DNS Resolver mit Enable Forwarding Mode - Verständnisfrage



  • Hi Leute !

    Endlich mal wieder Zeit mit der pfSense rumzuspielen :))

    Ich hatte nun Zuhause schon lange das "Problem" oder das Gefühl, dass DNS abfragen zu lange gedauert haben.

    Ich hatte bisher nur den DNS Resolver OHNE Enable Forwarding Mode in Benutzung.

    Hab dann ein  bisschen recherchiert, und so wie ich das verstanden habe, ist es dem DNS Resolver völlig egal welche DNS Server man unter General Setup einträgt, da die Auflösung ausschließlich in der pfSense selbst stattfindet. (?)

    Nun habe ich mal "Enable Forwarding Mode" aktiviert und siehe da, mein Pageloading Speed ist wesentlich schneller als nur mit dem Resolver.

    Kann mich wer aufklären wie das jetzt genau im Zusammenspiel funktioniert? Forwarded er jetzt einfach alle DNS abfragen an die unter General eingetragenen DNS Server? Oder resolvt er gleichzeitig selbst?

    Außerdem, Pros und Cons von exklusiver Nutzung von DNS Resolver vs DNS Forwarder?

    Please enlighten me :)

    Danke! ;D





  • Kommt wahrscheinlich auf das Einsatzgebiet an. Ich persönlich bevorzuge aktuell noch den DNS Forwarder, da ich alle Anfragen an 2 dnsmasq Linux Server weiterleite im Netzwerk. Diese lösen interne Adressen auf und leiten externe Abfragen an Upstream Server meines Vertrauens weiter. Gleichzeitig ist dnsmasq prädestiniert für DNS basiertes Adblocking.

    Allerdings muss man sagen, ist der DNS Forwarder im pfSense auch nur ein DNSMASQ und könnte daher die zwei Linux Server ersetzen. Einzig das Adblocking kann die pfSense leider nicht mit dem DNS Forwarder auf diese Weise. Dazu benötigst du den Unbound DNS Resolver + pfblockerng und dessen DNSBL Listen.

    Übrigens sollte der Punkt "Enable DNSSEC Support" überflüssig sein, sobald du den Forwarding Modus einschaltest im Resolver. Denn dann übernimmt der Upstream Server den DNSSEC Support, sofern unterstützt.

    Vorteil vom DNS Resolver ist ganz klar, dass Thema Sicherheit (Voraussetzung: Forwarding ist deaktiviert). Hier fragst du direkt die Root Server ab und gibst lokale Anfragen nicht an irgendwelche Upstream Server weiter, die sie ggf. umlenken oder manipulieren. Nachteil -> Performance.

    Also, gar nicht so einfach die Entscheidung ;)



  • @m0nji:

    Kommt wahrscheinlich auf das Einsatzgebiet an. Ich persönlich bevorzuge aktuell noch den DNS Forwarder, da ich alle Anfragen an 2 dnsmasq Linux Server weiterleite im Netzwerk. Diese lösen interne Adressen auf und leiten externe Abfragen an Upstream Server meines Vertrauens weiter. Gleichzeitig ist dnsmasq prädestiniert für DNS basiertes Adblocking.

    Allerdings muss man sagen, ist der DNS Forwarder im pfSense auch nur ein DNSMASQ und könnte daher die zwei Linux Server ersetzen. Einzig das Adblocking kann die pfSense leider nicht mit dem DNS Forwarder auf diese Weise. Dazu benötigst du den Unbound DNS Resolver + pfblockerng und dessen DNSBL Listen.

    Übrigens sollte der Punkt "Enable DNSSEC Support" überflüssig sein, sobald du den Forwarding Modus einschaltest im Resolver. Denn dann übernimmt der Upstream Server den DNSSEC Support, sofern unterstützt.

    Vorteil vom DNS Resolver ist ganz klar, dass Thema Sicherheit (Voraussetzung: Forwarding ist deaktiviert). Hier fragst du direkt die Root Server ab und gibst lokale Anfragen nicht an irgendwelche Upstream Server weiter, die sie ggf. umlenken oder manipulieren. Nachteil -> Performance.

    Also, gar nicht so einfach die Entscheidung ;)

    Servus, aber wie ist das wenn jetzt die forwarding option IM Resolver aktiviert ist? Forwarded er dann alle requests? Oder nur externe? Und cached der resolver trozdem bereits aufgerufene addressen?



  • Da ich ihn nicht nutze, kann ich nur meine Vermutung äußern. Ich schätze, er forwarded alle Requests bis auf die, die du unter Host Override definiert hast. Also wird er auch nicht cachen.
    Für kleine Umgebung mit <10 Clients wirst du dich wahrscheinlich mehr über die "schlechte" Performance beim Resolver ärgern beim ersten Aufruf eines Hostnames.

    Hier: https://doc.pfsense.org/index.php/Unbound_DNS_Resolver
    und
    Hier: https://forum.pfsense.org/index.php?topic=113922.0
    wird noch mal einiges geklärt und erklärt.

    Gerade beim Thema Forwarding und DNSSEC gibts ein paar Abhängigkeiten, die einem bewusst sein sollten, wenn man den DNS Resolver nutzen mag.


Log in to reply