The configured system nameservers will be used to forward queries to.
If Forwarding, is enabled, the DNS Resolver will use the DNS servers entered in System: General setup or those obtained via DHCP or PPP on WAN if the "Allow DNS server list to be overridden by DHCP/PPP on WAN" is checked.
If this option is set, DNS servers assigned by a DHCP/PPP server on WAN will be used for its own purposes (including the DNS forwarder). However, they will not be assigned to DHCP and PPTP VPN clients.
Enter IP addresses to be used by the system for DNS resolution. These are also used for the DHCP service, DNS forwarder and for PPTP VPN clients.
Also ja: der Resolver wird zum Forwarder. Bedient aber aus seinem Cache sofern möglich.
On pfSense 2.2, The DNS Forwarder is not active by default. It has been replaced by Unbound as a DNS Resolver. It may still be used, and is still active on upgraded configurations. To use the DNS Forwarder (dnsmasq) on 2.2, first disable Unbound and then enable the DNS Forwarder.
2. Ja. Wird DHCP oder PPPoE auf dem WAN verwendet kann dies automatisch DNS Server propagieren. Werden diese Übergeben, so werden die manuellen Server ignoriert. Daher die Einstellung um beides gezielt möglich zu machen.
3. Der DNS Resolver nutzt die Root-Server, sofern er nicht im Forward-Modus ist.
Unbound wurde populär, weil es als BSD Projekt Bind's Security Probleme lösen konnte, z.B. haben FreeBSD und OpenBSD auf Unbound gewechselt.
Wir könnten Unbound zum Default machen (vermutlich eher als Forwarder) und Dnsmasq entfernen. Die große Preisefrage ist aber: was bringt uns das.Ich weiß es nicht. Was denkt ihr?
Ok. Also will ich, dass meine eingetragenen DNS Server genutzt werden, deaktiviere ich das Häkchen für die Funktion. Richtig?
Hier noch mal ein Edit, ich hab grade gemerkt, dass ich es doch noch nicht verstanden habe: Was genau meinst Du mit "die Root-Server" ? Sprichst Du von "anderen" Servern als denen, die ich eingetragen habe? Denn da ist ja wieder der Punkt, dass der Resolver ja egal in welchem Modus er läuft, die DNS Server nutzen soll, die ich ihm vorgegeben habe. Oder verstehe ich das gerade grundlegend falsch?
Na ja, der einfachste Grund, so blöd es auch klingen mag, wäre für mich, um einfach Verwirrung zu vermeiden. Wozu zwei gleiche Funktionen bereitstellen? Wenn der Resolver forwarden kann, dann sehe ich nicht so wirklich Gründe, die für den Verbleib des Forwarders (dnsmasq) sprechen.
Radikaler ausgedrückt: Wozu Altlasten mitschleppen?
Gut, dann mein Vorschlag für 17.7: Der DNS Forwarder wird als "os-dnsmasq" Plugin optional verfügbar und der Resolver wird als config.xml (Factory Reset) Standard im Forwarder-Modus angeboten? Dann kann man für 18.1 usw. immer noch an den Standardeinstellungen schrauben.
Ich muss das noch intern absprechen ob okay. Und ein wenig mehr Arbeit wird es wohl auch. Ich denke das ist doch der Hauptgrund: einer muss die Arbeit machen am Ende des Tages...
Quote Ok. Also will ich, dass meine eingetragenen DNS Server genutzt werden, deaktiviere ich das Häkchen für die Funktion. Richtig? Genau.
Es gibt eine fixe Liste von Root-Servern die vom DNS zur Auflösung benutzt werden: https://de.wikipedia.org/wiki/Root-NameserverDazu hat jeder Resolver eine Liste dieser IP Adressen. Du brauchst diese also nicht angeben.
Your client resolver sends a query, "What is the IP address of calomel.org ?" to a locally configured DNS server like Unbound.Unbound DNS server looks up calomel.org in local tables (its cache) - not found if we have never asked for this hostname before.Unbound DNS sends a query to one of the root-servers in its root.hints file.The root-server replies with a referral to the TLD servers for ".org"......usw.[ ..... ]caching DNS serverCaching name servers, also called DNS caches, are often also resolving name servers as they perform every step necessary to answer any DNS query they receive. To do this the name server queries each authoritative name server in turn, starting from the DNS root zone.[ ..... ]validating DNS server[ ..... ]Paranoia in DNS security is also a reason you really need to have trust in any resolving caching server you do not control. We like to always have a DNS server under our control query the root servers and work their way down to the domain's authoritative server. This way we are sure of the setup as we are the administrators and we are confident in the DNS servers cached data due to the security design we have implemented. If you setup your DNS resolver to query the local ISP's dns cache you really, really need to trust their people and their setup is secure. From the view of an attacker, an ISP's dns cache is the perfect target. The attacker only needs to poison one dns server and all queries from all the users of that ISP go to the attackers compromised machines.
Das sagt sich jetzt so einfach. In den letzten 2 Jahren wurden tausende von Zeilen DNS Forwarder/Resolver Code überarbeitet nur damit du das jetzt "so einfach" sagen kannst.
Und ein wenig mehr Arbeit wird es wohl auch. Ich denke das ist doch der Hauptgrund: einer muss die Arbeit machen am Ende des Tages...
Enable DNSSEC Support: Uses DNSSEC to validate DNS queries. Be aware that it is recommended to disable forwarding and allow Unbound to handle all DNS resolution via root servers, which is the default behavior.
Wenn das so ist, dann frage ich mich gerade, welchen technischen Grund es dafür gibt? Oder noch einfacher gesagt: Warum kann/darf/soll der Resolver nicht die DNS Server nutzen, die ich eingetragen habe in den Systemeinstellungen?
The attacker only needs to poison one dns server and all queries from all the users of that ISP go to the attackers compromised machines.
Alternative A: Ich vertraue ausschließlich auf das Design des Resolvers und nutze somit immer den Weg über die Root DNS Server (sofern mein Resolver den Eintrag nicht im Cache hat).Alternative B: Ich nutze die DNS Server, die ich eingetragen habe und die ich somit vorgebe (Forwarder Modus).
Wenn man die Sicherheitsthematik betrachtet, die dort durch das Beispiel Cache Poisoning hervrogehoben wurde, dann bekommt auch der Punkt, mit der Option, dass man per DHCP oder PPPoE auf WAN alternative DNS Server zulässt, noch eine bedeutendere Gewichtung.
Hier tritt aber meine Paranoia in den Vordergrund und sagt mir: "ich vertraue den amerikanischen root Servern nicht". Auf jeden Fall mehr als meinem ISP, aber dennoch.
Nun bietet OpenNIC Tier 1 Root Server an als Alternative, aber wie zum Geier kriegt man das wieder in Unbound konfiguriert frag ich mich da. Fragen über Fragen.
So wie ich das verstanden habe, sind deine eingetragenen Server nicht länger notwendig. Es wird ja direkt der root Server angesprochen, der seinen Weg auch ohne deine eingetragenen DNS Server kennt um Namen aufzulösen. Er weiß ja sozusagen "besser" als du welchen Weg er nehmen muss für die Auflösung.
Vor ein paar Jahren gab es da doch mal einen Angriff genau auf diese Art um DNS Anfragen auf Webseiten mit Werbe-Bannern aufzulösen. Ich find leider den Artikel dazu nicht mehr. :-/Ziemlich beängstigend um ehrlich zu sein.
Ich würde sagen das variiert stark anhand deines Netzaufbaus.Alternative A würde bei mir und meiner Captive Portal Umsetzung im Betrieb keinen Sinn machen, weil die Captive Portal Seite auf der OPNsense bereits bekannt ist als "Host Overrides" Eintrag und die restlichen Anfragen mit dem Forwarder (Dnsmasq) zu einem lokalen DNS Server im Unternehmen geschickt werden (dem ich irgendwie zwangsläufig vertrauen muss). Selbe Umsetzung wäre im Forwarder Modus für Unbound ja dann ebenso gleichbedeutend für das Endergebnis.
Für Zuhause klingt Alternative A mit DNSsec und alternativen Root T1 Servern für mich auf jeden Fall erst einmal sicherer und im Bezug auf den Datenschutz vertraulicher. (Geschmackssache)
Performanter (nach meiner Naiven Vorstellung) klingt hingegen der Resolver im Forwarder Modus, obwohl man sagen muss, dass man das wahrscheinlich gar nicht merkt. (Vermutung)
Entweder vertraut man DNS oder nicht, da gehört dann Vertrauen in die großen ROOTs mit rein. Die zudem meist Anycast ausliefern und das aus Servern in deiner Nähe, als auch bspw. eben Europa oder Deutschland.
Nicht Werbebanner aber es gibt genug "schlechte" DNSe, die bspw. bei einem NXDomain eigene Seiten ausliefern als "Alternative". Was DNS im Grunde schon kaputt macht (weil es kein negatives Caching gibt, sondern der Client denkt, er hat was korrekt aufgelöst, obwohl es Werbung oder ISP Bullshit ist).
Hab auch oft gelesen, dass die Server wohl nicht stabil laufen, aber interessant wäre es trotzdem.
Ich habe z.B. die OpenDNS Server eingetragen (ich glaube Du, @Oxy, hattest das selbst mal geschrieben, dass Du die nutzt) und frage mich da nun die ganze Zeit: Ist mein Vertrauen nun in die (großteils amerikanischen) Root Server berechtigter, als in z.B. OpenDNS Server (die ja nun auch Amerikaner -> "Cisco" sind)?
Aber ich brauche keine alternativen ROOTs mit eigenen eingepflegten Zusatz TLDs denen ich dann auch wieder "trauen" muss, dass sie keine Zone wie bspw. .org mit was eigenem Überschreiben.
Ich hatte in einigen Portalen (vieles in pfSense Portalen) gelesen, dass sich Nutzer darüber beschwert haben, dass im Resolver Modus eben, ungecachte Einträge, mit bis zu 500ms aufgelöst wurden, wobei der Forwarder da Anfragen, mit meist unter 20ms, bedient hat.
Ich persönlich habe momentan den Resolver aktiviert und nicht im Forwarder Modus. Ich nutze also das Setup, mit eigenem Cache und Root DNS. Und ich werde in den nächsten Tagen mal das ein oder andere Benchmarking laufen lassen.
btw: der Resolver ist derzeit einer meiner Kandidaten für die Microsoft-Telemetry DNS Abfragen meiner "leeren" opnsense (keine clients) nach dem booten und auch danach immer wieder...
Und funktioniert das auch mit dem reinen Forwarder (dnsmasq) ?
