Probleme unbound

Hallo zusammen,

ich habe Unbound nach der offiziellen Seite eingerichtet und es hat alles super funktioniert. Leider kann ich jetzt finanzen.net nicht mehr anrufen, nur, wenn ich z.B. Cloudflare nutze. Kann es an der root.hints liegen? Ich nutze die offizielle von Debain.

Nein, wenn die root.hints fehlerhaft wären, würde jegliche DNS-Anfrage scheitern.

Ich kann Deine Beobachtung nicht nachvollziehen:
finanzen.net lässt sich problemlos über unbound auflösen:

dig finanzen.net -p 5335 @127.0.0.1

; <<>> DiG 9.11.5-P4-5.1+deb10u8-Debian <<>> finanzen.net -p 5335 @127.0.0.1
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 52975
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 1232
;; QUESTION SECTION:
;finanzen.net.                  IN      A

;; ANSWER SECTION:
finanzen.net.           60      IN      A       40.114.166.29

;; Query time: 23 msec
;; SERVER: 127.0.1.1#5335(127.0.1.1)
;; WHEN: Fri May 26 09:33:24 CEST 2023
;; MSG SIZE  rcvd: 57

Bei mir kommt leider das:

 dig finanzen.net -p 5335 @127.0.0.1

; <<>> DiG 9.16.37-Raspbian <<>> finanzen.net -p 5335 @127.0.0.1
;; global options: +cmd
;; connection timed out; no servers could be reached

Das Kommando sollte auf dem Rechner laufen, auf dem unbound installiert ist.
Auf welchem Rechner hast Du das ausgeführt?

Auf dem Raspberry pi, wo es installiert ist

Sind denn die Test-Kommandos erfolgreich?

dig pi-hole.net @127.0.0.1 -p 5335
dig dnssec.works @127.0.0.1 -p 5335
dig fail01.dnssec.works @127.0.0.1 -p 5335
dig pi-hole.net @127.0.0.1 -p 5335

; <<>> DiG 9.16.37-Raspbian <<>> pi-hole.net @127.0.0.1 -p 5335
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 53883
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 1232
;; QUESTION SECTION:
;pi-hole.net.                   IN      A

;; ANSWER SECTION:
pi-hole.net.            300     IN      A       3.18.136.52

;; Query time: 44 msec
;; SERVER: 127.0.0.1#5335(127.0.0.1)
;; WHEN: Fri May 26 09:50:22 CEST 2023
;; MSG SIZE  rcvd: 56
dig dnssec.works @127.0.0.1 -p 5335

; <<>> DiG 9.16.37-Raspbian <<>> dnssec.works @127.0.0.1 -p 5335
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 29033
;; flags: qr rd ra ad; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 1232
;; QUESTION SECTION:
;dnssec.works.                  IN      A

;; ANSWER SECTION:
dnssec.works.           3600    IN      A       5.45.107.88

;; Query time: 2639 msec
;; SERVER: 127.0.0.1#5335(127.0.0.1)
;; WHEN: Fri May 26 09:50:
dig fail01.dnssec.works @127.0.0.1 -p 5335

; <<>> DiG 9.16.37-Raspbian <<>> fail01.dnssec.works @127.0.0.1 -p 5335
;; global options: +cmd
;; connection timed out; no servers could be reached
dig fail01.dnssec.works @127.0.0.1 -p 5335

; <<>> DiG 9.16.37-Raspbian <<>> fail01.dnssec.works @127.0.0.1 -p 5335
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: SERVFAIL, id: 61464
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 1232
;; QUESTION SECTION:
;fail01.dnssec.works.           IN      A

;; Query time: 0 msec
;; SERVER: 127.0.0.1#5335(127.0.0.1)
;; WHEN: Fri May 26 09:52:09 CEST 2023
;; MSG SIZE  rcvd: 48
dig finanzen.net -p 5335 @127.0.0.1

; <<>> DiG 9.16.37-Raspbian <<>> finanzen.net -p 5335 @127.0.0.1
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 40699
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 1232
;; QUESTION SECTION:
;finanzen.net.                  IN      A

;; ANSWER SECTION:
finanzen.net.           60      IN      A       40.114.166.29

;; Query time: 12 msec
;; SERVER: 127.0.0.1#5335(127.0.0.1)
;; WHEN: Fri May 26 09:52:32 CEST 2023
;; MSG SIZE  rcvd: 57

scheint so, als würde es manchmal funktionieren und manchmal nicht

Diesen Timeout bekomme ich auch bisweilen.
Das kann auftreten, da laut unbound-Support einer der für diese Domäne konfigurierten autoritativen DNS-Server nicht antwortet (siehe Raspian OS 64bit Unbound 1.13.1 Timeout´s DNSSEC on specific Adresses · Issue #803 · NLnetLabs/unbound · GitHub).

Ein längerer Timeout kann helfen, das für diesen Test zu vermeiden:

dig fail01.dnssec.works @127.0.0.1 -p 5335 +timeout=15

Wenn +timeout=15 für finanzen.net ebenfalls helfen sollte, könnte das darauf hindeuten, dass eine ähnliche Unstimmigkeit in der Konfiguration der für finanzen.net zuständigen autoritativen DNS-Server vorliegt.

Bei mir kommt es mit finanzen.net allerdings auch bei wiederholten Anfragen bislang nicht zu einem Fehler.

1 Like

Jetzt ging es bei mir auch. Ich kann manche Seiten gar nicht mehr aufrufen, auch, wenn ich CLoudflare als DNS hinterlegt habe. Kann es am PiHole liegen?
Habe jetzt OpenDNS hinterlegt und jetzt geht alles

Edit: Auch mit Unbound geht wieder alles. Keine Ahnung, woran es lag.

Vielen Dank

Die genutzten digs senden die Anfragen direkt an unbound - Pi-hole ist daran also nicht beteiligt.

Schön, dass es jetzt bei Dir wieder läuft. :slight_smile:

1 Like

This topic was automatically closed 21 days after the last reply. New replies are no longer allowed.