Pihole + unbound mit DoT; BOGUS

Help Deutschsprachige Hilfe
,
1

Hallo zusammen,

aktuell läuft bei mir auf einem Devuan Ascii Pihole v 4.0 in Kombination mit unbound v. 1.6.0.
Dieser übermittelt wiederrum per forward addr die Daten via DoT an einen externen DoT-Resolver.
DNSSEC-Validierung ist im pihole sowie unbound aktiviert.
Das ganze lief zirka einen Tag reibungslos, auch nach mehreren Neustarts.

Plötzlich, nach einem Neustart funktioniert die DNS-Auflösung nicht mehr. Obwohl nichts verändert wurde.
Da bei jeder Anfrage im Pihole-Querylog OK (forwarded)
und in roter Schrift 'BOGUS' steht, vermute ich dass irgendwo ein Problem mit der DNSSEC-Validierung in unbound besteht, aber wieso jetzt? Unbound läuft laut status korrekt.
Da ich ohne DNS-Resolving keine Logs hochladen kann, findet er sich hier:
https://bin.disroot.org/?564e27b50235ce38#Lr5EZU1mCrGlyZJctpDzAx4glgRDtiyVxWb6nuatIcc=

Vielen Dank schonmal :slight_smile:

3

DNSSEC in Pihole abschalten hilft nicht, dann zeigt er lediglich den Fehler BOGUS nicht mehr an. Die Adressauflösung geht dann aber weiterhin nicht.

5

Also DNSSEC in unbound abschalten?

7

Ich (und so ziemlich jeder andere) verwende DNSSEC innerhalb von unbound seit langem absolut reibungslos.

Wie sieht es aus wenn Du die Domains direkt an Deinem unbound Server versuchst aufzulösen?

10

Also ich habe gerade mal die Section mit DNSSEC auskommentiert, bringt aber auch nichts.

Direkt prüfe ich das doch mit:
dig sigok.verteiltesysteme.net @127.0.0.1#5353
wenn der Port von unbound 5353 ist? Das wundert mich übrigens, im log tauchen noch zwei andere unbound Ports auf.
Dann bekomme ich ganz merkwürdig:
dig: couldn't get address for '127.0.0.1#5353': failure

Das verwunderliche ist halt, ich habe nichts verändert und auf einmal lief er nicht mehr...

11

Syntax Fehler:

dig sigok.verteiltesysteme.net @127.0.0.1 -p 5353
12

Danke, bin schon ganz blind bei den ganzen Befehlen...

Gibt mir ein SERVFAIL zurück, also liegt das Problem wohl an unbound?
Brauchst du die ganze Meldung?

13

Ja.

Ja, das wäre eine gute Idee. Als nächstes kannst Du den Loglevel in der /etc/unbound/unbound.conf.d/pi-hole.conf erhöhen, vielleicht.

    logfile: "/var/log/unbound.log"
    verbosity: 3

und dann nach einem Neustart vom unbound schauen was dort geloggt wird.

Noch eine Frage: Lass mal bitte date laufen und schu ob die Uhrzeit auf dem Pi-hole stimmt.

15

Die Uhrzeit stimmt definitiv nicht, den Rest teste ich kurz.

; <<>> DiG 9.10.3-P4-Debian <<>> sigok.verteiltesysteme.net @127.0.0.1 -p 5353
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: SERVFAIL, id: 491
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 1472
;; QUESTION SECTION:
;sigok.verteiltesysteme.net. IN A

;; Query time: 941 msec
;; SERVER: 127.0.0.1#5353(127.0.0.1)
;; WHEN: Thu Jan 01 03:53:45 UTC 1970
;; MSG SIZE rcvd: 55

16

Aha, wenn die Uhrzeit nicht stimmt, dann ist der Rest auch schon für die Tonne, denn die Signaturen sind zeitempfindlich. Bitte nachstellen.

1 Like
17

Irre... die Uhrzeit war das Problem.
Dann scheint er bei einem Neustart als ich auch die Karte für das Backup entfernt habe die Uhrzeit verloren zu haben.
Da merkt man wieder dass es auf die Kleinigkeiten ankommt. :point_up:t2::ok_hand:t2: