SERVFAIL-Meldungen im Unbound-log

update-freak

Benutzer
Mitglied seit
19. Feb 2018
Beiträge
396
Punkte für Reaktionen
36
Punkte
28
Hi zusammen,

mir ist aufgefallen, dass ich im log von Unbound diverse SERVFAIL-Meldungen habe.
Weiß jemand woran das liegt und ob ich aktiv werden muss?
(Unbound läuft in Kombination mit Adguard; docker compose weiter unter)
Hatte auch zuletzt öfter den Fall, dass im Netzwerk nichts mehr ging (DNS wurde nicht gefunden) und nur durch einen Synology Neustart das Problem behoben wurde (weiß jedoch nicht ob das mit dem hier zu tun hat)

Code:
Sep 06 05:00:28 unbound[7:0] info: start of service (unbound 1.21.0).
Sep 06 05:57:17 unbound[7:0] error: SERVFAIL <www.paypalobjects.com. A IN>: misc failure
Sep 06 06:20:51 unbound[7:0] error: SERVFAIL <i.pinimg.com. A IN>: all servers for this domain failed, at zone akapinimg.net. from 23.211.133.65 got REFUSED
Sep 06 07:05:14 unbound[7:0] error: SERVFAIL <216.58.202.4.in-addr.arpa. PTR IN>: misc failure
Sep 06 08:03:29 unbound[7:0] error: SERVFAIL <2.europe.pool.ntp.org. A IN>: exceeded the maximum nameserver nxdomains
Sep 06 15:23:03 unbound[7:0] error: SERVFAIL <deutsches-schulportal.de. HTTPS IN>: all servers for this domain failed, at zone deutsches-schulportal.de. upstream server timeout
Sep 06 22:11:20 unbound[7:0] error: SERVFAIL <i.pinimg.com. HTTPS IN>: all servers for this domain failed, at zone akapinimg.net. from 23.211.133.65 got REFUSED
Sep 06 22:11:20 unbound[7:1] error: SERVFAIL <i.pinimg.com. A IN>: all servers for this domain failed, at zone akapinimg.net. from 23.211.133.65 got REFUSED
Sep 06 22:11:20 unbound[7:1] error: SERVFAIL <i.pinimg.com. HTTPS IN>: all servers for this domain failed, at zone akapinimg.net. from 23.211.133.65 got REFUSED
Sep 06 22:11:30 unbound[7:1] error: SERVFAIL <i.pinimg.com. A IN>: all servers for this domain failed, at zone akapinimg.net. from 23.211.133.65 got REFUSED
Sep 07 03:50:45 unbound[7:0] error: SERVFAIL <i.pinimg.com. A IN>: all servers for this domain failed, at zone akapinimg.net. from 23.211.132.65 got REFUSED
Sep 07 08:10:45 unbound[7:0] error: SERVFAIL <i.pinimg.com. HTTPS IN>: exceeded the maximum nameserver nxdomains
Sep 07 10:06:54 unbound[7:0] error: SERVFAIL <v1.pinimg.com. A IN>: all servers for this domain failed, at zone akapinimg.net. from 23.211.132.65 got REFUSED

docker compose Unbound:
Code:
version: "3"
services:
  unbound:
    container_name: Unbound
    image: madnuttah/unbound:latest
    ports:
      - 5335:5335/tcp
      - 5335:5335/udp
    volumes:
      - /volume1/docker/unbound/unbound.conf:/usr/local/unbound/unbound.conf:rw
      - /volume1/docker/unbound/conf.d/:/usr/local/unbound/conf.d/:rw
      - /volume1/docker/unbound/iana.d/:/usr/local/unbound/iana.d/:rw
      - /volume1/docker/unbound/zones.d/:/usr/local/unbound/zones.d/:rw
    network_mode: host
    environment:
      - UNBOUND_UID=1026
      - UNBOUND_GID=100
      - TZ=Europe/Berlin
    restart: always
    healthcheck:
      test: /usr/local/unbound/sbin/healthcheck.sh
      interval: 60s
      retries: 5
      start_period: 15s
      timeout: 30s
 

update-freak

Benutzer
Mitglied seit
19. Feb 2018
Beiträge
396
Punkte für Reaktionen
36
Punkte
28
Klar, stimmt. hier die Einstellungen dazu.

unbound.conf
Code:
include: "/usr/local/unbound/conf.d/*.conf"
include: "/usr/local/unbound/zones.d/*.conf"
 
server:
  module-config: "validator iterator"
  username: ""
  directory: "/usr/local/unbound"
  chroot: ""
  do-daemonize: no
  tls-cert-bundle: /etc/ssl/certs/ca-certificates.crt

access-control.conf
Code:
server:   
  access-control: 127.0.0.0/8 allow
  access-control: 192.168.0.0/16 allow
  access-control: 172.16.0.0/12 allow
  access-control: 10.0.0.0/8 allow
  access-control: 172.16.0.253 allow
  access-control: 0.0.0.0/0 allow
  access-control: fc00::/7 deny
  access-control: ::1/128 deny
  access-control: ::0/0 deny
  access-control: ::ffff:127.0.0.1 deny

interfaces.conf
Code:
server:   
  #interface: 127.0.0.1@53
  #interface: ::1@53
  interface: 0.0.0.0@5335
  #interface: ::0@5335
 
  #outgoing-interface: 0.0.0.0
 
  so-reuseport: yes
 
  do-ip4: yes
  do-ip6: no
  do-tcp: yes
  do-udp: yes
  udp-connect: yes
 
  prefer-ip4: yes
  prefer-ip6: no

logging.conf
Code:
server:   
  use-syslog: no
  log-time-ascii: yes
  logfile: ""
  log-local-actions: no
  log-queries: no
  log-replies: no
  log-servfail: yes
  val-log-level: 2
  verbosity: 1

performace.conf
Code:
server:   
  num-threads: 2
  num-queries-per-thread: 4096
  cache-max-ttl: 86400
  cache-min-ttl: 0
  edns-buffer-size: 1472
  rrset-roundrobin: yes
  neg-cache-size: 4M
  delay-close: 10000
  rrset-cache-size: 256m
  rrset-cache-slabs: 4
  ratelimit: 1000
  unwanted-reply-threshold: 10000
  infra-cache-slabs: 4
  infra-cache-numhosts: 100000
  msg-cache-size: 256m
  msg-cache-slabs: 4
  key-cache-size: 4m
  key-cache-slabs: 4
  prefetch: yes
  prefetch-key: yes
  serve-expired: yes
  max-udp-size: 4096
  msg-buffer-size: 65552
  stream-wait-size: 4m
  outgoing-range: 32768
  outgoing-port-permit: 32768

remote-control.conf
Code:
remote-control:
  control-enable: no
  control-use-cert: no

security.conf
Code:
server:   
  do-not-query-localhost: no
 
  unblock-lan-zones: no
  insecure-lan-zones: yes
 
  private-address: 10.0.0.0/8
  private-address: 172.16.0.0/12
  private-address: 192.168.0.0/16
  private-address: 169.254.0.0/16
  private-address: fd00::/8
  private-address: fe80::/10
  private-address: ::ffff:0:0/96
 
  hide-identity: yes
  identity: "server"
  hide-version: yes
  version: ""   
  aggressive-nsec: yes
  qname-minimisation: yes
  qname-minimisation-strict: no   
  disable-dnssec-lame-check: no
  hide-trustanchor: yes
  harden-algo-downgrade: yes
  harden-below-nxdomain: yes
  harden-dnssec-stripped: yes
  harden-glue: yes
  harden-large-queries: yes
  harden-referral-path: yes
  harden-short-bufsize: yes
  minimal-responses: yes
  deny-any: yes
  use-caps-for-id: yes
  val-clean-additional: yes
  val-max-restart: 5
  root-key-sentinel: yes
  zonemd-permissive-mode: no

trust-anchor.conf
Code:
server:   
  auto-trust-anchor-file: ""
  trust-anchor-signaling: no

auth-zone.conf
Code:
auth-zone:
  name: "."
  primary: 198.41.0.4 # a.root-servers.net
  primary: 170.247.170.2 # b.root-servers.net
  primary: 192.33.4.12 # c.root-servers.net
  primary: 199.7.91.13 # d.root-servers.net
  primary: 192.203.230.10 # e.root-servers.net
  primary: 192.5.5.241 # f.root-servers.net
  primary: 192.112.36.4 # g.root-servers.net
  primary: 198.97.190.53 # h.root-servers.net
  primary: 192.36.148.17 # i.root-servers.net
  primary: 192.58.128.30 # j.root-servers.net 
  primary: 193.0.14.129 # k.root-servers.net
  primary: 199.7.83.42 # l.root-servers.net
  primary: 202.12.27.33 # m.root-servers.net
  primary: 2001:503:ba3e::2:30 # a.root-servers.net
  primary: 2801:1b8:10::b # b.root-servers.net
  primary: 2001:500:2::c # c.root-servers.net
  primary: 2001:500:2d::d # d.root-servers.net
  primary: 2001:500:a8::e # e.root-servers.net
  primary: 2001:500:2f::f # f.root-servers.net
  primary: 2001:500:12::d0d # g.root-servers.net
  primary: 2001:500:1::53 # h.root-servers.net
  primary: 2001:7fe::53 # i.root-servers.net
  primary: 2001:503:c27::2:30 # j.root-servers.net
  primary: 2001:7fd::1 # k.root-servers.net
  primary: 2001:500:9f::42 # l.root-servers.net
  primary: 2001:dc3::35 # m.root-servers.net
  url: "https://www.internic.net/domain/root.zone"
  fallback-enabled: yes
  for-downstream: no
  for-upstream: yes
  zonemd-check: no
  zonemd-reject-absence: no
  zonefile: "/usr/local/unbound/iana.d/root.zone"

in Adguard Home ist folgendes einstellt:
Upstream-DNS-Server:
Code:
# Unbound
127.0.0.1:5335
# Fritz!Box
[/178.168.192.in-addr.arpa/]192.168.178.1
[/fritz.box/]192.168.178.1

Private inverse DNS-Server
Code:
# Unbound
127.0.0.1:5335
 

mj084

Benutzer
Mitglied seit
14. Feb 2024
Beiträge
259
Punkte für Reaktionen
57
Punkte
28
Was ist in der FritzBox selbst bei den beiden DNS-Server Einträgen (Internetzugang und Heimnetz) eingestellt?

Meine "trust-anchor.conf" schaut so aus:


Code:
server:
  auto-trust-anchor-file: "/usr/local/unbound/iana.d/root.key"
  trust-anchor-signaling: yes

Den privaten inverse DNS-Server kannst du rausnehmen, da der Eintrag mit Unbound selbst nix bringt ;)

Für korrekte DNS-Namen der Clients, müsste hier die IP der FritzBox rein, aber das ballert nur das Adguard Log mit Fehlern voll:

https://www.synology-forum.de/threa...-erweiterte-konfiguration.132761/post-1181869

--> ich habe den Clients feste IPs via DHCP vergeben (Achtung bei iOS und Android --> random MAC) und dann die Zuordnung in AdGuard händisch angepasst - macht man ja quasi nur einmal...
 
  • Like
Reaktionen: update-freak

update-freak

Benutzer
Mitglied seit
19. Feb 2018
Beiträge
396
Punkte für Reaktionen
36
Punkte
28
dank dir :)
Also bei der Fritzbox ist folgendes eingetragen:
  • Internet -> Zugangsdaten -> DNS-Server -> DNSv4-Server: Andere DNSv4-Server verwenden -> Bevorzugter DNSv4-Server: IP vom NAS
  • Internet -> Zugangsdaten -> DNS-Server -> DNSv4-Server: Andere DNSv4-Server verwenden -> Alternativer DNSv4-Server: IP vom NAS
  • Heimnetz -> Netzwerk -> Netzwerkeinstellungen -> weitere Einstellungen -> IPv4 Adressen -> Lokaler DNS-Server: IP vom NAS
Danke, dann nehme ich den EIntrag vom interse DNS-Server mal raus und passe trust-anchor.conf wie bei dir an.
 
  • Like
Reaktionen: mj084

update-freak

Benutzer
Mitglied seit
19. Feb 2018
Beiträge
396
Punkte für Reaktionen
36
Punkte
28
Habe den Fehler ab und zu noch immer.
Aber durch die Anpassung im trust-anchor.conf hatte ich zumindest keine Aussetzer mehr :)
Macht es Sinn wenn ich noch die Adguard Home Einstellungen hier poste?
 

Anhänge

  • log.txt
    3,1 KB · Aufrufe: 1


 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat