February 17, 20242 yr Als Anfänger bei Unraid & Docker habe ich mal wieder eine Verständnisfrage Ich habe Unbound als Container vom Docker-Hub installiert (https://hub.docker.com/r/mvance/unbound/), was soweit auch gut geklappt hat. Der Container läuft seit einigen Tagen ohne Probleme und Unbound löst fleißig für PiHole die Adressen auf. Nun habe ich jedoch in der Docker Übersicht den Status "unhealthy" (siehe im Screenshot ganz rechts). Ein Restart des Containers hat nichts gebracht. Habt ihr einen Tipp, woran dies liegen könnte? Oder kann man die Meldung ignorieren? Hier die Konfiguration des Containers: Edited February 17, 20242 yr by Jabberwocky
February 17, 20242 yr Community Expert Ich nutze unbound nicht, hab aber bei allen Containern den extra Parameter(Advanced View) --no-healthcheck gesetzt. Damit sollte zumindest die Anzeige unhealthy verschwinden. Löst aber natürlich nicht die Ursache.
February 17, 20242 yr 1 hour ago, Jabberwocky said: Habt ihr einen Tipp, woran dies liegen könnte? Oder kann man die Meldung ignorieren? mal ins Log vom Docker geschaut was da passiert ?
February 17, 20242 yr Author Danke für die Ideen! Über einen Klick auf das Container Icon habe ich in die Logs gesehen aber diese sind leer Oder ist das der falsche Ort?
February 17, 20242 yr 1 minute ago, Jabberwocky said: Oder ist das der falsche Ort? nope, das wäre der richtige Weg gewesen, aber anscheinend wird da nicht logged ... na dann. Ich nutze kein unbound, daher kann ich wenig bis gar nichts dazu sagen, außer wenn es dich stört, oben genannten Vorschlag umsetzen
February 17, 20242 yr Author Solution Gerade doch noch gefunden - ich habe das Logging in der unbound.conf aktiviert (im Standard landet das auf /dev/null) und zu der unbound.conf gelegt. Hier habe ich im Log die folgenden Hinweise: Nach diesem Thread ist es nur ein Hinweis und eigentlich kein Fehler. Man kann in der unbound.conf die beiden setzen: serve-expired: no prefetch: no Erklärung der beiden Settings nach dem reddit post: prefetch: <yes or no> If yes, message cache elements are prefetched before they expire to keep the cache up to date. Default is no. Turning it on gives about 10 percent more traffic and load on the machine, but popular items do not expire from the cache. serve-expired: <yes or no> If enabled, Unbound attempts to serve old responses from cache with a TTL of serve expired-reply-ttl in the response without waiting for the actual resolution to finish. The actual resolution answer ends up in the cache later on. Default is "no". Damit sollte es dann passen Danke für eure Tipps! Edited February 19, 20242 yr by Jabberwocky
February 19, 20242 yr Author ich schreibe morgen noch die Schritte für Unbound zusammen ( Link ) - das sollte dann auch problemlos mit AdGuard funktionieren
February 19, 20242 yr 1 minute ago, Jabberwocky said: ich schreibe morgen noch die Schritte für Unbound zusammen ( Link ) - das sollte dann auch problemlos mit AdGuard funktionieren Kannst auch mal hier nachsehen ob das für dich interessant wäre: https://github.com/ich777/unraid_lxc_pihole
February 19, 20242 yr Author Ohja hatte ich schon gesehen - aber LXC sagte mir als Unraid/Docker-Anfänger noch nichts
February 19, 20242 yr 2 minutes ago, Jabberwocky said: Ohja hatte ich schon gesehen - aber LXC sagte mir als Unraid/Docker-Anfänger noch nichts Vereinfacht gesagt ist das eine VM mit den Vorteilen von Docker sprich die Resourcen werden geteilt wie bei Docker und nicht verschwendet wie bei einer VM. Das ist nur ein container Archiv das PiHole, Unbound und noch ein paar andere sachen vereint und aber dir die volle kontrolle überlässt weil es eben mehr oder weniger eine VM ist (LXC container). Sieht bei mir so aus: Ich hab auch beispielsweise einen RockPi noch am laufen ebenfalls mit PiHole der automatisch übernimmt, dank keepalived, wenn der Unraid server mal down ist das ich zu hause noch Internet hab und die DNS Anfragen aufgelöst werden können.
February 19, 20242 yr Ich verwende einfach mal dieses Thema hier um eine Frage zu stellen...ich verwende aktuell Adguard mit 4 verschiedenen DNS DoH Upstream Servern und habe Einstellungen Parallel Requests gewählt. Cache Größe habe ich eigentlich recht großzügig gewählt und sogar optimistic caching gewählt. Trotzdem komme ich nur auf eine durchschnittliche processing time von 77 ms. Warum habe ich 4 DNS Anbieter gewählt? Um meine DNS Abfragen aufzuteilen. So bekommt nicht einer alles. Durch die DoH Abfragen, würde ja eine Man in the middle Attack ja nicht funktionieren, was ich wirklich abfrage sieht ja dann erst der DNS Anbieter. Soweit alles richtig was ich schreibe? Bitte um Korrektur falls ich Blödsinn schreibe. Jetzt war meine Überlegung auf Unbound zu wechseln, weil dadurch ja direkt die Root Server abgefragt werden und ich die Anbieter umgehe. Und hoffentlich die Abfragezeit verringert. Aber die DNS Abfragen gehen dann ja wieder unverschlüsselt ins Netz und somit wäre theoretisch wieder eine Man in the middle Attack möglich. Und nein ich bin kein zweiter Edward Snowden, aber doch ein bisschen Paranoid wenn es ums Internet geht. Jetzt könnte ich noch einen Schritt weitergehen und hinterfragen wem gehören die Root Server? Wer betreibt die?
February 20, 20242 yr Author 20 hours ago, Ulairi said: Ich verwende einfach mal dieses Thema hier um eine Frage zu stellen...ich verwende aktuell Adguard mit 4 verschiedenen DNS DoH Upstream Servern und habe Einstellungen Parallel Requests gewählt. Cache Größe habe ich eigentlich recht großzügig gewählt und sogar optimistic caching gewählt. Trotzdem komme ich nur auf eine durchschnittliche processing time von 77 ms. Warum habe ich 4 DNS Anbieter gewählt? Um meine DNS Abfragen aufzuteilen. So bekommt nicht einer alles. Durch die DoH Abfragen, würde ja eine Man in the middle Attack ja nicht funktionieren, was ich wirklich abfrage sieht ja dann erst der DNS Anbieter. Soweit alles richtig was ich schreibe? Bitte um Korrektur falls ich Blödsinn schreibe. Jetzt war meine Überlegung auf Unbound zu wechseln, weil dadurch ja direkt die Root Server abgefragt werden und ich die Anbieter umgehe. Und hoffentlich die Abfragezeit verringert. Aber die DNS Abfragen gehen dann ja wieder unverschlüsselt ins Netz und somit wäre theoretisch wieder eine Man in the middle Attack möglich. Und nein ich bin kein zweiter Edward Snowden, aber doch ein bisschen Paranoid wenn es ums Internet geht. Jetzt könnte ich noch einen Schritt weitergehen und hinterfragen wem gehören die Root Server? Wer betreibt die? Ob Adguard bei 4 eingetragenen DNS Upstream Server diese durchwechselt (für mehr DataPrivacy) oder nur jeweils nach Verfügbarkeit geht (Nr. 1 ist erreichbar und wird damit idR. genutzt), weiss ich leider nicht. Vielleicht hilft dir das hier weiter bezüglich der Betreibern der Root-Server: https://de.wikipedia.org/wiki/Root-Nameserver Ich denke, dass du da zwischen den verschiedenen Techniken unterscheiden musst: DNSSEC: Gewährt Authentizität & Integrität der DNS Abfragen (https://de.wikipedia.org/wiki/Domain_Name_System_Security_Extensions) DOT / DOH: Gewährt Vertraulichkeit durch Verschlüsselung der DNS Abfragen (https://de.wikipedia.org/wiki/DNS_over_TLS) Rekursiver DNS: Gewährt durch die rekursive Abfrage Privatsphäre (DataPrivacy) der DNS Abfragen, (https://de.wikipedia.org/wiki/Rekursive_und_iterative_Namensauflösung) Ein Kombination aus Rekursiver Abfrage mit DOT/DOH geht meines Wissen aktuell nicht. Bei Rekursiv + DNSSEC bin ich mir nicht sicher. Für rekursiven Unbound (bspw. mit PiHole oder auch Adguard) >Klick<
February 21, 20242 yr Author On 2/19/2024 at 5:45 PM, ich777 said: Vereinfacht gesagt ist das eine VM mit den Vorteilen von Docker sprich die Resourcen werden geteilt wie bei Docker und nicht verschwendet wie bei einer VM. Das ist nur ein container Archiv das PiHole, Unbound und noch ein paar andere sachen vereint und aber dir die volle kontrolle überlässt weil es eben mehr oder weniger eine VM ist (LXC container). Sieht bei mir so aus: Ich hab auch beispielsweise einen RockPi noch am laufen ebenfalls mit PiHole der automatisch übernimmt, dank keepalived, wenn der Unraid server mal down ist das ich zu hause noch Internet hab und die DNS Anfragen aufgelöst werden können. Klingt interessant - man kann also damit einem Docker gezielter / dedizierter Ressourcen zuweisen? Ich dachte durch die Container per Docker ist die Hardware eh schon effizienter genutzt
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.