Moinsen,
Am 29.08.2016 um 23:01 schrieb Heiko Schlittermann:
Welcher Vorteil ist das? Ich denke, wenn Du für Deine Infrastruktur einen DNS-Resolver (Bind/Unbound/Dnsmasq) am Laufen ist, ist das genug gecacht. Dnsmasq braucht halt einen weiteren Forwarder, die anderen nicht, sie lösen die unbekannten Probleme dann halt selbst rekursiv auf.
Vorteil von dnsmasq wäre die einfache Integration von DHCP und PXE/TFTP und da würde der Bind/Unbound dann den Part des externen Proxys übernehmen.
Ich halte einen DNS-Resolver/Cache/Proxy je Infrastruktur durchaus für sinnvoll, aber sehe großen keinen Gewinn darin, diesen dann noch mal durch einen weiteren Proxy zu schicken.
Mit dnsmasq brauchst du auf jeden Fall einen Proxy, die Frage ist nur, ob der bei dir oder irgendwo in den Weiten des Netzes steht. Und wenn dnsmasq Vorteile hätte, nähme ich auch in Kauf, zusätzlich einen Proxy zu brauchen.
Wo du jetzt aber die Unterschiede von TCP und UDP Paketen so herausstellst, könnte es natürlich sein, dass ein anderer Nameserver, der kein EDNS kann und dann aber korrekt auf UDP wechselt, die gleichen Probleme hätte. Mal überlegen, ob ich das irgendwie überprüfen kann.
Du kannst die Verwendung von EDNS verhindern:
dig rrsig schlittermann.de @pu.schlittermann.de +noednsDann sollte auffallen, dass die Antwort verkürzt ist und anschließend TCP verwendet wird.
Das funktioniert und die per UDP eintreffenden Antworten sehen vollständig aus (sind aber auch nicht so groß wie der Domainkey von archlinux).
Funfakt: Mittlerweile liefert auch der KabelDeutschland (aka Vodafone) NS den vollständigen Eintrag aus.
Da kommen sofort diese Fragen auf:
- Wie könnte ich für diese Domain den authoritativen Nameserver
befragen? Also sage: Für diese (Sub-)Domain, frag den NS?
- Kann Bind/unbound das auch? Also eine Subdomain von einem anderen
Resolver (oder sogar dem NS) auflösen zu lassen?
Stichwort sollte stub-Zone sein, oder eine forward-zone. Aber das hatten wir doch schon, habe ich vielleicht die Frage falsch verstanden?
Ja, das hatten wir schon -- und ich muss selbst nachdenken, was das jetzt für neue Fragen sind ;-)
Die erste ist so gemeint: Wenn ich einen Proxy benutze, wie kann ich dann eine einzelne Domain über ihren eigenen NS auflösen? AFAIK kann ich ja nur einen expliziten Nameserver (genauer dessen IP) angeben. Ich möchte jetzt aber einfach sagen: Diese Domain bitte rekursiv auflösen, alles andere an den (externen) Proxy.
Bei der zweiten Frage habe ich wahrscheinlich an diese sehr kompliziert aussehende Antwort gedacht:
http://stackoverflow.com/questions/15338232/how-to-forward-a-subzone
und daraus geschlossen, dass es für bind (unbound?) ein Unterschied ist, ob ich eine Zone oder eine Subzone weiterleite (wobei ich mir unter Zone wahrscheinlich aaaaa.toplevel vorgestellt habe).
Ich ziehe die Fragen zurück :-)
Gute Nacht Uwe