Frage zur Nameserver Nutzung vom AdGuard DNS-Resolver

[CaptainPighead]

Eine Frage - rein aus Interesse und Neugier - in Richtung der DNS-Experten hier.

Ich habe ein AdGuard Home Setup mit 7 hinterlegten Upstream DNS-Resolvern (per Loadbalancing), die ich (primär) nach den Kriterien: unzensiert, ungefiltert und Unterstützung von DoH/DoT + DNSSEC ausgewählt habe. Alles läuft ohne Probleme. Nun habe ich mir jeden der 7 DNS-Resolver einzeln aus Neugier einmal mittels https://www.dnscheck.tools/ angesehen.

Bei einem der 7 DNS-Resolver die ich nutze, nämlich AdGuard (https://unfiltered.adguard-dns.com/dns-query) hat es mich gewundert, dass der Output von dnscheck.tools die Nameserver von Google und Cloudflare ausgibt, siehe Screenshot.

Wie habe ich das genau zu deuten? Bedeutet das, dass der AdGuard DNS-Server den ich anspreche selbst die Anfragen über Google/Cloudflare rausgibt? Bei den anderen 6 Resolvern in meinem Test, waren keine externen Nameserver für den jeweiligen DNS-Resolver im Output.

Wie gesagt, ich würde es nur gerne verstehen, weil es mich interessiert und ich es nicht deuten kann. Kann mich jemand erhellen was die Ausgabe dort genau bedeutet?

 

[BFF]

Sind ja auch exakt DNS für

unzensiert, ungefiltert und Unterstützung von DoH/DoT + DNSSEC ausgewählt habe.

und flott dazu. Warum sollte die eigene DNS fahren für das was normal ist?

 

[CoMo]

Warum denn überhaupt der Aufwand mit den Upstream Resolvern? Mach das Resolving doch einfach selbst. Unbound findet sich sicher in den Paketquellen deines OS.

 

[eigsi124]

@CoMo Ist langsamer als die Upstream Server von Goolge und Co.

 

[CoMo]

@eigsi124 Du hast eine schnellere Verbindung zu Google als zu Geräten in deinem lokalen Netzwerk? Das würde ich mir mal genauer anschauen, da kann was nicht stimmen.

 

[Engaged]

Kontakt zu den root Servern kostet halt performance.

 

[CoMo]

Richtig. Deshalb wurde der DNS-Cache erfunden.

 

[eigsi124]

@CoMo Den hab ich erstens auch mit AdGuard ohne Unbound und zweitens bringt das nichts wenn die TTL abgelaufen ist. Die großen Anbieter updaten alle Einträge automatisch im Hintergrund, das willst du auf deinem Unbound vermutlich eher nicht so machen

 

[CoMo]

Die großen Anbieter updaten alle Einträge automatisch im Hintergrund, das willst du auf deinem Unbound vermutlich eher nicht so machen

Das nennt sich Prefetching:

prefetch: <yes or no>
If yes, cache hits on message cache elements that are on their
last 10 percent of their TTL value trigger a prefetch to keep
the cache up to date. Default is no. Turning it on gives about
10 percent more traffic and load on the machine, but popular
items do not expire from the cache.

Warum sollte man das nicht machen?

 

[eigsi124]

@CoMo Weil das dann auch nur für deine viel besuchten seiten gut funktioniert, für alles andere dann nicht und alle dns einträge kannst wohl schwer prefetchen

 

[CoMo]

Ja gut. Eine rekursive Anfrage an einen nicht gecachten Hostnamen dauert etwa 50ms länger (Query time: 60 msec) als aus dem Google-Cache (Query time: 10 msec).

So hohe Echtzeitanforderungen an DNS, dass es auf 50ms ankommt, habe ich tatsächlich nicht.

 

[CaptainPighead]

Ich wollte die Diskussion nicht auf ein "Was ist sinnvoller: 3rd Party DNS-Resolver vs. self-hosted Unbound" lenken. Ja, ich kenne Unbound, habe aber selbst (noch) keinerlei Erfahrung damit. Ich habe derzeit leider nicht die Kapazität mich in die Unbound Konfiguration reinzugraben und wenn dann irgendetwas falsch konfiguriert ist, habe ich keinen lauffähigen Resolver. Ist vielleicht etwas für die Zukunft für mich, aber kurz- bis mittelfristig bleibe ich bei den frei verfügbaren DNS-Resolvern und möchte keinen Unbound aufsetzen. Das ist aber offtopic und war nicht meine Frage.

Sind ja auch exakt DNS für (...) und flott dazu. Warum sollte die eigene DNS fahren für das was normal ist?

Ich kann Dir nicht folgen, sollte das irgendeine Andeutung sein? Grammatikalisch verstehe ich auch nicht was Du sagen willst, sorry. Alle DNS-Resolver die ich aktuell in Nutzung habe (Freifunk München, Digitalcourage, Mullvad, etc.) erfüllen die Anforderungen die ich genannt habe.

Zurück zu meiner Eingangsfrage 😇: wie genau habe ich den Screenshot in meinem ersten Post bei der Verwendung vom AdGuard Resolver zu verstehen? Beudetet dies wie ich vermutet habe, dass dort Nameserver von Google & Cloudflare beim AdGuard DNS in Verwendung sind? Ich will es rein aus Neugier verstehen...

 

[CoMo]

Beudetet dies wie ich vermutet habe, dass dort Nameserver von Google & Cloudflare beim AdGuard DNS in Verwendung sind?

Sieht zumindest so aus. Warum deaktivierst du nicht einfach den AdGuard Resolver und machst den Test noch mal?

Ergänzung (28. Oktober 2024)

Andere Möglichkeit:

Dein AdGuard DNS ist 79.127.211.213 -> dns.adguard-dns.com.

ns1.google.com ist der authorative DNS-Server für die Reverse Zone. Dort liegt der PTR Record, der die IP-Adresse zum Namen auflöst.

Das hat also mit deiner DNS-Auflösung gar nichts zu tun. Sondern die Adguard Domain liegt bei Google.

 

[CaptainPighead]

Ah, OK - Danke @CoMo , dann habe ich das mißverstanden die Ausgabe. Ich habe es natürlich mit den anderen Resolvern die ich im Loadbalancing nutze als Vergleich mal getestet. Beim DNS-Resolver von der Digitalen Gesellschaft kam als Beispiel wie bei den anderen, keine Einträge von anderen Nameservern (siehe Screenshot). Ich habe die Ausgabe dann anscheind falsch verstanden und dachte, der AdGuard Resolver würde intern Google bzw. Cloudflare als Auflösung nutzen, was irgendwie komisch wäre.

Wenn sich das nur auf die Domain bezogen hat, war das falscher Alarm, sorry. Aber Danke für die Aufklärung, wieder was dazu gelernt!

 

[norKoeri]

7 DNS-Resolver

Die Rückfrage war schon, was das soll. Ein möglicher Ausweg wäre Unbound. Daher bleibt die Frage, was das soll, denn es gäbe dafür auch noch andere Auswege.

 

[CaptainPighead]

Ich teste gerade die im ersten Screenshot ersichtlichen Resolver eine Weile aus (Antwortzeiten, ...) und schaue danach welche ich in meinem Setup behalte. AdGuard is Home ist da ja extrem flexibel welches die Konfiguration betrifft. Ja, wie gesagt ich weiß dass es mit Unbound auch geht, aber das war nicht meine Frage und ich möchte Unbound derzeit nicht nutzen.

 

[norKoeri]

Die Antwortzeiten jener Resolver dürftest Du nicht spüren. Wichtiger wäre (mir) die Funktion. Also wenn Du eine Beratung brauchst, welchen DNS-Resolver Du nutzen solltest …

 

[CaptainPighead]

Danke Dir, ja die Empfehlungsecke von Kuketz hatte ich bereits in #12 verlinkt. Dort hatte ich auch schon rumgestöbert was das Thema DNS angeht - das Kuketz-Blog ist auf jeden Fall eine richtig gute Adresse was Sicherheit/Privacy Themen angeht.

 

[XamBonX]

Für Speed solltest die Option nutzen:

Statt 7 hinterlegte Servern nach und nach anzusprechen und den besten auszuwählen dem Algo von Adguard nach, einfach Anfrage an alle 7 gleichzeitig senden und die 1. Antwort wählen.