SERVFAIL-Meldungen im Unbound-log

update-freak · 07. Sep 2024

Hi zusammen,

mir ist aufgefallen, dass ich im log von Unbound diverse SERVFAIL-Meldungen habe.
Weiß jemand woran das liegt und ob ich aktiv werden muss?
(Unbound läuft in Kombination mit Adguard; docker compose weiter unter)
Hatte auch zuletzt öfter den Fall, dass im Netzwerk nichts mehr ging (DNS wurde nicht gefunden) und nur durch einen Synology Neustart das Problem behoben wurde (weiß jedoch nicht ob das mit dem hier zu tun hat)

Code:

Sep 06 05:00:28 unbound[7:0] info: start of service (unbound 1.21.0).
Sep 06 05:57:17 unbound[7:0] error: SERVFAIL <www.paypalobjects.com. A IN>: misc failure
Sep 06 06:20:51 unbound[7:0] error: SERVFAIL <i.pinimg.com. A IN>: all servers for this domain failed, at zone akapinimg.net. from 23.211.133.65 got REFUSED
Sep 06 07:05:14 unbound[7:0] error: SERVFAIL <216.58.202.4.in-addr.arpa. PTR IN>: misc failure
Sep 06 08:03:29 unbound[7:0] error: SERVFAIL <2.europe.pool.ntp.org. A IN>: exceeded the maximum nameserver nxdomains
Sep 06 15:23:03 unbound[7:0] error: SERVFAIL <deutsches-schulportal.de. HTTPS IN>: all servers for this domain failed, at zone deutsches-schulportal.de. upstream server timeout
Sep 06 22:11:20 unbound[7:0] error: SERVFAIL <i.pinimg.com. HTTPS IN>: all servers for this domain failed, at zone akapinimg.net. from 23.211.133.65 got REFUSED
Sep 06 22:11:20 unbound[7:1] error: SERVFAIL <i.pinimg.com. A IN>: all servers for this domain failed, at zone akapinimg.net. from 23.211.133.65 got REFUSED
Sep 06 22:11:20 unbound[7:1] error: SERVFAIL <i.pinimg.com. HTTPS IN>: all servers for this domain failed, at zone akapinimg.net. from 23.211.133.65 got REFUSED
Sep 06 22:11:30 unbound[7:1] error: SERVFAIL <i.pinimg.com. A IN>: all servers for this domain failed, at zone akapinimg.net. from 23.211.133.65 got REFUSED
Sep 07 03:50:45 unbound[7:0] error: SERVFAIL <i.pinimg.com. A IN>: all servers for this domain failed, at zone akapinimg.net. from 23.211.132.65 got REFUSED
Sep 07 08:10:45 unbound[7:0] error: SERVFAIL <i.pinimg.com. HTTPS IN>: exceeded the maximum nameserver nxdomains
Sep 07 10:06:54 unbound[7:0] error: SERVFAIL <v1.pinimg.com. A IN>: all servers for this domain failed, at zone akapinimg.net. from 23.211.132.65 got REFUSED

docker compose Unbound:

Code:

version: "3"
services:
  unbound:
    container_name: Unbound
    image: madnuttah/unbound:latest
    ports:
      - 5335:5335/tcp
      - 5335:5335/udp
    volumes:
      - /volume1/docker/unbound/unbound.conf:/usr/local/unbound/unbound.conf:rw
      - /volume1/docker/unbound/conf.d/:/usr/local/unbound/conf.d/:rw
      - /volume1/docker/unbound/iana.d/:/usr/local/unbound/iana.d/:rw
      - /volume1/docker/unbound/zones.d/:/usr/local/unbound/zones.d/:rw
    network_mode: host
    environment:
      - UNBOUND_UID=1026
      - UNBOUND_GID=100
      - TZ=Europe/Berlin
    restart: always
    healthcheck:
      test: /usr/local/unbound/sbin/healthcheck.sh
      interval: 60s
      retries: 5
      start_period: 15s
      timeout: 30s

Anzeige · 07. Sep 2024

Hallo update-freak,

Bücher und Hardware zum Thema gibt es bei Amazon: SERVFAIL-Meldungen im Unbound-log

mj084 · 07. Sep 2024

Ohne Infos zur Netzwerkconfig schwer nachzuvollziehen...

update-freak · 08. Sep 2024

Klar, stimmt. hier die Einstellungen dazu.

unbound.conf

Code:

include: "/usr/local/unbound/conf.d/*.conf"
include: "/usr/local/unbound/zones.d/*.conf"
 
server:
  module-config: "validator iterator"
  username: ""
  directory: "/usr/local/unbound"
  chroot: ""
  do-daemonize: no
  tls-cert-bundle: /etc/ssl/certs/ca-certificates.crt

access-control.conf

Code:

server:   
  access-control: 127.0.0.0/8 allow
  access-control: 192.168.0.0/16 allow
  access-control: 172.16.0.0/12 allow
  access-control: 10.0.0.0/8 allow
  access-control: 172.16.0.253 allow
  access-control: 0.0.0.0/0 allow
  access-control: fc00::/7 deny
  access-control: ::1/128 deny
  access-control: ::0/0 deny
  access-control: ::ffff:127.0.0.1 deny

interfaces.conf

Code:

server:   
  #interface: 127.0.0.1@53
  #interface: ::1@53
  interface: 0.0.0.0@5335
  #interface: ::0@5335
 
  #outgoing-interface: 0.0.0.0
 
  so-reuseport: yes
 
  do-ip4: yes
  do-ip6: no
  do-tcp: yes
  do-udp: yes
  udp-connect: yes
 
  prefer-ip4: yes
  prefer-ip6: no

logging.conf

Code:

server:   
  use-syslog: no
  log-time-ascii: yes
  logfile: ""
  log-local-actions: no
  log-queries: no
  log-replies: no
  log-servfail: yes
  val-log-level: 2
  verbosity: 1

performace.conf

Code:

server:   
  num-threads: 2
  num-queries-per-thread: 4096
  cache-max-ttl: 86400
  cache-min-ttl: 0
  edns-buffer-size: 1472
  rrset-roundrobin: yes
  neg-cache-size: 4M
  delay-close: 10000
  rrset-cache-size: 256m
  rrset-cache-slabs: 4
  ratelimit: 1000
  unwanted-reply-threshold: 10000
  infra-cache-slabs: 4
  infra-cache-numhosts: 100000
  msg-cache-size: 256m
  msg-cache-slabs: 4
  key-cache-size: 4m
  key-cache-slabs: 4
  prefetch: yes
  prefetch-key: yes
  serve-expired: yes
  max-udp-size: 4096
  msg-buffer-size: 65552
  stream-wait-size: 4m
  outgoing-range: 32768
  outgoing-port-permit: 32768

remote-control.conf

Code:

remote-control:
  control-enable: no
  control-use-cert: no

security.conf

Code:

server:   
  do-not-query-localhost: no
 
  unblock-lan-zones: no
  insecure-lan-zones: yes
 
  private-address: 10.0.0.0/8
  private-address: 172.16.0.0/12
  private-address: 192.168.0.0/16
  private-address: 169.254.0.0/16
  private-address: fd00::/8
  private-address: fe80::/10
  private-address: ::ffff:0:0/96
 
  hide-identity: yes
  identity: "server"
  hide-version: yes
  version: ""   
  aggressive-nsec: yes
  qname-minimisation: yes
  qname-minimisation-strict: no   
  disable-dnssec-lame-check: no
  hide-trustanchor: yes
  harden-algo-downgrade: yes
  harden-below-nxdomain: yes
  harden-dnssec-stripped: yes
  harden-glue: yes
  harden-large-queries: yes
  harden-referral-path: yes
  harden-short-bufsize: yes
  minimal-responses: yes
  deny-any: yes
  use-caps-for-id: yes
  val-clean-additional: yes
  val-max-restart: 5
  root-key-sentinel: yes
  zonemd-permissive-mode: no

trust-anchor.conf

Code:

server:   
  auto-trust-anchor-file: ""
  trust-anchor-signaling: no

auth-zone.conf

Code:

auth-zone:
  name: "."
  primary: 198.41.0.4 # a.root-servers.net
  primary: 170.247.170.2 # b.root-servers.net
  primary: 192.33.4.12 # c.root-servers.net
  primary: 199.7.91.13 # d.root-servers.net
  primary: 192.203.230.10 # e.root-servers.net
  primary: 192.5.5.241 # f.root-servers.net
  primary: 192.112.36.4 # g.root-servers.net
  primary: 198.97.190.53 # h.root-servers.net
  primary: 192.36.148.17 # i.root-servers.net
  primary: 192.58.128.30 # j.root-servers.net 
  primary: 193.0.14.129 # k.root-servers.net
  primary: 199.7.83.42 # l.root-servers.net
  primary: 202.12.27.33 # m.root-servers.net
  primary: 2001:503:ba3e::2:30 # a.root-servers.net
  primary: 2801:1b8:10::b # b.root-servers.net
  primary: 2001:500:2::c # c.root-servers.net
  primary: 2001:500:2d::d # d.root-servers.net
  primary: 2001:500:a8::e # e.root-servers.net
  primary: 2001:500:2f::f # f.root-servers.net
  primary: 2001:500:12::d0d # g.root-servers.net
  primary: 2001:500:1::53 # h.root-servers.net
  primary: 2001:7fe::53 # i.root-servers.net
  primary: 2001:503:c27::2:30 # j.root-servers.net
  primary: 2001:7fd::1 # k.root-servers.net
  primary: 2001:500:9f::42 # l.root-servers.net
  primary: 2001:dc3::35 # m.root-servers.net
  url: "https://www.internic.net/domain/root.zone"
  fallback-enabled: yes
  for-downstream: no
  for-upstream: yes
  zonemd-check: no
  zonemd-reject-absence: no
  zonefile: "/usr/local/unbound/iana.d/root.zone"

in Adguard Home ist folgendes einstellt:
Upstream-DNS-Server:

Code:

# Unbound
127.0.0.1:5335
# Fritz!Box
[/178.168.192.in-addr.arpa/]192.168.178.1
[/fritz.box/]192.168.178.1

Private inverse DNS-Server

Code:

# Unbound
127.0.0.1:5335

mj084 · 08. Sep 2024

Was ist in der FritzBox selbst bei den beiden DNS-Server Einträgen (Internetzugang und Heimnetz) eingestellt?

Meine "trust-anchor.conf" schaut so aus:

Code:

server:
  auto-trust-anchor-file: "/usr/local/unbound/iana.d/root.key"
  trust-anchor-signaling: yes

Den privaten inverse DNS-Server kannst du rausnehmen, da der Eintrag mit Unbound selbst nix bringt

Für korrekte DNS-Namen der Clients, müsste hier die IP der FritzBox rein, aber das ballert nur das Adguard Log mit Fehlern voll:

https://www.synology-forum.de/threa...-erweiterte-konfiguration.132761/post-1181869

--> ich habe den Clients feste IPs via DHCP vergeben (Achtung bei iOS und Android --> random MAC) und dann die Zuordnung in AdGuard händisch angepasst - macht man ja quasi nur einmal...

update-freak · 08. Sep 2024

dank dir

Also bei der Fritzbox ist folgendes eingetragen:

Internet -> Zugangsdaten -> DNS-Server -> DNSv4-Server: Andere DNSv4-Server verwenden -> Bevorzugter DNSv4-Server: IP vom NAS
Internet -> Zugangsdaten -> DNS-Server -> DNSv4-Server: Andere DNSv4-Server verwenden -> Alternativer DNSv4-Server: IP vom NAS
Heimnetz -> Netzwerk -> Netzwerkeinstellungen -> weitere Einstellungen -> IPv4 Adressen -> Lokaler DNS-Server: IP vom NAS

Danke, dann nehme ich den EIntrag vom interse DNS-Server mal raus und passe trust-anchor.conf wie bei dir an.