Jabberwocky Posted February 17 Share Posted February 17 (edited) Als Anfänger bei Unraid & Docker habe ich mal wieder eine Verständnisfrage Ich habe Unbound als Container vom Docker-Hub installiert (https://hub.docker.com/r/mvance/unbound/), was soweit auch gut geklappt hat. Der Container läuft seit einigen Tagen ohne Probleme und Unbound löst fleißig für PiHole die Adressen auf. Nun habe ich jedoch in der Docker Übersicht den Status "unhealthy" (siehe im Screenshot ganz rechts). Ein Restart des Containers hat nichts gebracht. Habt ihr einen Tipp, woran dies liegen könnte? Oder kann man die Meldung ignorieren? Hier die Konfiguration des Containers: Edited February 17 by Jabberwocky Quote Link to comment
cz13 Posted February 17 Share Posted February 17 Ich nutze unbound nicht, hab aber bei allen Containern den extra Parameter(Advanced View) --no-healthcheck gesetzt. Damit sollte zumindest die Anzeige unhealthy verschwinden. Löst aber natürlich nicht die Ursache. 1 Quote Link to comment
alturismo Posted February 17 Share Posted February 17 1 hour ago, Jabberwocky said: Habt ihr einen Tipp, woran dies liegen könnte? Oder kann man die Meldung ignorieren? mal ins Log vom Docker geschaut was da passiert ? 1 Quote Link to comment
Jabberwocky Posted February 17 Author Share Posted February 17 Danke für die Ideen! Über einen Klick auf das Container Icon habe ich in die Logs gesehen aber diese sind leer Oder ist das der falsche Ort? Quote Link to comment
alturismo Posted February 17 Share Posted February 17 1 minute ago, Jabberwocky said: Oder ist das der falsche Ort? nope, das wäre der richtige Weg gewesen, aber anscheinend wird da nicht logged ... na dann. Ich nutze kein unbound, daher kann ich wenig bis gar nichts dazu sagen, außer wenn es dich stört, oben genannten Vorschlag umsetzen 1 Quote Link to comment
Solution Jabberwocky Posted February 17 Author Solution Share Posted February 17 (edited) Gerade doch noch gefunden - ich habe das Logging in der unbound.conf aktiviert (im Standard landet das auf /dev/null) und zu der unbound.conf gelegt. Hier habe ich im Log die folgenden Hinweise: Nach diesem Thread ist es nur ein Hinweis und eigentlich kein Fehler. Man kann in der unbound.conf die beiden setzen: serve-expired: no prefetch: no Erklärung der beiden Settings nach dem reddit post: prefetch: <yes or no> If yes, message cache elements are prefetched before they expire to keep the cache up to date. Default is no. Turning it on gives about 10 percent more traffic and load on the machine, but popular items do not expire from the cache. serve-expired: <yes or no> If enabled, Unbound attempts to serve old responses from cache with a TTL of serve expired-reply-ttl in the response without waiting for the actual resolution to finish. The actual resolution answer ends up in the cache later on. Default is "no". Damit sollte es dann passen Danke für eure Tipps! Edited February 19 by Jabberwocky 2 Quote Link to comment
Ulairi Posted February 19 Share Posted February 19 Hat hier zufällig jemand Adguard + Unbound am Laufen? Quote Link to comment
Jabberwocky Posted February 19 Author Share Posted February 19 ich schreibe morgen noch die Schritte für Unbound zusammen ( Link ) - das sollte dann auch problemlos mit AdGuard funktionieren Quote Link to comment
ich777 Posted February 19 Share Posted February 19 1 minute ago, Jabberwocky said: ich schreibe morgen noch die Schritte für Unbound zusammen ( Link ) - das sollte dann auch problemlos mit AdGuard funktionieren Kannst auch mal hier nachsehen ob das für dich interessant wäre: https://github.com/ich777/unraid_lxc_pihole Quote Link to comment
Jabberwocky Posted February 19 Author Share Posted February 19 Ohja hatte ich schon gesehen - aber LXC sagte mir als Unraid/Docker-Anfänger noch nichts Quote Link to comment
ich777 Posted February 19 Share Posted February 19 2 minutes ago, Jabberwocky said: Ohja hatte ich schon gesehen - aber LXC sagte mir als Unraid/Docker-Anfänger noch nichts Vereinfacht gesagt ist das eine VM mit den Vorteilen von Docker sprich die Resourcen werden geteilt wie bei Docker und nicht verschwendet wie bei einer VM. Das ist nur ein container Archiv das PiHole, Unbound und noch ein paar andere sachen vereint und aber dir die volle kontrolle überlässt weil es eben mehr oder weniger eine VM ist (LXC container). Sieht bei mir so aus: Ich hab auch beispielsweise einen RockPi noch am laufen ebenfalls mit PiHole der automatisch übernimmt, dank keepalived, wenn der Unraid server mal down ist das ich zu hause noch Internet hab und die DNS Anfragen aufgelöst werden können. Quote Link to comment
Ulairi Posted February 19 Share Posted February 19 Ich verwende einfach mal dieses Thema hier um eine Frage zu stellen...ich verwende aktuell Adguard mit 4 verschiedenen DNS DoH Upstream Servern und habe Einstellungen Parallel Requests gewählt. Cache Größe habe ich eigentlich recht großzügig gewählt und sogar optimistic caching gewählt. Trotzdem komme ich nur auf eine durchschnittliche processing time von 77 ms. Warum habe ich 4 DNS Anbieter gewählt? Um meine DNS Abfragen aufzuteilen. So bekommt nicht einer alles. Durch die DoH Abfragen, würde ja eine Man in the middle Attack ja nicht funktionieren, was ich wirklich abfrage sieht ja dann erst der DNS Anbieter. Soweit alles richtig was ich schreibe? Bitte um Korrektur falls ich Blödsinn schreibe. Jetzt war meine Überlegung auf Unbound zu wechseln, weil dadurch ja direkt die Root Server abgefragt werden und ich die Anbieter umgehe. Und hoffentlich die Abfragezeit verringert. Aber die DNS Abfragen gehen dann ja wieder unverschlüsselt ins Netz und somit wäre theoretisch wieder eine Man in the middle Attack möglich. Und nein ich bin kein zweiter Edward Snowden, aber doch ein bisschen Paranoid wenn es ums Internet geht. Jetzt könnte ich noch einen Schritt weitergehen und hinterfragen wem gehören die Root Server? Wer betreibt die? Quote Link to comment
Jabberwocky Posted February 20 Author Share Posted February 20 20 hours ago, Ulairi said: Ich verwende einfach mal dieses Thema hier um eine Frage zu stellen...ich verwende aktuell Adguard mit 4 verschiedenen DNS DoH Upstream Servern und habe Einstellungen Parallel Requests gewählt. Cache Größe habe ich eigentlich recht großzügig gewählt und sogar optimistic caching gewählt. Trotzdem komme ich nur auf eine durchschnittliche processing time von 77 ms. Warum habe ich 4 DNS Anbieter gewählt? Um meine DNS Abfragen aufzuteilen. So bekommt nicht einer alles. Durch die DoH Abfragen, würde ja eine Man in the middle Attack ja nicht funktionieren, was ich wirklich abfrage sieht ja dann erst der DNS Anbieter. Soweit alles richtig was ich schreibe? Bitte um Korrektur falls ich Blödsinn schreibe. Jetzt war meine Überlegung auf Unbound zu wechseln, weil dadurch ja direkt die Root Server abgefragt werden und ich die Anbieter umgehe. Und hoffentlich die Abfragezeit verringert. Aber die DNS Abfragen gehen dann ja wieder unverschlüsselt ins Netz und somit wäre theoretisch wieder eine Man in the middle Attack möglich. Und nein ich bin kein zweiter Edward Snowden, aber doch ein bisschen Paranoid wenn es ums Internet geht. Jetzt könnte ich noch einen Schritt weitergehen und hinterfragen wem gehören die Root Server? Wer betreibt die? Ob Adguard bei 4 eingetragenen DNS Upstream Server diese durchwechselt (für mehr DataPrivacy) oder nur jeweils nach Verfügbarkeit geht (Nr. 1 ist erreichbar und wird damit idR. genutzt), weiss ich leider nicht. Vielleicht hilft dir das hier weiter bezüglich der Betreibern der Root-Server: https://de.wikipedia.org/wiki/Root-Nameserver Ich denke, dass du da zwischen den verschiedenen Techniken unterscheiden musst: DNSSEC: Gewährt Authentizität & Integrität der DNS Abfragen (https://de.wikipedia.org/wiki/Domain_Name_System_Security_Extensions) DOT / DOH: Gewährt Vertraulichkeit durch Verschlüsselung der DNS Abfragen (https://de.wikipedia.org/wiki/DNS_over_TLS) Rekursiver DNS: Gewährt durch die rekursive Abfrage Privatsphäre (DataPrivacy) der DNS Abfragen, (https://de.wikipedia.org/wiki/Rekursive_und_iterative_Namensauflösung) Ein Kombination aus Rekursiver Abfrage mit DOT/DOH geht meines Wissen aktuell nicht. Bei Rekursiv + DNSSEC bin ich mir nicht sicher. Für rekursiven Unbound (bspw. mit PiHole oder auch Adguard) >Klick< Quote Link to comment
Jabberwocky Posted February 21 Author Share Posted February 21 On 2/19/2024 at 5:45 PM, ich777 said: Vereinfacht gesagt ist das eine VM mit den Vorteilen von Docker sprich die Resourcen werden geteilt wie bei Docker und nicht verschwendet wie bei einer VM. Das ist nur ein container Archiv das PiHole, Unbound und noch ein paar andere sachen vereint und aber dir die volle kontrolle überlässt weil es eben mehr oder weniger eine VM ist (LXC container). Sieht bei mir so aus: Ich hab auch beispielsweise einen RockPi noch am laufen ebenfalls mit PiHole der automatisch übernimmt, dank keepalived, wenn der Unraid server mal down ist das ich zu hause noch Internet hab und die DNS Anfragen aufgelöst werden können. Klingt interessant - man kann also damit einem Docker gezielter / dedizierter Ressourcen zuweisen? Ich dachte durch die Container per Docker ist die Hardware eh schon effizienter genutzt Quote Link to comment
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.