:strip_exif()/i/2002897482.png?f=thumbmini)
/u/658914/crop5f7a5ee826414_cropped.png?f=community)
@Riqy, Ik zal ook proberen wat beter op m'n toon te letten.
Tis altijd lastig met al die termen en begrippen en ik heb soms ook niet meteen alles door waardoor misverstanden onstaan.
Voordat ik verder ga, houdt er rekening mee dat ik in bovenstaande postings een paar keer de fout heb gemaakt met de domein naam service.ing.nl ipv services.ing.nl!
Dus heb je niet het gewenste effect dat alleen de ing.nl of services.ing.nl domeinen naar CF of Google gaan maar in plaats daarvan, alle DNS verzoekjes met een FQDN.
Beter zou zijn als je als name voor die forward-zone gebruikt services.ing.nl of mogelijk *ing.nl of mogelijk zelfs twee forward-zone definities, één met ing.nl en de ander met services.ing.nl.
En je hoeft niet persé die definities in het pi-hole.conf bestandje te plaatsen van de Pi-hole guide.
Je kunt ze ook in een nieuw appart bestandje plaatsen in diezelfde folder zoals in mijn voorbeeld:
/etc/unbound/unbound.conf.d/forward-zone.conf
Alle bestanden in die folder daar met de extensie .conf zullen door unbound geladen worden zoals gedefinieerd in onderstaand bestandje:
Handig om te weten, je kunt dit zelfde ook verwezenlijken met embedded dnsmasq in pihole-FTL ipv met unbound waardaar je dus een hop minder hebt om die namen te resolven:
Je kunt de dnsmasq man page installeren met onderstaande als je deze op de prompt beschikbaar wilt hebben (is maar 1 of hooguit 2 KB):
Of op de web site opzoeken:
https://thekelleys.org.uk/dnsmasq/docs/dnsmasq-man.html
Dus als voorbeeld:
Maar dit alles is gewoon allemaal "patchen" ipv het werkelijke onderliggende probleem op te lossen dat het recursief niet lukt.
Voordat dit draadje helemaal uit de hand loopt met een muur aan configuraties, logs en pogingen etc, zou je de output voor onderstaande via een PM naar mij toe kunnen zenden svp?
Ik of jij kunnen dan relevante stukjes hier posten indien nodig.
Zonder dat je een forward-zone definitie hebt ge-configureerd (en met de juiste services.ing.nl naam deze keer):
Start hem op met het handje voor extra debug logging naar scherm:
In een andere SSH sessie:
Zodra je klaar bent met analiseren kun je unbound weer stoppen met CTRL-C.
En weer via systemd laten opstaren:
Tis altijd lastig met al die termen en begrippen en ik heb soms ook niet meteen alles door waardoor misverstanden onstaan.
Voordat ik verder ga, houdt er rekening mee dat ik in bovenstaande postings een paar keer de fout heb gemaakt met de domein naam service.ing.nl ipv services.ing.nl!
Volgens mij wat je met bovenstaande doet is alles wat een FQDN is (een naam is al een FQDN of partial FQDN zodra er ergens een puntje in staat) naar CF of Google forwarden.Riqy schreef op maandag 26 april 2021 @ 10:48:
forward-zone: name: "*.*" forward-addr: 1.1.1.1 forward-addr: 8.8.8.8
Dus heb je niet het gewenste effect dat alleen de ing.nl of services.ing.nl domeinen naar CF of Google gaan maar in plaats daarvan, alle DNS verzoekjes met een FQDN.
Beter zou zijn als je als name voor die forward-zone gebruikt services.ing.nl of mogelijk *ing.nl of mogelijk zelfs twee forward-zone definities, één met ing.nl en de ander met services.ing.nl.
En je hoeft niet persé die definities in het pi-hole.conf bestandje te plaatsen van de Pi-hole guide.
Je kunt ze ook in een nieuw appart bestandje plaatsen in diezelfde folder zoals in mijn voorbeeld:
/etc/unbound/unbound.conf.d/forward-zone.conf
Alle bestanden in die folder daar met de extensie .conf zullen door unbound geladen worden zoals gedefinieerd in onderstaand bestandje:
pi@ph5a:~ $ cat /etc/unbound/unbound.conf [..] include: "/etc/unbound/unbound.conf.d/*.conf"
Handig om te weten, je kunt dit zelfde ook verwezenlijken met embedded dnsmasq in pihole-FTL ipv met unbound waardaar je dus een hop minder hebt om die namen te resolven:
pi@ph5a:~ $ man dnsmasq
[..]
-S, --local, --server=[/[<domain>]/[domain/]][<ipaddr>[#<port>][@<source-ip>|<in‐
terface>[#<port>]]
Specify IP address of upstream servers directly. Setting this flag does not
suppress reading of /etc/resolv.conf, use --no-resolv to do that. If one or
more optional domains are given, that server is used only for those domains
and they are queried only using the specified server. This is intended for
private nameservers: if you have a nameserver on your network which deals
with names of the form xxx.internal.thekelleys.org.uk at 192.168.1.1 then
giving the flag --server=/internal.thekelleys.org.uk/192.168.1.1 will send
all queries for internal machines to that nameserver, everything else will
go to the servers in /etc/resolv.conf.
[..]Je kunt de dnsmasq man page installeren met onderstaande als je deze op de prompt beschikbaar wilt hebben (is maar 1 of hooguit 2 KB):
code:
1
| sudo apt install dnsmasq-base |
Of op de web site opzoeken:
https://thekelleys.org.uk/dnsmasq/docs/dnsmasq-man.html
Dus als voorbeeld:
pi@ph5a:~ $ sudo nano /etc/dnsmasq.d/forward-zone.conf server=/ing.nl/services.ing.nl/1.1.1.1 server=/ing.nl/services.ing.nl/8.8.8.8
pi@ph5a:~ $ pihole-FTL --test dnsmasq: syntax check OK.
pi@ph5a:~ $ sudo service pihole-FTL reload pi@ph5a:~ $
pi@ph5a:~ $ host ing.nl localhost Using domain server: Name: localhost Address: ::1#53 Aliases: ing.nl has address 23.208.42.118 ing.nl mail is handled by 10 ing-nl.mail.protection.outlook.com.
pi@ph5a:~ $ grep ing.nl /var/log/pihole.log | tail -20 [..] Apr 27 02:46:07 dnsmasq[17648]: using nameserver 8.8.8.8#53 for domain services.ing.nl Apr 27 02:46:07 dnsmasq[17648]: using nameserver 8.8.8.8#53 for domain ing.nl Apr 27 02:46:07 dnsmasq[17648]: using nameserver 1.1.1.1#53 for domain services.ing.nl Apr 27 02:46:07 dnsmasq[17648]: using nameserver 1.1.1.1#53 for domain ing.nl Apr 27 02:46:13 dnsmasq[17648]: query[A] ing.nl from ::1 Apr 27 02:46:13 dnsmasq[17648]: forwarded ing.nl to 8.8.8.8 Apr 27 02:46:13 dnsmasq[17648]: forwarded ing.nl to 1.1.1.1 Apr 27 02:46:13 dnsmasq[17648]: reply ing.nl is 23.208.42.118 Apr 27 02:46:13 dnsmasq[17648]: query[AAAA] ing.nl from ::1 Apr 27 02:46:13 dnsmasq[17648]: forwarded ing.nl to 8.8.8.8 Apr 27 02:46:13 dnsmasq[17648]: forwarded ing.nl to 1.1.1.1 Apr 27 02:46:13 dnsmasq[17648]: reply ing.nl is NODATA-IPv6 Apr 27 02:46:13 dnsmasq[17648]: query[MX] ing.nl from ::1 Apr 27 02:46:13 dnsmasq[17648]: forwarded ing.nl to 8.8.8.8 Apr 27 02:46:14 dnsmasq[17648]: forwarded ing.nl to 1.1.1.1
Maar dit alles is gewoon allemaal "patchen" ipv het werkelijke onderliggende probleem op te lossen dat het recursief niet lukt.
Voordat dit draadje helemaal uit de hand loopt met een muur aan configuraties, logs en pogingen etc, zou je de output voor onderstaande via een PM naar mij toe kunnen zenden svp?
Ik of jij kunnen dan relevante stukjes hier posten indien nodig.
Zonder dat je een forward-zone definitie hebt ge-configureerd (en met de juiste services.ing.nl naam deze keer):
code:
1
| sudo service unbound stop |
Start hem op met het handje voor extra debug logging naar scherm:
code:
1
| sudo /usr/sbin/unbound -ddd -vvv -c /etc/unbound/unbound.conf |
In een andere SSH sessie:
code:
1
| sudo unbound-control lookup services.ing.nl |
code:
1
| dig @localhost -p 5335 services.ing.nl |
code:
1
| dig @localhost -p 5335 tweakers.net |
Zodra je klaar bent met analiseren kun je unbound weer stoppen met CTRL-C.
En weer via systemd laten opstaren:
code:
1
| sudo service unbound start |
[ Voor 1% gewijzigd door deHakkelaar op 29-04-2021 02:33 . Reden: *ing.nl wildcard verwijdert want bereik is te groot ]
There are only 10 types of people in the world: those who understand binary, and those who don't
:strip_icc():strip_exif()/u/25009/crop65f1e3109d1b7_cropped.jpg?f=community)
:strip_icc():strip_exif()/u/72351/Toon_en_Len%25202015-02-02%252070x69.jpg?f=community)
:strip_icc():strip_exif()/u/23553/wile_e_coyote.jpg?f=community)
:strip_exif()/u/91615/hann1bal.gif?f=community)
:strip_icc():strip_exif()/u/280686/crop5c4d8c3b1fe37.jpeg?f=community)
:strip_icc():strip_exif()/u/340735/crop6448f8f93e3de.jpg?f=community)
/u/19267/crop5dafece992bf2.png?f=community)
:strip_icc():strip_exif()/u/16677/crop5db01361a1e1e_cropped.jpeg?f=community)
:strip_icc():strip_exif()/u/81368/Undergod_wk06.jpg?f=community)
:strip_exif()/u/49248/DPCkoeienUD.gif?f=community)
/u/1560236/crop601e5dc7ec9be_cropped.png?f=community)
:fill(white):strip_exif()/f/image/kcjtIeFAZbhY6eJCLfrcyCO5.png?f=user_large)
:strip_exif()/u/120076/crop662cc528d7e2f_cropped.webp?f=community)
:strip_icc():strip_exif()/u/707163/crop58b01c2398b01_cropped.jpeg?f=community)
:strip_icc():strip_exif()/u/116742/riqya.jpg?f=community)
:strip_exif()/u/25408/Eraser127-fiets.gif?f=community)
:strip_exif()/u/347735/crop58f65ba8bbb3d_cropped.gif?f=community)
/u/466660/crop56177ae3a192f_cropped.png?f=community)
/u/669546/crop645389a7e3f72_cropped.png?f=community)
:strip_exif()/u/119562/gunther.gif?f=community)
:fill(white):strip_exif()/f/image/6C078ncTiLHCZGa1sq2a9S78.png?f=user_large)
:strip_icc():strip_exif()/u/34700/crop6228645267b3e_cropped.jpg?f=community)
:strip_exif()/u/128173/crop59a1592e54731_cropped.gif?f=community)
:strip_icc():strip_exif()/u/166592/crop5dbd2b6a89ba9_cropped.jpeg?f=community)
