Unbound Verhalten bei mehreren DNS Upstream Resolvern

Woodsomeister

Hallo,

ich möchte gerne in Erfahrung bringen was passiert, wenn ich 2 DNS Resolver unter System > General Setup eingestellt habe.
Der erste Resolver ist eine über Wireguard abgesicherter Pihole Instanz im Internet. Sollte diese jetzt mal nicht erreichbar sein, möchte ich dass die pfSense den zweiten Eintrag nutzt (aka Failover). Hier nutze ich einfach den Resolver von Quad9.

Der lokale Unbound Resolver läuft im Forwarding Modus.

Funktioniert das so? Oder kann ich auch im Normalbetrieb (also wenn das Pihole ordnungsgemäß funktioniert) Informationen an Quad9 leaken? Schickt Unbound die Anfragen immer erst an den ersten DNS Resolver oder parallel an alle?

Danke!

JeGr

@woodsomeister Ich befürchte so einfach wird es nicht funktionieren.

Zuerst kommt die Anfrage von intern an der pfSense an. Sprich: Verantwortlich ist dann primär dein laufender DNS Prozess. In deinem Fall wohl der Resolver, also unbound. Da du unbound in den Forwarding Mode geschaltet hast, bedient er sich bei den DNSen in System > General Setup. Sind hier mehrere angegeben, dann werden alle monitored was ihre Erreichbarkeit/Geschwindigkeit angeht. Zu sehen dann in Status > DNS Resolver wo alle DNS Forwarder mit response timing gelistet werden.

Soweit mich meine Recherche und Erinnerung jetzt nicht trügen, selektiert unbound an Hand der Response Time, welche Server verfügbar sind für das Forwarding. Ist einer oder sind mehrere <400ms in der Zugriffszeit (kann sich inzwischen auch verändert/erhöht haben), dann ist dieser für das Forwarding auswählbar. Gewählt wird aus dem Pool der Online Server (also alle <400ms verfügbaren DNSe) im Round-Robin Prinzip. Also kommt jeder mal dran.

Somit: Wenn du das so konfigurierst wirst du - optimale Erreichbarkeit vorausgesetzt - 50% der Anfragen an deinen PiHole und 50% der Anfragen an quad9 rausschicken. Egal ob Normalbetrieb oder nicht, quad9 bekommt in deiner Konfiguration so also immer DNS Abfragen.

Die andere Preisfrage ist jetzt eher: warum betreibt man den Aufwand, DNS unnötig in der Gegend herum zu forwarden. Den tieferen Sinn hat mir noch niemand erläutern können, aber das ist ja wie generell heute mit dem Wunsch, alles durch encrypted Tunnel zu jagen :)

Cheers
\jens

Woodsomeister

@jegr said in Unbound Verhalten bei mehreren DNS Upstream Resolvern:

@woodsomeister Ich befürchte so einfach wird es nicht funktionieren.

Zuerst kommt die Anfrage von intern an der pfSense an. Sprich: Verantwortlich ist dann primär dein laufender DNS Prozess. In deinem Fall wohl der Resolver, also unbound. Da du unbound in den Forwarding Mode geschaltet hast, bedient er sich bei den DNSen in System > General Setup. Sind hier mehrere angegeben, dann werden alle monitored was ihre Erreichbarkeit/Geschwindigkeit angeht. Zu sehen dann in Status > DNS Resolver wo alle DNS Forwarder mit response timing gelistet werden.

Soweit mich meine Recherche und Erinnerung jetzt nicht trügen, selektiert unbound an Hand der Response Time, welche Server verfügbar sind für das Forwarding. Ist einer oder sind mehrere <400ms in der Zugriffszeit (kann sich inzwischen auch verändert/erhöht haben), dann ist dieser für das Forwarding auswählbar. Gewählt wird aus dem Pool der Online Server (also alle <400ms verfügbaren DNSe) im Round-Robin Prinzip. Also kommt jeder mal dran.

Somit: Wenn du das so konfigurierst wirst du - optimale Erreichbarkeit vorausgesetzt - 50% der Anfragen an deinen PiHole und 50% der Anfragen an quad9 rausschicken. Egal ob Normalbetrieb oder nicht, quad9 bekommt in deiner Konfiguration so also immer DNS Abfragen.

Die andere Preisfrage ist jetzt eher: warum betreibt man den Aufwand, DNS unnötig in der Gegend herum zu forwarden. Den tieferen Sinn hat mir noch niemand erläutern können, aber das ist ja wie generell heute mit dem Wunsch, alles durch encrypted Tunnel zu jagen :)

Cheers
\jens

Danke für deine ausführliche Antwort Jens!
Also die Pihole Instanz nutze ich für das Blockieren von Werbung. Ich habe quasi mehrere Außenstandorte für die ich dieses PiHole zentralisiert nutzen möchte.
Die Pihole Instanz nutzt über ein docker internes Netzwerk wiederrum einen Unbound Container. Somit verbleibt so viel wie möglich in meiner Hand und Quad9 wollte ich quasi nur für den Notfall behalten.

Wenn ich dich richtig verstehe, kann ich also quasi gar kein Regelwerk anlegen, wie Unbound Anfragen verschickt, weil Unbound anhand definierter Qualitätskriterien die Upstream DNS Resolver anfragt. Richtig?

JeGr

@woodsomeister said in Unbound Verhalten bei mehreren DNS Upstream Resolvern:

Wenn ich dich richtig verstehe, kann ich also quasi gar kein Regelwerk anlegen, wie Unbound Anfragen verschickt, weil Unbound anhand definierter Qualitätskriterien die Upstream DNS Resolver anfragt. Richtig?

Das sieht zumindest in den Upstream Dokus von Unbound so aus, ja. Laut diesen verhält sich Unbound wie beschrieben und es würde auf die Latenz ankommen, ob er einen Server nutzt oder nicht.