haben wir 13 Root Nameserver
12 hätten auch gereicht - aber sie kennen auch das Märchen!
Beiträge von harihegen im Thema „unbound DNS“
-
-
Also, ich habe das Logging von unbound eingeschalten und mal "mastodon.social" aufgerufen, so sieht das dann aus, möglicherweise sind mittendrin noch andere Einträge da ja meine gesamte Infrastruktur diesen Service nutzt.
Ich schalte das Log wieder aus.Code
Alles anzeigen[1674582475] unbound[3515:0] info: 127.0.0.1 static-cdn.mastodon.social. A IN [1674582475] unbound[3515:0] info: resolving static-cdn.mastodon.social. A IN [1674582475] unbound[3515:0] info: error sending query to auth server 2400:cb00:2049:1::a29f:1904 port 53 [1674582475] unbound[3515:0] info: 127.0.0.1 static-cdn.mastodon.social. AAAA IN [1674582475] unbound[3515:0] info: resolving static-cdn.mastodon.social. AAAA IN [1674582475] unbound[3515:0] info: response for static-cdn.mastodon.social. AAAA IN [1674582475] unbound[3515:0] info: reply from <mastodon.social.> 162.159.25.4#53 [1674582475] unbound[3515:0] info: query response was CNAME [1674582475] unbound[3515:0] info: resolving static-cdn.mastodon.social. AAAA IN [1674582475] unbound[3515:0] info: error sending query to auth server 2001:503:231d::2:30 port 53 [1674582475] unbound[3515:0] info: response for static-cdn.mastodon.social. A IN [1674582475] unbound[3515:0] info: reply from <mastodon.social.> 162.159.26.4#53 [1674582475] unbound[3515:0] info: query response was CNAME [1674582475] unbound[3515:0] info: resolving static-cdn.mastodon.social. A IN [1674582475] unbound[3515:0] info: response for static-cdn.mastodon.social. A IN [1674582475] unbound[3515:0] info: reply from <net.> 192.48.79.30#53 [1674582475] unbound[3515:0] info: query response was REFERRAL [1674582475] unbound[3515:0] info: resolving ns2.bunnydns.com. AAAA IN [1674582475] unbound[3515:0] info: resolving ns3.bunnydns.com. A IN [1674582475] unbound[3515:0] info: error sending query to auth server 2001:503:83eb::30 port 53 [1674582475] unbound[3515:0] info: resolving ns1.bunnydns.com. AAAA IN [1674582475] unbound[3515:0] info: error sending query to auth server 2001:502:1ca1::30 port 53 [1674582475] unbound[3515:0] info: error sending query to auth server 2001:503:eea3::30 port 53 [1674582475] unbound[3515:0] info: resolving ns2.bunnydns.com. A IN [1674582475] unbound[3515:0] info: error sending query to auth server 2001:503:a83e::2:30 port 53 [1674582475] unbound[3515:0] info: resolving ns3.bunnydns.com. AAAA IN [1674582475] unbound[3515:0] info: error sending query to auth server 2001:502:8cc::30 port 53 [1674582475] unbound[3515:0] info: error sending query to auth server 2001:501:b1f9::30 port 53 [1674582475] unbound[3515:0] info: resolving ns1.bunnydns.com. A IN [1674582475] unbound[3515:0] info: response for static-cdn.mastodon.social. AAAA IN [1674582475] unbound[3515:0] info: reply from <net.> 192.43.172.30#53 [1674582475] unbound[3515:0] info: query response was REFERRAL [1674582475] unbound[3515:0] info: response for ns3.bunnydns.com. AAAA IN [1674582475] unbound[3515:0] info: reply from <com.> 192.31.80.30#53 [1674582475] unbound[3515:0] info: query response was REFERRAL [1674582475] unbound[3515:0] info: response for ns2.bunnydns.com. AAAA IN [1674582475] unbound[3515:0] info: reply from <com.> 192.31.80.30#53 [1674582475] unbound[3515:0] info: query response was REFERRAL [1674582475] unbound[3515:0] info: response for ns3.bunnydns.com. A IN [1674582475] unbound[3515:0] info: reply from <com.> 192.41.162.30#53 [1674582475] unbound[3515:0] info: query response was REFERRAL [1674582475] unbound[3515:0] info: response for ns1.bunnydns.com. AAAA IN [1674582475] unbound[3515:0] info: reply from <com.> 192.52.178.30#53 [1674582475] unbound[3515:0] info: query response was REFERRAL [1674582475] unbound[3515:0] info: response for ns2.bunnydns.com. A IN [1674582475] unbound[3515:0] info: reply from <com.> 192.54.112.30#53 [1674582475] unbound[3515:0] info: query response was REFERRAL [1674582475] unbound[3515:0] info: response for ns1.bunnydns.com. A IN [1674582475] unbound[3515:0] info: reply from <com.> 192.42.93.30#53 [1674582475] unbound[3515:0] info: query response was REFERRAL [1674582475] unbound[3515:0] info: response for ns3.bunnydns.com. A IN [1674582475] unbound[3515:0] info: reply from <bunnydns.com.> 185.85.196.65#53 [1674582475] unbound[3515:0] info: query response was ANSWER [1674582475] unbound[3515:0] info: response for ns1.bunnydns.com. AAAA IN [1674582475] unbound[3515:0] info: reply from <bunnydns.com.> 185.85.196.65#53 [1674582475] unbound[3515:0] info: query response was ANSWER [1674582475] unbound[3515:0] info: response for ns3.bunnydns.com. AAAA IN [1674582475] unbound[3515:0] info: reply from <bunnydns.com.> 185.120.23.100#53 [1674582475] unbound[3515:0] info: query response was ANSWER [1674582475] unbound[3515:0] info: response for ns1.bunnydns.com. AAAA IN [1674582475] unbound[3515:0] info: reply from <bunnydns.com.> 185.85.196.65#53 [1674582475] unbound[3515:0] info: query response was nodata ANSWER [1674582475] unbound[3515:0] info: response for ns2.bunnydns.com. AAAA IN [1674582475] unbound[3515:0] info: reply from <bunnydns.com.> 157.53.226.1#53 [1674582475] unbound[3515:0] info: query response was ANSWER [1674582475] unbound[3515:0] info: response for ns2.bunnydns.com. A IN [1674582475] unbound[3515:0] info: reply from <bunnydns.com.> 185.120.23.100#53 [1674582475] unbound[3515:0] info: query response was ANSWER [1674582475] unbound[3515:0] info: response for ns1.bunnydns.com. A IN [1674582475] unbound[3515:0] info: reply from <bunnydns.com.> 157.53.226.1#53 [1674582475] unbound[3515:0] info: query response was ANSWER [1674582475] unbound[3515:0] info: response for ns3.bunnydns.com. AAAA IN [1674582475] unbound[3515:0] info: reply from <bunnydns.com.> 185.120.23.100#53 [1674582475] unbound[3515:0] info: query response was nodata ANSWER [1674582475] unbound[3515:0] info: response for static-cdn.mastodon.social. AAAA IN [1674582475] unbound[3515:0] info: reply from <b-cdn.net.> 185.120.23.100#53 [1674582475] unbound[3515:0] info: query response was ANSWER [1674582475] unbound[3515:0] info: response for static-cdn.mastodon.social. A IN [1674582475] unbound[3515:0] info: reply from <b-cdn.net.> 185.120.23.100#53 [1674582475] unbound[3515:0] info: query response was ANSWER [1674582475] unbound[3515:0] info: NSEC3s for the referral proved no DS. [1674582475] unbound[3515:0] info: Verified that unsigned response is INSECURE [1674582475] unbound[3515:0] info: response for ns2.bunnydns.com. AAAA IN [1674582475] unbound[3515:0] info: reply from <bunnydns.com.> 185.120.23.100#53 [1674582475] unbound[3515:0] info: query response was nodata ANSWER [1674582475] unbound[3515:0] info: response for static-cdn.mastodon.social. AAAA IN [1674582475] unbound[3515:0] info: reply from <b-cdn.net.> 185.85.196.65#53 [1674582475] unbound[3515:0] info: query response was ANSWER [1674582476] unbound[3515:0] info: 127.0.0.1 files.mastodon.social. A IN [1674582476] unbound[3515:0] info: resolving files.mastodon.social. A IN [1674582476] unbound[3515:0] info: error sending query to auth server 2400:cb00:2049:1::a29f:1b04 port 53 [1674582476] unbound[3515:0] info: 127.0.0.1 files.mastodon.social. AAAA IN [1674582476] unbound[3515:0] info: resolving files.mastodon.social. AAAA IN [1674582476] unbound[3515:0] info: response for files.mastodon.social. A IN [1674582476] unbound[3515:0] info: reply from <mastodon.social.> 162.159.27.4#53 [1674582476] unbound[3515:0] info: query response was CNAME [1674582476] unbound[3515:0] info: resolving files.mastodon.social. A IN [1674582476] unbound[3515:0] info: resolving ns2.bunnydns.com. AAAA IN [1674582476] unbound[3515:0] info: resolving ns3.bunnydns.com. AAAA IN [1674582476] unbound[3515:0] info: resolving ns1.bunnydns.com. AAAA IN [1674582476] unbound[3515:0] info: response for files.mastodon.social. A IN [1674582476] unbound[3515:0] info: reply from <b-cdn.net.> 185.120.23.100#53 [1674582476] unbound[3515:0] info: query response was ANSWER [1674582476] unbound[3515:0] info: NSEC3s for the referral proved no DS. [1674582476] unbound[3515:0] info: Verified that unsigned response is INSECURE [1674582476] unbound[3515:0] info: NSEC3s for the referral proved no DS. [1674582476] unbound[3515:0] info: Verified that unsigned response is INSECURE [1674582476] unbound[3515:0] info: response for files.mastodon.social. AAAA IN [1674582476] unbound[3515:0] info: reply from <mastodon.social.> 199.247.155.53#53 [1674582476] unbound[3515:0] info: query response was CNAME [1674582476] unbound[3515:0] info: resolving files.mastodon.social. AAAA IN [1674582476] unbound[3515:0] info: resolving ns2.bunnydns.com. AAAA IN [1674582476] unbound[3515:0] info: resolving ns3.bunnydns.com. AAAA IN [1674582476] unbound[3515:0] info: resolving ns1.bunnydns.com. AAAA IN [1674582476] unbound[3515:0] info: response for files.mastodon.social. AAAA IN [1674582476] unbound[3515:0] info: reply from <b-cdn.net.> 185.120.23.100#53 [1674582476] unbound[3515:0] info: query response was ANSWER [1674582477] unbound[3515:0] info: 127.0.0.1 www.googleadservices.com. A IN [1674582477] unbound[3515:0] info: resolving www.googleadservices.com. A IN [1674582477] unbound[3515:0] info: response for www.googleadservices.com. A IN [1674582477] unbound[3515:0] info: reply from <com.> 192.42.93.30#53 [1674582477] unbound[3515:0] info: query response was REFERRAL [1674582477] unbound[3515:0] info: response for www.googleadservices.com. A IN [1674582477] unbound[3515:0] info: reply from <googleadservices.com.> 216.239.34.10#53 [1674582477] unbound[3515:0] info: query response was ANSWER [1674582477] unbound[3515:0] info: NSEC3s for the referral proved no DS. [1674582477] unbound[3515:0] info: Verified that unsigned response is INSECURE -
Das ist mir auch so alles klar.
Bei Dir ist der unbound auf dem pihole bei mir auf der opnsense,
Der unbound muss ja auch bei einem DNS nachfragen wenn der die Anfrage nicht im cache hat. Wie wird entschieden vom unbound welche DNS Server er befragt und wo kann ich das sehen welche das sind?
Ich schau mal nach ob es ein log gibt.
-
Vielleicht drücke ich mich die ganze Zeit missverständlich aus.
Das unbound sich durch seine Liste bzw. Cache eine Root-Server Befragung sparen kann, das verstehe ich.
Was ich nicht verstehe, wenn ein DNS Server befragt werden muss, und ich habe expliziet bei unbound keinen externen eingetragen, ist es dann also ganz normal das immer der Provider DNS genommen wird?
Ich war nämlich immer der Annahme unbound nimmt da dann keinen bestimmten DNS (in meinem Fall der Provider DNS) sondern nimmt immer zufällig welche aus dem Internet, nach dem Zufallsprinzip.
Aber das ist dann wohl doch nicht so.
Nun, ich habe meinem Router gesagt er möge bitte beim pihole und damit bei unbound und nicht beim Provider nachfragen.
-
Die Root Nameserver sind ja keine übergeordneten neutralen Nameserver. Man will das Ganze natürlich so aufbauen. Es gibt Direktoren, eine Art Gremium, etc.
So verstehe ich aber den Aufbau im Internet, ist aber auch nicht so wichtig, mein Wissen ist sicherlich auch mittlerweile veraltet. Werde das die Tage mal nachlesen.
-
Aber das ändert doch an meiner Erklärung nichts. Du kannst doch die DNS frei wählen. Wenn du die Rootnameserver verwendest, ist das doch okay. Aber man kann ja stattdessen auch andere nutzen. Es sind aber in jedem Fall upstream-server zu denen eine Verbindung aufgebaut wird.
Das passt nicht zu meinem Verständnis des Aufbaus des Internets.
Der Vorteil von den genannten DNS ist ja, dass diese eben nicht zensiert werden.
Das glaube ich keinem DNS.
-
Aber das ist doch das selbe. Also die Rootnamserver sind doch dann deine upstream-server. Hinzu kommt noch, dass die 13 Rootnameserver - wenn ich mich richtig erinnere - allesamt in den USA stehen und von amerikanischen Unternehmen betrieben werden. Dein Unbound sendet also bei jeder unbekannten URL (und beim cache-update) eine Anfrage in die USA.
Ob das jetzt schlimm ist, muss jeder selbst beurteilen. Mir persönlich wäre dann aber dnsforge, censurfridns, etc lieber
Also das selbe ist das ja nun nicht. Wenn ich eine Anfrage zunächst an dnsforge oder andere stelle dann bin ich deren Zensur und Logging unterworfen. Die Rootserver aber werden auch von dnsforge etc. abgefragt. Mein unbound fragt also wie jeder andere DNS Server auch direkt nach, wenn das alles so funktioniert was sich schwer prüfen lässt.
-
Was genau meinst du? Pihole nutzt so doch unbound, aber unbound selbst muss seine Daten ja irgendwo her beziehen. Also nutzt unbound upstream server um den Cache zu füllen. Du verlagerst das doch so einfach von pihole auf unbound aus, oder nicht?
Ich habe das so verstanden das unbound die root Server befragt.
Zitat von " www . creativeturtle.de/tutorials/pihole-teil-3-unbound/":Unbound ist ein DNS-Server und ist damit in der Lage die DNS-Anfragen im Heimnetz von allen Endgeräten selbstständig zu beantworten. Damit müssen DNS-Anfragen nicht mehr zu den eingestellten Upstream-Servern in PiHole weitergeleitet werden, sondern werden lokal auf dem Raspberry Pi beantwortet. Zu einer Anfrage einer Domain wie creativeturtle.de erhält der Browser die IP-Adresse also nicht mehr von einem Server im Internet, sondern von Unbound auf deinem Raspberry Pi.
Damit dies möglich ist hat Unbound sogenannte Rootlisten hinterlegt. In diesen sind die Rootnameserver definiert, die vereinfacht gesagt alle IPs des Internets gespeichert haben. Die Rootnameserver sind also so etwas wie die vollständigen Adressbücher des Internets. Unbound befragt diese Rootnameserver bei einer Anfrage nach der richtigen IP und speichert diese danach im Cache ab. Bei der ersten Anfrage einer Domain, die Unbound bisher noch nicht beantwortet hat, fällt die Antwortzeit daher etwa genauso lang aus wie bei einer Anfrage an einen „normalen“ DNS-Server im Internet. Bei jeder weiteren Anfrage ist die Antwortzeit jedoch sehr viel geringer, da Unbound die zugehörige IP der Domain abgespeichert hat. Dadurch ist Unbound langfristig schneller als ein klassischer DNS-Server, da viele Anfragen nicht an einen externen Server weitergeleitet werden müssen. Der Vorteil ist mehr Privatsphäre und Sicherheit da DNS-Anfragen seltener an die Rootnameserver gestellt werden müssen. Um Manipulationen der DNS-Antworten vorzubeugen solltest du DNSSEC nutzen.
/Zitat Ende
Wenn das alles nicht so wäre könnte ich mir den Aufwand mit unbound sparen.
-
Ich bin mir nicht ganz sicher ob das so stimmt denn eigentlich habe ich unbound installiert damit ich keine Upstream DNS Server eintragen muss.
Meine pihole Konfigurationsseite:
