Unbound und BIND anwenden als alternative fuer Pi-Hole

[Lucane]

Auf meiner Instanz wird mir gar nicht Localhost als Unbound Outgoing Interface angeboten...
Wenn ich aber alle Interfaces als Outgoing angebe, funktioniert die Weiterleitung von Unbound zu DNSCrypt-Proxy so wie oben beschrieben. Das ist aber m.M. nach ein unsauberer Workaround einfach All zu benutzen.

Muss ich irgendwo noch was konfigurieren um die Option mit Localhost zu bekommen?

[Rocker]

Hallo,

ich habe genau das Setup wie in diesem Thread beschreiben, in Nutzung.
(und es funktionierte bis vor Kurzem)
sprich keinen DNS Server unter der Allgemeinen Firewall Konfiguration.
es ist keine der drei Check-boxen gesetzt, die sich darunter befinden
Unbound leitet entsprechend an Bind weiter

Code Select Expand

do-not-query-localhost: no
forward-zone:
name: "."
forward-addr: ::1@53530
forward-addr: 127.0.0.1@53530
Und seit kurzem bekomme ich folgende Fehlermeldung im log bei Bind:

Code Select Expand

lame-servers: info: host unreachable resolving

Ich hab keine Ahnung woran es liegen könnte... ich habe schon alles versucht, Bind neu installiert die Firewall neu installiert (Konfig zurückgespielt)

Ich kann aktuell z.B. kein apt update && apt upgrade mit den UIbuntu Servern machen... Hier bekomme ich die Meldung Verbindung fehlgeschlagen.

Ich habe auch schon auf dem Interface eine LAN --> allow --> any --> any regel gesetzt um Probleme mit den Regeln auszuschließen, aber leider geht es trotzdem nicht :(

im Livelog der Firewall ist auch nichts zu sehen, außer die üblichen blocks (ICMP usw...)

Ich weis aktuell nicht mehr weiter :(
Auch kann ich nicht mehr  sagen ob oder was ich geändert habe um das Problem zu verursachen

Vielen Dank

Gruß Rocker

[mimugmail]

Auf der Console mit dig schauen ob Bind auflösen kann:

dig @127.0.0.1 -p 53530 test.de

Wenn das geht wären die Logs von Unbound interessanter. Hast du einen Override in Unbound gesetzt?

[Rocker]

der Befehl wird ohne Probleme ausgeführt.
Ich erhalte instant eine IP zurück

Meine Unbound Konfiguration habe ich angefügt.

Danke

Gruß Rocker

[mimugmail]

Und die Unbound logs?

[Rocker]

HAllo,

die hab ich glatt vergessen, ich habe aktuell Level 2 eingestellt, das sieht so aus:

Code Select Expand

Apr 30 17:49:27 unbound: [53148:0] info: control cmd: stats_noreset
Apr 30 17:49:08 unbound: [53148:2] info: query response was ANSWER
Apr 30 17:49:08 unbound: [53148:2] info: reply from <.> 127.0.0.1#53530
Apr 30 17:49:08 unbound: [53148:2] info: response for archive.ubuntu.com. A IN
Apr 30 17:49:08 unbound: [53148:2] info: resolving archive.ubuntu.com. A IN
Apr 30 17:49:03 unbound: [53148:1] info: query response was ANSWER
Apr 30 17:49:03 unbound: [53148:1] info: reply from <.> 127.0.0.1#53530
Apr 30 17:49:03 unbound: [53148:1] info: response for epdg.epc.mnc002.mcc262.pub.3gppnetwork.org. A IN
Apr 30 17:49:03 unbound: [53148:1] info: resolving epdg.epc.mnc002.mcc262.pub.3gppnetwork.org. A IN
Apr 30 17:49:03 unbound: [53148:1] info: query response was CNAME
Apr 30 17:49:03 unbound: [53148:1] info: reply from <.> ::1#53530
Apr 30 17:49:03 unbound: [53148:1] info: response for epdg.epc.mnc002.mcc262.pub.3gppnetwork.org. A IN
Apr 30 17:49:03 unbound: [53148:1] info: resolving epdg.epc.mnc002.mcc262.pub.3gppnetwork.org. A IN
Apr 30 17:48:06 unbound: [53148:0] info: query response was ANSWER
Apr 30 17:48:06 unbound: [53148:0] info: reply from <.> 127.0.0.1#53530
Apr 30 17:48:06 unbound: [53148:0] info: response for connectivitycheck.gstatic.com. AAAA IN
Apr 30 17:48:06 unbound: [53148:0] info: resolving connectivitycheck.gstatic.com. AAAA IN
Apr 30 17:48:04 unbound: [53148:1] info: query response was ANSWER
Apr 30 17:48:04 unbound: [53148:3] info: query response was ANSWER
Apr 30 17:48:04 unbound: [53148:3] info: reply from <.> 127.0.0.1#53530
Apr 30 17:48:04 unbound: [53148:3] info: response for connectivitycheck.gstatic.com. A IN
Apr 30 17:48:04 unbound: [53148:1] info: reply from <.> ::1#53530
Apr 30 17:48:04 unbound: [53148:1] info: response for connectivitycheck.gstatic.com. A IN


Hier noch mal Loglevel 3:

Code Select Expand

Apr 30 18:39:22 unbound: [49012:3] debug: cache memory msg=138079 rrset=139165 infra=10866 val=0
Apr 30 18:39:22 unbound: [49012:3] info: finishing processing for www.gstatic.com. A IN
Apr 30 18:39:22 unbound: [49012:3] info: query response was ANSWER
Apr 30 18:39:22 unbound: [49012:3] info: reply from <.> 127.0.0.1#53530
Apr 30 18:39:22 unbound: [49012:3] info: response for www.gstatic.com. A IN
Apr 30 18:39:22 unbound: [49012:3] info: iterator operate: query www.gstatic.com. A IN
Apr 30 18:39:22 unbound: [49012:3] debug: iterator[module 0] operate: extstate:module_wait_reply event:module_event_reply
Apr 30 18:39:22 unbound: [49012:2] debug: cache memory msg=137870 rrset=138974 infra=10866 val=0
Apr 30 18:39:22 unbound: [49012:2] info: finishing processing for wpad.localdomain. A IN
Apr 30 18:39:22 unbound: [49012:2] info: query response was NXDOMAIN ANSWER
Apr 30 18:39:22 unbound: [49012:2] info: reply from <.> ::1#53530
Apr 30 18:39:22 unbound: [49012:2] info: response for wpad.localdomain. A IN
Apr 30 18:39:22 unbound: [49012:2] info: iterator operate: query wpad.localdomain. A IN
Apr 30 18:39:22 unbound: [49012:2] debug: iterator[module 0] operate: extstate:module_wait_reply event:module_event_reply
Apr 30 18:39:22 unbound: [49012:2] debug: cache memory msg=137612 rrset=138974 infra=10866 val=0
Apr 30 18:39:22 unbound: [49012:2] debug: sending to target: <.> ::1#53530
Apr 30 18:39:22 unbound: [49012:2] info: sending query: wpad.localdomain. A IN
Apr 30 18:39:22 unbound: [49012:2] info: processQueryTargets: wpad.localdomain. A IN
Apr 30 18:39:22 unbound: [49012:2] info: resolving wpad.localdomain. A IN
Apr 30 18:39:22 unbound: [49012:2] debug: iterator[module 0] operate: extstate:module_state_initial event:module_event_new
Apr 30 18:39:22 unbound: [49012:3] debug: cache memory msg=137612 rrset=138974 infra=10866 val=0
Apr 30 18:39:22 unbound: [49012:3] debug: sending to target: <.> 127.0.0.1#53530

Gruß Rocker

[Rocker]

Hier noch anbei im Anhang das Ruleset für das Interface und die Bind Config

Gruß Rocker

[mimugmail]

Hä? Log sieht doch super aus?

[Rocker]

Hm ich hab so n bissl den Verdacht dass er http seiten nicht auflöst,

denn wenn ich bei meinem ubuntu server ein apt update mache lädf er die ersten 2 https repos danach aber ist sense...

Code Select Expand

Ign:1 https://artifacts.elastic.co/packages/6.x/apt stable InRelease
OK:2 https://artifacts.elastic.co/packages/6.x/apt stable Release
Fehl:4 http://ftp.hosteurope.de/mirror/mariadb.org/repo/10.3/ubuntu bionic InRelease
  Verbindung fehlgeschlagen [IP: 80.237.136.138 80]
Fehl:5 http://archive.ubuntu.com/ubuntu bionic InRelease
  Verbindung fehlgeschlagen [IP: 91.189.91.23 80]
Fehl:6 http://nginx.org/packages/mainline/ubuntu bionic InRelease
  Verbindung fehlgeschlagen [IP: 95.211.80.227 80]


Ich komme einfach nicht dahinter :(

Gruß Rocker

[mimugmail]

Aber da steht doch eine IP dahinter, ist also aufgelöst. Proxy der was blockt dazwischen?

[Rocker]

Hallo,

Danke für deine Unterstützung, aber ich finde den Fehler einfach nicht :(
Ich installiere die Opnsense noch einmal neu und werde ein älteres Backup einspielen und Hoffen dass es dann wieder Funktioniert.

Gruß Rocker

[p1n0ck10]

Auf meiner Instanz wird mir gar nicht Localhost als Unbound Outgoing Interface angeboten...
Wenn ich aber alle Interfaces als Outgoing angebe, funktioniert die Weiterleitung von Unbound zu DNSCrypt-Proxy so wie oben beschrieben. Das ist aber m.M. nach ein unsauberer Workaround einfach All zu benutzen.

Muss ich irgendwo noch was konfigurieren um die Option mit Localhost zu bekommen?

wurde mit der 19er Version entfernt...

[brad.edmondson]

Chiming in to say this worked for me. I have Unbound running on tcp/udp 53 (bound to static internal LAN address) and BIND running on 53530 (I think bound to the LAN address, but the firewall doesn't allow traffic to it). This is my Unbound custom config:

Code Select Expand

do-not-query-localhost: no
forward-zone:
name: "."
forward-addr: 127.0.0.1@53530

For Outgoing Network Interface, I can only choose from LAN or WAN (not localhost). I have it set to LAN and things are forwarding correctly, LAN clients --> LAN interface @ 53 --> BIND @ 53530 --> outside resolver.