PROBLEMA Problema unbound e router ISP

[jeyhw]

Ciao,
Ho pfSense dietro router (Vodafone) e mi sono accorto che quest'ultimo molto probabilmente è il responsabile del non corretto funzionamento del resolver che mi costringe quindi ad utilizzare il forwarder per i DNS. Se collego pfSense (anche momentaneamente) ad un altro device che prende la connessione in tethering 4G dal mio smartphone, Il resolver inizia a funzionare di nuovo. In una macchina virtuale con linux ho pihole su cui ho installato unbound per fare delle prove, anche in questo caso se la mia connessione ad internet arriva dal router Vodafone unbound smette di funzionare.
Cos'è tecnicamente che impedisce al resover e ad Unbound di funzionare quando collegati al router dell'ISP?
Grazie

 

[r3dl4nce]

Sia pfsense che pihole che IP hanno impostato come dns server esterni?

 

[jeyhw]

Sia pfsense che pihole che IP hanno impostato come dns server esterni?

Se intendi server DNS esterni come quelli di google o cloudflare (8.8.8.8 o 1.1.1.1), questi vengono "disattivati" visto che unbound fa da server DNS recursive e anche da cache per le richieste.

 

[r3dl4nce]

Sì ma di solito un dns forwarder si mette, anche su pihole, giusto per non usare necessariamente i root server.

Suppongo che il traffico esterno sulla 53 udp non sia bloccato, hai verificato?

 

[jeyhw]

Sì ma di solito un dns forwarder si mette, anche su pihole, giusto per non usare necessariamente i root server.

Suppongo che il traffico esterno sulla 53 udp non sia bloccato, hai verificato?

Le impostazioni DNS di default sono sul forwarder e puoi scegliere, come dicevo, quali IP di server DNS impostare, ma abilitando il resolver/unbound non hanno più senso (anche se il resolver può "funzionare" anche da forwarder abilitando l'opzione giusta) e quindi si cancellano e si lascia solo l'IP locale 127.0.0.1.

Per quanto riguardo un eventuale blocco della porta 53, sul mio firewall non ci sono regole specifiche e questo però non spiegherebbe perché funziona tutto quando mi collego in tethering 4G. Motivo per cui ho pensato (magari mi sbaglio) come causa del problema il router Vodafone sul quale però non ci sono regole di firewall specifiche. Grazie

 

[r3dl4nce]

Ma hai fatto la prova se Vodafone blocca risoluzione dns esterna?
Esempio da Linux

dig @1.1.1.1 www.debian.org

 

[jeyhw]

Ma hai fatto la prova se Vodafone blocca risoluzione dns esterna?
Esempio da Linux

dig @1.1.1.1 www.debian.org

Ho lanciato il comando da console della macchina linux dove è installato pihole stesso e ritorna gli IP dei siti in entrambi i casi (ho provato più indirizzi), cioè sia se sono collegato solo al router Vodafone che in tethering 4G. Però se sono collegato al router Vodafone non carico il sito nel browser. Ho dato un'occhiata a pihole in quest'ultimo caso e mi riporta questo:



pare quindi un problema con il il resolver o qualcosa nella macchina linux ma stranamente solo quando collegato al router Vodafone come dicevo.

 

[r3dl4nce]

Direi di controllare come hai impostato la risoluzione dns sulla macchina dov'è installato pihole, cosa risponde sulla 5335 udp?
In caso puoi impostare i forwarder nelle opzioni di pihole

 

[jeyhw]

Direi di controllare come hai impostato la risoluzione dns sulla macchina dov'è installato pihole, cosa risponde sulla 5335 udp?
In caso puoi impostare i forwarder nelle opzioni di pihole

ho lanciato un comando netstat:

udp 0 0 localhost:5335 0.0.0.0:* 271/unbound


Si posso impostare gli IP forwarder nelle opzioni pihole con i quali il problema non si presenta, ma volevo capire perché il servizio dns con unbound non funziona quando sono collegato con il router Vodafone.

 

[r3dl4nce]

A questo punto potrebbe essere un problema di configurazione del servizio unbound, che non sta rispondendo alle risposte DNS inviate da pihole sulla porta locale 5335
Probabilmente devi verificare il funzionamento del servizio unbound

Puoi facilmente verificare se unbound funziona (credo di no) eseguendo dalla macchina su cui è installato il comando:

dig -p 5335 @127.0.0.1 www.debian.org

probabilmente avrai errore.

Hai verificato la corretta configurazione di unbound ?

 

[jeyhw]

A questo punto potrebbe essere un problema di configurazione del servizio unbound, che non sta rispondendo alle risposte DNS inviate da pihole sulla porta locale 5335
Probabilmente devi verificare il funzionamento del servizio unbound

Puoi facilmente verificare se unbound funziona (credo di no) eseguendo dalla macchina su cui è installato il comando:

dig -p 5335 @127.0.0.1 www.debian.org

probabilmente avrai errore.

Hai verificato la corretta configurazione di unbound ?

se eseguo il comando da te suggerito quando la connessione è fornita dal router Vodafone ho questo:

root@pihole:~# dig -p 5335 @127.0.0.1 www.debian.org

; <<>> DiG 9.11.3-1ubuntu1.15-Ubuntu <<>> -p 5335 @127.0.0.1 www.debian.org
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: SERVFAIL, id: 46515
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 1472
;; QUESTION SECTION:
;www.debian.org.                        IN      A

;; Query time: 72 msec
;; SERVER: 127.0.0.1#5335(127.0.0.1)
;; WHEN: Thu Oct 21 14:05:42 UTC 2021
;; MSG SIZE  rcvd: 43

Se invece lo eseguo quando sono collegato in tethering 4G pare tutto ok:

root@pihole:~# dig -p 5335 @127.0.0.1 www.debian.org

; <<>> DiG 9.11.3-1ubuntu1.15-Ubuntu <<>> -p 5335 @127.0.0.1 www.debian.org
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 399
;; flags: qr rd ra ad; QUERY: 1, ANSWER: 1, AUTHORITY: 3, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 1472
;; QUESTION SECTION:
;www.debian.org.                        IN      A

;; ANSWER SECTION:
www.debian.org.         300     IN      A       130.89.148.77

;; AUTHORITY SECTION:
www.debian.org.         28800   IN      NS      geo1.debian.org.
www.debian.org.         28800   IN      NS      geo2.debian.org.
www.debian.org.         28800   IN      NS      geo3.debian.org.

;; Query time: 1193 msec
;; SERVER: 127.0.0.1#5335(127.0.0.1)
;; WHEN: Thu Oct 21 14:07:53 UTC 2021
;; MSG SIZE  rcvd: 116

Cosa dovrei verificare della configurazione di unbound? È comunque la stessa sia quando la query ha successo che quando fallisce.
Che strano.

Intanto ho fatto caso che unbound è in ascolto sulla porta tcp 53:

tcp 0 0 localhost:5335 0.0.0.0:* LISTEN 278/unbound

ma non udp:

udp 0 0 localhost:5335 0.0.0.0:* 278/unbound

Potrebbe avere questo qualcosa a che fare con il router Vodafone?
Grazie


UPDATE: Ho appena letto in giro che altri hanno avuto problemi simili ai miei nel far funzionare correttamente il loro local resolver quando connessi al router Vodafone!

 

[r3dl4nce]

E se invece di unbound provi cloudflared funziona?
In quel caso usa DoH quindi se ci fossero blocchi da parte Vodafone non dovrebbero interferire

 

[jeyhw]

E se invece di unbound provi cloudflared funziona?
In quel caso usa DoH quindi se ci fossero blocchi da parte Vodafone non dovrebbero interferire

Usare direttamente cloudflared in DOH con pihole come indicato nella guida ufficile qui dovrebbe funzionare:

https://docs.pi-hole.net/guides/dns/cloudflared/

Comunque avevo provato a far funzionare lo stesso unbound come forwarder aggiungendo gli IP cloudflare seguendo guide e un videotutorial, ma appena modifico il file di configurazione unbound non ne vuole più sapere di funzionare e ripartire; un altro problema che non sono ancora riuscito a risolvere. In effetti non mi rimane altro che ritornare alla configurazione originale di Pihole magari aggiungendo la funzionalità DOH di cloudflared come suggerisci tu. Grazie

 

[r3dl4nce]

Io uso pi hole con cloudflared e va benone, alla fine è meglio di unbound perché usando DoH le richieste DNS non possono essere loggate, bloccate o alterate dal tuo ISP

 

[jeyhw]

Io uso pi hole con cloudflared e va benone, alla fine è meglio di unbound perché usando DoH le richieste DNS non possono essere loggate, bloccate o alterate dal tuo ISP

Vero, ma sposti il problema della privacy altrove dal tuo ISP a Cloudflare, ma a quanto pare per il momento non posso fare altro.