Syn dns fehler

paine

Benutzer
Mitglied seit
17. Okt 2018
Beiträge
56
Punkte für Reaktionen
4
Punkte
8
Hallo,

Ich habe auf meiner syn pihole und unbound im docker laufen.

Hab meine syn dns dazwischen. Reihenfolge:

Fritzbox Netzwerk (DHCP) DNS zu pihole zu syndns zu unbound.

In der syn dns habe ich als master Zone 'lan' eingetragen mit IP meiner Synology. (Da ich nur intern meine Geräte auflösen mag)

Für den Pihole habe ich dann ein A Eintrag zu 'pihole.lan' erstellt.

Wenn ich nun am PC im Browser pihole.lan eingebe lande ich bei Google...

Nslookup (Server mein pihole) Anfrage auf 'pihole.lan' ist timeout..
Wenn ich heise.de teste geht's es.

Ich verstehe nicht warum auf dem Weg der Abfrage an Fritzbox -> Pihole -> syndns -> unbound

Die syndns nicht 'pihole.lan' öffnen kann, der A Eintrag ist in der "LAN" Zone drin zur richtigen IP des piholes.


Wo ist der Fehler?
 
Zuletzt bearbeitet:

EDvonSchleck

Gesperrt
Mitglied seit
06. Mrz 2018
Beiträge
4.703
Punkte für Reaktionen
1.120
Punkte
214
Wie schon in den anderen Thread, warum machst du es so kompliziert? Was ist der Grund dahinter?
 

paine

Benutzer
Mitglied seit
17. Okt 2018
Beiträge
56
Punkte für Reaktionen
4
Punkte
8
Weil ich es so für mich sauber hab.
Pihole als reiner Werbe Filter.
Syndns für interne Auflösungen
Unbound für alle anderen anfragen die nicht intern sind
 

EDvonSchleck

Gesperrt
Mitglied seit
06. Mrz 2018
Beiträge
4.703
Punkte für Reaktionen
1.120
Punkte
214
Das ist doch totaler Blödsinn. Alle 3 Container arbeiten normal mit dem Port 53. Bei Unbound kannst du es mit einer Bridge oder in der Config auf einen anderen mappen. Trotzdem arbeitet der Synology-DNS-Server und der Pi-Hole über den Port 53. Somit eröffnest du eine Baustelle, wo es kein durchkommen gibt. Alternative wäre, wenn du MacVlan benutzt, hast denn aber wieder andere Probleme.

Ich selbst nutze Adguard home (für mich das besser Pi-Hole) zusammen mit Unbound. Interne (Sub)Domain löse ich direkt als Umschreibung in AdGuard. Anschließend muss man nur noch einen Reverse-Proxy-Eintrag auf den Dockerport machen. Fertig ist das ganze.

Wenn du Pi-Hole aus irgendwelchen Gründen nicht vertraust, sollte du es auch nicht nutzen. Deine Logik kann ich so nicht nachvollziehen.
 
  • Like
Reaktionen: Thonav

paine

Benutzer
Mitglied seit
17. Okt 2018
Beiträge
56
Punkte für Reaktionen
4
Punkte
8
Pihole und Unbound sind im docker via portainer angelegt im macvlan.

Zurück zu meiner Frage:
Woran liegt es das Syn dns meine erstelle Zone nicht auflösen kann wenn die anfragen über
FB -> Pihole -> syndns -> unbound
gesendet werden und stattdessen bei Google landen bzw einen timeout per nslookup bekommen?

Pihole und Unbound laufen auf Standard, will da nix ändern (außer den Forwarder) und syndns soll meine internen Sachen auflösen

PS: für mich ist es kein Blödsinn und ich wäre dir dankbar wenn du mir hilfst mein Problem auf meinem Weg zu lösen, nicht deinem denn das kommt für mich nicht in Frage.
 
Zuletzt bearbeitet:

EDvonSchleck

Gesperrt
Mitglied seit
06. Mrz 2018
Beiträge
4.703
Punkte für Reaktionen
1.120
Punkte
214
Alternative wäre, wenn du MacVlan benutzt, hast denn aber wieder andere Probleme.

Weil du bestimmt im MacVlan nicht ins Internet kommst. Dazu gibt es ein Workarround.
Prinzipiell empfehle ich weniger Videos auf Youtube sehen und mehr sich mit Docker beschäftigen. Richte Pi-Hole und Unbound im Nomalen Netzwerk ein und gut.

Meinst du nicht ein Raspi wäre besser für dich? Dort kannst du es nativ installieren. Trotzdem würde ich die Umschreibung nicht auf der Synology machen.
 

paine

Benutzer
Mitglied seit
17. Okt 2018
Beiträge
56
Punkte für Reaktionen
4
Punkte
8
Wie geschrieben, Pihole und Unbound sind im Netzwerk auf der syn im docker installiert und laufen.

Habe lediglich den syndns dazwischen für meine internen Anfragen und darüber möchte ich diese auch aufgelöst haben.

Also wie kann ich mein Problem in meinem Szenario beheben bzw woran kann es liegen?

PS:
Per nslookup über 'server meinpiholeip' kann ich ohne Probleme öffentliche Domains auflösen
(Pihole -> syndns -> unbound)
Nur meine in syndns abgelegte zone klappt nicht.

PPS: nein raspi will ich nicht. Möchte alles zentral auf meiner DS haben
 
Zuletzt bearbeitet von einem Moderator:

EDvonSchleck

Gesperrt
Mitglied seit
06. Mrz 2018
Beiträge
4.703
Punkte für Reaktionen
1.120
Punkte
214
Was läuft denn? Was wird aufgelöst, was nicht? Nur wenn ein Container läuft, heißt es ja nicht, dass der auch richtig arbeitet.
Dazu kommt das nicht der Sinn hinter Unbound steckt die Serveranfragen zu verlängern.
Das nslookup einen Timeout ausgibt, scheint ja das der DNS-Server nicht richtig auflöst. Diesen solltest du im Pi-Hole als Upstreamserver eintragen.

Für mich ergibt dein Vorhaben keinen Sinn. Einen DNS-Server würde ich nur betreiben, wenn Pi-Hole oder AdGuard nicht gewünscht oder nicht machbar ist (Hardware). Du hast Tipps bekommen, wie es aufgebaut sein soll und wie es besser gelöst wäre. Ich bin hier raus.
 

paine

Benutzer
Mitglied seit
17. Okt 2018
Beiträge
56
Punkte für Reaktionen
4
Punkte
8
Genau deswegen Frage ich hier, warum löst mein syndns nicht richtig auf?

In Pihole unter DNS ist meine syn angegeben. In der syn ist im dns Server der unbound eingegeben.

Wenn ich an Pihole eine nslookup Anfrage schicke zu 'heise.de' wird die aufgelöst (d.h. meine Erkenntnis das Pihole -> syndns -> unbound funktioniert, sonst würde er das nicht finden.

Im dns Server auf der syn hab ich ein master record drin. Name ist "lan" die IP die meiner syn (da nur intern).
In der Auflösung ist wie geschrieben unbound als letztes eingetragen und eine Quell Sperre eingerichtet das nur Pihole (IP) anfragen darf.

Schade daß du mit deinem wissen nicht weiter helfen magst. Andere Wege interessieren mich nicht. Ich weiß das es so gehen muss und ich möchte das so gelöst haben, auch wenn es länger dauert etc.

Wenn du mehr Infos brauchst wie was eingestellt ist lass es mich wissen und das Problem lösen
 
Zuletzt bearbeitet von einem Moderator:

EDvonSchleck

Gesperrt
Mitglied seit
06. Mrz 2018
Beiträge
4.703
Punkte für Reaktionen
1.120
Punkte
214
Kleiner Tipp noch: Ich würde Pi-Hole und Unbound erst einmal komplett ausklammern. Versuche nur im Netzwerk mit dem DNS-Server deiner internen Domain aufzulösen. Ich denke, das wird nicht laufen. Den DNS-Server einzurichten ist halt komplizierter als eine Domain und ZielIP in Pi-Hole einzutragen. Dazu kommt noch die Leistung, RAM und Anfragezeit, die dieser verschlingt, obwohl das in Pi-Hole und AdGuard incl. ist.
 

paine

Benutzer
Mitglied seit
17. Okt 2018
Beiträge
56
Punkte für Reaktionen
4
Punkte
8
Was ist daran kompliziert?
Selbst auf der Synology help Seite steht "im Paketmanager dnsserver laden installieren fertig, dann einrichten (hab ich gemacht)

DNS Server Einstellungen:

Zone

Master Zone (Forward Zone) angelegt.
Domainname = lan
Master DNS-Server = 192.168.178.xxx (syn DS)
"Zonetransfer einschränken" aktiv
"Quell-IP Dienst beschränken" n.aktiv
"Benachrichtigung für Slave aktivieren" n.aktiv "Zonenaktualisierung einschränken" aktiv

PS die Eintragung 'domain und Ziel ip' ist im syndns genau so einfach wenn nicht noch einfacher

Kann es sein das es am WAN DNS liegt?
Hab nur unter Heimnetz bei settings unter DHCP den DNS auf mein Pihole gelegt

PS: Leistung hab ich nicht Mal 1-2% bei cpu und ram sind 17gb frei (von 18), und die 0.3ms die es länger dauert ist mir egal
 
Zuletzt bearbeitet von einem Moderator:

EDvonSchleck

Gesperrt
Mitglied seit
06. Mrz 2018
Beiträge
4.703
Punkte für Reaktionen
1.120
Punkte
214
Wenn das nicht komplizierter ist als gleich die Adresse einzugeben, denn weiß ich ja nicht.
Wenn das so einfach ist, sollte es für dich ja kein Problem sein es umzusetzen.

Ich bin hier heraus, genügend Tipps in der Vorgehensweise und wo du ansetzen kannst hast du bekommen – viel Glück.
 
  • Like
Reaktionen: Thonav

paine

Benutzer
Mitglied seit
17. Okt 2018
Beiträge
56
Punkte für Reaktionen
4
Punkte
8
Also ich habe nun Rum probiert... Die syndns blockt alles und ich hab kein Internet mehr ...

Habe nun wie folgt eingestellt:

Fritzbox: wan + lan DNS auf Pihole
Pihole direkt zu unbound

Nun habe ich in Pihole "pi.lan" eingetragen und bei der Fritzbox im DNS rebind Schutz auch als Ausnahme "pi.lan" eingeben.

Dennoch lande ich auf Google...

(Siehe Bilder)

Hast du Tips?

PS ich habe auch gemerkt, das mit der syndns in 24h ca 55k query's angefragt wurden an Pihole (war nicht Zuhause, alle Geräte außer syn DS aus).. Ich hab keine Ahnung warum das nicht geht mit der syndns und warum ich mit der syndns dazwischen kein Internet mehr habe...
Deshalb hab ich zum testen deine Variante nun, aber es geht auch nicht. Ich komme zwar ins Internet, aber die DNS Einträge gehen auch nicht
 

Anhänge

  • Screenshot_20230105-155900.jpg
    Screenshot_20230105-155900.jpg
    489,5 KB · Aufrufe: 16
  • Screenshot_20230105-155835.jpg
    Screenshot_20230105-155835.jpg
    300,6 KB · Aufrufe: 15
  • Screenshot_20230105-155826.jpg
    Screenshot_20230105-155826.jpg
    399,8 KB · Aufrufe: 15
Zuletzt bearbeitet von einem Moderator:

EDvonSchleck

Gesperrt
Mitglied seit
06. Mrz 2018
Beiträge
4.703
Punkte für Reaktionen
1.120
Punkte
214
Also ich habe nun Rum probiert...
Und wie war der? 🥃🥃🥃

Normal wollte ich dir nicht mehr antworten.

Ich würde erst einmal alles zurücksetzen und neu installieren. Das betrifft auch alle Einstellungen in der Fritz!Box.
Ich verwende kein Pi-Hole deshalb mache ich es nur aus dem Gedächtnis. AdGuard bietet die gleichen Dienste.

Den Rebindschutz trage ich nicht in der DS ein. Das einzige, was ich eintrage, ist der DNS-Server unter Netzwerk (nicht WAN)

Du kannst die Container wie folgt installieren:

Pi-Hole
Code:
docker run -d --name pihole \
-v /volume1/docker/pihole/dnsmasq.d:/etc/dnsmasq.d \
-v /volume1/docker/pihole/pihole:/etc/pihole \
-e WEB_PORT=8888 \
-e WEBPASSWORD=passwort \
-e FTLCONF_LOCAL_IPV4=192.168.x.x \
-e TZ=Europe/Berlin \
-e DNSMASQ_USER=root  \
-e DNSMASQ_LISTENING=local \
--net=host \
--restart always \
pihole/pihole:latest

Unbound
Code:
docker run -d --name unbound \
-p 3553:53/udp \
-p 3553:53/tcp \
--restart always \
mvance/unbound:latest

Adguard
Code:
docker run -d --name adguard \
-v /volume1/docker/adguard/conf:/opt/adguardhome/conf \
-v /volume1/docker/adguard/work:/opt/adguardhome/work \
--net=host \
--restart always \
adguard/adguardhome:latest

Solltest du weitere Variablen (PI-Hole) nutzen, sind diese natürlich einzutragen oder anzupassen.

Anschließend musst du nur noch die Einträge für Adguard und Pi-Hole ff (Port & IP anpassen) in Bezug auf die Fritz!Box abändern sowie die Umschreibungen für die internen Domains und fertig ist das Ganze.
 

paine

Benutzer
Mitglied seit
17. Okt 2018
Beiträge
56
Punkte für Reaktionen
4
Punkte
8
Als erstes: vielen Dank! Ich weiß das du nicht all zu große Lust hast, aber ich danke dir wirklich sehr!

Ich hab Pihole und Unbound neu installiert im docker it macvlan, ich habe bei meiner FB wan und dhcp auf den iPhole IP gesetzt.

Im pihole hab ich bei DNS, die unbound IP gesetzt.

Wenn ich nun per Handy (zb) mich verbinde, wird DNS der pihole angezeigt (IP)

Soweit so gut.

Im pihole selbst werden auch die IPS angezeigt die anfragen stellen. Soweit alles okay...

Sobald ich im "local DNS" ein Eintrag anlege: "pi.lan"

Kann dieser dennoch nicht aufgerufen werden, ich lande auf Google...

Was mach ich falsch?
PPS; den rebind Schutz trage ich in der Fritz Box ein, da;

Client > Fritzbox> Pihole> unbound
 
Zuletzt bearbeitet von einem Moderator:

EDvonSchleck

Gesperrt
Mitglied seit
06. Mrz 2018
Beiträge
4.703
Punkte für Reaktionen
1.120
Punkte
214
Lass doch erst einmal den Quatsch mit MacVlan! Lass die Container erst einmal so laufen, wie sie sollen! Denn wirst du sehen das dein MacVlan dein Problem ist.
 

its

Benutzer
Mitglied seit
27. Aug 2016
Beiträge
177
Punkte für Reaktionen
63
Punkte
78
Ohne Macvlan wird es aber nur funktionieren, wenn der DNS-Server von Synology deinstalliert ist!
 

EDvonSchleck

Gesperrt
Mitglied seit
06. Mrz 2018
Beiträge
4.703
Punkte für Reaktionen
1.120
Punkte
214
Keiner muss einen DNS-Server zusammen mit Adguard oder Pi-Hole betreiben. Das ist doch alles doppelt. Auch sollte man bei MacVlan den Workarround anwenden, damit der Zugriff zum Internet funktioniert. ABER am besten den „M*ll“ nicht nutzen. Das macht nur das noch schwieriger als es ist. Das heißt nicht, dass es nicht geht! User, die entsprechendes Wissen verfügen, bekomme es auch hin. Aber meistens macht es mehr Ärger als Nutzen.

Ich bin kein freund von irgendwelchen Videos oder Anleitungen um zu versuchen es einfach am Laufen zu bekommen. Es gibt viele Anleitungen und ebenso viele unterschiedliche Wege. Am besten, man befasst sich erst einmal damit, wie es richtig funktionieren soll.
 
  • Like
Reaktionen: Stationary

its

Benutzer
Mitglied seit
27. Aug 2016
Beiträge
177
Punkte für Reaktionen
63
Punkte
78
Ohne Macvlan wird es aber nur funktionieren, wenn der DNS-Server von Synology deinstalliert ist!
...ich wollte es nur mal erwähnt haben, da @paine ihn ursprünglich nutzen wollte und folglich auch installiert hat.
 

EDvonSchleck

Gesperrt
Mitglied seit
06. Mrz 2018
Beiträge
4.703
Punkte für Reaktionen
1.120
Punkte
214
Kein Problem. Alle Anwendungen funken ja auf den gleichen Port 53. Das wurde aber alles schon geschrieben.
Die Diskussion geht ja schon eine Zeit und es gibt auch noch einen weiteren Thread dazu. Deshalb wollte ich eigentlich auch nicht mehr antworten.
 


 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat