DNS-Probleme bei wenigen Domains

CoMo

Commander
Registriert
Dez. 2015
Beiträge
2.937
Hallo,

folgendes DNS-Setup: AdGuard Home -> Knot -> Unbound -> Rekursive Auflösung mit lokaler Root-Zone.

Manchmal habe ich das Problem, dass die Auflösung fehlschlägt und erst nach kurzer Zeit funktioniert. Ein paar mal F5 drücken und dann lädt die Seite.

Allerdings betrifft das nur ganz wenige Domains. ~99,9% der Webseiten funktionieren völlig problemlos.

Besonders oft habe ich das Problem im Rewe Online-Shop. Also:

shop.rewe.de
account.rewe.de

Quasi immer, wenn ich den Shop aufrufe, dauert die Auflösung erst mal 5 Sekunden und schlägt zunächst fehl. Und bei der Anmeldung dann dasselbe mit der zweiten Domain.

Ich bin noch nicht tief in die Analyse eingestiegen und wollte erst mal erfragen, ob jemand das Problem kennt und die Lösung vielleicht schon parat hat.
 
Also ich schalte im Browser einfach das DNS ein.
Einstellung DNS2024-11-12_155835_opera.png

Bei Adguard kann ich dir nicht helfen oder probiere es mal im Adguard Forum.
 
Kenne das Problem zwar nicht und habe auch keinen vergleichbaren Aufbau, schlage aber das Ausschlußverfahren vor. Eliminiere immer nur ein Element aus der Gerätekette und teste, ob der Fehler dann auch noch auftritt. Versuchsreihe ist also folgende:

1. AdGuard Home + Knot
2. AdGuard Home + Unbound
3. Knot + Unbound

Wenn ja, hast du wahrscheinlich das gefunden, das den Fehler verursacht. Teste dann nur mit diesem Element und schau, ob der Fehler reproduzierbar auftritt.

Welchen Zweck erfüllt eigentlich Knot in diesem Aufbau, wenn du ohnehin schon unbound verwendest? Der Beschreibung auf der Projektseite nach klingt das nach etwas für eine Umgebung mit 1000++ Clients.
 
  • Gefällt mir
Reaktionen: CoMo
DeusoftheWired schrieb:
Welchen Zweck erfüllt eigentlich Knot in diesem Aufbau, wenn du ohnehin schon unbound verwendest?

Knot ist der Default DNS-Server auf meinem Router. Den muss ich benutzen, damit die Auflösung meiner lokalen Domains funktioniert. Dem fehlen aber irgendwelche Libraries für rfc8806, deshalb macht Unbound den Upstream für Knot.

Caching in AdGuard und Knot ist deaktiviert, das macht nur Unbound.
 
  • Gefällt mir
Reaktionen: DeusoftheWired
Also das scheint wohl irgendwie mit DNSSEC zusammenhängen. Knot meldet Signature Expired

Code:
root@omnia:~# dig shop.rewe.de

; <<>> DiG 9.18.24 <<>> shop.rewe.de
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: SERVFAIL, id: 42372
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 1232
; EDE: 7 (Signature Expired): (YFJ2)
;; QUESTION SECTION:
;shop.rewe.de.                  IN      A

;; Query time: 30 msec
;; SERVER: 127.0.0.1#53(127.0.0.1) (UDP)
;; WHEN: Mon Nov 18 16:21:12 CET 2024
;; MSG SIZE  rcvd: 51

Unbound löst jedoch korrekt auf, auch vorher. Ideen?
 
CoMo schrieb:
damit die Auflösung meiner lokalen Domains funktioniert
Kannst Du das genauer beschreiben? Ich würde Knot nämlich meiden, so gut es geht.
CoMo schrieb:
In dig die Validierung und die DNSSEC-Records anfordern, also
dig +adflag +dnssec AAAA shop.rewe.de @<IP-Deines-Knot>
Nicht dass Du eine alte Version hast. Außerdem auch wirklich Deine Protokoll-Version fahren, also IPv4 (A-Record) oder IPv6 (AAAA-Record). Und direkt den DNS-Resolver ansteuern, nicht dass das lokale Betriebssystem vielleicht Flags der Anfrage abändert.

Knot deutet daraufhin, dass Du einen Router von Turris nutzt. Das deutet darauf hin, dass Du ein Modem davor geschaltet hast. Was nutzt Du als Modem? Wenn es eine FRITZ!Box im Modus PPPoE-Passthrough ist, dann landest Du hier …

Du merkst, DNSSEC ist hochkomplex, kann alles Unmögliche sein. Den Aufbau muss man sich ganz konkret anschauen.
CoMo schrieb:
Hat bei mir ein CNAME auf das Cloudflare-CDN und gibt keinen Fehler zurück, auch hat die Firma Rewe selbst gar kein DNSSEC am Start, erst das Cloudflare-CDN. Wenn Du sicher bist, dass Dein Modem keinen Mist baut, würde ich sowas in einer Knot-Community fragen.
 
  • Gefällt mir
Reaktionen: CoMo
norKoeri schrieb:
Kannst Du das genauer beschreiben? Ich würde Knot nämlich meiden, so gut es geht.

Naja, mein Router vergibt IP-Adressen via DHCP und trägt die Hostnamen im DNS ein. Knot kann dann meine lokalen Hostnamen auflösen.

norKoeri schrieb:
Knot deutet daraufhin, dass Du einen Router von Turris nutzt. Das deutet darauf hin, dass Du ein Modem davor geschaltet hast. Was nutzt Du als Modem?

Korrekt, ein Turris Omnia. Mein Modem ist ein Zyxel VMG3006-D70A.

norKoeri schrieb:
Wenn Du sicher bist, dass Dein Modem keinen Mist baut, würde ich sowas in einer Knot-Community fragen.

Jop, vielleicht sollte ich mich im Turris-Forum umschauen. DNS ist da sowieso ein Dauerthema 😑
 
CoMo schrieb:
mein Router vergibt IP-Adressen via DHCP und trägt die Hostnamen im DNS ein
IP-Adresse direkt nutzen oder mDNS. Ansonsten Knot mit was Anderem ersetzen.
CoMo schrieb:
DNS ist da sowieso ein Dauerthema
Turris nutzt Dich als Schaf, damit Du deren „verteilte adaptive Firewall“ mitfütterst. Einfach sich dem verweigern und Knot nicht nutzen.
 
Zurück
Oben