DNS-Auflösung mit Unbound + Adguard sehr langsam oder gar nicht

[bread]

Hi,

bisher war ich zu faul das Problem anzugehen. Seit ich eine 1000er-Leitung habe, will ich auch was davon haben :D

1. Die Seiten stocken eine Weile bevor sie geladen werden
2. Manchmal werden sporadische Seiten gar nicht geladen und zwar es gibt sofort einen Verbindungsfehler. Nach einer Weile refreshe ich die Seite und sie lädt.

Ich vermute, dass es mit meinen Einstellungen in Unbound bzw. Adguard zusammen hängt.

Adguardhome ist "primary DNS" und läuft auf dem 2000er Port
Dann sollte aber "primary DNS" aus sein oder? Das betrifft ja nur den 53er Port.
Unbound läuft auf 5353 mit folgenden aktivierten Eigenschaften:
DNSSEC Support
 Register ISC DHCP4 Leases
 Register DHCP Static Mappings
 Do not register IPv6 Link-Local addresses
Local Zone: transparent
Hide identity
Hide version
Harden DNSSEC Data
Aggressive NSEC
Bei DNS over TLS sind 4 Server eingetragen
Beim Log File ist "[33944:0] error: could not SSL_write: Broken pipe"

dig opnsense.org ergibt beim ersten mal 153ms, beim zweiten mal 2ms. Obwohl ich davor schon auf der Seite war.
dig gmx.de ergab 328ms, google.com 208ms (immer beim ersten mal).

Es ist meiner Wissens nach die Eigenschaft von unbound, dass neue Anfragen erstmal länger dauern und sie danach gecached werden und flüssiger laufen.
Aber so gleich?

Kann mich einer mal aufklären? :D
Hat es vielleicht mit den advanced-Einstellungen zu tun?

Grüße
bread

P.S.
Habe jetzt mal  Prefetch DNS Key Support angemacht.

edit:
Ich habe jetzt einige Settings bei advanced ausgemacht, es gab aber keine nennenswerte Geschwindigkeitsänderungen dadurch.
Dann vermute ich, dass bei adguard zu viele Listen sind.
Habe einige entfernt.

Die Seiten stocken weiterhin teilweise total!

[Tuxtom007]

Adguardhome ist "primary DNS" und läuft auf dem 2000er Port
Dann sollte aber "primary DNS" aus sein oder? Das betrifft ja nur den 53er Port.
Unbound läuft auf 5353 mit folgenden aktivierten Eigenschaften:

Warum 2000er Port - DNS ist Port 53 und das sollte man auch so lassen.

Unbound auf 5353 - ändere das mal in z.b. 53053,  5353 ist für mDNS reserviert und kann Probleme machen.


Meine DIG-Abfragen sind bei 21ms, 181ms, 7ms bei erster Abfrage für die 3 Domains, die 2. ist uninteressant, das wird meist sogar am Client gecached. ( über WLAN getestet vom MacBook )

Zeige am besten mal deine AdGuard Einstellungen für Upstream-DNS usw.

[bread]

Warum 2000er Port - DNS ist Port 53 und das sollte man auch so lassen.

ääähm... der 2000er ist ja nur fürs Dashboard und nicht für DNS. War wohl durcheinander.
DNS läuft über 853, da bei Unbound DoT-Server eingestellt sind.
Nebenbei gibts noch floating rule: any to !this firewall 53/853, um DNS nach außen zu unterbinden.

In adguard ist die IP der Sense und 5353er Port als upstream.
Bei Private reverse DNS servers ebenfalls.
Use Private reverse DNS servers ist aktiviert.
enable reverse resolving ebenfalls aktiviert.
DNSSEC ist aktiviert.

Unbound auf 5353 - ändere das mal in z.b. 53053,  5353 ist für mDNS reserviert und kann Probleme machen.

ah, ok, das hab ich mal gemacht. Ergab aber keine sichtbare Änderung.

[Tuxtom007]

In adguard ist die IP der Sense und 5353er Port als upstream.
Bei Private reverse DNS servers ebenfalls.
Use Private reverse DNS servers ist aktiviert.

Kopiere mal bitte dein vollständigen Einträger hier rein oder mache Screenshots davon.
Mit Aussage kann ich nicht viel anfangen

[bread]

Kopiere mal bitte dein vollständigen Einträger hier rein oder mache Screenshots davon.

Screenshots bei QubesOS sind eine komplizierte Angelegenheit.

upstream DNS: Sense-IP:53053
Load-Balancing
Bootstrap DNS Servers (nicht verändert): 9.9.9.10, 149.112.112.10, 2620:fe::10, 2620:fe::fe:10
Private reverse DNS servers: Sense-IP:53053
Use private reverse DNS resolvers
Enable reverse resolving of clients IP addresses
Upstream timeout: 10

[Tuxtom007]

upstream DNS: Sense-IP:53053
Private reverse DNS servers: Sense-IP:53053

Genau um die Sense-IP, was hast du da eingetragen.

Bei mir steht da die Lokal-Host der OPNSense drin, weil AdGuard und Unboud ja beide drauf laufen.

Code Select Expand

[/local/]127.0.0.1:53053
[/<MEINE-DOMAIN>/]127.0.0.1:53053
[/0.10.in-addr.arpa/]127.0.0.1:53053
127.0.0.1:53053
[::1]:53053

und als "Private inverse DNS-Server"

Code Select Expand

127.0.0.1:53053
[::1]:53053


[bread]

Genau um die Sense-IP, was hast du da eingetragen.

hmm... ich hab die konkrete IP der Sense im LAN eingetragen als sagen wir mal 192.168.2.1, nicht den localhost.
Macht es mehr Sinn mit localhost zu arbeiten, weil man ansonsten einen delay hat?

[Tuxtom007]

Macht es mehr Sinn mit localhost zu arbeiten, weil man ansonsten einen delay hat?

Kann gut sein.

Du bleibst ja lokal, dann trag doch die Localhost-Adresse besser ein.

Überirgens - Private IP-Adressen kann ruhig hier reinschreiben, da kann keiner was mit anfangen, weil die im Internet eh nciht geroutet werden.
Öffentliche IP's wie vom WAN-Anschluss sollte man aber schon unkenntlich machen.

[bread]

Du bleibst ja lokal, dann trag doch die Localhost-Adresse besser ein.

jupp, hab ich per VPN gemacht, werds testen, wenn ich wieder Zuhause bin.

Überirgens - Private IP-Adressen kann ruhig hier reinschreiben, da kann keiner was mit anfangen, weil die im Internet eh nciht geroutet werden.

Klar, da haste Recht, Ist irgendwie ne Prinzipsache :D