Wie erhält AdGuard die korrekten Namen der anfragenden Rechner?

[Doktor]

Hallo zusammen,

bestimmt kein neues Problem, aber ich habe die Lösung gerade nicht gefunden:
Ich verwende Unbound mit einem Query Forwarding auf meinen AdGuard. Geht auch alles bestens, jedoch zeigt AdGuard natürlich an, dass alle Anfragen von der OpenSense kamen (was physikalisch aber die gleiche Maschine ist).
Kann man das irgendwo einstellen / konfigurieren, dass AdGuard die korrekten Rechner anzeigt und nicht nur die OpenSense?

Gruß
Doktor

[Patrick M. Hausen]

Du kannst die Reihenfolge umdrehen - Clients fragen AGH und der leitet weiter an Unbound.

Ich mach das mit NAT Port Forwarding, aber natürlich kannst du auch AGH auf Port 53 legen und Unbound z.B. auf 53530.

[Doktor]

Die Antwort klingt gut...ich würde gerne noch mal die Maxi-Version davon nehmen
Ich wüsste noch nicht, wo ich was eintragen muss...

[Patrick M. Hausen]

Naja, du legst den Unbound auf Port 53530 und den AdGuard auf Port 53.
Dann trägst du im Unbound evtl. Forward Server aus und im AdGuard 127.0.0.1:53530 ein.

Fertig.

[Doktor]

Ah..also Du meinst, ich trage im AdGuard den Unbound als Upstream-DNS-Server ein, richtig?
Dann leitet AdGuard die Anfrage weiter an Unbound.
Und im Unbound habe ich dann die System-DNS-Server eingetragen, z.B. 1.1.1.1. Auch richtig?

[Patrick M. Hausen]

Wenn du das willst. Ich benutze gar keine Upstream-Server in Unbound.

[Doktor]

Ich glaube mir fehlt da noch ein wenig wissen.
AdGuard agiert auf Port 53 als DNS Server.
Anfragen kommen rein.
In AdGuard ist Unbound als Upstream-DNS-Server konfiguriert.
Also schaut AdGuard erst auf seine Sperrlisten, wenn alles ok ist, leitet er die Anfrage dann an Unbound weiter.
Aber woher weiß Unbound jetzt die IP-Adressen von den DNS-Server in der freien Welt?
Daher dachte ich, ich muss in Unbound ein Query-Forwarding eintragen und dort die DNS-Server von Google & Co.

Was passt da noch nicht?

[Patrick M. Hausen]

Jeder rekursive DNS-Server braucht keinen Upstream. Nur "Internet". Die Liste der Server für die Root-Zone ist fest verdrahtet, und von da hangelt er sich den Baum entlang.

Das Internet ist dezentral konzipiert. Zentrale Plattformen sind Mist 

[Doktor]

Öh..bedeutet:
Ich leite die Anfrage an Forwarde die Anfrage an Unbound weiter, aber dort muss ich nichts eintragen, da er von sich alleine die Anfrage an das Gateway schickt zur DNS Auflösung, richtig?
Ausnahme ich trage im Unbound ein Upstream-DNS ein, dann könnte ich mir die DNS „aussuchen“ die verwendet werden. Ja?

[Patrick M. Hausen]

Du möchtest zu forum.opnsense.org.

Unbound hat eine Liste aller Nameserver für die Root-Zone.

Davon würfelt er einen aus und fragt nach NS (nameserver) Records für .org.

Er bekommt eine Liste zurück. Von dieser Liste würfelt er zufällig einen aus und fragt diesen nach NS Records für opnsense.org.

Er bekommt eine Liste zurück, würfelt davon einen aus, fragt diesen nach forum.opnsense.org.

Warum sollte er irgendwas an dein Gateway schicken? Abgesehen davon, dass auf Routing-Infrastruktur selten Nameserver laufen 

[Doktor]

Ah..die Info hat mir gefehlt: Ich wusste nicht, das Unbound schon über eine Liste der Rootserver verfügt.

Danke fürs Erklären!

[Patrick M. Hausen]

Das schrieb ich aber schon

Die ändern sich so selten, die sind fix eingebaut. Und um ganz sicher zu gehen, holt er sich beim Start eine aktualisierte Liste. Sollte einer in seiner eingebauten "kaputt" sein muss er es halt ein, zwei mal versuchen. Ab da tobt er einfach rekursiv (deshalb heißt das so) durch das ganze Internet.

Wie auch schon geschrieben: das ist alles komplett dezentral geplant gewesen. Auf jeder Ebene. Routing, DNS, E-Mail ...

Ein Mailserver braucht nämlich auch keinen Smarthost beim Provider oder eine "Plattform". Den hängst du ans Internet, und wenn IP und DNS funktionieren, dann kann der Mail an alle existierenden Ziel-Adressen zustellen.

Dass heute nur noch wenige Mail von überall annehmen ist ein anderes trauriges Thema.

Aber grundsätzlich: IP-Uplink, BIND (später Unbound) und Sendmail starten - go! Keine Konfiguration nötig.

[Doktor]

So..alles umkonfiguriert und es läuft.Top. Danke noch mal!

Feststellung: wenn man auf der OpenSense unter AdGuard den Haken setzt als Primärer DNS-Server, dann bringt das nix. Ich musste noch mal per Hand in das Konfigfile von AdGuard gehen und dort den Port 53 setzten.

Die IP-Adressen aller anfragenden Rechner werden jetzt angezeigt.

Kann man anstatt der IP-Adressen auch die Rechnernamen der anzeigenden Rechner anzeigen lassen?

[Patrick M. Hausen]

Ist eine Option in AGH irgendwo.

[Peter68]

Ich nutze auch kein Upstream-Server in Unbound und bin eigentlich zufrieden, keine ausfälle.
Meine Durchschnittliche DNS Bearbeitungsdauer liegt bei 11 ms und Upstream-Antwortzeit 70 ms.

Sind die werte OK?