unbound DNS

  • Hallo,


    kennt jemand eine Seite im Internet wo mal genau beschrieben wird wie ein unbound DNS wirklich funktioniert?

    Ich find nur Seiten die eine Einrichtung beschreiben oder Videos wo jemand bind und unbound in Kombination installiert was eigentlich sinnfrei ist.

    Es gibt da draussen leider sehr viel Halbwissen.


    Ich verstehe die Funktionsweise von unbound irgendwie nicht.

    Dieser soll sich ja der root-Server bedienen usw.

    Aber trotzdem wird bei mir trotz eingerichtetem unbound der DNS vom Provider genutzt.


    Deshalb wäre es toll wenn jemand eine Seite kennt wo das mal alles genau erklärt wird wie der funktioniert oder vielleicht kann mir ja auch hier jemand das mal genauer erklären wie der unbound funktioniert.


    Vielen Dank im Vorraus

  • Wir Menschen denken in Webseiten, während Server ja eigentlich über IP-Adressen angesprochen und miteinander verbunden werden. Du tippst google.de ein und dein Rechner muss dann wissen, unter welcher IP er besagten Server bzw Informationen zur Domain findet.


    Ein DNS Resolver ist eine Art Internet-Telefonbuch. Du nennst die Webseite und der DNS spuckt dann die IP aus und du kannst dich verbinden.


    Theoretisch weiß ein solcher DNS also sehr viel über dich und kennt alle besuchten Webseiten. Bist du zum Beispiel Kunde der Telekom, wird von deinem Router - so lange du dies nicht änderst - der DNS der Telekom verwendet.


    Du hast nun die Möglichkeit, an deinen Geräten oder zentral im Router alternative DNS anzugeben. Es gibt sehr viele freie (zensurfrei) und deine Privatsphäre respektierende DNS, die du nutzen kannst.


    Unbound geht nun einen Schritt weiter und gestattet dir, einen eigenen DNS Resolver zu betreiben. Dazu cached dieser die Informationen und teilt sie dir auf Anfrage mit. Weiß dein Unbound DNS nicht selbst, unter welcher IP eine Domain zu finden ist, fragt er für dich bei einem öffentlichen DNS nach. Dabei hast du die Möglichkeit, verschiedene/mehrere Upstream-Server anzugeben. Dein Unbound nutzt dann das Round-Robin-Verfahren und fragt die bekannten Server nacheinander ab. Also nacheinander je Anfrage. So landet jede Anfrage bei einem anderen DNS und diese bekommen so jeweils nur einen Bruchteil deiner Suchanfragen mit.


    Zuhause läuft das Ganze also wie folgt ab:


    1. du tippst im Browser eine URL ein
    2. dein Rechner fragt diese URL beim unbound an und erbittet als Rückantwort die IP dazu
    3. Unbound nennt die IP aus seinem Cache oder fragt bei Bedarf einen seiner upstream-Server (in wechselnder Reihenfolge) an und nennt sie dir dann
    4. dein Rechner verbindet zur gesuchten IP

    Zusätzlich gibt es noch die Möglichkeit, Werbung und Tracker zu unterbinden. Dies funktioniert so, dass bekannte Domains dieser Tracker und Werbenetzwerke halt nicht aufgelöst werden. Dir wird nur der Teil aufgelöst, welcher zu einer Webseite führt, nicht jedoch die Domains der Werbetracker und Banner. Aus diesem Grund können diese Server dann auch nicht angefragt werden, da die IP unbekannt ist.


    Grundsätzlich geht das Ganze auch mit den bekannten Lösungen wie pihole oder adguard. Diese sind jedoch in der Regel nur zwischengeschaltet, während unbound einen eigenen Cache verwendet. Das soll das Ganze dann beschleunigen. Unbound setzt hier also auf Geschwindigkeit und soll Ladezeiten verkürzen. Ob du das wirklich merkst, kann ich nicht beurteilen. Ein Vorteil dürfte aber auf jeden Fall sein, dass jede Domain nur einmalig angefragt wird und nicht wie bei pihole und Co jedes Mal. Dafür musst du halt schauen, wie aktuell dein Datenbestand dann ist. So ganz hinkommen wirst du bei Webseiten nicht, die vielleicht hier und da die IP bzw NS wechseln. Es wird also auch hier mehrere Abfragen geben.

    💻 ThinkPad X250 i5-5300U Intel HD 5500 8GB | 💾 Unraid Homeserver i5-4570 16GB

    💻 Zenbook 13 OLED Ryzen 7 5800U 16GB | 💻 Zephyrus G14 (2022) Ryzen 9 6900 /RX6800S

    Hardcore Distrohopper und die nächsten 24-72 Stunden unterwegs mit: Fedora 37

  • Ich bin mir nicht ganz sicher ob das so stimmt denn eigentlich habe ich unbound installiert damit ich keine Upstream DNS Server eintragen muss.

    Meine pihole Konfigurationsseite:

    PC | AMD Ryzen 7 5700X | Radeon RX6600 | 32GB RAM | 1+1TB NVMe | Manjaro KDE Kernel 6.1 + Win11

    NB | AMD Ryzen 5 5300U | Radeon Vega 8 | 16GB RAM | 1TB NVMe | Debian 11 Kernel 5.18 + Win11

  • Ich bin mir nicht ganz sicher ob das so stimmt denn eigentlich habe ich unbound installiert damit ich keine Upstream DNS Server eintragen muss.

    Meine pihole Konfigurationsseite:

    Was genau meinst du? Pihole nutzt so doch unbound, aber unbound selbst muss seine Daten ja irgendwo her beziehen. Also nutzt unbound upstream server um den Cache zu füllen. Du verlagerst das doch so einfach von pihole auf unbound aus, oder nicht?

    💻 ThinkPad X250 i5-5300U Intel HD 5500 8GB | 💾 Unraid Homeserver i5-4570 16GB

    💻 Zenbook 13 OLED Ryzen 7 5800U 16GB | 💻 Zephyrus G14 (2022) Ryzen 9 6900 /RX6800S

    Hardcore Distrohopper und die nächsten 24-72 Stunden unterwegs mit: Fedora 37

  • Was genau meinst du? Pihole nutzt so doch unbound, aber unbound selbst muss seine Daten ja irgendwo her beziehen. Also nutzt unbound upstream server um den Cache zu füllen. Du verlagerst das doch so einfach von pihole auf unbound aus, oder nicht?

    Ich habe das so verstanden das unbound die root Server befragt.

    Zitat von " www . creativeturtle.de/tutorials/pihole-teil-3-unbound/":

    Unbound ist ein DNS-Server und ist damit in der Lage die DNS-Anfragen im Heimnetz von allen Endgeräten selbstständig zu beantworten. Damit müssen DNS-Anfragen nicht mehr zu den eingestellten Upstream-Servern in PiHole weitergeleitet werden, sondern werden lokal auf dem Raspberry Pi beantwortet. Zu einer Anfrage einer Domain wie creativeturtle.de erhält der Browser die IP-Adresse also nicht mehr von einem Server im Internet, sondern von Unbound auf deinem Raspberry Pi.

    Damit dies möglich ist hat Unbound sogenannte Rootlisten hinterlegt. In diesen sind die Rootnameserver definiert, die vereinfacht gesagt alle IPs des Internets gespeichert haben. Die Rootnameserver sind also so etwas wie die vollständigen Adressbücher des Internets. Unbound befragt diese Rootnameserver bei einer Anfrage nach der richtigen IP und speichert diese danach im Cache ab. Bei der ersten Anfrage einer Domain, die Unbound bisher noch nicht beantwortet hat, fällt die Antwortzeit daher etwa genauso lang aus wie bei einer Anfrage an einen „normalen“ DNS-Server im Internet. Bei jeder weiteren Anfrage ist die Antwortzeit jedoch sehr viel geringer, da Unbound die zugehörige IP der Domain abgespeichert hat. Dadurch ist Unbound langfristig schneller als ein klassischer DNS-Server, da viele Anfragen nicht an einen externen Server weitergeleitet werden müssen. Der Vorteil ist mehr Privatsphäre und Sicherheit da DNS-Anfragen seltener an die Rootnameserver gestellt werden müssen. Um Manipulationen der DNS-Antworten vorzubeugen solltest du DNSSEC nutzen.

    /Zitat Ende


    Wenn das alles nicht so wäre könnte ich mir den Aufwand mit unbound sparen.

    PC | AMD Ryzen 7 5700X | Radeon RX6600 | 32GB RAM | 1+1TB NVMe | Manjaro KDE Kernel 6.1 + Win11

    NB | AMD Ryzen 5 5300U | Radeon Vega 8 | 16GB RAM | 1TB NVMe | Debian 11 Kernel 5.18 + Win11

  • Aber das ist doch das selbe. Also die Rootnamserver sind doch dann deine upstream-server. Hinzu kommt noch, dass die 13 Rootnameserver - wenn ich mich richtig erinnere - allesamt in den USA stehen und von amerikanischen Unternehmen betrieben werden. Dein Unbound sendet also bei jeder unbekannten URL (und beim cache-update) eine Anfrage in die USA.


    Ob das jetzt schlimm ist, muss jeder selbst beurteilen. Mir persönlich wäre dann aber dnsforge, censurfridns, etc lieber

    💻 ThinkPad X250 i5-5300U Intel HD 5500 8GB | 💾 Unraid Homeserver i5-4570 16GB

    💻 Zenbook 13 OLED Ryzen 7 5800U 16GB | 💻 Zephyrus G14 (2022) Ryzen 9 6900 /RX6800S

    Hardcore Distrohopper und die nächsten 24-72 Stunden unterwegs mit: Fedora 37

  • Mit Unbound vermeidest du halt, das alle DNS Anfragen von einem Server beantwortet werden.


    Die DNS-Anfragen werden dann je nach Inhalt auf verschiedene autoritative Server (Das sind die, die auch dem "gewöhnlichen" DNS-Server die Daten liefern.) verteilt.


    Diese Anleitung ist auch ganz gut:


    Unbound & Hyperlocal - Raspberry Pi als DNS-Server

  • Aber das ist doch das selbe. Also die Rootnamserver sind doch dann deine upstream-server. Hinzu kommt noch, dass die 13 Rootnameserver - wenn ich mich richtig erinnere - allesamt in den USA stehen und von amerikanischen Unternehmen betrieben werden. Dein Unbound sendet also bei jeder unbekannten URL (und beim cache-update) eine Anfrage in die USA.


    Ob das jetzt schlimm ist, muss jeder selbst beurteilen. Mir persönlich wäre dann aber dnsforge, censurfridns, etc lieber

    Also das selbe ist das ja nun nicht. Wenn ich eine Anfrage zunächst an dnsforge oder andere stelle dann bin ich deren Zensur und Logging unterworfen. Die Rootserver aber werden auch von dnsforge etc. abgefragt. Mein unbound fragt also wie jeder andere DNS Server auch direkt nach, wenn das alles so funktioniert was sich schwer prüfen lässt.

    PC | AMD Ryzen 7 5700X | Radeon RX6600 | 32GB RAM | 1+1TB NVMe | Manjaro KDE Kernel 6.1 + Win11

    NB | AMD Ryzen 5 5300U | Radeon Vega 8 | 16GB RAM | 1TB NVMe | Debian 11 Kernel 5.18 + Win11

  • Aber das ist doch was ich sagte, oder nicht? Ich glaube ich stehe gerade voll auf dem Schlauch xD


    Round-Robin. Jede Anfrage die nicht bereits im Cache vorhanden ist und beantwortet werden kann, wird durch abwechselnde Anfragen an die upstream ergänzt und dann beim nächsten Mal aus dem Cache beantwortet.

    💻 ThinkPad X250 i5-5300U Intel HD 5500 8GB | 💾 Unraid Homeserver i5-4570 16GB

    💻 Zenbook 13 OLED Ryzen 7 5800U 16GB | 💻 Zephyrus G14 (2022) Ryzen 9 6900 /RX6800S

    Hardcore Distrohopper und die nächsten 24-72 Stunden unterwegs mit: Fedora 37

  • Aber das ist doch was ich sagte, oder nicht?

    Ich habe deinen Beitrag beim Absenden noch gar nicht gesehen xD


    Der große Vorteil ist, nicht ein DNS-Server bekommt alle deine Anfragen, sondern sie werden verteilt. Damit kann keiner ein Profil bilden.

  • Also das selbe ist das ja nun nicht. Wenn ich eine Anfrage zunächst an dnsforge oder andere stelle dann bin ich deren Zensur und Logging unterworfen. Die Rootserver aber werden auch von dnsforge etc. abgefragt. Mein unbound fragt also wie jeder andere DNS Server auch direkt nach, wenn das alles so funktioniert was sich schwer prüfen lässt.

    Aber das ändert doch an meiner Erklärung nichts. Du kannst doch die DNS frei wählen. Wenn du die Rootnameserver verwendest, ist das doch okay. Aber man kann ja stattdessen auch andere nutzen. Es sind aber in jedem Fall upstream-server zu denen eine Verbindung aufgebaut wird.


    Der Vorteil von den genannten DNS ist ja, dass diese eben nicht zensiert werden.

    💻 ThinkPad X250 i5-5300U Intel HD 5500 8GB | 💾 Unraid Homeserver i5-4570 16GB

    💻 Zenbook 13 OLED Ryzen 7 5800U 16GB | 💻 Zephyrus G14 (2022) Ryzen 9 6900 /RX6800S

    Hardcore Distrohopper und die nächsten 24-72 Stunden unterwegs mit: Fedora 37

  • Aber das ändert doch an meiner Erklärung nichts. Du kannst doch die DNS frei wählen. Wenn du die Rootnameserver verwendest, ist das doch okay. Aber man kann ja stattdessen auch andere nutzen. Es sind aber in jedem Fall upstream-server zu denen eine Verbindung aufgebaut wird.

    Das passt nicht zu meinem Verständnis des Aufbaus des Internets.


    Der Vorteil von den genannten DNS ist ja, dass diese eben nicht zensiert werden.

    Das glaube ich keinem DNS.

    PC | AMD Ryzen 7 5700X | Radeon RX6600 | 32GB RAM | 1+1TB NVMe | Manjaro KDE Kernel 6.1 + Win11

    NB | AMD Ryzen 5 5300U | Radeon Vega 8 | 16GB RAM | 1TB NVMe | Debian 11 Kernel 5.18 + Win11

  • Das glaube ich keinem DNS

    Aber das tust du doch. Wenn du die Root Nameserver verwendest, lässt du all deine Anfragen über DNS laufen, die in den USA stehen und vom US-Handelsministerium kontrolliert werden. Die Root Nameserver sind ja keine übergeordneten neutralen Nameserver. Man will das Ganze natürlich so aufbauen. Es gibt Direktoren, eine Art Gremium, etc.


    Aber ich denke, wir schweifen hier ab. Die Funktionsweise ist ja in jedem Fall die selbe. Unbekannte Domains werden extern angefragt und wo das geschieht, kann man wählen. Man kann einen der 13 Root Nameserver wählen, einen untergeordneten NS, einen alternativen, usw. Das ist ja letztendlich jedem selbst überlassen.

    💻 ThinkPad X250 i5-5300U Intel HD 5500 8GB | 💾 Unraid Homeserver i5-4570 16GB

    💻 Zenbook 13 OLED Ryzen 7 5800U 16GB | 💻 Zephyrus G14 (2022) Ryzen 9 6900 /RX6800S

    Hardcore Distrohopper und die nächsten 24-72 Stunden unterwegs mit: Fedora 37

  • Das passt nicht zu meinem Verständnis des Aufbaus des Internets.

    Es geht hier ja auch nicht um den Aufbau des Internets sondern um das DNS System.


    Das Internet sind in erster Linie einfach miteinander verbunden Computer. Und sind erstmal unabhängig von DNS, da die Computer untereinander über IP Adressen kommunizieren.


    Der Grund warum es DNS und Domainnamen gibt, liegt an uns Menschen. Da wir uns "forum.linuxguides.de" einfach besser merken können als "91.204.46.223".

  • Es geht hier ja auch nicht um den Aufbau des Internets sondern um das DNS System.


    Das Internet sind in erster Linie einfach miteinander verbunden Computer. Und sind erstmal unabhängig von DNS, da die Computer untereinander über IP Adressen kommunizieren.


    Der Grund warum es DNS und Domainnamen gibt, liegt an uns Menschen. Da wir uns "forum.linuxguides.de" einfach besser merken können als "91.204.46.223".

    Hast du jetzt echt nen lookup gemacht?^^

    💻 ThinkPad X250 i5-5300U Intel HD 5500 8GB | 💾 Unraid Homeserver i5-4570 16GB

    💻 Zenbook 13 OLED Ryzen 7 5800U 16GB | 💻 Zephyrus G14 (2022) Ryzen 9 6900 /RX6800S

    Hardcore Distrohopper und die nächsten 24-72 Stunden unterwegs mit: Fedora 37

  • Hallo,


    danke für die ausführliche Erklärung. Etwas klarer ist es mir jetzt geworden, aber noch Nebel vorhanden.


    Ich habe mir einen eigenen Router gebaut mit opnsense. Darauf habe ich den unbound laufen.

    Die ROOT-Server werden befragt, das habe ich auch so verstanden bzw. unbound lädt sich deren Liste runter.

    Die Liste des Root-Servers beinhaltet alle .tld Domäns, also .de .fr .com usw

    Alle .de Domäns werden wiederum von DNS Server der Denic verwaltet, die sogenannten .tld Server.

    Jetzt ändern sich die Einträge bei den Root-Servern ja recht selten.


    Folgendes Beispiel:

    Google


    Da unbound jetzt die Root-Server Liste gecacht hat werden die Root-Server nur befragt wenn unbound in seiner zwischengespeicherten Liste eine Domäne nicht findet? .de ist in der Liste, also erfolgt direkt die Befragung eines .tld Servers der Denic? Der .tld Server leitet dann meine Anfrage an einen google Server weiter?

    Dieser google-Server gibt mir dann die IP von http://www.google.de zurück?


    Kann ich mir in unbound die Liste der gecachten Root-Server in einem bestimmten Verzeichnis anschauen?

    Und cachet unbound auch die .tld Liste?


    Was ich aber gar nicht verstehe:

    Ich kann einen DNS in unbound eintragen, das klappt auch, dieser wird benutzt. Wenn ich jedoch keinen Eintrage, dann wird immer der DNS vom Provider genommen. Und das verstehe ich nicht, weil unbound doch eigentlich keinen festen DNS benutzen sollte, oder? Die Wahl sollte doch immer "zufällig" erfolgen, oder?


    So habe ich bei mir mein unbound eingestellt:


    1.) Grundkonfiguration

    2.) Blocklisten

    3.) DNS Eintrag --> wenn ich den deaktiviere wird immer der Provider DNS genommen

  • Die Root Nameserver sind ja keine übergeordneten neutralen Nameserver. Man will das Ganze natürlich so aufbauen. Es gibt Direktoren, eine Art Gremium, etc.

    So verstehe ich aber den Aufbau im Internet, ist aber auch nicht so wichtig, mein Wissen ist sicherlich auch mittlerweile veraltet. Werde das die Tage mal nachlesen.



    PC | AMD Ryzen 7 5700X | Radeon RX6600 | 32GB RAM | 1+1TB NVMe | Manjaro KDE Kernel 6.1 + Win11

    NB | AMD Ryzen 5 5300U | Radeon Vega 8 | 16GB RAM | 1TB NVMe | Debian 11 Kernel 5.18 + Win11

  • Ich glaube wir reden hier einfach aneinander vorbei. Die sind durchaus übergeordnet. Aber sie sind halt nicht völlig unabhängig. Die werden von der ICANN betrieben und die hat bereits vor 10 Jahren oder so staatliche Einflussnahme bemängelt. Aber okay.. das ist ein anderes Thema.


    Worum es mir ging ist, dass es trotz allem halt Nameserver sind. Es spielt für unbound jetzt aber keine Rolle, ob du diese oder irgendeinen anderen nutzt. Das Prinzip ist ja stets das Gleiche. Was im Cache liegt, wird verwendet und zur Verfügung gestellt. Was im Cache fehlt, wird dann halt extern besorgt. Entweder über die Root, oder halt jeden anderen Nameserver.


    Zudem musst du ja in jedem Fall trotzdem zu weiteren Nameservern verbinden, da die Root ja nur die TLD verwalten. Alles an Subdomains und Domains wird ja dann entsprechend von deren NS ausgespuckt. Also geht es von den Root z.B. zur Denic, dann zu (Beispiel) ns5.kasserver.com (falls du bei all-inkl bist), usw.

    💻 ThinkPad X250 i5-5300U Intel HD 5500 8GB | 💾 Unraid Homeserver i5-4570 16GB

    💻 Zenbook 13 OLED Ryzen 7 5800U 16GB | 💻 Zephyrus G14 (2022) Ryzen 9 6900 /RX6800S

    Hardcore Distrohopper und die nächsten 24-72 Stunden unterwegs mit: Fedora 37

  • Wenn ich jedoch keinen Eintrage, dann wird immer der DNS vom Provider genommen. Und das verstehe ich nicht, weil unbound doch eigentlich keinen festen DNS benutzen sollte, oder? Die Wahl sollte doch immer "zufällig" erfolgen, oder?

    Hast du Ubound entsprechend konfiguriert? Schau dazu mal meinen Link weiter oben.


    Die Wahl ist weniger zufällig, Unbound enthält, die Informationen welche Domain von welchem DNS verwaltet wird.

    Wenn du z.B. eine DE Domain aufrufst, schaut Unbound nach, wer für DE zuständig ist und dann wird die Domain von diesem Server abgefragt.


    Die werden von der ICANN betrieben und die hat bereits vor 10 Jahren oder so staatliche Einflussnahme bemängelt. Aber okay.. das ist ein anderes Thema.

    Gut dem ist aber unmöglich zu entkommen, denn wenn die Root-Nameserver zensiert werden hat man einfach keine chance das zu umgehen, außer man kennt die IP

Participate now!

Don’t have an account yet? Register yourself now and be a part of our community!