die Einträge darin konfigurieren Pi-hole als Upstream von unbound.
Da unbound seinerseits der Upstream von Pi-hole ist, kommt es dadurch zu einer DNS-Endlosschleife.

Die folgenden Schritte sollten das abstellen:
a) /etc/resolvconf.conf bearbeiten und letzte Zeile auskommentieren, die anschliessend so lauten sollte:
#unbound_conf=/etc/unbound/unbound.conf.d/resolvconf_resolvers.conf

b) Unerwünschte unbound-Konfigurationsdatei löschen:

sudo rm /etc/unbound/unbound.conf.d/resolvconf_resolvers.conf

c) unbound neu starten:

sudo service unbound restart

Andi17 · September 15, 2022, 7:42pm

Super, vielen vielen Dank. Hat funktioniert.

Wirklich ein großes Lob an dich, dass du so hilfsbereit bist

system · October 6, 2022, 7:43pm

This topic was automatically closed 21 days after the last reply. New replies are no longer allowed.