Unbound PI-hole IP Adressen IPv4 und IPv6

Hallo,

ich beschäftige mich seit einigen Tagen mit Pi-hole und es läuft auch alles gut.

Nun möchte ich auf unbound umstellen und mir ist nicht klar, was ich im Bereich der IP Adressen in der unbound Config Datei reinschreiben soll.

Der Pi-Hole PI4 hat eine IPv4 Adresse und eine FD00 IPv6 Adresse.

private-address: 192.168.0.0/16 - 192.168.178.0/24
private-address: 169.254.0.0/16 - Zeile löschen
private-address: 172.16.0.0/12 - Zeile löschen
private-address: 10.0.0.0/8 - Zeile löschen
private-address: fd00::/8 - ?
private-address: fe80::/10 -?

Wass muss bei FE und FD stehen oder bleibt das so?

Danke

Das genannten Zeilen decken den gesamten IANA-Adressraum für private Netzwerke ab.

Ich empfehle dringend, an keiner einzigen der diesbezüglichen Zeilen aus Pi-holes Anleitung für unbound etwas zu ändern.

Danke und im Pi-hole unter Upstream DNS Server bei IPv6

::1#5335

eintragen?

Das ist in der Anleitung beantwortet:
https://docs.pi-hole.net/guides/unbound/#configure-pi-hole

das steht dort leider nicht, sonst würde ich nicht extra nachfragen.

Finally, configure Pi-hole to use your recursive DNS server by specifying 127.0.0.1#5335 as the Custom DNS (IPv4):

Ich fragte nach IPv6

Wenn Du der Anleitung folgst, hast Du nach fünf Minuten eine laufende Unbound-Konfiguration, sowohl für IPv4 als auch für IPv6.

Das habe ich gemacht. Also bedeutet das, dass ich keinen IPv6 Upstream DNS Server eintragen muss, obwohl IPv6 in meinem Netz genutzt wird?

Wäre es ein Fehler (wenn es stimmt) ::1#5335 einzutragen?

Es stünde in der Anleitung, wenn für IPv4 und IPv6 zwischen Pi-hole und unbound gesondert konfiguriert werden müsste.

Mit der Verwendung der IPv6-Loopback.Adresse gab es in der Vergangenheit im Zusammenhang mit unbound mal Probleme, mit der entsprechenden IPv4 noch nie.

Ok verstehe, wenn ich aber ein reines IPv6 Netzwerk hätte, dann wäre

::1#5335

richtig?

Nein.

Siehe Invalid Server has been passed

Es ist schon verwirrend und man sollte eventuell eine kleine Anmerkung zu dem Thema in die Anleitung hinzufügen.

Also der Pi-hole kommuniziert intern über IPv4 mit dem unbound (bzw. wenn Yes bei IPv6 eingetragen wurde, über IPv4 und IPv6).

Die IPv4 Adresse für den unbound ist 127.0.0.1#5335 die im Pi-hole laut Anleitung eingetragen wird.

Da der Pi-hole für die Fritz Box (in meiner Konfig) auch über IPv6 erreichbar ist, gibt es also keine Probleme (die Clients haben die Fritz Box als DNS Server eingetragen).

IPv4 127.0.0.1#5335 entspricht IPv6 ::1#5335

Trage ich ::1#5335 als zweiten Upstream DNS Server wäre das nicht so gut, weil es mal in der Vergangenheit Probleme gab. Gäbe es diese Probleme nicht mehr, wäre es richtig, bzw. es würde keine Probleme verursachen.

Habe ich das so richtig nun verstanden?

Also bei mir lässt sich der IPv6 localhost seit Pi-Hole 5.1.2 wieder eintragen. Ich will jetzt keinesfalls unterstellen daß es gewisse Teammember gibt, die der Meinung wäre sowas würde keinen Sinn ergeben.

**    # May be set to yes if you have IPv6 connectivity
    do-ip6: yes

    # You want to leave this to no unless you have *native* IPv6. With 6to4 and
    # Terredo tunnels your web browser should favor IPv4 for the same reasons
    prefer-ip6: yes

Ich stelle aber fest daß einige Antworten hier im Forum, dem Anschein nach davon ausgehen daß nichts über IPv4 geht, jeder lokal mit IPv4 zu tun hat, und IPv6 am aussterben ist.

Zweimal nein.

Nein, die Kommunikation mit unbound ist extern zu Pi-hole, verlässt aber wegen der Verwendung der loopback-Schnittstelle nicht den Rechner, auf dem Pi-hole läuft.

Und nein, do-ip6: yes in unbound's Konfiguration steuert, ob unbound IPv6 für das Stellen von DNS- Anfragen an seine Upstream-Servern verwenden soll, und ob unbound über IPv6 eingehende DNS-Anfragen beantwortet.

Wie Pi-hole DNS-Anfragen stellt, wird nur in Pi-hole konfiguriert (über entsprechende Upstream-Server).

Na, fast.

Pi-hole erlaubt die Angabe von mehreren DNS-Servern, um bei (kurzzeitigem) Ausfall eines DNS-Servers auch auf andere DNS-Server ausweichen zu können; außerdem wählt Pi-hole automatisch regelmässig den schnellsten verfügbaren DNS-Server als Standard-Server für seine Anfragen aus.

Insofern macht die Angabe einer identischen Auflösungsinstanz hier keinen Sinn, weil weder Ausfallsicherheit noch Geschwindigkeitsvorteile zu erzielen sind. Theoretisch wäre Pi-hole im Stellen der Anfragen ohne die Wahlmöglichkeit sogar um ein paar Nanosekunden schneller, weil ja die Auswahl entfällt.

Darüber hinaus würde die Angabe von ::1 mit der Konfiguration aus dem Guide nichts bringen, da unbound dann solche Anfragen ignoriert.

Generell kannst Du unbound und Pi-hole so konfigurieren, wie Du es für richtig hälst.

Als Anwender, der erstmalig mit Pi-hole, unbound und DNS in Kontakt kommt, findest Du in Pi-holes Dokumentation eine gute Basis, daher würde ich mich an Deiner Stelle zunächst daran halten.
Abweichungen von diesen Empfehlungen sind möglich und auch durchaus sinnvoll, insbesondere wenn sich dies aus Notwendigkeiten heraus ergibt.

In Bezug auf Deine die ursprüngliche Fragestellung erweiterende Frage zur Kommunikation zwischen unbound und Pi-hole ist IPv6 keine Notwendigkeit: Das DNS-Protokoll ist vollständig indifferent gegenüber dem zur Übertragung verwendeten IP-Protokoll. Insofern gibt es auch keine Begründung dafür, von der Empfehlung aus der Dokumentation abzuweichen.

Und zum Schluss ist mir dies noch aufgefallen:

Das ist eine gültige Konfiguration, führt aber dazu, dass DNS-Anfragen in Pi-holes Query Log nicht einzelnen Clients zugeordnet werden können, und auch client-basiertes Filtern ist so nicht sinnvoll möglich.

Das könnte man umgehen, indem man Pi-hole als lokalen DNS-Server über DHCP verteilt. Eine FB kann das.

Danke @Bucking_Horn nun habe ich alles verstanden und nach Vorgaben eingestellt. Läuft alles.

Ich möchte aus Datenschutzgründen keine Zuordnung der Clients zu den DNS Anfragen haben. Da ich auch mit vielen festen IP Adressen arbeite, die sich auch sehr oft ändern, ist das auch der einfachere Weg.