AdGuard mit Unbound

[CoMo]

Die root.hints benötigst du sowieso. Die wird automatisch aktualisiert. Darin stehen die Adressen der Root-Server. Ohne die kannst du nicht rekursiv auflösen.

Hyperlocal ergänzt das ganze noch darum, dass du die Root-Zone auf deinen Unbound kopierst. Damit wirst du quasi selbst zum Root-Server.

Das habe ich ja oben auch bereits verlinkt: https://www.heise.de/news/Hyperlocal-Wenn-die-DNS-Root-Zone-zu-Hause-steht-4215364.html

Ob das geklappt hat, siehst du in der Datei /var/etc/unbound/root.zone.

 

[Bannister0946]

eine Datei root.zone existiert bei mir aktuell noch nicht.
wird die erst angelegt, wenn ich deinen code part in die unbound.conf packe?

auth-zone:
name: "."
master: "b.root-servers.net"
master: "c.root-servers.net"
master: "d.root-servers.net"
master: "f.root-servers.net"
master: "g.root-servers.net"
master: "k.root-servers.net"
url: https://www.internic.net/domain/root.zone
fallback-enabled: yes
for-downstream: no
for-upstream: yes
zonefile: "/var/etc/unbound/root.zone"

 

[CoMo]

Ja, im Moment löst du alles rekursiv über die Root-Server auf (und cachest die Antworten).

Mit der Hyperlocal-Konfiguration landet die komplette Root-Zone auf deinem Unbound.

 

[Bannister0946]

wenn ich den Link aufrufe: https://www.internic.net/domain/root.zone
Werden hier root servers a-m aufgelistet.
Bei dir in der konfig sind "nur" b,c,d,g,f,k als master definiert.
Wieso?

 

[CoMo]

Weil es so im RFC steht.

 

[Bannister0946]

magst du mir zeigen wo?
ich kann es unter https://www.rfc-editor.org/rfc/rfc8806.html nicht finden

 

[CoMo]

Kannst du nicht?

https://www.rfc-editor.org/rfc/rfc8806.html#name-example-configuration-unboun

 

[Bannister0946]

achso, nein so meinte ich das nicht
Den Part habe ich gefunden. Aber ich finde hier nicht die Erklärung "warum" ich es so machen muss?

 

[CoMo]

Steht ebenfalls in dem Dokument.

https://www.rfc-editor.org/rfc/rfc8806.html#sources

Das sind die Root-Server, die den Bezug der Root-Zone erlauben. Du kannst die anderen gerne auch eintragen, wirst aber nie eine Antwort erhalten.

 

[Bannister0946]

ahhh perfekt!
Danke!

ABER:
habe es in meine unbound.conf eingetragen (so wie du), es wird mir aber keine root.zone angelegt

Ergänzung (6. Oktober 2023)

hat sich erledigt! War ein permission Problem!
Wie kann ich denn jetzt am einfachsten testen, welchen weg unbound geht, wenn ich eine domain aufrufe?

 

[CoMo]

Indem du das Log-File und die Verbosity konfigurierst und watch auf das Log-File machst.

Am besten mal reinlesen in die Optionen: https://unbound.docs.nlnetlabs.nl/en/latest/manpages/unbound.conf.html

 

[Bannister0946]

also ich habe gerade das Problem, das ich nur noch internetseiten, welche im cache von unbound sind aufrufen kann.

Bei neuen Seiten kommt nix.

nxlookup obi.de liefert:

** server can't find obi.de: SERVFAIL

 

[CoMo]

Auch da wird dir das Log-File weiterhelfen. Was steht denn drin?

 

[Bannister0946]

habe das log file mal geleert und dann den container neu gestartet.
nun stehen massig viele info und debug Meldungen.
Aber keine error Meldungen. Auch wenn ich nun mit meinem Client versuche obi.de aufzurufen, wird nichts geloggt.

 

[CoMo]

Dann musst du die Verbosity hochdrehen. Du musst dich schon mal ein bisschen einlesen, ich kann dir ja nicht alles vorkauen.

Kann natürlich auch irgendwas mit dem Docker Networking zu tun haben. Ich verwende kein Docker.

 

[Bannister0946]

habe das Level auf 5 stehen

Ergänzung (6. Oktober 2023)

Mein Fehler. hatte einen Tippfehler beim unbound port :/

 

[Bannister0946]

ganz vergessen vor Aufregung!
Danke für deine Unterstützung

Ergänzung (6. Oktober 2023)

@CoMo
Damit es nicht langweilig wird

Habe das in meinen Logs drin stehen:

warning: subnetcache: serve-expired is set but not working for data originating from the subnet module cache.
warning: subnetcache: prefetch is set but not working for data originating from the subnet module cache.

scheint nix schlimmes zu sein, da nur "warning". aber hast du auf anhieb eine Idee, was das sein kann?

 

[CoMo]

Genau das, was da steht. Du hast serve-expired und prefetch gesetzt und das funktioniert nicht mit Daten, die aus dem subnetcache Modul kommen.

Das ist normal und völlig korrekt so.

 

[Bannister0946]

okay, also darf ich das gekonnt ignorieren

 

[DFFVB]

HAllo zusammen, will keienn neuen Thread aufmachen, und @CoMo scheint Ahnung zu haben, ich hatte kürzlich auhc überlegt unbound aufzusetzen, eher wneiger, wegen privacy issues, sondern aus performacne gründen, allerdings meint ekürzlich ein Kumpel, dass die meisten Domains eine sehr kurze Time To Live mitgeben würden, so dass das Caching de facto ausgehebelt würde. Seht ihr das auch so?