Habe mal die docs durchgesehen und wie harihegen schon sagte, werden von Haus aus die Root Nameserver genommen. Von denen geht es dann weiter zu den Nameservern der TLDs und von dort dann zu den NS der jeweiligen Domain. Aktuell - und eigentlich fest für immer - haben wir 13 Root Nameserver bei der ICANN.
Im besten Fall sind also 3 - ansonsten mindestens 4 Nameserver involviert.
Unbound nutzt Round-Robin und geht die hinterlegten Server der Reihe nach durch. Also DNS A, dann B, dann C, etc. Welche bei dir hinterlegt sind und welche als Standard mitkommen, kann ich dir leider nicht sagen. Ich glaube ich muss mich mal mehr mit unbound beschäftigen.
Hatte mir vor längerer Zeit diesen Link gespeichert...finde ich recht anschaulich dargestellt.
Oh ja - das ist gut erklärt. Danke dir
Gut dem ist aber unmöglich zu entkommen, denn wenn die Root-Nameserver zensiert werden hat man einfach keine chance das zu umgehen, außer man kennt die IP
In der Tat. Ich erinnere mich diesbezüglich an eine Diskussion, ob .amazon der Firma gehören sollte oder dem Amazonasgebiet. Die Anstrengungen der Regierungen, die damals Einfluss nehmen wollte, waren offiziell ja Copyright bzw Markenrechts-Geschichten. Da sollte nicht offiziell "zensiert" werden, sondern nur die Rechte gewahrt werden. Ich würde vermuten, dass eine Firma wie Amazon da bessere Karten hat xD
Ich glaube wir reden hier einfach aneinander vorbei. Die sind durchaus übergeordnet. Aber sie sind halt nicht völlig unabhängig. Die werden von der ICANN betrieben und die hat bereits vor 10 Jahren oder so staatliche Einflussnahme bemängelt. Aber okay.. das ist ein anderes Thema.
Worum es mir ging ist, dass es trotz allem halt Nameserver sind. Es spielt für unbound jetzt aber keine Rolle, ob du diese oder irgendeinen anderen nutzt. Das Prinzip ist ja stets das Gleiche. Was im Cache liegt, wird verwendet und zur Verfügung gestellt. Was im Cache fehlt, wird dann halt extern besorgt. Entweder über die Root, oder halt jeden anderen Nameserver.
Zudem musst du ja in jedem Fall trotzdem zu weiteren Nameservern verbinden, da die Root ja nur die TLD verwalten. Alles an Subdomains und Domains wird ja dann entsprechend von deren NS ausgespuckt. Also geht es von den Root z.B. zur Denic, dann zu (Beispiel) ns5.kasserver.com (falls du bei all-inkl bist), usw.
Es geht hier ja auch nicht um den Aufbau des Internets sondern um das DNS System.
Das Internet sind in erster Linie einfach miteinander verbunden Computer. Und sind erstmal unabhängig von DNS, da die Computer untereinander über IP Adressen kommunizieren.
Der Grund warum es DNS und Domainnamen gibt, liegt an uns Menschen. Da wir uns "forum.linuxguides.de" einfach besser merken können als "91.204.46.223".
Hast du jetzt echt nen lookup gemacht?^^
Das glaube ich keinem DNS
Aber das tust du doch. Wenn du die Root Nameserver verwendest, lässt du all deine Anfragen über DNS laufen, die in den USA stehen und vom US-Handelsministerium kontrolliert werden. Die Root Nameserver sind ja keine übergeordneten neutralen Nameserver. Man will das Ganze natürlich so aufbauen. Es gibt Direktoren, eine Art Gremium, etc.
Aber ich denke, wir schweifen hier ab. Die Funktionsweise ist ja in jedem Fall die selbe. Unbekannte Domains werden extern angefragt und wo das geschieht, kann man wählen. Man kann einen der 13 Root Nameserver wählen, einen untergeordneten NS, einen alternativen, usw. Das ist ja letztendlich jedem selbst überlassen.
Also das selbe ist das ja nun nicht. Wenn ich eine Anfrage zunächst an dnsforge oder andere stelle dann bin ich deren Zensur und Logging unterworfen. Die Rootserver aber werden auch von dnsforge etc. abgefragt. Mein unbound fragt also wie jeder andere DNS Server auch direkt nach, wenn das alles so funktioniert was sich schwer prüfen lässt.
Aber das ändert doch an meiner Erklärung nichts. Du kannst doch die DNS frei wählen. Wenn du die Rootnameserver verwendest, ist das doch okay. Aber man kann ja stattdessen auch andere nutzen. Es sind aber in jedem Fall upstream-server zu denen eine Verbindung aufgebaut wird.
Der Vorteil von den genannten DNS ist ja, dass diese eben nicht zensiert werden.
Mit Unbound vermeidest du halt, das alle DNS Anfragen von einem Server beantwortet werden.
Die DNS-Anfragen werden dann je nach Inhalt auf verschiedene autoritative Server (Das sind die, die auch dem "gewöhnlichen" DNS-Server die Daten liefern.) verteilt.
Diese Anleitung ist auch ganz gut:
https://anleitungen.codeberg.page/PiHole-einrichtung/unbound.html
Aber das ist doch was ich sagte, oder nicht? Ich glaube ich stehe gerade voll auf dem Schlauch xD
Round-Robin. Jede Anfrage die nicht bereits im Cache vorhanden ist und beantwortet werden kann, wird durch abwechselnde Anfragen an die upstream ergänzt und dann beim nächsten Mal aus dem Cache beantwortet.
Ich habe das so verstanden das unbound die root Server befragt.
Zitat von " www . creativeturtle.de/tutorials/pihole-teil-3-unbound/":Unbound ist ein DNS-Server und ist damit in der Lage die DNS-Anfragen im Heimnetz von allen Endgeräten selbstständig zu beantworten. Damit müssen DNS-Anfragen nicht mehr zu den eingestellten Upstream-Servern in PiHole weitergeleitet werden, sondern werden lokal auf dem Raspberry Pi beantwortet. Zu einer Anfrage einer Domain wie creativeturtle.de erhält der Browser die IP-Adresse also nicht mehr von einem Server im Internet, sondern von Unbound auf deinem Raspberry Pi.
Damit dies möglich ist hat Unbound sogenannte Rootlisten hinterlegt. In diesen sind die Rootnameserver definiert, die vereinfacht gesagt alle IPs des Internets gespeichert haben. Die Rootnameserver sind also so etwas wie die vollständigen Adressbücher des Internets. Unbound befragt diese Rootnameserver bei einer Anfrage nach der richtigen IP und speichert diese danach im Cache ab. Bei der ersten Anfrage einer Domain, die Unbound bisher noch nicht beantwortet hat, fällt die Antwortzeit daher etwa genauso lang aus wie bei einer Anfrage an einen „normalen“ DNS-Server im Internet. Bei jeder weiteren Anfrage ist die Antwortzeit jedoch sehr viel geringer, da Unbound die zugehörige IP der Domain abgespeichert hat. Dadurch ist Unbound langfristig schneller als ein klassischer DNS-Server, da viele Anfragen nicht an einen externen Server weitergeleitet werden müssen. Der Vorteil ist mehr Privatsphäre und Sicherheit da DNS-Anfragen seltener an die Rootnameserver gestellt werden müssen. Um Manipulationen der DNS-Antworten vorzubeugen solltest du DNSSEC nutzen.
/Zitat Ende
Wenn das alles nicht so wäre könnte ich mir den Aufwand mit unbound sparen.
Aber das ist doch das selbe. Also die Rootnamserver sind doch dann deine upstream-server. Hinzu kommt noch, dass die 13 Rootnameserver - wenn ich mich richtig erinnere - allesamt in den USA stehen und von amerikanischen Unternehmen betrieben werden. Dein Unbound sendet also bei jeder unbekannten URL (und beim cache-update) eine Anfrage in die USA.
Ob das jetzt schlimm ist, muss jeder selbst beurteilen. Mir persönlich wäre dann aber dnsforge, censurfridns, etc lieber
Ich bin mir nicht ganz sicher ob das so stimmt denn eigentlich habe ich unbound installiert damit ich keine Upstream DNS Server eintragen muss.
Meine pihole Konfigurationsseite:
Was genau meinst du? Pihole nutzt so doch unbound, aber unbound selbst muss seine Daten ja irgendwo her beziehen. Also nutzt unbound upstream server um den Cache zu füllen. Du verlagerst das doch so einfach von pihole auf unbound aus, oder nicht?
Wir Menschen denken in Webseiten, während Server ja eigentlich über IP-Adressen angesprochen und miteinander verbunden werden. Du tippst google.de ein und dein Rechner muss dann wissen, unter welcher IP er besagten Server bzw Informationen zur Domain findet.
Ein DNS Resolver ist eine Art Internet-Telefonbuch. Du nennst die Webseite und der DNS spuckt dann die IP aus und du kannst dich verbinden.
Theoretisch weiß ein solcher DNS also sehr viel über dich und kennt alle besuchten Webseiten. Bist du zum Beispiel Kunde der Telekom, wird von deinem Router - so lange du dies nicht änderst - der DNS der Telekom verwendet.
Du hast nun die Möglichkeit, an deinen Geräten oder zentral im Router alternative DNS anzugeben. Es gibt sehr viele freie (zensurfrei) und deine Privatsphäre respektierende DNS, die du nutzen kannst.
Unbound geht nun einen Schritt weiter und gestattet dir, einen eigenen DNS Resolver zu betreiben. Dazu cached dieser die Informationen und teilt sie dir auf Anfrage mit. Weiß dein Unbound DNS nicht selbst, unter welcher IP eine Domain zu finden ist, fragt er für dich bei einem öffentlichen DNS nach. Dabei hast du die Möglichkeit, verschiedene/mehrere Upstream-Server anzugeben. Dein Unbound nutzt dann das Round-Robin-Verfahren und fragt die bekannten Server nacheinander ab. Also nacheinander je Anfrage. So landet jede Anfrage bei einem anderen DNS und diese bekommen so jeweils nur einen Bruchteil deiner Suchanfragen mit.
Zuhause läuft das Ganze also wie folgt ab:
Zusätzlich gibt es noch die Möglichkeit, Werbung und Tracker zu unterbinden. Dies funktioniert so, dass bekannte Domains dieser Tracker und Werbenetzwerke halt nicht aufgelöst werden. Dir wird nur der Teil aufgelöst, welcher zu einer Webseite führt, nicht jedoch die Domains der Werbetracker und Banner. Aus diesem Grund können diese Server dann auch nicht angefragt werden, da die IP unbekannt ist.
Grundsätzlich geht das Ganze auch mit den bekannten Lösungen wie pihole oder adguard. Diese sind jedoch in der Regel nur zwischengeschaltet, während unbound einen eigenen Cache verwendet. Das soll das Ganze dann beschleunigen. Unbound setzt hier also auf Geschwindigkeit und soll Ladezeiten verkürzen. Ob du das wirklich merkst, kann ich nicht beurteilen. Ein Vorteil dürfte aber auf jeden Fall sein, dass jede Domain nur einmalig angefragt wird und nicht wie bei pihole und Co jedes Mal. Dafür musst du halt schauen, wie aktuell dein Datenbestand dann ist. So ganz hinkommen wirst du bei Webseiten nicht, die vielleicht hier und da die IP bzw NS wechseln. Es wird also auch hier mehrere Abfragen geben.
