unbound hohe CPU Last während laufender Downloads

n300

Hallo zusammen,

nur als Verständnisfrage für mich...
Mir ist aufgefallen, dass während größerer Gamedownloads zB.: via Epic, die Last auf meiner SG 2100 ganz schön hoch ist (ca. 65%+). Ich weiß, die CPU-Leistung dieser Appliance ist jetzt recht überschaubar. Aber was zum Teufel treibt hier der unbound Prozess die ganze Zeit? Ich meine, ich lade von einem Server runter, ist der mal im DNS-Cache sollte unbound doch eigentlich nix mehr zu tun haben?!
Und lt. Log tut der auch eigentlich nix

Kann sich das jemand erklären?

Ach ja, falls es relevant ist. pfblockerNG-devel ist im Einsatz. Allerdings nur mit der "Basis" Config. Also keine riesige Menge an gemergter Blacklists.

NOCling

Zeige mal die Einstellungen von Undound genau.

Und warum die dev Version, die wurden vor kurzem zusammen gelegt, damit man als normaler User auf die normale pfBlocker umstellen kann.
Bist du Entwickler, wenn nicht, dann prüfen ob beide gleich sind und dann runter auf die normale.

Wie schnell ist der Internetzugang?

n300

Servus @NOCling

Danke schon mal für die Antwort. Anbei ein paar Screenshots.
Die Devel-Version daher, weil es damals, als ich es eingerichtet habe, alle geschrieben haben, dass diese die Version der Wahl wäre. Gut zu wissen, dass man jetzt wieder die normale verwenden kann. Damals gabs ja glaub ich die NG nur als devel und die nonNG war furchtbar vom Interface her.

Internet hab ich ADSL (A1 Telekom) mit ca. 180Mbit Down u. 30Mbit Up.

NOCling

SSL für interne Clients nutze ich nicht, da muss ja die pfSense ein sauberes Zertifikat haben, dem auch alle Clients vertrauen, wenn sie sich per IP hin verbinden.

Hätte ich zwar, aber das root müsste dann auch auf jede Kiste.

Dann ist DNSSEC Support aktiv und Forwarding Mode zwar nett, aber ich verwende lieber einen echten Resolver und lasse selber bei den root auflösen.
SSL für ausgehende Anfragen habe ich auch abgeschaltet.

Je nach Anzahl der Anfragen die rein kommen, ist das schon ein erheblicher Aufwand für die Verschlüsselung und Entschlüsselung, was den kleinen SoC angeht.

Edit:
Kannst du damals auch in Form eines Datum, Monat/Jahr reichen ausdrücken?

n300

@NOCling

SSL Zertifikat ist kein Problem, da der interne FQDN meiner pfsense auf meine eigene öffentliche Cloudflaredomain lautet und ich somit via LetsEncrypt und DNS-Challenge automatisiert saubere/gültige Zertifikate ausstellen kann.
Aber ja, intern kann man SSL natürlich abdrehen.

Dann zum Forwarding... Ich würde liebend gerne den echten Resolver-Mode verwenden. Krieg es aber einfach nicht zum Laufen. Hatte hier dazu schon mal nen Thread offen. Sobald ich den aktiviere, funktioniert nach draußen rein gar nichts mehr. Das Lustige ist, ich kann die Root-Server auf UDP 53 erreichen (per nmap). Wenn ich mir den tcpdump der echten DNS-Kommunikation ansehe, sendet meine pfsense brav ihre Requests nach draußen. Jedoch kommen niemals irgendwelche Antworten zurück. Ich vermute mein Provider (A1 Telekom Austria) hat da ne deep Packet Inspaction und droppt meine Anfragen einfach unkommentiert. Falls dazu noch wer nen Lösungsweg kennt... würde mich freuen :)

Zur pfblockerNG-devel Frage des Zeitpunkts. Ich kann jetzt nur schätzen. Würde sagen so vor 2 Jahren? Damals gabs nur den alten pfblocker, der wie gesagt ein Krampf bei der Einrichtung war und hier und auch bei anderen Tutorials zum NG-devel geraten wurde.

EDIT: Hab jetzt auf die non-devel Version migriert.

Ausgehendes SSL abschalten geht leider auch nicht. Wenn ich das mache verweigern mir die Cloudflare oder Google-DNS Server den Dienst.

NOCling

DNS wird ja über IP angesprochen, du musst also die pfSense IP die du als DNS verteilst im Cert stehen haben. Hast du das?

Du musst DNS Sec abschalten, für den Resolver mode, das passt nicht zusammen, dann funktioniert das zum Teil gar nicht.

War in der 23.09.x so, kann in der 24.03 anders sein, welche Version setzt du ein?

n300

@NOCling said in unbound hohe CPU Last während laufender Downloads:

DNS wird ja über IP angesprochen, du musst also die pfSense IP die du als DNS verteilst im Cert stehen haben. Hast du das?

guter Punkt, nein das hab meines Wissens nicht. Ich dachte immer, dass hier lediglich die Reverse-Auflösung funktionieren muss und das funktioniert ja auch. Aber egal, lokales DNS over TLS hab ich jetzt eh aus.

Ich fahre die derzeit für mein Gerät aktuelle angebotene stable Release ->23.09.1-RELEASE (arm64)

DNSSec hätte ich alles abgedreht gehabt beim Umstellen auf Resolver-Mode.
Hast du eine Idee, wie ich am ehesten "STICHHALTIG" rausbekomme ob mein Provider ein Rate-Limit hat oder generell DNS zu den Root-Server blockiert? Gerne auch über einen pcap.

Bei der Hotline brauch ich da gar nicht anfangen. Beim normalen Firstlevel sind sie zwar freundlich, haben aber keine Ahnung von solchen "Profilösungen" und bei der A1-Guru Hotline zahlste mehrere €/min und sie sind nicht grade Hilfsbereit, wenn man was will, was außerhalb des Standards ist. Die waren schon echt unverschämt und unfreundlich, weil ich meinen Providerrouter zum Modem degradieren lassen wollte.

NOCling

So einen Fall hatte ich noch nicht, das ein Provider hier so in das DNS eingreift.
Möglich ist aber alles.

Sollte sich aber mit einem PCAP auf Port 53 auf WAN für TCP und UDP recht fix rausfinden lassen.

Schaue noch mal unter Updates nach, ggf. ist hier auf last Release gestellt und die Prüfung hat noch nichts weiter gefunden. Mit einer gültigen Plus Lizenz wird jedenfalls 24.03 angeboten.

Und ja, Provider Router sind meist sehr grausam.

n300

@NOCling

du hast recht mit der Release, da war ich ja tatsächlich auf der der previous Stable eingestellt...why ever...

Jetzt hab ich das wegen dem Resolver nochmal durchgespielt. Also die Kommunikation ist da ja schon recht einseitig wie ich finde ->

Das Unbound log ist auch nicht grade glücklich.

May 13 21:03:56	unbound	73176	[73176:1] debug: cache memory msg=33687 rrset=33271 infra=13608 val=0
May 13 21:03:56	unbound	73176	[73176:1] debug: return error response SERVFAIL
May 13 21:03:56	unbound	73176	[73176:1] debug: Failed to get a delegation, giving up
May 13 21:03:56	unbound	73176	[73176:1] info: processQueryTargets: mesu-cdn.origin-apple.com.akadns.net. HTTPS IN
May 13 21:03:56	unbound	73176	[73176:1] info: iterator operate: query mesu-cdn.origin-apple.com.akadns.net. HTTPS IN
May 13 21:03:56	unbound	73176	[73176:1] debug: iterator[module 1] operate: extstate:module_wait_subquery event:module_event_pass
May 13 21:03:56	unbound	73176	[73176:1] debug: request has exceeded the maximum number of sends with 33
May 13 21:03:56	unbound	73176	[73176:1] debug: iterator[module 1] operate: extstate:module_wait_reply event:module_event_noreply
May 13 21:03:56	unbound	73176	[73176:1] info: processQueryTargets: . NS IN
May 13 21:03:56	unbound	73176	[73176:1] debug: iterator[module 1] operate: extstate:module_wait_reply event:module_event_noreply
May 13 21:03:56	unbound	73176	[73176:1] info: sending query: . NS IN
May 13 21:03:56	unbound	73176	[73176:1] debug: iterator[module 1] operate: extstate:module_wait_reply event:module_event_noreply
May 13 21:03:56	unbound	73176	[73176:1] info: sending query: . NS IN
May 13 21:03:56	unbound	73176	[73176:1] debug: iterator[module 1] operate: extstate:module_wait_reply event:module_event_noreply
May 13 21:03:56	unbound	73176	[73176:1] debug: sending to target: <.> 2001:7fe::53#53
May 13 21:03:56	unbound	73176	[73176:1] info: sending query: . NS IN
May 13 21:03:56	unbound	73176	[73176:1] info: processQueryTargets: . NS IN
May 13 21:03:56	unbound	73176	[73176:1] info: iterator operate: query . NS IN
May 13 21:03:56	unbound	73176	[73176:1] debug: iterator[module 1] operate: extstate:module_wait_reply event:module_event_noreply

NOCling

Zeige bitte noch mal deine Einstellungen vom Unbound.

n300

@NOCling
Die Config ist quasi genauso wie oben im Screenshot. Habe folgendes geändert:

Forwarder Modus aus
DNSSEC (+ auch die Hardened Config im Advanced Tab) aus
TLS/SSL aus (wobei das eh nur im Forwardermodus ziehen sollte)

Des Weiteren, was man im Screenshot nicht sieht:
Hab ne ganze Menge DNS-Rebinds (local-zone, local-data) bei den manuellen Parametern unten drinnen. Um Steam-, Epic-Downloads über meinen lokalen Lancache zu schleifen. Aber auch das sollte irrelevant sein. Denn das hab ich erst seit kurzem und die Resolvergeschichte geht bei mir ja schon seit Jahren nicht.

NOCling

Dann sollte es eigentlich passen, ich nutze noch folgende Optionen:
Query Name Minimization aktiv
Prefetch Support aktiv
Prefetch DNS Key Support aktiv
Aggressive NSEC aktiv
Experimental Bit 0x20 Support aktiv

Auf der ersten Seite hast du:
System Domain Local Zone Type Static, den Default Mode mal versucht?

Ansonsten ist heute Abend wieder unsere User Group, wenn du Zeit und Lust hast, schaue doch rein, ggf. findet sich da der passende Hinweis.

n300

@NOCling Oh Usergroup klingt interessant.
Danke schon mal :)
Ja die local-domain musste ich auf static setzen. Da ich vor der pfsense ne Fritzbox hatte ist meine local domain "fritz.box". Das war so lange kein Problem, bis irgendein Kasperl (nicht AVM) gemeint hat sich diese Domain global registrieren zu lassen, was bei mir dann lokal zu sehr nervigen Siteaffects geführt hat.
Ich müsste das mal ändern. Leider hab ich die lokalen FQDN an hunderten Stellen hard coded irgendwo in meiner Homeautomation drinnen. Ich hatte noch keine Zeit und Muße, das zu entflechten. Hab ja 2 kleine Kids, die mir so ziemlich die ganze "Freizeit" vereinnahmen.