Unbound und Adguard übertrieben?

Started by meschmesch, October 08, 2024, 08:22:16 PM

Previous topic - Next topic
Print
Go Down Pages1 2
User actions
October 08, 2024, 08:22:16 PM
Hallo,

ich verwende seit Ewigkeiten erfolgreich die Kombination von AdGuard und Unbound. Wobei Unbound die Root-Server abfrägt zur DNS-Auflösung. Nun habe ich festgestellt, dass es vereinzelt DNS-Anfragen gibt, welche durch diese Kombination nicht zufriedenstellende Antworten liefern. Beispielsweise musste ich für Microsoft und für WatchGuard Ausnahmen in AdGuard eintragen, dass hierfür direkt eine Abfrage der DNS-Server von Google erfolgen darf. Warum das so ist, weiß ich nicht, aber nur so funktioniert es. Nun stelle ich mir zwischenzeitlich die Frage, ob die Komplexität mit der Verwendung von Unbound und der Abfrage der Root-Server überhaupt für übliche Familienhaushalte notwendig ist, wenn man nicht ein besonders hohes  Bedürfnis an die Privatsphäre hat. Ich könnte mir durchaus vorstellen, dass eine Verteilung der Abfragen direkt in AdGuard auf 5-10 unterschiedliche DNS-Server ein ausreichend hohes Maß an Privatsphäre gewährleisten sollte, zumal ich mir nicht vorstellen kann, dass hier einer der kommerziellen DNS-Server darauf erpicht ist, speziell meine Privatsphäre zu erkunden und für irgendwelche Zwecke zu nutzen. Wie seht ihr das?
October 09, 2024, 09:55:15 AM #1
Ich habe bis vor Kurzem auch die Meinung vertreten das Adguard alleine reicht.

Ich hatte Adguard mit forward zum Quad9 oder Cloudflare über DoT konfiguriert.

Mittlerweile habe ich mich belehren lassen, und Tandem aus Adguard und Unbound eingerichtet....

nun so Komplex war es nicht einfach im NAS Docker die IP's von der Sense eintragen und los...
genau so auch der Rückbau wenn ich anderer Meinung sein würde.

Ich vertrete aber trotzdem die Ansicht daß das Tandem nicht unbedingt nötig ist wenn man bisschen
Werbung blocken will.
October 09, 2024, 09:59:15 AM #2
Was ist denn der Vorteil wenn man unbound ins Spiel bringt, außer dass auch interne Namen registriert werden?
i am not an expert... just trying to help...
October 09, 2024, 10:18:11 AM #3
ich habe mir erklären lassen, das wenn die Root Server angefragt werden, verkaufe ich meine Daten nicht an einen US Konzern. ;)

...wobei Alle 13 Rootserver in USA stehen...

Die Pflege der Clients in DNS habe ich eine Absage erteilt, ich werde keine Sammlung meiner Hardware per Namen jemand zur
Verfügung stellen. :D /paranoid.
October 09, 2024, 10:42:16 AM #4 Last Edit: October 09, 2024, 10:48:50 AM by Patrick M. Hausen
Quote from: Zapad on October 09, 2024, 10:18:11 AM
ich habe mir erklären lassen, das wenn die Root Server angefragt werden, verkaufe ich meine Daten nicht an einen US Konzern. ;)

...wobei Alle 13 Rootserver in USA stehen...

Entscheidender ist, dass du nicht *einem* Server deinen kompletten Request gibst.

Mit einem lokalen rekursiven Resolver fragst du z.B. für "forum.opnsense.org"

- einen zufällig ausgewählten Root-Server nach den Servern für .org
- einen zufällig ausgewählten Server von diesen nach .opnsense.org
- einen der 4 Server für opnsense.org nach forum.opnsense.org

--> nur die Organisation, die es letztendlich etwas angeht, sieht deinen kompletten Request.
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do. (Isaac Asimov)
October 09, 2024, 10:44:04 AM #5
Quote from: Zapad on October 09, 2024, 10:18:11 AM
...wobei Alle 13 Rootserver in USA stehen...

Tatsächlich? RIPE NCC (zuständig für Europa) war bisher in Amsterdam. Außerdem sind die Root DNS Server nur logische Server, die sicher alle aus mehreren Servern in mehreren Regionen bestehen.
October 09, 2024, 11:47:21 AM #6
@mooh
Physikalisch egal wo die stehen, nur wer Oberhand hat.

https://de.wikipedia.org/wiki/Root-Nameserver

October 09, 2024, 12:38:11 PM #7
Quote from: Zapad on October 09, 2024, 10:18:11 AM
..wobei Alle 13 Rootserver in USA stehen...
Nicht ganz richtig, es sind 13 Root-Server Domains, aber dahinter stehen weltweit rund 1300 DNS-Server, die eben über diese Domain angesprochen werden.


Quote from: Zapad on October 09, 2024, 09:55:15 AM
nun so Komplex war es nicht einfach im NAS Docker die IP's von der Sense eintragen und los...
genau so auch der Rückbau wenn ich anderer Meinung sein würde.
Hast du nicht Unbound und Adguard auf der Sense laufen - einfacher geht ja nicht mehr.

Und riesen Vorteil ist, das die lokalen Hostnamen von Unbound aufgelöst werden ohne das man selber tätig werden muss, der holt die sich aus dem DHCP
October 09, 2024, 01:10:34 PM #8
ich versuche die Services ein bisschen zu verteilen, alles auf die Sense? was ist wenn die grätsche macht?
Stundenlanges umkonfigurieren und unzufriedene Ehefrau im Rücken. :)
October 09, 2024, 01:19:37 PM #9
Ich habe dafür Ersatzhardware stehen... Da ziehe ich dann nochmal die letzte Konfig oder bei Bedarf das letzte BE drauf und fertig ist es :)
i am not an expert... just trying to help...
October 09, 2024, 03:59:51 PM #10
Quote from: Zapad on October 09, 2024, 01:10:34 PM
ich versuche die Services ein bisschen zu verteilen, alles auf die Sense? was ist wenn die grätsche macht?
Stundenlanges umkonfigurieren und unzufriedene Ehefrau im Rücken. :)
Was ändert das, wenn dir deine OPNSense um die Ohren fliegt, weil HW kaputt ?

Das der PC worauf die bei mir läuft, ist recht unwahrscheinlich ( selbst, wenn nutze ich meine Fritzbox eben wieder wie vorgesehen, also BridgeModus raus ), die SSD war schon mal kaputt, na und.
SSD's hab ich noch paar im Schrank liegen, neue eingebaut, OPNSense vom USB-Stick neu installiert, Konfig vom Backup eingespielt, wieder online.

AdGuard ist mit letzten aus unerklärlichen Gründen kaputt gegangen, Unbound Port umgestellt, AdGuard deinstalliert, neu installiert, Backup eingespielt, lief wieder.

Wenn Unbount kaputt geht, stelle ich eben AdGuard um, das der direkt ins Internet sprich, dauert 1 min. Dann kann ich in Ruhe den Fehler suchen.

Mein Proxmox-Server ist mit in letzten Zeit in der Woche öfters ausgestiegen als die OPNSense in einem Jahr, daher lasse ich da derzeit keine lebensnotwendigen Anwendungen mehr drauf laufen
October 09, 2024, 04:36:08 PM #11
deshalb habe ich manches auf NAS und Dual WAN mit Fritze, d.h wenn Sense kaputt geht dann halt die
Fritzbox mit Adguard und VPN/Sonstigen vom NAS.
Da bin sicher schneller als jemand mit SSD im Schrank. ;)
October 09, 2024, 05:52:57 PM #12
Dass Adguard und Unbound auf der Opnsense problemlos laufen und relativ einfach einzurichten sind, steht außer Frage. Für die Auflösung der lokalen Hostnamen ist Unbound auch hilfreich (Adguard: Private inverse DNS-Server --> unbound). Ob dann aber die Komplexität mit der Abfrage der Root-Server (die eben aus eigener Erfahrung manchmal unzufriedenstellende Ergebnisse liefert, siehe erster Post) notwendig ist, das ist für mich die Frage.

QuoteEntscheidender ist, dass du nicht *einem* Server deinen kompletten Request gibst.
Das ist die eine Sichtweise, die andere wäre, die Requests auf viele zuverlässige DNS-Server zu verteilen. Google weiß bei mir ohnehin was ich tue, ebenso Microsoft (Windows, Android und Google-Suchen lassen grüßen).
October 09, 2024, 05:59:24 PM #13
Quote from: meschmesch on October 09, 2024, 05:52:57 PM
Ob dann aber die Komplexität mit der Abfrage der Root-Server

Was ist daran komplex, keinen Upstream-Server zu konfigurieren?

Quote from: meschmesch on October 09, 2024, 05:52:57 PM
(die eben aus eigener Erfahrung manchmal unzufriedenstellende Ergebnisse liefert, siehe erster Post)

Auch das ist für mich nicht nachvollziehbar. DNS ist so designed, dass man einen rekursiven DNS-Server oder "Resolver" einfach nur irgendwo ans Internet hängen muss, und dann kann der alle Namen, die im globalen DNS existieren, korrekt und performant auflösen. Isso. Ich betreibe seit 30 bald Jahren Rechenzentren und DNS-Server ...

Was genau an "Watchguard und Microsoft" löst denn über einen rekursiven Unbound nicht auf?


Gilt ganz nebenbei bemerkt eigentlich auch für Email. Man hängt einen Mailserver irgendwohin und dann ist der ohne jede weitere Konfiguration in der Lage, Mail an jede Zieladresse der Welt zuzustellen - einfach durch die Magie das DNS und MX-Records.

Dass die Empfänger in diesen spamlastigen Zeiten die Mails nicht mehr annehmen, ist eine andere Geschichte, aber das Protokoll kommt eigentlich ohne jede explizite Konfiguration aus. Genau wie DNS.
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do. (Isaac Asimov)
October 09, 2024, 07:32:54 PM #14 Last Edit: October 09, 2024, 07:35:04 PM by meschmesch
QuoteAuch das ist für mich nicht nachvollziehbar. DNS ist so designed, dass man einen rekursiven DNS-Server oder "Resolver" einfach nur irgendwo ans Internet hängen muss, und dann kann der alle Namen, die im globalen DNS existieren, korrekt und performant auflösen. Isso. Ich betreibe seit 30 bald Jahren Rechenzentren und DNS-Server ...

Das ist auch mein Verständnis. Aber die Logik hört bei mir irgendwann auf, wenn aus welchen Gründen auch immer am Montagmorgen eine Domain nicht mehr erreicht werden kann was bis dahin jahrelang funktioniert hat und *plötzlich* nach einem manuellen setzen von [/domainname.com/]8.8.8.8 in Adguard wieder alles tut. In den Adguard Logs habe ich gesehen, dass die DNS Anfragen problemlos an Unbound rausgingen, aber im Endeffekt tat es dann eben ohne die Ausnahme mit Google-DNS für diese Domain nicht. Keine Ahnung.  ::) Ist hinterher auch schwer, das Gegenteil zu beweisen, da die IP dann irgendwo (im Zweifel im abfragenden Gerät) selbst ge-cached ist und Deaktivieren der Ausnahme insofern nichts bringt...
Print
Go Up Pages1 2
User actions