Es stünde in der Anleitung, wenn für IPv4 und IPv6 zwischen Pi-hole und unbound gesondert konfiguriert werden müsste.
Mit der Verwendung der IPv6-Loopback.Adresse gab es in der Vergangenheit im Zusammenhang mit unbound mal Probleme, mit der entsprechenden IPv4 noch nie.
Es ist schon verwirrend und man sollte eventuell eine kleine Anmerkung zu dem Thema in die Anleitung hinzufügen.
Also der Pi-hole kommuniziert intern über IPv4 mit dem unbound (bzw. wenn Yes bei IPv6 eingetragen wurde, über IPv4 und IPv6).
Die IPv4 Adresse für den unbound ist 127.0.0.1#5335 die im Pi-hole laut Anleitung eingetragen wird.
Da der Pi-hole für die Fritz Box (in meiner Konfig) auch über IPv6 erreichbar ist, gibt es also keine Probleme (die Clients haben die Fritz Box als DNS Server eingetragen).
IPv4 127.0.0.1#5335 entspricht IPv6 ::1#5335
Trage ich ::1#5335 als zweiten Upstream DNS Server wäre das nicht so gut, weil es mal in der Vergangenheit Probleme gab. Gäbe es diese Probleme nicht mehr, wäre es richtig, bzw. es würde keine Probleme verursachen.
Also bei mir lässt sich der IPv6 localhost seit Pi-Hole 5.1.2 wieder eintragen. Ich will jetzt keinesfalls unterstellen daß es gewisse Teammember gibt, die der Meinung wäre sowas würde keinen Sinn ergeben.
** # May be set to yes if you have IPv6 connectivity
do-ip6: yes
# You want to leave this to no unless you have *native* IPv6. With 6to4 and
# Terredo tunnels your web browser should favor IPv4 for the same reasons
prefer-ip6: yes
Ich stelle aber fest daß einige Antworten hier im Forum, dem Anschein nach davon ausgehen daß nichts über IPv4 geht, jeder lokal mit IPv4 zu tun hat, und IPv6 am aussterben ist.
Nein, die Kommunikation mit unbound ist extern zu Pi-hole, verlässt aber wegen der Verwendung der loopback-Schnittstelle nicht den Rechner, auf dem Pi-hole läuft.
Und nein, do-ip6: yes in unbound's Konfiguration steuert, ob unbound IPv6 für das Stellen von DNS- Anfragen an seine Upstream-Servern verwenden soll, und ob unbound über IPv6 eingehende DNS-Anfragen beantwortet.
Wie Pi-hole DNS-Anfragen stellt, wird nur in Pi-hole konfiguriert (über entsprechende Upstream-Server).
Na, fast.
Pi-hole erlaubt die Angabe von mehreren DNS-Servern, um bei (kurzzeitigem) Ausfall eines DNS-Servers auch auf andere DNS-Server ausweichen zu können; außerdem wählt Pi-hole automatisch regelmässig den schnellsten verfügbaren DNS-Server als Standard-Server für seine Anfragen aus.
Insofern macht die Angabe einer identischen Auflösungsinstanz hier keinen Sinn, weil weder Ausfallsicherheit noch Geschwindigkeitsvorteile zu erzielen sind. Theoretisch wäre Pi-hole im Stellen der Anfragen ohne die Wahlmöglichkeit sogar um ein paar Nanosekunden schneller, weil ja die Auswahl entfällt.
Darüber hinaus würde die Angabe von ::1 mit der Konfiguration aus dem Guide nichts bringen, da unbound dann solche Anfragen ignoriert.
Generell kannst Du unbound und Pi-hole so konfigurieren, wie Du es für richtig hälst.
Als Anwender, der erstmalig mit Pi-hole, unbound und DNS in Kontakt kommt, findest Du in Pi-holes Dokumentation eine gute Basis, daher würde ich mich an Deiner Stelle zunächst daran halten.
Abweichungen von diesen Empfehlungen sind möglich und auch durchaus sinnvoll, insbesondere wenn sich dies aus Notwendigkeiten heraus ergibt.
In Bezug auf Deine die ursprüngliche Fragestellung erweiterende Frage zur Kommunikation zwischen unbound und Pi-hole ist IPv6 keine Notwendigkeit: Das DNS-Protokoll ist vollständig indifferent gegenüber dem zur Übertragung verwendeten IP-Protokoll. Insofern gibt es auch keine Begründung dafür, von der Empfehlung aus der Dokumentation abzuweichen.
Und zum Schluss ist mir dies noch aufgefallen:
Das ist eine gültige Konfiguration, führt aber dazu, dass DNS-Anfragen in Pi-holes Query Log nicht einzelnen Clients zugeordnet werden können, und auch client-basiertes Filtern ist so nicht sinnvoll möglich.
Das könnte man umgehen, indem man Pi-hole als lokalen DNS-Server über DHCP verteilt. Eine FB kann das.
Danke @Bucking_Horn nun habe ich alles verstanden und nach Vorgaben eingestellt. Läuft alles.
Ich möchte aus Datenschutzgründen keine Zuordnung der Clients zu den DNS Anfragen haben. Da ich auch mit vielen festen IP Adressen arbeite, die sich auch sehr oft ändern, ist das auch der einfachere Weg.