Unbound-Konfiguration auf Raspberry Pi 5

Hallo zusammen,
ich richte gerade Unbound ein und habe mir dazu verschiedene Videos und Konfigurationen angeschaut, und hab mir eine eigene Konfiguration zusammengestellt. Kennt sich hier jemand mit Unbound aus und könnte einen Blick darauf werfen, ob alles passt oder ob es noch Verbesserungspotenzial gibt?

Unbound und Pi-hole laufen auf einem Raspberry Pi 5 mit 4 GB RAM.

Hier meine Konfiguration:

server:
# Logging und Debugging
verbosity: 1
logfile: "/var/log/unbound.log"


# Interfaces und Ports
interface: 127.0.0.1
port: 5335


# Unterstützte Protokolle
do-ip4: yes
do-ip6: no
do-udp: yes
do-tcp: yes


# Security Hardening
hide-identity: yes
hide-version: yes
harden-glue: yes
harden-dnssec-stripped: yes
harden-below-nxdomain: yes
harden-referral-path: yes


# DNSSEC
auto-trust-anchor-file: "/var/lib/unbound/root.key"
val-log-level: 2


# Minimale Informationen an externe Server senden
qname-minimisation: yes
qname-minimisation-strict: yes
aggressive-nsec: yes


cache-min-ttl: 3600
cache-max-ttl: 86400
rrset-cache-size: 256m
msg-cache-size: 128m
msg-cache-slabs: 8
rrset-cache-slabs: 8
infra-cache-numhosts: 50000
key-cache-size: 128m
neg-cache-size: 64m
serve-expired: yes


num-threads: 4
so-rcvbuf: 4m
so-sndbuf: 4m




unwanted-reply-threshold: 100000
ratelimit: 1000
do-not-query-localhost: yes


root-hints: "/var/lib/unbound/root.hints"
tls-cert-bundle: "/etc/ssl/certs/ca-certificates.crt"




private-address: 192.168.0.0/16
private-address: 10.0.0.0/8
private-address: 172.16.0.0/12
private-address: fd00::/8
private-address: fe80::/10


forward-zone:
name: "."
forward-tls-upstream: yes
forward-addr: 9.9.9.9@853
forward-addr: 149.112.112.112@853

Vielen Dank für eure Unterstützung

Quote from JenSalik

Deine Config sieht soweit ganz gut aus 👍

Mir persönlich erschließt sich der Sinn von unbound als reiner Caching-Forwarder (in deinem Fall für Quad9) nicht wirklich, aber das ist natürlich Geschmacksache….

Super danke, meine Idee ist es, zum einen die DNS-Anfragen selbst zu cachen und DNS-over-TLS zu nutzen, außerdem möchte ich natürlich Werbung durch Pi-hole blockieren.

Also irgendwie funktioniert es, aber irgendwie auch nicht. Ich sehe in Pi-hole 19 Total Queries, aber nur vom Pi-hole selbst. Ich habe den Pi-hole in einem eigenen Subnetz und VLAN und habe in meinem Client-Subnetz eine Firewall-Regel, die die Kommunikation mit dem Pi-hole erlaubt – und umgekehrt. In meiner Dream Machine habe ich sowohl im Pi-hole-Netzwerk als auch im Client-Netzwerk die IP des Pi-hole als DNS-Server gesetzt.

Weiß jemand, woran das liegen könnte? Der DNS-Server scheint irgendwie zu funktionieren, weil alle Webseiten aufgerufen werden können, aber Werbung wird trotzdem noch ganz normal angezeigt. Außerdem habe ich an meinem PC den DNS-Server direkt auf die IP des Pi-hole gesetzt mit demselben Ergebnis.

Kennt jemand zufällig eine Anleitung zu Unbound mit Pi-hole in Bezug auf Unifi? Ich bin langsam wirklich am Verzweifeln.

Also, ich habe in allen Netzen/VLANs die IP des Raspberry Pis eingetragen, einschließlich in dem Netzwerk, in dem sich der Raspberry selbst befindet. Danach habe ich alle Access Points und die Dream Machine neugestartet. Ich habe eine Firewall-Regel erstellt, die es allen Netzwerken erlaubt, mit dem Pi-Netzwerk zu kommunizieren und umgekhrt. Wenn ich auf dem Pi den Befehl dig fail01.dnssec.works @127.0.0.1 -p 5335 ausgeführt habe, wurde wie gewollt SERVFAIL zurückgegeben. Bei dig dnssec.works @127.0.0.1 -p 5335 kam hingegen NOERROR und eine IP-Adresse (https://docs.pi-hole.net/guides/dns/unbound/). Wenn ich jedoch auf meinem PC nslookup google.com 192.168.77.2 eingegeben hab, kam keine Antwort vom Pi, sondern ein Timeout. Zudem musste ich aus der Konfiguration noch die Zeile auto-trust-anchor-file: "/var/lib/unbound/root.key" entfernen, weil sonst beim Neustart immer ein Fehler kam. Ich weiß echt nicht, woran das liegt. Ich habe gestern nochmal alles formatiert und werde es später noch einmal von vorne versuchen

Ich habe jetzt genau diese Anleitung befolgt: DNS | PiHole mit DoT+DNSSEC oder DoH. Auf dem Pi funktioniert auch alles wie gewollt. Die beiden Befehle zum Testen geben das richtige zurück: Der erste zeigt "SERVFAIL" und der zweite "NOERROR". Und ich sehe, auch das TLS auf dem Pi funktioniert. Ich habe auch in jedem VLAN die IP des Raspberry Pi eingetragen und alles neu gestartet, inklusive dem Pi, den Access Points und der Dream Machine.

Jetzt erhalte ich jedoch folgende Meldung:

2025-02-26 11:45:19 DNSMASQ_WARN Warning in dnsmasq core: ignoring query from non-local network 192.168.0.20 (logged only once).

Ich habe dann alle möglichen Optionen hier getestet:

• Allow only local requests
• Respond only on interface
• Bind only to interface
• Permit all origins

Aber es hat trotzdem nichts gebracht. Immer wenn ich auf meinem PC den Befehl nslookup google.de 192.168.187.2 eingebe, kommt:

DNS request timed out.
timeout was 2 seconds.
Server: UnKnown
Address: 192.168.187.2

An der Firewall liegt es auch nicht, ich kann von meinem PC aus den Pi anpingen und vom Pi auch meinen PC.

Vielleicht hat jemand von euch eine Idee, woran das liegen könnte. Sonst gebe ich einfach auf.

Für alle, die vielleicht einmal das gleiche Problem haben wie ich, möchte ich kurz beschreiben, wie ich es gelöst habe.

Folgt der Anleitung unter: DNS | PiHole mit DoT+DNSSEC oder DoH. Danach startet den Raspberry Pi, alle Access Points und die Dream Machine neu.

Testet anschließend mit:

nslookup google.de <IP eures Raspberry Pi>

Falls dabei ein Timeout auftritt:
Das Problem trat bei mir immer wieder auf, und nach viel Lesen und Ausprobieren stellte sich heraus, dass es mit dem Content Filtering zusammenhängt.

Geht daher alle eure Netzwerke durch und setzt den Content Filter in jedem auf None. Danach startet ihr erneut alle Geräte neu.

Nun sollte der Befehl

nslookup google.de <IP eures Raspberry Pi>

korrekt funktionieren und kein Timeout mehr auftreten.

Das hat bei mir das Problem gelöst.