Unbound DNS Frage

[kosta]

Hallo,
wo nimmt sich bitte Unbound DNS die externen Server wenn:
- keine im Unbound DNS zu finden sind?
- keine im System: Settings: General DNS Servers konfiguriert sind
- Allow DNS server list to be overridden by DHCP/PPP on WAN deaktiviert ist?

[micneu]

warum will man das so konfigurieren?
was willst du damit bezwecken?
ich habe wenigstens einen dns in system --> setting --> general.
was bezweckst du mit dieser frage?

[Patrick M. Hausen]

Ein rekursiver DNS-Server braucht keinen "upstream"/"forwarder". Jeder DNS-Server ist in der Lage, ganz alleine alle Domains aufzulösen, sobald er nur "Internet" hat.
Dazu dient eine fix mit der Software gelieferte Liste der Root-Server, also der für die Domain ".".
Die ändern sich so selten, dass man die hart konfigurieren kann.

Und dann läuft das eben so:

Client: gib mal "www.punkt.de"
Unbound: hmm kenn ich nicht ...
Unbound: kenn ich "punkt.de"? - nö, auch nicht
Unbound: "de"? Mist
Unbound: ok, fragen wir einen der Root-Server nach den authoritativen Nameservern für "de"
Root-Server: hier, die Liste
Unbound: fragen wir einen aus der Liste nach "punkt.de"
DE-Server: hier sind die authoritativen Nameserver für "punkt.de"
Unbound: fragen wir mal einen davon nach "www.punkt.de"
nameserver1.pluspunkthosting.de: 217.29.40.141
Unbound zum Client: da hast Du ...

Gruß
Patrick

P.S. Das gilt übrigens auch für Mail. Es genügt, einen Mailserver "ins Internet" zu stellen und mit DNS zu versorgen. Man braucht keinen Server beim Provider. Das geht alles einfach so dezentral.

[kosta]

warum will man das so konfigurieren?
was willst du damit bezwecken?
ich habe wenigstens einen dns in system --> setting --> general.
was bezweckst du mit dieser frage?

Verständnis wie Unbound DNS funktioniert. Vielleicht hätte ich mit der Frage anfangen sollen.
Ich versuche zu verstehen in welchen Zusammenhang Unbound DNS und die Einstellungen in System-Setting-General. Ich versuche es einfach zu lernen und verstehen wie der Datenfluss ist, damit ich es für die diversen Konfigurationen verstehe.

[kosta]

Dazu dient eine fix mit der Software gelieferte Liste der Root-Server, also der für die Domain ".".

Ahja, genau! Das fehlte mir, aus meinem Wissen über Windows DNS - habe einfach nicht 1+1 zusammengezählt.
Also nimmt er sich die Root-Server, ansonsten das was unter System->Settings->General drinnen ist?

[Patrick M. Hausen]

Also nimmt er sich die Root-Server, ansonsten das was unter System->Settings->General drinnen ist?

Exakt.

@micneu Mir persönlich ist die Mischung von Dingen unter "System->General" und DHCP und Unbound ehrlich gesagt auch etwas unangenehm. Ich mag intransparente Automatismen nicht. Man sollte jeden Dienst einzeln so konfigurieren,  wie gewollt.

Was hat der FQDN, also auch die Domain des Hosts selbst, mit dem zufällig auf diesem System laufenden Namerserver zu tun? Nichts. Wenn man das will, sollte man das explizit konfigurieren. Ich wollte mein "ettlingen.hausen.com" in BIND pflegen - geht nicht, weil der Unbound meint, das sei "seins".

Warum gibt es einen Knopf "forwarding mode" und er nimmt dann die Nameserver unter "System->General"? Was hat der Resolver des Hosts selbst mit dem Forwarding-Nameserver des auf diesem Host laufenden Unbound zu tun? Richtig, nichts. Unbound sollte eine Liste von Forwardern haben ...

Etc. pp. 

[micneu]

@pmhausen, danke, jetzt habe ich auch was gelernt. meine fragestellung an @kosta war auch nicht böse gemeint, wollte nur die frage verstehen.

[kosta]

Unbound sollte eine Liste von Forwardern haben ...

Genau das hat mir eben gefehlt. Ich bin Windows-geschädigt, und bin erst seit ca. 2 Wochen im Linux und OPNsense drin. Windows war meine erste und bisher einzig bekannte Plattform. Daher auch aktuell schwierig was anderes zu verstehen, auch wenn ich die Sachen grundlegend verstehe. Und ja, ich denke auch dass der Unbound zu viel rundherum hat und vieles etwas unverständlich ist. Aber, ich mache mir deswegen Mühe die Sache grundlegend zu verstehen. Ich bin optimistisch

[JeGr]

> Also nimmt er sich die Root-Server, ansonsten das was unter System->Settings->General drinnen ist?

Nein, nicht genau, auch wenn Patrick da fälschlich ja dazu gesagt hat
Unbound nimmt als Recursor immer die Root Liste. Nur weil da was in System General drinsteht, nutzt Unbound nicht plötzlich Forwarder. Unbound nutzt NUR dann die Forwarder aus dem General Setup, wenn man ihn aktiv auf "forwarding mode" umschaltet mit dem entsprechenden Switch. Sonst macht Unbound immer die von Patrick beschriebene Resolver Auflösung wie es sich gehört

> Unbound sollte eine Liste von Forwardern haben ...

Dann brauchst du eigentlich keinen Unbound. Als Resolver ist es gerade sein Job eben keine Forwarder zu haben. Wenn du nur Forwarden möchtest, kann das DNSMasq auch erledigen und das ggf. sogar leichter

Wenn die Sense so eingestellst ist, dass sie localhost mit als DNS Server nutzt, muss in System General nichts eingetragen sein, weil sie dann auch ihre eigenen Abfragen via Unbound macht und nicht forwarded. Genauso kann man das komplett ins Gegenteil umkehren und alles forwarden oder eben nur die Clients intern via Resolver und die Sense selbst beides machen lassen: localhost mit Resolving und als Fallback dann Forwarder draußen damit im Fall der Errorfälle noch irgendwas die Namensauflösung macht

[Patrick M. Hausen]

@jegr Mein Argument ist:

Wenn man Forwarder haben will, dann sollte es unter den Settings von Unbound eine Liste derer geben. Weshalb auch immer man das will oder nicht.
Ich halte es für undurchsichtig bis hin zur POLA Violation, dass es nur einen Haken "forwarding mode" gibt und dann die DNS-Server aus "System -> General" benutzt werden. Was hat die Resolver-Einstellung des Hosts mit den evtl. konfigurierten Forwardern des Unbound zu tun? Weshalb hat man das so miteinander verknüpft?

Gruß
Patrick

[chemlud]

@jegr Mein Argument ist:

Wenn man Forwarder haben will, dann sollte es unter den Settings von Unbound eine Liste derer geben. Weshalb auch immer man das will oder nicht.
Ich halte es für undurchsichtig bis hin zur POLA Violation, dass es nur einen Haken "forwarding mode" gibt und dann die DNS-Server aus "System -> General" benutzt werden. Was hat die Resolver-Einstellung des Hosts mit den evtl. konfigurierten Forwardern des Unbound zu tun? Weshalb hat man das so miteinander verknüpft?

Gruß
Patrick

Weil's schon immer so war ;-)

[JeGr]

> Wenn man Forwarder haben will, dann sollte es unter den Settings von Unbound eine Liste derer geben. Weshalb auch immer man das will oder nicht.

Gern dafür

> Ich halte es für undurchsichtig bis hin zur POLA Violation, dass es nur einen Haken "forwarding mode" gibt und dann die DNS-Server aus "System -> General" benutzt werden.

Steht nicht genau das in der Hilfe der Option? Ich meine zumindest dass es komplett dokumentiert ist, also joa, ist dann zwar unschön aus der Sicht aber immerhin kein Stochern im Nebel oder?

> Was hat die Resolver-Einstellung des Hosts mit den evtl. konfigurierten Forwardern des Unbound zu tun? Weshalb hat man das so miteinander verknüpft?

Da hab ich keine Antwort zu, vermute, dass es einfach Altlasten vom Fork sind - bzw. es damit einfacher ist, zwischen Forwarder und Resolver zu switchen und nur einmal DNSe zu hinterlegen für beide? Denke da wie chemlud "war schon so, wird nicht angefasst"

Finde hier die neuen 2.5er Optionen bei pfS aber nicht schlecht, dass man bei Sys/General nun die Forwarder angeben und eine von 3 Modi setzen kann (Resolver [only], Resolver mit Fallback Forwarder von oben, NUR Forwarding).
In Unbound haben sie aber auch keine DNSe konfigurierbar (außer in der Advanced Box), da bin ich bei dir. Das wäre nicht verkehrt wenn man hier welche für den Service setzen könnte, die nicht die gleichen sein müssen wie im System selbst (bspw. für den Resolver eben externe Forwarder mit "Filterung und Kindersicherung" o.ä., fürs System aber die vom ISP/irgendwas mit guter Auflösung zum Debuggen).

Ich wollte aber auch nur auf den Teil von dir mit:

>> Also nimmt er sich die Root-Server, ansonsten das was unter System->Settings->General drinnen ist?
> Exakt.

eingehen, denn das stimmte IMHO so nicht Unbound macht ja immer Resolving via Root Server außer es ist eben der Forwarding Haken aktiv. Er macht keinen automatischen Fallback o.ä. auf Forwarding in irgendeiner Form. Das wollte ich nur klären Ansonsten keine Kritik, Herr Kollege

Grüße
Jens

[Patrick M. Hausen]

>> Also nimmt er sich die Root-Server, ansonsten das was unter System->Settings->General drinnen ist?
> Exakt.

eingehen, denn das stimmte IMHO so nicht Unbound macht ja immer Resolving via Root Server außer es ist eben der Forwarding Haken aktiv.

Ja siehste - ich hatte "ansonsten" als "wenn der Haken drin ist" gelesen, nicht als "macht automatisch fallback" 

[kosta]

Ich sag nur vielen Dank für die sehr klare Darstellung. Mir war ehrlich gesagt der Zusammenhang Resolver, Forwarder und Root Server (Hints) nichts ganz klar. Jetzt ist mir aber die Sache um einiges klarer!