OPNsense Forum
International Forums => German - Deutsch => Topic started by: white_rabbit on March 03, 2024, 08:25:01 pm
-
Hallo.
Ich habe bei uns (OPNSense 24.1.2_1-amd64) unter
Berichterstattung -> Unbound DNS gesehen, dass als "Top passed Domain" einfach nur "to." gelistet wird.
Was hat es damit auf sich?
Wenn man einen Client anklickt steht da auch nur sowas wie:
mein-client A to. Pass Cache NOERROR 0ms 1407
Diese Einträge wiederholen sich oft. Wer hat eine gute Erklärung?
-
Kaputte DNS Datenbank?
Bestehende kann über Berichterstattung -> Einstellungen resetted werden.
-
Das habe ich gemacht, dann etwas gewartet und gerade nochmal nachgeschaut ... aber die Einträge sind wieder da, wenn auch dieses Mal nur auf Platz 7:
Top passed domains
7. to. 144 (3.36%)
Das muss also noch woanders herkommen ... nur: Was kann das sein?
-
Bist du mal auf Details gegangen und hast danach gesucht? Evtl. nutzt missbraucht ein Client .to für eigene Zwecke oder es ist ein Bug?
-
In den Details steht nicht mehr als oben angezeigt.
Wenn ein Client die Domain .to verwenden würde, müsste man ihn ja anpingen / finden können. Da unter OPNSense aber kein vollständiger FQDN steht, weiß ich nicht, wie ich das weiter einkreisen kann.
-
In den Detail kann man aber doch sehen, wer die Anfrage ausgelöst hat.
Gibt es diese Einträge nicht für .to?
Hier ein Beispiel für forum. :-)
-
Ach das meintest Du -- ich hab es nochmal nachgesehen: Das war der Server (der auch Samba/AD, LDAP und DNS macht).
Wenn ich auf dem Server sowas mache wie
dig to @10.16.1.1
Bekomme ich:
;; QUESTION SECTION:
;to. IN A
;; AUTHORITY SECTION:
to. 134 IN SOA to. hostmaster.tonic.to. 2024030701 43200 7200 2592000 7200
;; Query time: 4 msec
Ob das aber eine "echte Abfrage ist" mit diesem unvollständigen Domainnamen, kann ich nicht genau sagen.
-
.to ist eine TLD, keine Domain. Eine TopLevelDomain, also wie .de o.ä. ein Anhängsel, dass es nicht allein gibt. Ein Lookup nach to wird also immer scheitern bzw. da es keine saubere FQDN ist, wird "to" einfach als Hostname interpretiert und ggf. die Default Domain angehängt wenn eine konfiguriert ist/war.
Das geht aber aus der Info gar nicht hervor, ob hier .to als TLD oder einfach nur als Hostname "to" abgefragt wurde.
-
Ich würd mal auf dem Client-System suchen gehen. Vielleicht so ein Bug wie bei dem Supermicro IPMI - lässt man dort das Feld für den NTP-Server leer, füllt sich das DNS-Request-Log mit Abfragen nach "prefer" ... ::)
-
Ja nach sowas hört sich das an. Irgendein System mit ner komischen Maske wo vielleicht "from" "to" drinstand und jetzt steht irgendwo bei ner IP oder nem DNS Eintrag "to" drin und das System versucht das die ganze Zeit sinnlos aufzulösen :)
-
Dein Problem liegt folglich auf deinem AD Server. Nadel im Heuhaufen, aber vielleicht kommst ja dahinter. 🙂
Viel Glück und viele Erfolg