Hilfe bei Unbound und AdGuard

[pio007]

Moin,

seit Tagen versuche ich folgendes Problem zu lösen und komme einfach nicht weiter. ich hoffe hier kann mir jemand auf die Sprünge helfen! Das wäre ein Traum!

Folgendes Problem

AdGuard auf einem Pi 4B installiert, klappt alles. Im Router eingetragen als primärer DNS --> geht einwandfrei.

nun möchte ich auch Unbound nutzen.

Nach Anleitung vorgegangen (https://docs.pi-hole.net/guides/dns/unbound/)

Die einzelnen Test (dig pi-hole.net @127.0.0.1 -p 5335) usw. laufen alle durch ohne Fehler.

Jetzt im Adguard die 127.0.0.1: 5335 eingetragen und ich komme nicht mehr ins Internet...

Warum? Hab schon zig andere Anleitung mir angeschaut (sind alle gleich), bei mir klappt nicht...

Kann jemand helfen? Das wäre mega.

Danke und Gruß Marc

[Hendri]

Hallo und willkommen im debianforum!

Also eigentlich sieht alles auf den ersten Blick mal soweit ok aus, aber der "Teufel" steckt ja bekanntlich im Detail!
Deswegen bitte ein paar Details auf NoPaste zeigen...

1) AdGuardHome.yaml
2) unbound.conf oder unbound.conf.d/*
3) /etc/resolv.conf
4) netstat -tulpen

Damit ist eine Analyse ansatzweise möglich...

[pio007]

Moin, danke für die Reaktion.

hier meine Dateien:
Adguardhome.yaml 41619
unbound.conf. 41620

/etc/resolv.conf
# Generated by resolvconf
nameserver 127.0.0.1

Komisch ist, das nach der Installation von Unbound ich den namnesserver nicht mehr finde und z.B. Paket nicht mehr installieren kann. erst wenn ich die resolve.conf ändere in: nameserver in meine IP des Gateways, gehts wieder... ??? Nach Neustart Unbound ist allerdings wieder der alte Eintrag enthalten.

Aktive Internetverbindungen (Nur Server)
Proto Recv-Q Send-Q Local Address Foreign Address State Benutzer Inode PID/Program name
tcp 0 0 0.0.0.0:9000 0.0.0.0:* LISTEN 0 18407 3040/docker-proxy
tcp 0 0 0.0.0.0:8000 0.0.0.0:* LISTEN 0 19258 3060/docker-proxy
tcp 0 0 127.0.0.1:8953 0.0.0.0:* LISTEN 0 36643 10329/unbound
tcp 0 0 127.0.0.1:5335 0.0.0.0:* LISTEN 0 36642 10329/unbound
tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN 0 13234 572/sshd: /usr/sbin
tcp6 0 0 :::9000 :::* LISTEN 0 20763 3047/docker-proxy
tcp6 0 0 :::8000 :::* LISTEN 0 19263 3068/docker-proxy
tcp6 0 0 :::22 :::* LISTEN 0 13236 572/sshd: /usr/sbin
udp 0 0 127.0.0.1:5335 0.0.0.0:* 0 36641 10329/unbound
udp 0 0 0.0.0.0:5353 0.0.0.0:* 108 9623 402/avahi-daemon: r
udp 0 0 0.0.0.0:46432 0.0.0.0:* 108 9625 402/avahi-daemon: r
udp 0 0 0.0.0.0:68 0.0.0.0:* 0 9877 628/dhcpcd
udp6 0 0 :::5353 :::* 108 9624 402/avahi-daemon: r
udp6 0 0 :::40708 :::* 108 9626 402/avahi-daemon: r


Bin echt gespannt, wo da der Dreher ist....

Vielen Dank und Gruß Marc

[Hendri]

Also, wie ich Dein Setup verstanden habe:

Pi:
Client -> Port 53 adguard -> Port 5335 unbound -> DNS Hierarchie

Ich sehe in dem netstat output zwar port 8000 und 9000 von adguard via docker-proxy offen, aber nicht die DNS Ports 53 (UDP/TCP)!

Code: Alles auswählen

tcp        0      0 0.0.0.0:53              0.0.0.0:*               LISTEN      0          81760764   1078962/docker-prox 
udp        0      0 0.0.0.0:53              0.0.0.0:*                           0          81760208   1078976/docker-prox 

Ist die IP 192.168.101.120 am Pi wirklich konfiguriert, so wie es in der adguard Config steht?

Die resolv.conf wird vom Paket resolvconf bei jedem Reboot neu geschrieben, was man nicht zwingend will/braucht auf einem Server...

[pio007]

Der Adguard hat im Docker eine feste IP per MacVLAN bekommen. Also Zugriff ohne Ports.
Unbound dann nach Anleitung mit Port 5335.
Hab das aber auch schon mit Ports und Adguard probiert, ist das gleiche Problem...

[Hendri]

Dir fehlen aber definitiv die DNS Ports 53 (UDP/TCP) vom adguard!
Um ein Resolver zu sein fuer Dein Netzwerk, muessen die offen und erreichbar sein!

Um genau zu sein, diese beiden docker-proxy prezesse fehlen Dir:

Code: Alles auswählen

root     1078962 1078743  0 Mar23 ?        00:00:00 /usr/bin/docker-proxy -proto tcp -host-ip 0.0.0.0 -host-port 53 -container-ip 192.168.101.120 -container-port 53
root     1078976 1078743  0 Mar23 ?        00:03:27 /usr/bin/docker-proxy -proto udp -host-ip 0.0.0.0 -host-port 53 -container-ip 192.168.101.120 -container-port 53

[pio007]

So,
alles nochmal neu aufgesetzt, per Compose mit allen Ports (ohne MacVLAN):

version: "2"
services:
adguardhome:
image: adguard/adguardhome
container_name: adguardhome
ports:
- 53:53/tcp
- 53:53/udp
- 784:784/udp
- 853:853/tcp
- 3000:3000/tcp
- 80:80/tcp
- 443:443/tcp
volumes:
- ./etc/marc/adguard/work
- ./etc/marc/adguard/config
restart: unless-stopped

Adguard geht.

Nach Unbound aber trotzdem gleiches Spiel: keine Verbindung...
netstat -tulpen:
Aktive Internetverbindungen (Nur Server)
Proto Recv-Q Send-Q Local Address Foreign Address State Benutzer Inode PID/Program name
tcp 0 0 127.0.0.1:5335 0.0.0.0:* LISTEN 0 210627 22910/unbound
tcp 0 0 0.0.0.0:853 0.0.0.0:* LISTEN 0 194800 21238/docker-proxy
tcp 0 0 0.0.0.0:8000 0.0.0.0:* LISTEN 0 130469 16958/docker-proxy
tcp 0 0 0.0.0.0:9000 0.0.0.0:* LISTEN 0 130458 16937/docker-proxy
tcp 0 0 0.0.0.0:3000 0.0.0.0:* LISTEN 0 194781 21216/docker-proxy
tcp 0 0 127.0.0.1:8953 0.0.0.0:* LISTEN 0 210628 22910/unbound
tcp 0 0 0.0.0.0:80 0.0.0.0:* LISTEN 0 195606 21303/docker-proxy
tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN 0 13578 551/sshd: /usr/sbin
tcp 0 0 0.0.0.0:53 0.0.0.0:* LISTEN 0 194111 21324/docker-proxy
tcp 0 0 0.0.0.0:443 0.0.0.0:* LISTEN 0 192315 21280/docker-proxy
udp 0 0 0.0.0.0:4500 0.0.0.0:* 0 120662 14349/charon
udp 0 0 0.0.0.0:500 0.0.0.0:* 0 120661 14349/charon
udp 0 0 0.0.0.0:784 0.0.0.0:* 0 191484 21260/docker-proxy
udp 0 0 0.0.0.0:41876 0.0.0.0:* 108 13493 393/avahi-daemon: r
udp 0 0 0.0.0.0:53 0.0.0.0:* 0 194146 21345/docker-proxy
udp 0 0 0.0.0.0:68 0.0.0.0:* 0 11943 691/dhcpcd
udp 0 0 127.0.0.1:5335 0.0.0.0:* 0 210626 22910/unbound
udp 0 0 0.0.0.0:5353 0.0.0.0:* 108 13491 393/avahi-daemon: r

Im Container schreibt er mir:
2022/03/27 20:46:21.522128 [info] Creating the UDP server socket
2022/03/27 20:46:21.522380 [info] Listening to udp://172.18.0.2:53
2022/03/27 20:46:21.522396 [info] Creating a TCP server socket
2022/03/27 20:46:21.522490 [info] Listening to tcp://172.18.0.2:53
2022/03/27 20:46:21.522655 [info] Entering the UDP listener loop on 172.18.0.2:53
2022/03/27 20:46:21.522747 [info] Entering the tcp listener loop on 172.18.0.2:53
2022/03/27 20:46:22.284107 [info] upstream "127.0.0.1:5335" fails to exchange: couldn't communicate with upstream: read udp 127.0.0.1:40162->127.0.0.1:5335: read: connection refused

Wo soll ich denn die fehlenden beiden docker-proxy prezesse einfügen/sehen?

Ich steig nicht durch!

[Hendri]

Nun hast Du ja die beiden Ports als Listener offen!

Code: Alles auswählen

tcp 0 0 0.0.0.0:53 0.0.0.0:* LISTEN 0 194111 21324/docker-proxy
udp 0 0 0.0.0.0:53 0.0.0.0:* 0 194146 21345/docker-proxy

Bekommst Du Antworten von den beiden DNS Servern?
Was bekommst Du bei:

Code: Alles auswählen

dig debianforum.de @127.0.0.1 -p 5335

und bei

Code: Alles auswählen

dig debianforum.de @127.0.0.1

[Hendri]

Auch noch zu erwaehnen ist, wenn Du Adguard im Docker einsperrst, bekommst Du einen eigenen Netzwerk Namespace!

Code: Alles auswählen

#> lsns -t net
        NS TYPE NPROCS     PID USER    NETNSID NSFS                           COMMAND
4026531992 net     134       1 root unassigned                                /lib/systemd/systemd --system --deserialize 22
4026532425 net       1 1079013 root          0 /run/docker/netns/60eab7f1aae2 /opt/adguardhome/AdGuardHome

Somit ist innerhalb vom docker Container lo 127.0.0.1 ein anderes Interface, als das ausserhalb!
Deswegen ist die IP vom wirklichen Ethernet Interface (LAN) oder vom docker0 Interface zu benutzen, wenn man von innerhalb eines docker Containers auf das Host System zugreifen will...

[pio007]

Hi,
erst jetzt dazu gekommen weiterzumachen.

Wie finde ich dann die korrekte Adresse raus, welche ich dann in Adguard eintragen muß?????+

Danke und Gruß Marc

[Hendri]

Hi,

ein beherztes

Code: Alles auswählen

ip a

zeigt Dir alle IP Adressen vom Host System an:

Code: Alles auswählen

1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
2: enp0s25: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc fq_codel state UP group default qlen 1000
    link/ether d0:bf:9c:e2:05:a5 brd ff:ff:ff:ff:ff:ff
    inet 192.168.10.5/24 brd 192.168.1.255 scope global dynamic noprefixroute enp0s25
       valid_lft 23623sec preferred_lft 23623sec
    inet6 fe80::d2bf:9cff:fee2:5a5/64 scope link noprefixroute 
       valid_lft forever preferred_lft forever
3: wlo1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc mq state UP group default qlen 1000
    link/ether d8:fc:93:20:a5:c1 brd ff:ff:ff:ff:ff:ff
    inet 10.15.8.5/24 brd 10.10.8.255 scope global noprefixroute wlo1
       valid_lft forever preferred_lft forever
4: docker0: <NO-CARRIER,BROADCAST,MULTICAST,UP> mtu 1500 qdisc noqueue state DOWN group default 
    link/ether 02:42:b1:1f:4a:0d brd ff:ff:ff:ff:ff:ff
    inet 172.17.0.1/16 brd 172.17.255.255 scope global docker0
       valid_lft forever preferred_lft forever
5: virbr0: <NO-CARRIER,BROADCAST,MULTICAST,UP> mtu 1500 qdisc noqueue state DOWN group default qlen 1000
    link/ether 52:54:00:01:59:7f brd ff:ff:ff:ff:ff:ff
    inet 192.168.122.1/24 brd 192.168.122.255 scope global virbr0
       valid_lft forever preferred_lft forever

Und die IP Adressen die sich anbieten ist von docker0, oder Dein Ethernet Device (Name kann/wird abweichen) enp0s25...