Ziggo en recursive DNS

Beste tweakers,

ik heb een probleem met ziggo DNS i.c.m. mijn thuisnetwerk. De situatie is alsvolgt:

* ik heb een 20-tal devices in mijn interne LAN. Zij hebben ook allemaal een DNS-record in de vorm van hostX.drclaw.lan, wat ik in unbound beheer op een lokale DNS-server.

* in diezelfde unbound heb ik, al jaren, een forward-zone gedefinieerd voor name: "." .. alle zones die niet in unbound beheerd worden worden dan door deze forward-zone afgehandeld.

In de afgelopen maanden had ik al wat willekeurige problemen omtrent resolving, en de conclusie is eigenlijk duidelijk: ziggo lijkt op de nameservers die ik doorkrijg geen recursive queries meer te ondersteunen. En daarmee werkt de forward-zone niet meer zoals het zou moeten.

De "oplossing" lijkt simpel: gebruik een paar van de publieke recursive DNS servers zoals die van google of opendns enzovoort, maar daar weegt een moreel bezwaar. Ik kan me daar uiteindelijk overheen zetten, echter er moet toch een oplossing zijn die binnen het WAN van Ziggo blijft voor dit soort requests?

Heeft iemand een tip?

redfoxert schreef op donderdag 22 september 2016 @ 10:41:
Watvoor DNS server gebruik je intern? Is er een andere mogelijkheid om DNS forwarders in te stellen? In principe handelt je DNS server enkel de zones af die hij zelf host en moeten externe DNS requests bij de forwarders worden afgehandeld.

Ik gebruik unbound als DNS-server. Dit is een lichtgewicht DNS server op het linux platform, veel lichter dan bind wat ik vroeger gebruikte.

Binnen deze DNS server beheer ik de local-zone: "drclaw.lan.". Hier zijn dus die 20 hostnames gedefinieerd en de bijbehorende PTR records.

In de configuratie moet je ook aangeven wat de forward-hosts en/of addresses zijn voor eventuele andere zones. In mijn geval heb ik geen andere zones behalve de catch-all zone "." .. en die wil ik graag naar een server binnen het Ziggo domein laten verwijzen.

Unbound stelt wel een eis aan alle forward-hosts: ze hoeven niet authoritatief te zijn, maar het moeten wel servers zijn die recursive DNS queries accepteren.

En daar zit m dus de crux: Ziggo customer DNS (iig 84.116.46.22 en 84.116.46.23) accepteren geen recursive queries.

De genoemde adressen zijn de adressen die ik gisteren uit mijn modem heb gehaald. Ze geven de volgende versie-informatie als ik ze query:

> dig @84.116.46.23 +short version.bind chaos txt
"kbwzcnsnl25, Customer DNS"

> dig @84.116.46.22 +short version.bind chaos txt
"kbwzcnsnl14, Customer DNS"

Daarmee zijn zij, vanuit mijn perspectief, gewoon de officiele Ziggo DNS-servers.

Mijn bezwaren omtrent de Google DNS servers zouden eigenlijk niet in de discussie getrokken hoeven te worden, maar omdat je erom vraagt: het heeft te maken met de alomvattende greep die Google op het internet-gedrag van de mensheid heeft.

Met al hun services zoals search, gmail, apps en dergelijke hebben ze een redelijk goed inzicht in wat ik het "witte" internet-gedrag noem: mensen vragen actief om deze dienstverlening (ze gaan naar google search om te zoeken, ze gaan naar gmail om contact te leggen, ze gaan naar ...)

Echter, met een DNS service krijgen ze ook inzicht in het "grijze" gebied: het internet-gedrag wat betreft niet-google services die ook geen gebruik maken van google analytics of jquery CDNs of iets dergelijks. Als je een boek koopt op bol.com, of een nieuwsbericht op een misschien subversieve site leest, dan zijn dat misschien dingen die je niet aan een advertiser wilt meegeven zodat je daar op een later tijdstip mee geconfronteerd wordt.

Dus, dat is een van de redenen waarom ik prefereer om geen publieke resolvers zoals google dns, maar ook opendns, freedns, opennic enzovoor te gebruiken.

En daarnaast neem ik gewoon een (zakelijke) dienst van een ISP af, Ziggo. Daar hoort ook DNS bij, wat dus prima werkt vanaf individuele clients. Echter, forwarding werkt helaas niet naar behoren, misschien vanwege een maatregel die Ziggo heeft getroffen na de DNS DDOS van 2015?