Am 27.08.2016 um 22:52 schrieb Heiko Schlittermann:
Ja. Warum sollte man nicht die Rekusion komplett alleine machen, statt sich auf die Proxies zu verlassen.
Weil Proxies unbestreitbare Vorteile haben und ein Proxy der für viele arbeitet eine höhere Wahrscheinlichkeit hat, dass die Anfrage schon aufgelöst wurde.
(Warum betreibt Google öffentliche DNS-Resolver. Helfersyndrom, oder weil sie gerne wissen möchten, was die Welt so sucht?)
Deswegen suche ich ja freie Resolver, die das nicht zum Datensammeln machen.
Jeder Bind hat die Hint-Data dabei, die Liste der 13 Root-Server, und kann sich den Rest selbst zusammensuchen.
Da bleibt also die alles entscheidende Frage: Rekursiv oder Forward?
Hier hat mal jemand die Kombination dnsmasq + unbound mit den Google Resolvern verglichen (Abschnitt "How it stacks up"):
http://blog.alanporter.com/2014-03-09/dnsmasq-unbound
Wie sinnvoll die Messung oder Auswertung ist, kann ich (noch) nicht beurteilen, allerdings wäre das ein Punkt, der für einen externen Resolver sprechen würde.
Redest Du vom kasserver, also *Deiner* Domain. Der scheint mir aber EDNS zu können.
Nein. Von _domainkey.archlinux.org -- wir hatten vor einiger Zeit schon darüber diskutiert.
Und selbst ohne DNS sollte ein großer Datensatz kein Problem sein, dafür gibt es ein Fallback auf TCP. Oft ist nicht der Server, sondern der Client falsch konfiguriert (z.B. TCP Port 53 wird nicht raus gelassen, und die Antworten dann nicht rein), oder eine Firewall (bisher eigentlich immer beim Client) denkt, dass UDP Pakete von einem Port 53 nicht mehr als 512 Byte haben dürfen.
Das Fazit damals war, dass es ziemlich sicher nicht in meinem Netzwerk liegt, weil es mit einem anderen Nameserver ja funktioniert.
Wo du jetzt aber die Unterschiede von TCP und UDP Paketen so herausstellst, könnte es natürlich sein, dass ein anderer Nameserver, der kein EDNS kann und dann aber korrekt auf UDP wechselt, die gleichen Probleme hätte. Mal überlegen, ob ich das irgendwie überprüfen kann.
Jedenfalls funktioniert es mit dem folgenden Eintrag in der dnsmasq Konfiguration:
server=/_domainkey.archlinux.org/8.8.8.8
Wobei ich der Bequemlichkeit den Google Resolver genommen habe, aber gerne auf einen anderen umstellen würde.
Da kommen sofort diese Fragen auf: * Wie könnte ich für diese Domain den authoritativen Nameserver befragen? Also sage: Für diese (Sub-)Domain, frag den NS? * Kann Bind/unbound das auch? Also eine Subdomain von einem anderen Resolver (oder sogar dem NS) auflösen zu lassen?
Schönen Sonntag noch Uwe