Jump to content

Docker Container Unbound mit Status "unhealthy"

Jabberwocky

By Jabberwocky
in Deutsch

Go to solution Solved by Jabberwocky,

Recommended Posts

Jabberwocky Rookie

Jabberwocky

Posted
Posted (edited)

Als Anfänger bei Unraid & Docker habe ich mal wieder eine Verständnisfrage :)

 

Ich habe Unbound als Container vom Docker-Hub installiert (https://hub.docker.com/r/mvance/unbound/), was soweit auch gut geklappt hat.

Der Container läuft seit einigen Tagen ohne Probleme und Unbound löst fleißig für PiHole die Adressen auf.

 

Nun habe ich jedoch in der Docker Übersicht den Status "unhealthy" (siehe im Screenshot ganz rechts).

 

image.thumb.png.02b1664665286defa5a86270ac4fffca.png

 

 

Ein Restart des Containers hat nichts gebracht.

Habt ihr einen Tipp, woran dies liegen könnte? Oder kann man die Meldung ignorieren?

 

Hier die Konfiguration des Containers:

 

image.thumb.png.e058e3c8babca33b1f9076550d1498bb.png

 

Edited by Jabberwocky
Link to comment
alturismo Mentor

alturismo

Posted
Posted
1 minute ago, Jabberwocky said:

Oder ist das der falsche Ort?

 

nope, das wäre der richtige Weg gewesen, aber anscheinend wird da nicht logged ... na dann.

 

Ich nutze kein unbound, daher kann ich wenig bis gar nichts dazu sagen, außer wenn es dich stört, oben genannten Vorschlag umsetzen ;)

  • Like 1
Link to comment
  • Solution
Jabberwocky Rookie

Jabberwocky

Posted
  • Author
  • Solution
Posted (edited)

Gerade doch noch gefunden - ich habe das Logging in der unbound.conf aktiviert (im Standard landet das auf /dev/null) und zu der unbound.conf gelegt.

Hier habe ich im Log die folgenden Hinweise:

 

grafik.thumb.png.62b92cb310767cf37aa6bc6a6517c37c.png

 

Nach diesem Thread ist es nur ein Hinweis und eigentlich kein Fehler.

 

Man kann in der unbound.conf die beiden setzen:

 

serve-expired: no

prefetch: no

 

Erklärung der beiden Settings nach dem reddit post:

prefetch: <yes or no>

If yes, message cache elements are prefetched before they expire to keep the cache up to date. Default is no. Turning it on gives about 10 percent more traffic and load on the machine, but popular items do not expire from the cache.

serve-expired: <yes or no>

If enabled, Unbound attempts to serve old responses from cache with a TTL of serve expired-reply-ttl in the response without waiting for the actual resolution to finish. The actual resolution answer ends up in the cache later on. Default is "no".

 

Damit sollte es dann passen :)

 

Danke für eure Tipps!

Edited by Jabberwocky
  • Like 2
Link to comment
ich777 Grand Master

ich777

Posted
Posted
2 minutes ago, Jabberwocky said:

Ohja hatte ich schon gesehen - aber LXC sagte mir als Unraid/Docker-Anfänger noch nichts :)

Vereinfacht gesagt ist das eine VM mit den Vorteilen von Docker sprich die Resourcen werden geteilt wie bei Docker und nicht verschwendet wie bei einer VM.

 

Das ist nur ein container Archiv das PiHole, Unbound und noch ein paar andere sachen vereint und aber dir die volle kontrolle überlässt weil es eben mehr oder weniger eine VM ist (LXC container).

 

Sieht bei mir so aus:
grafik.thumb.png.a1a219bd39c8b01e0b5cd9e079e4d0d0.png

 

Ich hab auch beispielsweise einen RockPi noch am laufen ebenfalls mit PiHole der automatisch übernimmt, dank keepalived, wenn der Unraid server mal down ist das ich zu hause noch Internet hab und die DNS Anfragen aufgelöst werden können. :)

Link to comment
Ulairi Noob

Ulairi

Posted
Posted

Ich verwende einfach mal dieses Thema hier um eine Frage zu stellen...ich verwende aktuell Adguard mit 4 verschiedenen DNS DoH Upstream Servern und habe Einstellungen Parallel Requests gewählt. Cache Größe habe ich eigentlich recht großzügig gewählt und sogar optimistic caching gewählt. Trotzdem komme ich nur auf eine durchschnittliche processing time von 77 ms.

 

Warum habe ich 4 DNS Anbieter gewählt? Um meine DNS Abfragen aufzuteilen. So bekommt nicht einer alles. Durch die DoH Abfragen, würde ja eine Man in the middle Attack ja nicht funktionieren, was ich wirklich abfrage sieht ja dann erst der DNS Anbieter. Soweit alles richtig was ich schreibe? Bitte um Korrektur falls ich Blödsinn schreibe.

 

Jetzt war meine Überlegung auf Unbound zu wechseln, weil dadurch ja direkt die Root Server abgefragt werden und ich die Anbieter umgehe. Und hoffentlich die Abfragezeit verringert. Aber die DNS Abfragen gehen dann ja wieder unverschlüsselt ins Netz und somit wäre theoretisch wieder eine Man in the middle Attack möglich. Und nein ich bin kein zweiter Edward Snowden, aber doch ein bisschen Paranoid wenn es ums Internet geht. Jetzt könnte ich noch einen Schritt weitergehen und hinterfragen wem gehören die Root Server? Wer betreibt die?

Link to comment
Jabberwocky Rookie

Jabberwocky

Posted
  • Author
Posted
20 hours ago, Ulairi said:

Ich verwende einfach mal dieses Thema hier um eine Frage zu stellen...ich verwende aktuell Adguard mit 4 verschiedenen DNS DoH Upstream Servern und habe Einstellungen Parallel Requests gewählt. Cache Größe habe ich eigentlich recht großzügig gewählt und sogar optimistic caching gewählt. Trotzdem komme ich nur auf eine durchschnittliche processing time von 77 ms.

 

Warum habe ich 4 DNS Anbieter gewählt? Um meine DNS Abfragen aufzuteilen. So bekommt nicht einer alles. Durch die DoH Abfragen, würde ja eine Man in the middle Attack ja nicht funktionieren, was ich wirklich abfrage sieht ja dann erst der DNS Anbieter. Soweit alles richtig was ich schreibe? Bitte um Korrektur falls ich Blödsinn schreibe.

 

Jetzt war meine Überlegung auf Unbound zu wechseln, weil dadurch ja direkt die Root Server abgefragt werden und ich die Anbieter umgehe. Und hoffentlich die Abfragezeit verringert. Aber die DNS Abfragen gehen dann ja wieder unverschlüsselt ins Netz und somit wäre theoretisch wieder eine Man in the middle Attack möglich. Und nein ich bin kein zweiter Edward Snowden, aber doch ein bisschen Paranoid wenn es ums Internet geht. Jetzt könnte ich noch einen Schritt weitergehen und hinterfragen wem gehören die Root Server? Wer betreibt die?

 

Ob Adguard bei 4 eingetragenen DNS Upstream Server diese durchwechselt (für mehr DataPrivacy) oder nur jeweils nach Verfügbarkeit geht (Nr. 1 ist erreichbar und wird damit idR. genutzt), weiss ich leider nicht.

 

Vielleicht hilft dir das hier weiter bezüglich der Betreibern der Root-Server: https://de.wikipedia.org/wiki/Root-Nameserver

Ich denke, dass du da zwischen den verschiedenen Techniken unterscheiden musst:

 

Ein Kombination aus Rekursiver Abfrage mit DOT/DOH geht meines Wissen aktuell nicht. Bei Rekursiv + DNSSEC bin ich mir nicht sicher.

Für rekursiven Unbound (bspw. mit PiHole oder auch Adguard) >Klick<

 

Link to comment
Jabberwocky Rookie

Jabberwocky

Posted
  • Author
Posted
On 2/19/2024 at 5:45 PM, ich777 said:

Vereinfacht gesagt ist das eine VM mit den Vorteilen von Docker sprich die Resourcen werden geteilt wie bei Docker und nicht verschwendet wie bei einer VM.

 

Das ist nur ein container Archiv das PiHole, Unbound und noch ein paar andere sachen vereint und aber dir die volle kontrolle überlässt weil es eben mehr oder weniger eine VM ist (LXC container).

 

Sieht bei mir so aus:
grafik.thumb.png.a1a219bd39c8b01e0b5cd9e079e4d0d0.png

 

Ich hab auch beispielsweise einen RockPi noch am laufen ebenfalls mit PiHole der automatisch übernimmt, dank keepalived, wenn der Unraid server mal down ist das ich zu hause noch Internet hab und die DNS Anfragen aufgelöst werden können. :)

 

Klingt interessant - man kann also damit einem Docker gezielter / dedizierter Ressourcen zuweisen?

Ich dachte durch die Container per Docker ist die Hardware eh schon effizienter genutzt :)

 

Link to comment

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
Go to topic listing
×
×
  • Create New...