Unbound DNS: устранение неполадок с опцией ssl-upstream и / или интерфейсом vpn

Question

Unbound DNS: устранение неполадок с опцией ssl-upstream и / или интерфейсом vpn

Недавно я хотел установить unbound вместо dnscrypt для разрешения запросов с моей пи-дырой на рашпиле.

Версия unbound, доступная на Raspbian, сейчас 1.6.0.

При активации опций

ssl-upstream: yes
ssl-service-key: "/etc/ssl/certs/ca-certificates.crt"

перестал работать unbound и у нас что-то подобное в логах:

[1556709926] unbound[4394:0] info: server stats for thread 0: 23 queries, 7 answers from cache, 16 recursions, 0 prefetch
[1556709926] unbound[4394:0] info: server stats for thread 0: requestlist max 13 avg 1.875 exceeded 0 jostled 0
[1556709926] unbound[4394:0] info: mesh has 0 recursion states (0 with reply, 0 detached), 0 waiting replies, 16 recursion replies sent, 0 replies dropped, 0 states jostled out
[1556709926] unbound[4394:0] info: average recursion processing time 0.948223 sec
[1556709926] unbound[4394:0] info: histogram of recursion processing times
[1556709926] unbound[4394:0] info: [25%]=0.32768 median[50%]=0.603573 [75%]=0.920715
[1556709926] unbound[4394:0] info: lower(secs) upper(secs) recursions
[1556709926] unbound[4394:0] info:    0.000000    0.000001 1
[1556709926] unbound[4394:0] info:    0.008192    0.016384 1
[1556709926] unbound[4394:0] info:    0.016384    0.032768 1
[1556709926] unbound[4394:0] info:    0.262144    0.524288 4
[1556709926] unbound[4394:0] info:    0.524288    1.000000 6
[1556709926] unbound[4394:0] info:    1.000000    2.000000 1
[1556709926] unbound[4394:0] info:    2.000000    4.000000 2
[1556709926] unbound[4394:0] debug: cache memory msg=33040 rrset=33040 infra=17292 val=40931
[1556709926] unbound[4394:0] debug: switching log to stderr

Я также попытался настроить unbound для отправки запросов через соединение vpn на самом rasp, но я не могу разрешить, очевидно, через соединение vpn. Я попытался настроить его путем жесткого кодирования IP-адреса из подключения VPN, тот же результат. Я пытался использовать udp и tcp отдельно, тот же результат

Я что-то пропустил? У меня есть подключение через мой VPN, так что это не проблема, по-видимому. И проблема исчезнет, как только я деактивирую соединение vpn. Или все это должно произойти в 1.6?

У кого-нибудь есть идеи по этому поводу?

Заранее спасибо.

1

unbound

Источник

vigilian 01 май '19 в 12:12

1 ответ

Другие вопросы по тегам unbound

Matija Nalis 15 мар '20 в 20:09 2020-03-15 20:09 · Answer 1 · 2020-03-15 20:09

По крайней мере, это похоже на неправильные варианты.ssl-service-keyследует указать закрытый ключ вашего экземпляра (а не список доверенных центров сертификации!), и вы всегда будете использовать его в сочетании с его открытым ключом вssl-service-pem, в противном случае вам не следует его использовать. Для моего Debian Stretch следующая конфигурация позволяет прослушивать простые DNS-запросы на порту 53, а также запросы DoT (DNS-over-TLS) на порту 853 на всех адресах (как для IPv4, так и для IPv6).

      server:
  #verbosity: 2
  interface: 0.0.0.0
  interface: ::0
  interface: 0.0.0.0@853
  interface: ::0@853
  #tls-cert-bundle: /etc/ssl/certs/ca-certificates.crt
  ssl-service-key: "/var/lib/acme/live/your.domain.example.com/privkey"
  ssl-service-pem: "/var/lib/acme/live/your.domain.example.com/fullchain"
  ssl-port: 853

Это пример окончательного преобразователя, поэтому он не использует серверы пересылки (вам потребуетсяforward-zoneблок для этого. Также вы можете проверить/usr/share/doc/unbound/examples/unbound.confнапример конфиг с пояснениями. В моем примере я использую acmetool для генерации ключей/сертификатов в/var/lib/acme/liveавтоматически, но вы можете использовать любой способ (или даже пропустить его, если вас не волнует безопасность).