DNS Resolver vs. DNS Forwarder

[fabian]

Also ich habe keine Performance-Probleme mit unbound außer wenn ich Domain Overrides nutze (wegen split DNS) - dann läuft das erste Query ins leere und dann kommt erst der Ersatzserver (nach ein paar Sekunden) zum Einsatz. Das ist zwar unangenehm aber besser als es geht gar nicht. Ist auch dem Transportprotokoll UDP geschuldet.

[guest15032]

Moin,

Man muss hier ganz klar zwischen den Begriffen "Vertraulichkeit"/Datenschutz und "Sicherheit"/Vertrauen/Stabilität unterscheiden.
Ich halte OpenDNS als sehr performant und stabil (ist mir noch nie entfallen die Verbindung), jedoch in Punkto Vertraulichkeit schlechter als OpenNIC.
Die Tatsache, dass viele der Root Server in Amerika stehen, ist vielleicht viel eher ein globales Problem, als dass man es als "kleiner Mann" unter Kontrolle kriegt. Wie du (@ne0h) und @JeGr ja schon meinten, wenn ich den Root Servern nicht mehr vertrau... wem denn dann?

Wenn es um Vertraulichkeit geht, dann ist man so oder so quasi aufgeschmissen, so lange man nicht seine eigene DNS Infrastruktur betreibt. ^^ Aber hierbei behaupte ich jetzt einfach mal, dass ich ein besseres Gefühl habe, mit dem Resolver zu arbeiten als mit dem Forwarder (bzw. dem Resolver im Forwarder Modus).

Ich habe dann zumindest den DNS Cache ja bei mir (also den Resolver Cache, nicht den Forwarder Cache). Sollte also - ganz stumpf gedacht - irgendwo jemand Cache Poisoning betreiben, dann wäre das zumindest im Ansatz schwerer anzuwenden, als mit dem Forwarder. Die Überlegung basiert bei mir aber nur auf dem Fakt, dass der Resolver ja dann über die DNS Root Server geht und hier erwarte ich, dass die wohl gehärtet gegen diverse Angriffe sind. Zumindest mehr, als evtl. die DNS von irgendeinem zweit- oder drittklassigen ISP.

Kompliziertes Thema...

500ms sind 0,5 Sekunden. Ob einem das wirklich auffällt? ::)

Dazu finden sich dann auch Kommentare in den Foren, wie "Wenn Du nicht grade ein Cyborg bist, wirst Du den Unterschied nicht merken". ;)

Sehe ich ähnlich. Natürlich merkt man schon, wenn sich kleine Verzögerungen einschleichen, wenn irgendwo die Latenz zunimmt, etc. Aber ich behaupte auch, dass Veränderungen im Bereich solcher Werte sehr sehr schwer zu erfassen sind, bezogen auf die menschliche Wahrnehmung in dem Bereich.

Kann das jemand abnicken? Das wär für mich ja schon das Todesurteil für Unbound. Mein Dnsmasq macht da nämlich keine Fachsen  ???

Ich habe dazu noch nichts geprüft bzw. weiß auch nicht wirklich, worum es im Detail geht.

Also ich habe keine Performance-Probleme mit unbound außer wenn ich Domain Overrides nutze (wegen split DNS) - dann läuft das erste Query ins leere und dann kommt erst der Ersatzserver (nach ein paar Sekunden) zum Einsatz. Das ist zwar unangenehm aber besser als es geht gar nicht. Ist auch dem Transportprotokoll UDP geschuldet.

ich habe bis jetzt auch keine Performance Probleme. Es sind zwar Schwankungen da, die ich mal hier und da beobachten kann, aber das sind eigentlich Probleme, die ich eher meinem ISP bzw. der Auslastung der Netze zuschreibe. Z.B. war die Auflösung diverser Seiten gestern Nachmittag etwas träge, Abends ging es dann wieder flotter.

Da müsste man ja dann schon wirklich über einen längeren Zeitraum DNS Anfragen protokollieren.

Gruß
Chris

[chemlud]

"    Kann das jemand abnicken? Das wär für mich ja schon das Todesurteil für Unbound. Mein Dnsmasq macht da nämlich keine Fachsen  ???


Ich habe dazu noch nichts geprüft bzw. weiß auch nicht wirklich, worum es im Detail geht. "

Nimm mal den WAN-port einer opnsense (ausgeschaltet, OHNE clients in LAN/OPT) und starte einen package capture. Dann schaltest du die opnsense ein. Siehst du im package capture DNS-Abfragen für Microsoft-Telemetry domains (viiiiele verschiedene)?

Ich will vielleicht am Wochenende nochmal testen, bei bisher 3 Experiementen war das bei mir reporduzierbar so. Wollte auch nochmal eine pfsense testen. Details zur Config in dem weiter oben verlinkten Thread.

[guest15032]

Nimm mal den WAN-port einer opnsense (ausgeschaltet, OHNE clients in LAN/OPT) und starte einen package capture. Dann schaltest du die opnsense ein. Siehst du im package capture DNS-Abfragen für Microsoft-Telemetry domains (viiiiele verschiedene)?

Ich will vielleicht am Wochenende nochmal testen, bei bisher 3 Experiementen war das bei mir reporduzierbar so. Wollte auch nochmal eine pfsense testen. Details zur Config in dem weiter oben verlinkten Thread.

Ah, das müsste ich mal in Ruhe machen, evtl. am Sonntag abend, Vorher wirds schwer. Ich lese dann erst mal in den anderen Thread rein.

Gruß
Chris

[chemlud]

Hi again!

Ich hab' dann nochmal mit dem DNS Resolver gebootet, wieder diese DNS-Abfragen zu Microsoft-Telemetry in Mengen. Dann auf DNS Forwarder umgestellt, neuer Boot, selbes Bild, alles voll mit DNS-Fragen zu Windows-Telemetry und ähnlichem. Siehe Anhang, 10.0.2.4 ist die WAN-IP der opnsense.

Wer die .cap files möchte, bitte melden.

Ich will nochmal eine pfsense booten und schauen. Ggf. auch noch eine frisch installierte opnsense, mal sehen.


PS: Habe noch die CF-Karte mit 16.7.x drauf gefunden und gebootet, selbe Telemetry.

PPS: mit einer alten Karte mit pfsense 2.3.1 keine Telemetry... :-(

[fabian]

Ich habe mal meinen Cache ausgeben lassen und keine entsprechenden Einträge gefunden.

Code Select Expand

unbound-control -c /var/unbound/remotecontrol.conf dump_cache

Ich würde mal sagen, das wird von irgendeinem Windowsgerät verursacht. Kannst du das auch mal checken, was der cache sagt?

[chemlud]

Hallo Fabian!

Danke für die Mühe! Bei den Experimenten sind KEINE Clients in LAN oder OPT1. Null, nix.

Code Select Expand

~ % unbound-control -c /var/unbound/remotecontrol.conf dump_cache
[1490438644] unbound-control[98000:0] error: Could not open /var/unbound/remotecontrol.conf: No such file or directory
[1490438644] unbound-control[98000:0] fatal error: could not read config file

[chemlud]

uuups, war noch der Forwarder aktiv. Mit Resolver:

Code Select Expand

% unbound-control -c /var/unbound/remotecontrol.conf dump_cache
error: Error setting up SSL_CTX client key and cert
710444948:error:0200100D:system library:fopen:Permission denied:/usr/src/secure/lib/libcrypto/../../../crypto/openssl/crypt)
710444948:error:20074002:BIO routines:FILE_CTRL:system lib:/usr/src/secure/lib/libcrypto/../../../crypto/openssl/crypto/bio:
710444948:error:140DC002:SSL routines:SSL_CTX_use_certificate_chain_file:system lib:/usr/src/secure/lib/libssl/../../../cry:

???

PS: flavor ist LIBRESSL ?!?!

[franco]

Hmm mit % ? sudo vergessen?

Ganz genau genommen das hier:

# chroot -u unbound -g unbound / unbound-control -c /var/unbound/remotecontrol.conf dump_cache
START_RRSET_CACHE
END_RRSET_CACHE
START_MSG_CACHE
END_MSG_CACHE
EOF


Grüsse
Franco

[fabian]

@franco: das heißt der cache ist leer und soll es vermutlich nach dem booten auch sein (es sei den er wird intern verwendet, um ein paar alias-listen aufzulösen)

[chemlud]

Sorry, war wirklich ohne sudo! Musste erst root in der Konsole aktivieren. 2 DYNDNS-Adressen sollte er auflösen, mehr eigentlich nicht.

Also, frischer boot, ohne Clients in LAN oder OPT1 (es ist die opnsense mit dem USB-wifi-stick als WAN interface....)

In den unbound keine Spur von Microsoft Telemetry, aber der pacakge capture auf dem WAN Interface der opnsense ist voll davon.

Ich bin ratlos. Sorry für den Ärger, aber ich wollte das jetzt mal klären, woher das kommt... :-)

[fabian]

Da ist irgenwas faul:
1. die queries sind nah beinander - das heißt sie werden von einer Anwendung verursacht.
2. das ist nicht unbound, da das ganz anders aussehen würde (unbound ist ein resolver, das sieht mehr nach client / forwarder aus)
3. dein cache enthält einige Einträge nicht, das heißt, dass der Resolver hat sie auch nicht abgefragt hat

[chemlud]

ICH IDIOT! Beim (teilweisen) übernehmen der Konfig einer anderen Sense ist ein Alias "Windows telemetry" mit übernommen worden (normalerweise genutzt für eine BLOCK-rule ganz oben in der Liste). Was der wohl auflösen wird? :-(

Ich hab mir eben die Config.xml im Texteditor angeschaut und bin drauf gestoßen.

Oh man, was für ein Mist! Tschuldigung für die verplemperte Zeit (bei mir sind es mittlerweile diverse Stunden oder schon Tage?)....  :-* :'(

[JeGr]

> Was der wohl auflösen wird? :-(

Aye, wenn das als URL bzw. FQDN im Alias eingetragen ist, werden die natürlich sporadisch aufgelöst damit der Filter die IPs davon blocken kann, was dann auch die Abfragen im Client Stil erklärt, da die Sense das selbst auflöst. :)

Aber ist doch gut, dann haben wirs ja gefunden :D

[Gandalf123]

Hallo,

der Tread ist ja schon etwas älter aber ich suche noch nach einer Lösung für mein kleines Problem und bin mir nicht sicher wie ich das am einfachsten umsetzen kann.

Ich habe mehrere Lans auf der Opensense und arbeite mit festen IP Adressen ohne DHCP. Jetzt würde ich gerne in der OPNsense auf dem DNS Server einem Hostnamen die IP Adresse zuweisen damit ich mittels Hostnamen auf den Rechner zugreifen kann. Auf den Lancom Routern habe ich den Host dann immer in die Tabelle beim DNS eingetragen.

Muss ich das jetzt über DNSmasq mit Forwarderkonfiguration einrichten oder geht das auch mit dem resolver?

Irgendwie verwirrt mich das DNS Konzept der OPNsense gerade noch etwas.

Grüße
Gandalf123