Unbound macht Vaultwarden via Reverse Proxy unerreichbar

[delocke]

Hallo,
ein Thema, an dem ich mir nun schon seit Wochen die Zähne ausbeiße.

Ist Zustand:
Ich habe auf der Syno Vaultwarden im Docker laufen.
Ich nutze den Reverse Proxy der Syno um von einer Synology.me Adresse auf die Syno zu linken

Das ganze funktioniert einwandfrei!

Sobald Unbound gestartet wird:
Unbound funktioniert einwandfrei
Alles ist erreichbar, nur die MeineDomain.synology.me nicht mehr und entsprechend ist Vaultwarden nicht mehr erreichbar.


Das ganze läßt sich auch gut via DIG oder TRACEROUTE nachvollziehen.
DIG. Obere Anfrage, wenn Unbound aktiviert ist und untere Anfrage, wenn Unbound deaktiviert ist. Wenn Unbound deaktiviert ist, geht die Antwort auf die 192.168.0.49 , die Adresse meiner Syno.




Beim TRACEROUTE wird bei deaktiviertem Unbound schön aufgelöst (obere Anfrage). Bei laufendem Unbound ist der Host unbekannt (untere Anfrage)




Ich habe gesehen, in der Unbound.conf gibt es eine forward-zone. entsprechend habe ich dort die Synology.me eingetragen.







Leider erfolglos. Ich habe das ganze auch schon über eine eigene Domain laufen lassen, um auszuschließen, dass es etwas mit Synology.me zu tun hat, aber dort hat sich exakt das gleiche Verhalten gezeigt.

Ich habe keine Idee mehr. Kann mich mal bitte jemand ggf. vom Holzweg runter holen.

Thx

 

[alexhell]

Wie hast du denn Unbound eingerichtet? Wer löst es bei dir auf die interne IP auf? Ich habe Vaultwarden + Adguard mit Unbound laufen und keine Probleme. Daher wäre es mal gut zu wissen was du wie eingerichtet hast.

 

[delocke]

Unbound läuft bei mir auf dem Router (AMTM MerlinWRT), auf dem Router läuft auch die interne Auflösung.
Dort läuft auch Diversion, der bei mir das AdBlocking macht. Ob Diversion aktiv oder deaktiviert ist, macht aber , keinen Unterschied, das Fehlerbild dreht sich immer um Unbound, aktiv oder deaktiviert.

 

[alexhell]

Dann ist die Frage, wieso muss Unbound überhaupt für die interne Auflösung befragt werden? Da hast du ja irgendwo einen Konfig Fehler drin. Da es bei dir auf dem Router läuft kann ich dir nicht weiterhelfen. Bei mir läuft es im Docker bzw. als LXC.

 

[delocke]

Da hast du ja irgendwo einen Konfig Fehler drin

Ja, dem ist wohl so, aber ich sehe gerade echt nicht wo. Ich bin davon ausgegangen, wenn ich Unbound sage, für Domain XYZ bitte Cloudflare fragen, dann sollte es doch eigentlich gehen.

Trotzdem danke!

 

[alexhell]

Bei mir ist das so konfiguriert.
DNS Server wird per DHCP an alle verteilt. Dies ist bei mir Aguard im LXC Container. Dieser macht auch die Umschreibung. Also wenn ich meine Domain aufrufe, dann löst er direkt auf die interne IP auf. Der Rest geht an Unbound und dies löst dann auf. Ich wusste nicht mal, dass man Unbound sagen soll, dass er nur bestimmte Domains auflösen soll.

 

[delocke]

Hm, ein NSLookup wirft folgendes:

Deaktiviert
nslookup meinedomain.synology.me
Server: 192.168.0.1
Address: 192.168.0.1#53
Non-authoritative answer:
Name: meinedomain.synology.me
Address: 192.168.0.49

Aktiviert
nslookup meinedomain.synology.me
Server: 192.168.0.1
Address: 192.168.0.1#53
Non-authoritative answer:
*** Can't find meinedomain.synology.me: No answer