unbound DNS

  • Gut dem ist aber unmöglich zu entkommen, denn wenn die Root-Nameserver zensiert werden hat man einfach keine chance das zu umgehen, außer man kennt die IP

    In der Tat. Ich erinnere mich diesbezüglich an eine Diskussion, ob .amazon der Firma gehören sollte oder dem Amazonasgebiet. Die Anstrengungen der Regierungen, die damals Einfluss nehmen wollte, waren offiziell ja Copyright bzw Markenrechts-Geschichten. Da sollte nicht offiziell "zensiert" werden, sondern nur die Rechte gewahrt werden. Ich würde vermuten, dass eine Firma wie Amazon da bessere Karten hat xD

    💾 AMD EPYC 7452 (8 Cores) 40GB | 💾 Unraid Homeserver i5-4570 16GB

    💻 Ryzen 9 7900X RX7800XT 32GB | 💻 MacBook Pro M2Pro 32GB

    EndeavourOS <3

  • Hast du Ubound entsprechend konfiguriert? Schau dazu mal meinen Link weiter oben.

    Ich habe ja keinen PiHole sondern opnsense, da ist das anders.

    Ich habe bei mir den Punkt DNS over TLS, da habe ich den DigitalCourage DNS Server eingetragen.

    Der wird auch verwendet. DNSLeakTest zeigt mir diesen auch an.

    Wenn ich diesen Eintrag deaktiviere, dann wird immer ein DNS vom Provider verwendet, in meinem Fall vodafone.

    Und das verstehe ich nicht. Da müsste doch dann ein Wechsel stattfinden, immer ein anderer DNS oder etwa nicht?

    Aber DNSLeakTest zeigt mir immer nur vodafone an, egal welche Seite ich aufrufe.

    Ich kann in der opnsense unter System --> Settings --> General DNS Server eintragen.

    Das gilt dann anscheinend global. Wenn ich z.B. 8.8.8.8 eintrage wird auch dieser verwendet.

  • Ich habe ja keinen PiHole sondern opnsense, da ist das anders.

    Was genau soll da anders sein? Du verweist deine lokalen Geräte auf den DNS, ob das PiHole ist oder OpenSense ist doch völlig egal, dieses liest dann die daten aus Unbound aus. Unbound ist es auch egal was von ihm liest.


    Wenn ich diesen Eintrag deaktiviere

    Da haben wir ja dann das Problem, du musst einen Eintrag auf deinen Unbound service einstellen, wenn du den deaktivierst dann ist klar das er sich den nächst besten dns sucht und das macht dann wohl der router und da schaltet sich dann der provider ein

    Rollenspiel.Monster -Deine Fediverse Rollenspiel Nodes

    GPG

    System: TUXEDO Aura 15 - Gen1, AMD Ryzen 7 4700U, 32GB RAM, 1TB M.2 SATAIII, EndeavourOS(Gnome[Wayland])

  • Trotzdem verstehe ich nicht wie unbound sich einen DNS Server "aussucht".

    Das ist wie bei dem Link den ich gesendet habe beschrieben wird:

    Zitat

    Der Teil auth-zone in der obigen Konfiguration ist dazu da, damit wir uns die jeweils erste DNS-Anfrage an die DNS-Root-Server durch Unbound sparen. Unbound muss dadurch gar nicht erst nachfragen, welche Server bspw. für .de oder .org zuständig sind, sondern hat die Daten stets parat und hält sie per Abgleich mit den Root-Servern aktuell.

    Rollenspiel.Monster -Deine Fediverse Rollenspiel Nodes

    GPG

    System: TUXEDO Aura 15 - Gen1, AMD Ryzen 7 4700U, 32GB RAM, 1TB M.2 SATAIII, EndeavourOS(Gnome[Wayland])

  • Vielleicht drücke ich mich die ganze Zeit missverständlich aus.

    Das unbound sich durch seine Liste bzw. Cache eine Root-Server Befragung sparen kann, das verstehe ich.

    Was ich nicht verstehe, wenn ein DNS Server befragt werden muss, und ich habe expliziet bei unbound keinen externen eingetragen, ist es dann also ganz normal das immer der Provider DNS genommen wird?

    Ich war nämlich immer der Annahme unbound nimmt da dann keinen bestimmten DNS (in meinem Fall der Provider DNS) sondern nimmt immer zufällig welche aus dem Internet, nach dem Zufallsprinzip.

    Aber das ist dann wohl doch nicht so.

  • Trotzdem verstehe ich nicht wie unbound sich einen DNS Server "aussucht".

    Warum bei mir immer der Provider DNS und kein anderer, es sei denn ich trage einen anderen ein?

    Bist du sicher, dass die IP von deinem Provider als DNS-Server angezeigt wird? In diesem Test steht Vodafone (mein Provider), aber die IP-Adresse zeigt auf meinen Anschluss.

  • Ich war nämlich immer der Annahme unbound nimmt da dann keinen bestimmten DNS (in meinem Fall der Provider DNS) sondern nimmt immer zufällig welche aus dem Internet, nach dem Zufallsprinzip.

    Also eig. sollte wie Sojan schon richtig sagt, diene IP als DNS angegeben werden, weil du dein eigener DNS bist.

    Rollenspiel.Monster -Deine Fediverse Rollenspiel Nodes

    GPG

    System: TUXEDO Aura 15 - Gen1, AMD Ryzen 7 4700U, 32GB RAM, 1TB M.2 SATAIII, EndeavourOS(Gnome[Wayland])

  • Ah.... dann habe ich das wohl immer falsch interpretiert.

    http://www.dnsleaktest.com liefert mir folgendes:

    Code
         ip-077-256-133-069.um21.pools.vodafone-ip.de.     Vodafone Germany

    Das ist meine WAN IP drin.

    Das heisst also meine opnsense ist der DNS und nicht der Vodafone DNS Standardserver?

    Sojan: mit welcher Seite hast Du den DNS Check gemacht?

    Wenn ich unter DNS over TLS wieder Digitalcourage aktiviere steht folgendes:

    Code
    168.119.141.43     dns3.digitalcourage.de.     Hetzner Online GmbH

    Das ist die IP vom DNS von Digitalcourage

    Jetzt noch eine Frage:

    Was ist denn besser? Es über Digitalcourage laufen lassen, das ist es ja auch verschlüsselt, DNS over TLS, oder so wie oben über meinen Router laufen lassen? Wobei ich mich aber immer noch frage, wenn über mein Router, woher kennt mein Router denn die IP's, weil der kann ja nicht alles wissen und muss DNS Server ja auch befragen. Welche befragt der dann?

    Fragen über Fragen.... aber ich bin jetzt schon ein Stück schlauer geworden.

  • Vielleicht drücke ich mich die ganze Zeit missverständlich aus.

    Das unbound sich durch seine Liste bzw. Cache eine Root-Server Befragung sparen kann, das verstehe ich.

    Was ich nicht verstehe, wenn ein DNS Server befragt werden muss, und ich habe expliziet bei unbound keinen externen eingetragen, ist es dann also ganz normal das immer der Provider DNS genommen wird?

    Ich war nämlich immer der Annahme unbound nimmt da dann keinen bestimmten DNS (in meinem Fall der Provider DNS) sondern nimmt immer zufällig welche aus dem Internet, nach dem Zufallsprinzip.

    Aber das ist dann wohl doch nicht so.

    Nun, ich habe meinem Router gesagt er möge bitte beim pihole und damit bei unbound und nicht beim Provider nachfragen.

    PC: AMD Ryzen 7 5700X | AMD RX6600 | 32GB RAM | Debian 12 Xfce
    Notebook: AMD Ryzen 5 5300U | Vega Graphic | 16GB RAM | Debian 12 Xfce

  • Nun, ich habe meinem Router gesagt er möge bitte beim pihole und damit bei unbound und nicht beim Provider nachfragen

    Das ist mir auch so alles klar.

    Bei Dir ist der unbound auf dem pihole bei mir auf der opnsense,

    Der unbound muss ja auch bei einem DNS nachfragen wenn der die Anfrage nicht im cache hat. Wie wird entschieden vom unbound welche DNS Server er befragt und wo kann ich das sehen welche das sind?

  • Das ist mir auch so alles klar.

    Bei Dir ist der unbound auf dem pihole bei mir auf der opnsense,

    Der unbound muss ja auch bei einem DNS nachfragen wenn der die Anfrage nicht im cache hat. Wie wird entschieden vom unbound welche DNS Server er befragt und wo kann ich das sehen welche das sind?

    Ich schau mal nach ob es ein log gibt.

    PC: AMD Ryzen 7 5700X | AMD RX6600 | 32GB RAM | Debian 12 Xfce
    Notebook: AMD Ryzen 5 5300U | Vega Graphic | 16GB RAM | Debian 12 Xfce

  • Unbound nutzt Round-Robin und geht die hinterlegten Server der Reihe nach durch. Also DNS A, dann B, dann C, etc. Welche bei dir hinterlegt sind und welche als Standard mitkommen, kann ich dir leider nicht sagen. Ich glaube ich muss mich mal mehr mit unbound beschäftigen.

    💾 AMD EPYC 7452 (8 Cores) 40GB | 💾 Unraid Homeserver i5-4570 16GB

    💻 Ryzen 9 7900X RX7800XT 32GB | 💻 MacBook Pro M2Pro 32GB

    EndeavourOS <3

  • Unbound ist schon recht kompliziert.

    Vorallem weil ich es unter opnsense nutze, da ist es halt nur ein plugin von vielen und die Dokumentation davon ist sehr dürftig. opnsense ist halt ne firewall.

    Aber unbound klappt ja bei mir und scheint richtig eingestellt zu sein.

    Nur ob ich den DNS von Digitalcourage oder lieber unbound per Round-Robin Verfahren betreiben soll, da bin ich noch unschlüssig was besser ist.

    Das sind übrigens meine LOG's, aber da werde ich nicht draus schlau:

    Code
    Informational    unbound    [88427:2] info: generate keytag query _ta-4f66. NULL IN
    Informational    unbound    [88427:0] info: start of service (unbound 1.17.1).
    Notice    unbound    [88427:0] notice: init module 2: iterator
    Notice    unbound    [88427:0] notice: init module 1: validator
    Informational    unbound    [88427:0] info: dnsbl_module: blocklist loaded. length is 1162535
    Informational    unbound    [88427:0] info: dnsbl_module: updating blocklist.
    usw......


    Ihr habt mir jedenfalls schon sehr weitergeholfen.

    Danke dafür.

  • Habe mal die docs durchgesehen und wie harihegen schon sagte, werden von Haus aus die Root Nameserver genommen. Von denen geht es dann weiter zu den Nameservern der TLDs und von dort dann zu den NS der jeweiligen Domain. Aktuell - und eigentlich fest für immer - haben wir 13 Root Nameserver bei der ICANN.

    Im besten Fall sind also 3 - ansonsten mindestens 4 Nameserver involviert.

    💾 AMD EPYC 7452 (8 Cores) 40GB | 💾 Unraid Homeserver i5-4570 16GB

    💻 Ryzen 9 7900X RX7800XT 32GB | 💻 MacBook Pro M2Pro 32GB

    EndeavourOS <3

  • Also, ich habe das Logging von unbound eingeschalten und mal "mastodon.social" aufgerufen, so sieht das dann aus, möglicherweise sind mittendrin noch andere Einträge da ja meine gesamte Infrastruktur diesen Service nutzt.
    Ich schalte das Log wieder aus.

    PC: AMD Ryzen 7 5700X | AMD RX6600 | 32GB RAM | Debian 12 Xfce
    Notebook: AMD Ryzen 5 5300U | Vega Graphic | 16GB RAM | Debian 12 Xfce

Jetzt mitmachen!

Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!