Probleme unbound

Andi17 · May 26, 2023, 6:25am

Hallo zusammen,

ich habe Unbound nach der offiziellen Seite eingerichtet und es hat alles super funktioniert. Leider kann ich jetzt finanzen.net nicht mehr anrufen, nur, wenn ich z.B. Cloudflare nutze. Kann es an der root.hints liegen? Ich nutze die offizielle von Debain.

Bucking_Horn · May 26, 2023, 7:34am

Nein, wenn die root.hints fehlerhaft wären, würde jegliche DNS-Anfrage scheitern.

Ich kann Deine Beobachtung nicht nachvollziehen:
finanzen.net lässt sich problemlos über unbound auflösen:

dig finanzen.net -p 5335 @127.0.0.1

; <<>> DiG 9.11.5-P4-5.1+deb10u8-Debian <<>> finanzen.net -p 5335 @127.0.0.1
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 52975
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 1232
;; QUESTION SECTION:
;finanzen.net.                  IN      A

;; ANSWER SECTION:
finanzen.net.           60      IN      A       40.114.166.29

;; Query time: 23 msec
;; SERVER: 127.0.1.1#5335(127.0.1.1)
;; WHEN: Fri May 26 09:33:24 CEST 2023
;; MSG SIZE  rcvd: 57

Andi17 · May 26, 2023, 7:37am

Bei mir kommt leider das:

 dig finanzen.net -p 5335 @127.0.0.1

; <<>> DiG 9.16.37-Raspbian <<>> finanzen.net -p 5335 @127.0.0.1
;; global options: +cmd
;; connection timed out; no servers could be reached

Bucking_Horn · May 26, 2023, 7:39am

Das Kommando sollte auf dem Rechner laufen, auf dem unbound installiert ist.
Auf welchem Rechner hast Du das ausgeführt?

Andi17 · May 26, 2023, 7:40am

Auf dem Raspberry pi, wo es installiert ist

Bucking_Horn · May 26, 2023, 7:49am

Sind denn die Test-Kommandos erfolgreich?

dig pi-hole.net @127.0.0.1 -p 5335

dig dnssec.works @127.0.0.1 -p 5335

dig fail01.dnssec.works @127.0.0.1 -p 5335

Andi17 · May 26, 2023, 7:51am

dig pi-hole.net @127.0.0.1 -p 5335

; <<>> DiG 9.16.37-Raspbian <<>> pi-hole.net @127.0.0.1 -p 5335
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 53883
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 1232
;; QUESTION SECTION:
;pi-hole.net.                   IN      A

;; ANSWER SECTION:
pi-hole.net.            300     IN      A       3.18.136.52

;; Query time: 44 msec
;; SERVER: 127.0.0.1#5335(127.0.0.1)
;; WHEN: Fri May 26 09:50:22 CEST 2023
;; MSG SIZE  rcvd: 56

dig dnssec.works @127.0.0.1 -p 5335

; <<>> DiG 9.16.37-Raspbian <<>> dnssec.works @127.0.0.1 -p 5335
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 29033
;; flags: qr rd ra ad; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 1232
;; QUESTION SECTION:
;dnssec.works.                  IN      A

;; ANSWER SECTION:
dnssec.works.           3600    IN      A       5.45.107.88

;; Query time: 2639 msec
;; SERVER: 127.0.0.1#5335(127.0.0.1)
;; WHEN: Fri May 26 09:50:

dig fail01.dnssec.works @127.0.0.1 -p 5335

; <<>> DiG 9.16.37-Raspbian <<>> fail01.dnssec.works @127.0.0.1 -p 5335
;; global options: +cmd
;; connection timed out; no servers could be reached

Andi17 · May 26, 2023, 7:52am

dig fail01.dnssec.works @127.0.0.1 -p 5335

; <<>> DiG 9.16.37-Raspbian <<>> fail01.dnssec.works @127.0.0.1 -p 5335
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: SERVFAIL, id: 61464
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 1232
;; QUESTION SECTION:
;fail01.dnssec.works.           IN      A

;; Query time: 0 msec
;; SERVER: 127.0.0.1#5335(127.0.0.1)
;; WHEN: Fri May 26 09:52:09 CEST 2023
;; MSG SIZE  rcvd: 48

dig finanzen.net -p 5335 @127.0.0.1

; <<>> DiG 9.16.37-Raspbian <<>> finanzen.net -p 5335 @127.0.0.1
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 40699
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 1232
;; QUESTION SECTION:
;finanzen.net.                  IN      A

;; ANSWER SECTION:
finanzen.net.           60      IN      A       40.114.166.29

;; Query time: 12 msec
;; SERVER: 127.0.0.1#5335(127.0.0.1)
;; WHEN: Fri May 26 09:52:32 CEST 2023
;; MSG SIZE  rcvd: 57

scheint so, als würde es manchmal funktionieren und manchmal nicht

Bucking_Horn · May 26, 2023, 8:09am

Andi17:

dig fail01.dnssec.works @127.0.0.1 -p 5335

; <<>> DiG 9.16.37-Raspbian <<>> fail01.dnssec.works @127.0.0.1 -p 5335
;; global options: +cmd
;; connection timed out; no servers could be reached

Diesen Timeout bekomme ich auch bisweilen.
Das kann auftreten, da laut unbound-Support einer der für diese Domäne konfigurierten autoritativen DNS-Server nicht antwortet (siehe Raspian OS 64bit Unbound 1.13.1 Timeout´s DNSSEC on specific Adresses · Issue #803 · NLnetLabs/unbound · GitHub).

Ein längerer Timeout kann helfen, das für diesen Test zu vermeiden:

dig fail01.dnssec.works @127.0.0.1 -p 5335 +timeout=15

Wenn +timeout=15 für finanzen.net ebenfalls helfen sollte, könnte das darauf hindeuten, dass eine ähnliche Unstimmigkeit in der Konfiguration der für finanzen.net zuständigen autoritativen DNS-Server vorliegt.

Bei mir kommt es mit finanzen.net allerdings auch bei wiederholten Anfragen bislang nicht zu einem Fehler.

Andi17 · May 26, 2023, 8:16am

Jetzt ging es bei mir auch. Ich kann manche Seiten gar nicht mehr aufrufen, auch, wenn ich CLoudflare als DNS hinterlegt habe. Kann es am PiHole liegen?
Habe jetzt OpenDNS hinterlegt und jetzt geht alles

Edit: Auch mit Unbound geht wieder alles. Keine Ahnung, woran es lag.

Vielen Dank

Bucking_Horn · May 26, 2023, 8:31am

Die genutzten digs senden die Anfragen direkt an unbound - Pi-hole ist daran also nicht beteiligt.

Schön, dass es jetzt bei Dir wieder läuft.