Unbound und BIND anwenden als alternative fuer Pi-Hole

[micneu]

Danke, werde ich gleich ändern.

[tillsense]

Danke. Und wenn ihr aus "alternativ" noch "Alternative" macht klingst gut. 

cheers till

[Rocker]

Hallo,

ich habe in den Tutorial für das DNSCrypt-Proxy Plugin den Codeschnipsel für die Weiterleitung verwendet und den Port etwas modifiziert, jetzt funktioniert das Blocking mit Unbound/Bind wie es soll

Code: [Select]

      do-not-query-localhost: no

      forward-zone:
        name: "."
        forward-addr: ::1@53530
        forward-addr: 127.0.0.1@53530

evtl. klappt es hiermit ja jetzt bei euch auch!

Gruß Rocker

[docb]

Hi Rocker,
ansonsten hast du kein NAT eingerichtet, sondern nur den Code im Unbound bei erweitert eingegeben?
Muss man bei den Einrückungen im Code etwas beachten?
Bei mir geht es so nämlich leider nicht - das Queries oder Blocked Protokoll im BIND bleibt leer...
Viele Grüße
doc

[mimugmail]

Schau ins Unbound Log .. steht bestimmt was von duplicates use

[Rocker]

nein ich habe nichts weiter eingerichtet, ich habe die config so wie es das Tutorial vorschlägt + plus diesen Codeschnipsel.
Die Firewall Regel habe ich auch nicht übernommen.

und es funktioniert gerade. ABER ich bin bei weitem kein Profi, zumindest ist die Werbung gerade nirgends zu sehen. Ob es negative Sideeffects gibt weis ich nicht

Gruß Rocker

[docb]

Na da hat der mimugmail leider recht...
unbound: [2736:0] error: duplicate forward zone . ignored.

[mimugmail]

Lass Mal System : Settings : General die Liste von DNS Servern leeren. Dann sollte es gehen.

[docb]

Das habe ich gerade mal versucht - allerdings geht dann gar keine DNS Anfrage mehr - das ist zu effektiv ;-)
Hab ich vielleicht grundsätzlich was falsch eingesellt? Mein OPNSense ist hinter einer Fritzbox 6590 Cable.

[p1n0ck10]

der Codeschnipsel aus dem Tutorial https://forum.opnsense.org/index.php?topic=10670.0 ist auch für IPv6 konfiguriert. Nutzt du das überhaupt? Ob du von Unbound auf DNSCrypt/BIND umbiegst sollte wurst sein. Lediglich die Ports sollten angepasst werden. Wenn du kein IPv6 benützt sollte der Codeschnipsel für Unbound so aussehen:

Configuration Unbound DNS:
Services/Unbound DNS/General
=> Uncheck the Option for "DNS Query Forwarding"
=> Under "Custom options" you must configure Unbound DNS that is all forwarding to DNSCrypt-proxy. I setup this for IPv4

Code: [Select]

server:
do-not-query-localhost: no

forward-zone:
     name: "."
     forward-addr: 127.0.0.1@53530

=> Under "Outgoing Network Interfaces" I choose Localhost. So I have the assurance that the traffic for dns-requests goes only to localhost (DNSCrypt or BIND)

Configuration System DNS-Server:
System/Settings/General
=> Check that no one DNS-Server is configured
=> Uncheck "Allow DNS server list to be overridden by DHCP/PPP on WAN"
=> Uncheck "Do not use the local DNS service as a nameserver for this system"

[docb]

Yuhuu, p1n0ck10 Dankeschön - so läuft es!!! Geniale Sache, echt top. Die DNS-Server unter System/Settings/General muss ich allerdings drin lassen, sonst geht nix. Aber jetzt greift BIND, DANKE!!!
Allerdings hast du mich jetzt auch mit dem DNSCrypt neugierig gemacht  Kann man beides, also BIND und DNSCrypt betreiben / die DNS Abfrage nacheinander irgendwie von Unbound zu BIND und zu DNSCrypt biegen?
Viele Grüße
doc

[mimugmail]

IP alias hinzufügen, Interface localhost, IP 127.0.0.8 und dann den Dnscrypt-proxy auf die IP hören lassen. Dann die IP in Bind als Forwarder

[p1n0ck10]

@docb: geht laut mimugmail ;-)

Wie gut und stabil das läuft muss du selber testen. Ich bin kein Fan davon DNS-Ringelpietz mit anfassen zu spielen und gewisse Funktionen auf eigene Resolver auszulagern. Ist sonst schwierig bei der Fehleranalyse
Für mich kommen zuerst die Security-Funktionen wie DNSSEC und Verschlüsselung in Frage und dann die Blocking-Funktionen, da es dafür X-Alternativen gibt. Haben ja viele DNS-Anbieter schon intus wie Ads, Porn, IoT etc. Die ein oder andere Funktion wird bestimmt noch in den Standard-Resolvern wie Unbound und DNSmasq kommen und dann sind die weiteren Plugins unnötig.

[Northguy]

Irgendwie scheint das seit Unboung 1.8 zu spinnen

Ich habe meine Fehler gefunden. Ich hatte mein WAN Interfaces activiert unter Unbound>general>Outgoing Network Interfaces und nicht Localhost. Jetzt habe ich nur Localhost activiert und WAN deactiviert und alles funktioniert!

[mimugmail]

Ja da gibt es mehrere Wege hab ich gemerkt. Der mit outgoing Interface macht Sinn