Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    DNS Resolver mit Enable Forwarding Mode - Verständnisfrage

    Scheduled Pinned Locked Moved Deutsch
    4 Posts 2 Posters 2.0k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • C
      ceofreak
      last edited by

      Hi Leute !

      Endlich mal wieder Zeit mit der pfSense rumzuspielen :))

      Ich hatte nun Zuhause schon lange das "Problem" oder das Gefühl, dass DNS abfragen zu lange gedauert haben.

      Ich hatte bisher nur den DNS Resolver OHNE Enable Forwarding Mode in Benutzung.

      Hab dann ein  bisschen recherchiert, und so wie ich das verstanden habe, ist es dem DNS Resolver völlig egal welche DNS Server man unter General Setup einträgt, da die Auflösung ausschließlich in der pfSense selbst stattfindet. (?)

      Nun habe ich mal "Enable Forwarding Mode" aktiviert und siehe da, mein Pageloading Speed ist wesentlich schneller als nur mit dem Resolver.

      Kann mich wer aufklären wie das jetzt genau im Zusammenspiel funktioniert? Forwarded er jetzt einfach alle DNS abfragen an die unter General eingetragenen DNS Server? Oder resolvt er gleichzeitig selbst?

      Außerdem, Pros und Cons von exklusiver Nutzung von DNS Resolver vs DNS Forwarder?

      Please enlighten me :)

      Danke! ;D
      te1.png
      te1.png_thumb
      te2.png
      te2.png_thumb

      1 Reply Last reply Reply Quote 0
      • m0njiM
        m0nji
        last edited by

        Kommt wahrscheinlich auf das Einsatzgebiet an. Ich persönlich bevorzuge aktuell noch den DNS Forwarder, da ich alle Anfragen an 2 dnsmasq Linux Server weiterleite im Netzwerk. Diese lösen interne Adressen auf und leiten externe Abfragen an Upstream Server meines Vertrauens weiter. Gleichzeitig ist dnsmasq prädestiniert für DNS basiertes Adblocking.

        Allerdings muss man sagen, ist der DNS Forwarder im pfSense auch nur ein DNSMASQ und könnte daher die zwei Linux Server ersetzen. Einzig das Adblocking kann die pfSense leider nicht mit dem DNS Forwarder auf diese Weise. Dazu benötigst du den Unbound DNS Resolver + pfblockerng und dessen DNSBL Listen.

        Übrigens sollte der Punkt "Enable DNSSEC Support" überflüssig sein, sobald du den Forwarding Modus einschaltest im Resolver. Denn dann übernimmt der Upstream Server den DNSSEC Support, sofern unterstützt.

        Vorteil vom DNS Resolver ist ganz klar, dass Thema Sicherheit (Voraussetzung: Forwarding ist deaktiviert). Hier fragst du direkt die Root Server ab und gibst lokale Anfragen nicht an irgendwelche Upstream Server weiter, die sie ggf. umlenken oder manipulieren. Nachteil -> Performance.

        Also, gar nicht so einfach die Entscheidung ;)

        Intel i3-N305 / 4 x 2.5Gbe LAN @2.7.2-Release
        WAN: Vodafone 1000/50, Telekom 250/40; Switch: USW Enterprise 8 PoE, USW Flex XG, US-8-60W; Wifi: Unifi 6 Lite AP, U6 Mesh

        1 Reply Last reply Reply Quote 0
        • C
          ceofreak
          last edited by

          @m0nji:

          Kommt wahrscheinlich auf das Einsatzgebiet an. Ich persönlich bevorzuge aktuell noch den DNS Forwarder, da ich alle Anfragen an 2 dnsmasq Linux Server weiterleite im Netzwerk. Diese lösen interne Adressen auf und leiten externe Abfragen an Upstream Server meines Vertrauens weiter. Gleichzeitig ist dnsmasq prädestiniert für DNS basiertes Adblocking.

          Allerdings muss man sagen, ist der DNS Forwarder im pfSense auch nur ein DNSMASQ und könnte daher die zwei Linux Server ersetzen. Einzig das Adblocking kann die pfSense leider nicht mit dem DNS Forwarder auf diese Weise. Dazu benötigst du den Unbound DNS Resolver + pfblockerng und dessen DNSBL Listen.

          Übrigens sollte der Punkt "Enable DNSSEC Support" überflüssig sein, sobald du den Forwarding Modus einschaltest im Resolver. Denn dann übernimmt der Upstream Server den DNSSEC Support, sofern unterstützt.

          Vorteil vom DNS Resolver ist ganz klar, dass Thema Sicherheit (Voraussetzung: Forwarding ist deaktiviert). Hier fragst du direkt die Root Server ab und gibst lokale Anfragen nicht an irgendwelche Upstream Server weiter, die sie ggf. umlenken oder manipulieren. Nachteil -> Performance.

          Also, gar nicht so einfach die Entscheidung ;)

          Servus, aber wie ist das wenn jetzt die forwarding option IM Resolver aktiviert ist? Forwarded er dann alle requests? Oder nur externe? Und cached der resolver trozdem bereits aufgerufene addressen?

          1 Reply Last reply Reply Quote 0
          • m0njiM
            m0nji
            last edited by

            Da ich ihn nicht nutze, kann ich nur meine Vermutung äußern. Ich schätze, er forwarded alle Requests bis auf die, die du unter Host Override definiert hast. Also wird er auch nicht cachen.
            Für kleine Umgebung mit <10 Clients wirst du dich wahrscheinlich mehr über die "schlechte" Performance beim Resolver ärgern beim ersten Aufruf eines Hostnames.

            Hier: https://doc.pfsense.org/index.php/Unbound_DNS_Resolver
            und
            Hier: https://forum.pfsense.org/index.php?topic=113922.0
            wird noch mal einiges geklärt und erklärt.

            Gerade beim Thema Forwarding und DNSSEC gibts ein paar Abhängigkeiten, die einem bewusst sein sollten, wenn man den DNS Resolver nutzen mag.

            Intel i3-N305 / 4 x 2.5Gbe LAN @2.7.2-Release
            WAN: Vodafone 1000/50, Telekom 250/40; Switch: USW Enterprise 8 PoE, USW Flex XG, US-8-60W; Wifi: Unifi 6 Lite AP, U6 Mesh

            1 Reply Last reply Reply Quote 0
            • First post
              Last post
            Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.