Umzug von Fritzbox zu USG - DNS auflösung mit Unbound geht nicht mehr

Es gibt 103 Antworten in diesem Thema, welches 21.462 mal aufgerufen wurde. Der letzte Beitrag () ist von xinput.

    Hallo, ich habe die Fritzbox als Router ausgetauscht mit einer USG und die Fritzbox als reines Modem konfiguriert. Die USG baut im WAN mittels PPPoE eine Internetverbindung auf und hat keinen DNS-Server eingetragen.


    Im Moment habe ich nur ein LAN konfiguriert. DHCP macht die USG und "DHCP-Namensgeber" ist auf manuell gestellt und die IP-Adresse meines Pi-Hole eingetragen. Das Pi-hole läuft in einem LXC-Container und dort ist auch gleichzeitig Unbound installiert. im Pi-Hole ist als Upstream DNS "127.0.0.1#5335" eingetragen.


    So funktioniert Unbound aber nicht. Trage ich im Pi-Hole z.B. Google ein, wird DNS aufgelöst. Teste ich Unbound direkt mit z.B. dig pi-hole.net @127.0.0.1 -p 5335 bekomme ich: "connection timed out; no servers could be reached". Im Status sehe ich das Unbound läuft und in den Logs steht auch nichts drin.


    Ich vermute die USG blockt irgendwas, ich finde aber nichts heraus was und wo.


    Kann mir bitte jemand helfen.

  • Zum Hilfreichsten Beitrag springen

    So ganz habe ich Dein Beitrag nicht verstanden. Mag daran liegen, dass ich mich mit Pi-Hole nicht beschäftigt habe. Ich hätte gesagt bzw. nach dem was ich irgendwann über Pi-Hole gelesen habe, läuft die auf Port 53 und nicht auf irgendetwas, was sonst niemand kennt/ nutzt

    Am Ende der kette muss die Pi-Hole natürlich auch noch einen/ mehrere DNS Server kennen die sie für Namensauflösung befragt.

    Zitat von RobiWan

    So ganz habe ich Dein Beitrag nicht verstanden. Mag daran liegen, dass ich mich mit Pi-Hole nicht beschäftigt habe. Ich hätte gesagt bzw. nach dem was ich irgendwann über Pi-Hole gelesen habe, läuft die auf Port 53 und nicht auf irgendetwas, was sonst niemand kennt/ nutzt

    Am Ende der kette muss die Pi-Hole natürlich auch noch einen/ mehrere DNS Server kennen die sie für Namensauflösung befragt.

    Richtig, die "Richtige Namensauflösung" soll ja Unbound machen. Der fragt ja selber die root-Server bzw tld-Server an. Und eben genau das geht nicht.

    Zitat von Hoktar

    ....

    Im Moment habe ich nur ein LAN konfiguriert. DHCP macht die USG und "DHCP-Namensgeber" ist auf manuell gestellt und die IP-Adresse meines Pi-Hole eingetragen. Das Pi-hole läuft in einem LXC-Container und dort ist auch gleichzeitig Unbound installiert. im Pi-Hole ist als Upstream DNS "127.0.0.1#5335" eingetragen.


    So funktioniert Unbound aber nicht. Trage ich im Pi-Hole z.B. Google ein, wird DNS aufgelöst. Teste ich Unbound direkt mit z.B. dig pi-hole.net @127.0.0.1 -p 5335 bekomme ich: "connection timed out; no servers could be reached". Im Status sehe ich das Unbound läuft und in den Logs steht auch nichts drin.

    Ds ist soweit richtig, Unbound lauscht auf Port 5335.

    Die Konfig vom Unbound hast du sicherlich ( hoffentlich ) aus der PiHole Doku genommen :smiling_face:


    Was sagt dein das /var/log/pihole.log wenn du vom PC aus einen nslookup auf google.de machst, das sollte dann ja ein


    forwarded google.de to 127.0.0.1


    erscheinen, nur zur Kontrolle das die Konfig stimmt.

    Antwort vom PC aus:

    Standardserver: pi.hole

    Address: 192.168.2.12 (ist die Adresse vom Pi-Hole lxc)


    > google.de

    Server: pi.hole

    Address: 192.168.2.12


    DNS request timed out.

    timeout was 2 seconds.

    DNS request timed out.

    timeout was 2 seconds.

    DNS request timed out.

    timeout was 2 seconds.

    DNS request timed out.

    timeout was 2 seconds.

    *** Zeitüberschreitung bei Anforderung an pi.hole.


    Im Log:



    Nov 6 17:40:06 dnsmasq[13629]: query[PTR] 100.2.168.192.in-addr.arpa from 127.0.0.1

    Nov 6 17:40:06 dnsmasq[13629]: forwarded 100.2.168.192.in-addr.arpa to 192.168.2.1

    Nov 6 17:40:06 dnsmasq[13629]: reply 192.168.2.100 is Samsung.localdomain

    Nov 6 17:40:06 dnsmasq[13629]: query[PTR] 159.2.168.192.in-addr.arpa from 127.0.0.1

    Nov 6 17:40:06 dnsmasq[13629]: forwarded 159.2.168.192.in-addr.arpa to 192.168.2.1

    Nov 6 17:40:06 dnsmasq[13629]: reply 159.2.168.192.in-addr.arpa is NXDOMAIN

    Nov 6 17:40:06 dnsmasq[13629]: query[PTR] 156.2.168.192.in-addr.arpa from 127.0.0.1

    Nov 6 17:40:06 dnsmasq[13629]: forwarded 156.2.168.192.in-addr.arpa to 192.168.2.1

    Nov 6 17:40:06 dnsmasq[13629]: reply 156.2.168.192.in-addr.arpa is NXDOMAIN

    Nov 6 17:40:06 dnsmasq[13629]: query[PTR] 102.2.168.192.in-addr.arpa from 127.0.0.1

    Nov 6 17:40:06 dnsmasq[13629]: forwarded 102.2.168.192.in-addr.arpa to 192.168.2.1



    Musste dann halt wieder umstellen im Pi-Hole auf einen anderen DNS, sonst killt mich die Familie.

    Zitat von Hoktar

    Musste dann halt wieder umstellen im Pi-Hole auf einen anderen DNS, sonst killt mich die Familie.

    na ja was verstehst Du unter "auf einen anderen DNS"?

    Die Pi-Hole muss in der Konfig selbst einen öffentlichen DNS Server haben, sonst kann halt das ganz nicht funktionieren.


    Also "PC schickt anfrage" "wie ist die IP von http://www.debian.org". Diese Anfrage geht an den manuell oder per DHCP übermittelten DNS Server (wird in Deinem Fall 192.168..2.12:53 sein). jetzt schaut der PI-Hole Teil in der interner Konfig nach "gehört http://www.debian.org zu irgendwelchen gesperrten Domains JA/NEIN". Wenn nein, dann wird diese Anfrage an einen "Forwarder" weitergeleitet.


    Anhand dessen was so Du aus dem Log gepostet hast, wäre meine Vermutung, dass der DNS Teil bei Dir nicht läuft oder komplett falsch konfiguriert ist, und damit die Anfragen mit einem Time-Out enden.

    Funktioniert Intern die Namensauflösung oder auch nicht?

    Zitat von Hoktar

    Musste dann halt wieder umstellen im Pi-Hole auf einen anderen DNS, sonst killt mich die Familie.

    Ist aus der Ferne recht schwer einzugrenzen.


    Ich habe die Vermutung, das dein PiHole nicht funktioniert.


    Hast du dem zufällig beim Umbau des Netzes eine neue IP gegeben ?


    Mein Rat, mache mal bei PiHole eine Neukonfiguration mit "pihole -r"


    Dann prüfe mal die Setting in der GUI danach, meine sehe so aus ( ich hoffe man kanns noch lesen, die DOmain hab ich absichtlich geschwärzt )

    Zitat von RobiWan

    Anhand dessen was so Du aus dem Log gepostet hast, wäre meine Vermutung, dass der DNS Teil bei Dir nicht läuft oder komplett falsch konfiguriert ist, und damit die Anfragen mit einem Time-Out enden.

    Funktioniert Intern die Namensauflösung oder auch nicht?

    Das vermute ich ja auch, ich weiß aber nicht was. Es hat ja vorher funktioniert. Die Auflösung der IP-Adressen soll ja Unbound machen. Der brauch ja keinen weiteren DNS-Server.

    Zitat von Tuxtom007

    Ich habe die Vermutung, das dein PiHole nicht funktioniert.

    Das PiHole läuft und funktioniert auch.


    Wenn ich mit "dig pi-hole.net @127.0.0.1 -p 5335" Unbound direkt ohne Pihole teste bekomme ich ja schon keine Ergebniss und lauft in ein Timeout.


    Code
    root@Pi-Hole:~# dig google.com @127.0.0.1 -p 5335

; <<>> DiG 9.11.5-P4-5.1+deb10u6-Debian <<>> google.com @127.0.0.1 -p 5335
;; global options: +cmd
;; connection timed out; no servers could be reached

    Habe gestern mal Unbound neu Installiert, habe daraufhin EIN mal eine Antwort bekomme, diese hat aber 500ms gedauert.

    Zitat von Hoktar

    Der brauch ja keinen weiteren DNS-Server.

    Und wie soll es dann funktionieren?


    Zitat von Hoktar

    no servers could be reached

    Ist zumindest 1 von deinen Problemen.

    Zitat von Hoktar

    Es hat ja vorher funktioniert

    Das ist ja auch gut möglich. Nur etwas hast Du verändert und entweder weißt Du nicht was oder weißt nicht wie Du es gerade biegen kannst, sonst wurde es doch weiter funktionieren.

    Zitat von Hoktar

    Wenn ich mit "dig pi-hole.net @127.0.0.1 -p 5335" Unbound direkt ohne Pihole teste bekomme ich ja schon keine Ergebniss und lauft in ein Timeout.

    mache mal bitte ein

    systemctl status unbound

    und zeigt mal was der rauswirft


    und zeig mal bitte den Inhalt von


    /etc/unbound/unbound.conf.d/


    und den Inhalt von


    /var/lib/unbound/root.hints

    Zitat von Tuxtom007

    mache mal bitte ein

    systemctl status unbound


    Ich vermute da liegt deine Problem:


    Nov 07 09:43:38 Pi-Hole package-helper[193]: fail: the anchor is NOT ok and coul


    Mein Tip: deinstallieren unbound mal komplett, löschen alle Überbleibsel ggf. manuel und installiere den dann neu

    Habe jetzt einen komplett neue Container aufgesetzt. Pihole und unbound installiert. Pihole alleine geht mit 8.8.8.8, aber sobald ich Unbound (127.0.0.1#5335) eintrage ist ende. Es scheint in der Netztwerkkonfiguration was nicht zustimmen.

    ich hatte das gleich Problem wie du. Server konnte von Unbound nicht gefunden werden. ich habe auch keine Lösung dafür gefunden gehabt. ich denke, deine Vermutung, dass das USG irgendwas blockt, trifft zu. Mir fällt grad ein, hast du Threat Management aktiviert? Evtl. das mal ausschalten? das hatte ich nicht gemacht, fällt mir grad ein.

    Zitat von Ronniequiti

    ich hatte das gleich Problem wie du. Server konnte von Unbound nicht gefunden werden. ich habe auch keine Lösung dafür gefunden gehabt. ich denke, deine Vermutung, dass das USG irgendwas blockt, trifft zu. Mir fällt grad ein, hast du Threat Management aktiviert? Evtl. das mal ausschalten? das hatte ich nicht gemacht, fällt mir grad ein.

    Das Thread Management ist bei mir nicht aktiv. Daran liegt es schon mal nicht.

    Was hast du denn noch alles versucht, damit ich nicht alles doppelt versuchen muss.

    Im großen und ganzen ist in der Usg die default Konfiguration drin. Habe nur ein paar portweiterleitungen konfiguriert, die WAN und eine LAN Schnittstelle eingerichtet.

    Nur der Interessehalber: Warum nimmst du eine IP Adresse aus dem öffentlichen Raum?


    Ich habe den PiHole und Unbound zwar nicht im Docker (macht mir zuviel Arbeit, wenn Updates anstehen), wohl aber auf einer VM auf meinem Synology am Laufen.


    Habe da keine Probleme.

    Gruß, Carsten


    ---------------

    Genau da ist dein Problem, das ist nicht gut. Die USG blockt da nichts, ich nutze das in der gleichen Weise wie Du.


    Die 3 Files sollten im Ordner /etc/unbound/unbound.conf.d/ sein:


    pi-hole.conf

    qname-minimisation.conf

    root-auto-trust-anchor-file.conf


    Da wäre die letzte Interessant.