ich betreibe seit ziemlich langer Zeit einen Pi-hole inklusive Unbound auf einem Ubuntu. Die IPs (IPv4 / v6) ist in der FRITZ!Box hinterlegt
Regelmäßig läuft ein pihole -up und pihole -g per Cronjob. Heute morgen hat dann der Pi-hole den Dienst verweigert. Anscheinend gab es wohl eine Änderung per Update?
Jedenfalls musste ich den Schalter "Use DNSSEC" in der Web-GUI unter Settings aus machen, damit er wieder lief.
Daher meine Frage. Ist das überhaupt relevant wenn auf dem Pi-hole selbst nochmals ein Unbound läuft? Bei mir schaut das so aus:
Ich frage mich nur warum es über Monate oder gar Jahre lief, jetzt aber nicht mehr? Sobald ich die Option "Use DNSSEC" wieder rein mache sehe ich unter Pi-hole diagnosis ein:
DNSMASQ_CONFIG
FTL failed to start due to cannot reduce cache size from default when DNSSEC enabled
Da unbound in der von Pi-holes Doku empfohlenen Konfiguration bereits DNSSEC-Validierung aktiviert hat, bringt in dieser Konstellation die Aktivierung von DNSSEC in Pi-hole technisch keinen zusätzlichen Nutzen, bis auf die explizite Darstellung der DNSSEC-Validierung in Pi-holes Query Log.
Wir raten generell von unbeaufsichtigten Release-Updates ab.
DNS ist von zentraler Bedeutung für Dein gesamtes Netzwerk - wenn DNS nicht mehr funktioniert, geht vermutlich nichts mehr.
Vor einem solchen Update sollten daher die Release Notes gelesen werden - mitunter kommt es zu (nicht zurücknehmbaren) Änderungen, die nicht zu Deiner spezifischen Konfiguration passen und Anpassungen erforderlich machen, damit Dein Pi-hole einwandfrei läuft. Und natürlich sind auch die Pi-hole-Entwickler nur Menschen, die trotz aller Sorgfalt auch mal einen Fehler übersehen können, der aber ausgerechnet in Deiner Konfiguration zum tragen kommt.
Wir empfehlen daher, Updates nach dem Lesen der Release Notes beaufsichtigt durchzuführen, damit man bei Bedarf im Fehlerfall sofort eingreifen kann.
Zu Deiner konkreten Fehlermeldung:
Diese Fehlermeldung wird durch eine manuelle Anpassung von Pi-holes Cache-Größe provoziert.
Nun, ja. Ich betreibe das Teil für private Zwecke und habe 90 Tage Backups davon. Ich mache es eben genau so, weil ich eben nicht die Release-Notes durchlese und dann eine Entscheidung treffe. Das jetzt irgendwas nicht ging, war die absolute Ausnhame.
DNS-Antworten werden bis zum Ablauf ihrer TTL zwischengespeichert.
Nur wenn der Zwischenspeicher z.B. komplett mit DNS-Antworten für 10.000 Domänen (deren TTL noch nicht abgelaufen ist!) gefüllt ist, müsste Pi-hole für die 10.001e Domäne einen vorhandenen Eintrag bereits vor Ablauf seiner TTL rauswerfen.
Solange neu hinzugekommene Antworten also keine Antworten verdrängen, ist der Cache auch nie voll gewesen (und mithin groß genug).