OPNsense Forum

International Forums => German - Deutsch => Topic started by: monstermania on April 28, 2017, 08:37:49 am

Title: Reihenfolge der DNS Server von Bedeutung!?
Post by: monstermania on April 28, 2017, 08:37:49 am

Moin,
ich habe eine Zeitlang gesucht, aber nirgends eine Antwort gefunden.
Ich habe unter in meiner OPNsense unter System -> Settings -> General mehrere DNS-Server eingetragen (https://www.opennicproject.org/). Funktioniert auch Alles einwandfrei.

Nun zu meiner Frage. Hat bei DNS-Anfragen eine die Reihenfolge der Einträge eine Bedeutung? Wird also erst DNS1 dann DNS2, usw, angefragt oder laufen alle DNS-Anfragen sofort an alle eingetragenen DNS-Server und die erste Antwort gewinnt!?

Gruß
Dirk

Title: Re: Reihenfolge der DNS Server von Bedeutung!?
Post by: guest15032 on April 30, 2017, 10:10:46 pm

Hi Dirk,

ich versuche mich mal.

Ich nutze statt dem Forwarder den Resolver (unbound) mit meiner Firewall. Ich habe an dem Resolver keinen Forwarding Modus aktiviert aber wenn dieser aktiv ist, dann sagt die offizielle Doku dazu:

Quote

Unbound will send each DNS request to a different forward-addr DNS server at random. We prefer to have many public DNS servers for load balancing and to make sure that no one DNS server has a complete log of all of our DNS requests.

https://calomel.org/unbound_dns.html

Wenn ich mich in meinem Verständnis nicht vertue, dann sollte das auch deine Frage beantworten, sofern OPNsense da keine eigene Logik hat, die sich in den Prozess einklinkt?

Gruß
Chris

Title: Re: Reihenfolge der DNS Server von Bedeutung!?
Post by: monstermania on May 03, 2017, 12:32:29 pm

Hmm,
so ganz stellt mich die Aussage nicht zufrieden.  ::)
Was ist denn, wenn z.B. einer der eingetragenen DNS-Server zeitweilig nicht erreichbar ist!? Bei einer simplen zufälligen Verteilung von DNS anfragen würde dann ja auch regelmäßig der nicht erreichbare DNS-Server gefragt werden. Wird bei einem DNS-Timeout dann zufällig bei einem der anderen eingetragenen DNS Server angefragt, bis hoffentlich einer der eingetragenen DNS-Server der Namen auflösen kann!?

Hintergrund meiner Frage ist folgender:
Bei anderen FW-Systemen gibt es Einträge für primären/sekundären DNS. Da ist es ja einfach, es wird zuerst der primäre ggf. der sekundäre DNS angefragt.
Ich versuche einfach nur das Thema auch unter OPNsense zu verstehen.  :)

Gruß
Dirk

Title: Re: Reihenfolge der DNS Server von Bedeutung!?
Post by: coliflower on May 18, 2017, 02:04:29 pm

Hallo Dirk,

ich überlege auf OPNsense umzusteigen und lesen ein wenig mit ...

Zu deiner Frage ... Ist DNS1 nicht primärer DNS und DNS2 der Sekundäre (so habe ich das zumindest immer verstanden) ?

LG, Dariusz

Title: Re: Reihenfolge der DNS Server von Bedeutung!?
Post by: monstermania on May 18, 2017, 02:25:01 pm

Hallo Dariusz,
gute Frage  ;)
Leider habe ich bisher keine (mich) befriedigende Antwort erhalten!
In der OPNsense GUI gibt es 4 Felder für DNS-Servereinträge aber keine Reihenfolge wie z.B.
1. DNS
2. DNS
3. DNS
4. DNS

Sieht daher für mich daher prinzipiell nach gleichberechtigten Einträgen aus. Daher ja auch meine Ursprungsfrage nach der Wertigkeit bzw. der Reihenfolge der DNS-Einträge für die Abfragen.
Bei anderen Systemen die ich so kenne, gibt es eben einen primären und sekundären DNS-Eintrag. Das macht die Sache dann für mich verständlich. Erst wir der primäre DNS gefragt, wenn keine Antwort kommt eben der Sekundäre...

Gruß
Dirk

Title: Re: Reihenfolge der DNS Server von Bedeutung!?
Post by: mimugmail on May 18, 2017, 02:39:28 pm

Es wird an alle gleichzeitig geschickt ...

Title: Re: Reihenfolge der DNS Server von Bedeutung!?
Post by: chemlud on May 18, 2017, 02:45:34 pm

...und der schnellste wird genommen, so hatte ich das aus einer Diskussion bei pfsense in Erinnerung.

Aber nicht, wenn der Resolver mit DNSSEC aktiviert ist...

Title: Re: Reihenfolge der DNS Server von Bedeutung!?
Post by: Oxygen61 on May 18, 2017, 02:59:29 pm

Huhu Leute,

Beim DNS Forwarder wird Dnsmasq genutzt als Service. Dieser unterscheidet nicht in der Priorität, sondern überprüft lediglich (selbstständig) welcher DNS Eintrag für ihn gerade der Beste ist und nutzt dann diesen.

Hier kann man das nochmal richtig schön nachlesen:
http://tomatousb.org/forum/t-370474/dns-priority

Da wurde auch ein schöner Vergleich beschrieben, wenn man einmal den ISP DNS nutzt und als zweites den OpenDNS DNS und diesen aber mit selbst erstellten Filter Listen einsetzt (konfiguriert bei der Webseite NICHT in OPNsense). Durch das Wechseln der DNS Server, je nach Performance würden diese Filter regeln dann halt nicht immer funktionieren, weshalb Unbound (OPNsense DNS Resolver) OHNE aktiviertem Forwarder Mode MIT DNSSEC aktiviert die bessere Alternative ist. Da kannst du dir dann durch DNSSEC auch wenigstens (relativ) sicher sein die richtigen DNS Server angesprochen zu haben um die richtigen DNS Antworten zu erhalten.

Vertraulichkeit (Verschlüsselung - DNScrypt) würde ich mir auch gern wünschen, aber da gibt es ja bei OPNsense keine Lösung für oder?

Schöne Grüße
Oxy

Title: Re: Reihenfolge der DNS Server von Bedeutung!?
Post by: mimugmail on May 18, 2017, 03:03:58 pm

Hatte da mal was gelesen, aber eher überflogen:

https://forum.opnsense.org/index.php?topic=4044.msg14781#msg14781

Title: Re: Reihenfolge der DNS Server von Bedeutung!?
Post by: monstermania on May 18, 2017, 03:29:19 pm

Quote from: mimugmail on May 18, 2017, 02:39:28 pm

Es wird an alle gleichzeitig geschickt ...

Danke!
Dann war es ja die richtige Entscheidung von mir keinen Google DNS dort einzutragen.  :)