Navigation

    Netgate Discussion Forum
    • Register
    • Login
    • Search
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search

    DNS Resolver mit Enable Forwarding Mode - Verständnisfrage

    Deutsch
    2
    4
    1561
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • C
      ceofreak last edited by

      Hi Leute !

      Endlich mal wieder Zeit mit der pfSense rumzuspielen :))

      Ich hatte nun Zuhause schon lange das "Problem" oder das Gefühl, dass DNS abfragen zu lange gedauert haben.

      Ich hatte bisher nur den DNS Resolver OHNE Enable Forwarding Mode in Benutzung.

      Hab dann ein  bisschen recherchiert, und so wie ich das verstanden habe, ist es dem DNS Resolver völlig egal welche DNS Server man unter General Setup einträgt, da die Auflösung ausschließlich in der pfSense selbst stattfindet. (?)

      Nun habe ich mal "Enable Forwarding Mode" aktiviert und siehe da, mein Pageloading Speed ist wesentlich schneller als nur mit dem Resolver.

      Kann mich wer aufklären wie das jetzt genau im Zusammenspiel funktioniert? Forwarded er jetzt einfach alle DNS abfragen an die unter General eingetragenen DNS Server? Oder resolvt er gleichzeitig selbst?

      Außerdem, Pros und Cons von exklusiver Nutzung von DNS Resolver vs DNS Forwarder?

      Please enlighten me :)

      Danke! ;D



      1 Reply Last reply Reply Quote 0
      • m0nji
        m0nji last edited by

        Kommt wahrscheinlich auf das Einsatzgebiet an. Ich persönlich bevorzuge aktuell noch den DNS Forwarder, da ich alle Anfragen an 2 dnsmasq Linux Server weiterleite im Netzwerk. Diese lösen interne Adressen auf und leiten externe Abfragen an Upstream Server meines Vertrauens weiter. Gleichzeitig ist dnsmasq prädestiniert für DNS basiertes Adblocking.

        Allerdings muss man sagen, ist der DNS Forwarder im pfSense auch nur ein DNSMASQ und könnte daher die zwei Linux Server ersetzen. Einzig das Adblocking kann die pfSense leider nicht mit dem DNS Forwarder auf diese Weise. Dazu benötigst du den Unbound DNS Resolver + pfblockerng und dessen DNSBL Listen.

        Übrigens sollte der Punkt "Enable DNSSEC Support" überflüssig sein, sobald du den Forwarding Modus einschaltest im Resolver. Denn dann übernimmt der Upstream Server den DNSSEC Support, sofern unterstützt.

        Vorteil vom DNS Resolver ist ganz klar, dass Thema Sicherheit (Voraussetzung: Forwarding ist deaktiviert). Hier fragst du direkt die Root Server ab und gibst lokale Anfragen nicht an irgendwelche Upstream Server weiter, die sie ggf. umlenken oder manipulieren. Nachteil -> Performance.

        Also, gar nicht so einfach die Entscheidung ;)

        1 Reply Last reply Reply Quote 0
        • C
          ceofreak last edited by

          @m0nji:

          Kommt wahrscheinlich auf das Einsatzgebiet an. Ich persönlich bevorzuge aktuell noch den DNS Forwarder, da ich alle Anfragen an 2 dnsmasq Linux Server weiterleite im Netzwerk. Diese lösen interne Adressen auf und leiten externe Abfragen an Upstream Server meines Vertrauens weiter. Gleichzeitig ist dnsmasq prädestiniert für DNS basiertes Adblocking.

          Allerdings muss man sagen, ist der DNS Forwarder im pfSense auch nur ein DNSMASQ und könnte daher die zwei Linux Server ersetzen. Einzig das Adblocking kann die pfSense leider nicht mit dem DNS Forwarder auf diese Weise. Dazu benötigst du den Unbound DNS Resolver + pfblockerng und dessen DNSBL Listen.

          Übrigens sollte der Punkt "Enable DNSSEC Support" überflüssig sein, sobald du den Forwarding Modus einschaltest im Resolver. Denn dann übernimmt der Upstream Server den DNSSEC Support, sofern unterstützt.

          Vorteil vom DNS Resolver ist ganz klar, dass Thema Sicherheit (Voraussetzung: Forwarding ist deaktiviert). Hier fragst du direkt die Root Server ab und gibst lokale Anfragen nicht an irgendwelche Upstream Server weiter, die sie ggf. umlenken oder manipulieren. Nachteil -> Performance.

          Also, gar nicht so einfach die Entscheidung ;)

          Servus, aber wie ist das wenn jetzt die forwarding option IM Resolver aktiviert ist? Forwarded er dann alle requests? Oder nur externe? Und cached der resolver trozdem bereits aufgerufene addressen?

          1 Reply Last reply Reply Quote 0
          • m0nji
            m0nji last edited by

            Da ich ihn nicht nutze, kann ich nur meine Vermutung äußern. Ich schätze, er forwarded alle Requests bis auf die, die du unter Host Override definiert hast. Also wird er auch nicht cachen.
            Für kleine Umgebung mit <10 Clients wirst du dich wahrscheinlich mehr über die "schlechte" Performance beim Resolver ärgern beim ersten Aufruf eines Hostnames.

            Hier: https://doc.pfsense.org/index.php/Unbound_DNS_Resolver
            und
            Hier: https://forum.pfsense.org/index.php?topic=113922.0
            wird noch mal einiges geklärt und erklärt.

            Gerade beim Thema Forwarding und DNSSEC gibts ein paar Abhängigkeiten, die einem bewusst sein sollten, wenn man den DNS Resolver nutzen mag.

            1 Reply Last reply Reply Quote 0
            • First post
              Last post

            Products

            • Platform Overview
            • TNSR
            • pfSense Plus
            • Appliances

            Services

            • Training
            • Professional Services

            Support

            • Subscription Plans
            • Contact Support
            • Product Lifecycle
            • Documentation

            News

            • Media Coverage
            • Press
            • Events

            Resources

            • Blog
            • FAQ
            • Find a Partner
            • Resource Library
            • Security Information

            Company

            • About Us
            • Careers
            • Partners
            • Contact Us
            • Legal
            Our Mission

            We provide leading-edge network security at a fair price - regardless of organizational size or network sophistication. We believe that an open-source security model offers disruptive pricing along with the agility required to quickly address emerging threats.

            Subscribe to our Newsletter

            Product information, software announcements, and special offers. See our newsletter archive to sign up for future newsletters and to read past announcements.

            © 2021 Rubicon Communications, LLC | Privacy Policy