Je - een super belangrijke tip bij nieuwe versies: RTFM - en als dat niet helpt RTFMT...
makes it run like clockwork
Ahh, goed te horen dat ik niet de enige ben
Ik gebruik de mvance/unbound (raspi). www of hele url inclusief subpagina meegeven heeft geen effect.Momenteel werkt t (nog) niet. Bedankt voor je analyse! Het was alweer een tijdje geleden dat ik er was...
interpretatie vind ik ook lastig
1
2
3
| dig @ns4.dns.nl odido.nl. ds +short 10414 8 2 5CE9774A316103FE2B76918D5CFEDB814E391E86CB8284B13E2CFA59 3B6D5D9E 55332 13 2 C678DCC4E00D8AEF0F393DCACC4F2E848F2383A393E18F5DBB5B7C49 390F701F |
[ Voor 24% gewijzigd door canonball op 17-04-2025 14:33 . Reden: aanvuling ]
Tnx. Ik doe de resolving wel graag zelf vanwege (de perceptie van?) privacy. En, met alles wat er gebeurt en alle issues (al dan niet serieus) leer ik er zo af en toe ook nog wat van - en iets leren heeft altijd waarde!:
[...]
interpretatie vind ik ook lastig
maar zover ik ihet interpreteer staat bij de .nl server (sidn, dus niet de root server) nog een oude key met alogoritme 8, en die werkt niet meer.
Het zit dus niet tussen de root(.) en sidn(.nl), maar tussen sidn (.nl) en aws (odido.nl).
Vaak is zo'n key 24u geldig, al het inderdaad zo is dat ze het vanochten verhuist hebben, zal het morgen ochtend goed gaan (of eerder).
ps, ik zelf doe niet de resolving, maar forward het na de dns van mijn isp, zie dus niet hetzelde als jij.
Hmm ja, de behoefte om met unbound aan de gang te gaan kwam eigenlijk ook pas nadat xs4all compleet werd uitgekleed en ik uiteindelijk bij "andersoortige" providers terecht kwam.
Leuke usecase ik wilde altijd al iets meer van DNSSEC weten, ik heb het eens door AI gehaald. De unbound foutmelding, de dnsviz errors en daar komt dit samenvattend uit.:
[...]
interpretatie vind ik ook lastig
maar zover ik ihet interpreteer staat bij de .nl server (sidn, dus niet de root server) nog een oude key met alogoritme 8, en die werkt niet meer.
Het zit dus niet tussen de root(.) en sidn(.nl), maar tussen sidn (.nl) en aws (odido.nl).
Vaak is zo'n key 24u geldig, al het inderdaad zo is dat ze het vanochten verhuist hebben, zal het morgen ochtend goed gaan (of eerder).
-- even verder gekeken ---
op dit moment geeft de sidn dns nog steeds een key met alogoritme 8 uit, ttl is 1u (3600 sec).
code:Ik dacht dat er wel meerder keys mogen staan, maar van elk alogoritme moet er wel één werken.
Ik zou dus zeggen dat het nu nog fout staat, maar de meeste dns servers op het ineternet geven wel antwoord. Geen idee dus wat/of het nu nog fout staat of niet, dnssec vind ik altijd erg lastig.
ps, ik zelf doe niet de resolving, maar forward het na de dns van mijn isp, zie dus niet hetzelde als jij.
:strip_exif()/f/image/lSzLDceAiQExY5xTPkIh54xv.png?f=user_large)
1
| domain-insecure: "odido.nl" |
Altijd lastig met AI, maar het bezitten van kennis vervaagd in de komende jaren, weken/maanden studeren terwijl het met 3 regels tekst kant en klaar gepresenteerd is gaat mijn inziens wel verschuiven. Zeker ook met een 20-tigers generatie die graag max 4 dagen werkt en veel waarde hecht aan privetijd.:
@stormfly domain-insecure: "odido.nl" heeft inderdaad effect. En na dat 1x gebruikt te hebben (...) staat de site in een cache waardoor na verwijderen uit de conf het (tijdelijk) blijft werken.
Hmm, moet ik toch aan de chatgpt oid... Nog meer van mijn info naar externe partijen. Zelfs google komt de hele dag al met captcha's vanwege "onduidelijk verkeer vanaf mijn ip", maar dat kan ook zijn omdat ik wel zoek maar elke keer cookies en cache schoon en in pihole alle analytics geblokt heb. Het blijft "leuk"
@Toet3r Ben het met je eens dat het een "niet gewenste" oplossing is - maar goed, daarom noemt @stormfly het ook een workaround...... En inmiddels is mijn unbound.conf weer schoon.
:strip_exif()/f/image/j65DwLUpuxtBn81Zag4ZrU7B.png?f=user_large)
1
2
3
4
| server:
# Sta een ‘algorithm‑downgrade’ toe als er meerdere DS‑algoritmes zijn.
# Daarmee gedraag je je zoals KPN/Google: één geldige keten is genoeg.
harden-algo-downgrade: no |
[ Voor 3% gewijzigd door stormfly op 17-04-2025 16:04 ]
Dit zijn mijn instellingen nu
:strip_exif()/f/image/sOwHiCw3WFMNTyOUEpbkMJ7D.png?f=user_large)
1
2
| @pihole:~# sudo unbound-control flush_bogus ok removed 8 rrsets, 8 messages and 0 key entries |
1
2
3
| dig +dnssec @127.0.0.1 -p 5335 www.odido.nl | grep flags: ;; flags: qr rd ra ad; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 1 ; EDNS: version: 0, flags: do; udp: 1232 |
[ Voor 8% gewijzigd door stormfly op 17-04-2025 16:24 ]
Dank! je was er snel bij
:strip_exif()/f/image/R8qsomVMWzFSycVka41TEJaH.png?f=user_large)
)
Het is heel cliënt specifiek hoe er om wordt gegaan met de tweede DNS server. Mijn ervaring is dat je dan af en toe toch nog advertenties ziet.
[ Voor 5% gewijzigd door stormfly op 19-04-2025 13:26 ]
Ja ik dacht ik laat het achterwege maar je kan ook twee Pi-Hole servers draaien en die je beide per IP toevoegt. Of je draait er twee die één virtueel IP delen wat altijd hoog beschikbaar is. Daarvan heb ik config gedeeld in dit topic.:
[...]
2 pi-holes gebruiken. Fysiek losse exemplaren.:
Het is heel cliënt specifiek hoe er om wordt gegaan met de tweede DNS server. Mijn ervaring is dat je dan af en toe toch nog advertenties ziet.
Je kan misschien beter in Pi-Hole dubbele resolvers toevoegen als je dat nog niet had. En dan zorgen dat Pi-Hole niet uitvalt
The problem with common sense is that sense never ain't common - From the notebooks of Lazarus Long
GoT voor Behoud der Nederlandschen Taal [GvBdNT
Een terecht punt. Zo heb ik eind vorig jaar eens een test gedaan met het op DHCP-basis toewijzen van 4 DNS servers - was tot op dat moment altijd 2. De Androids en ChromeOS apparaten werkten na een paar uur niet meer - ze begonnen te piepen over DNS problemen.:
[...]
Het is heel cliënt specifiek hoe er om wordt gegaan met de tweede DNS server. Mijn ervaring is dat je dan af en toe toch nog advertenties ziet.
Je kan misschien beter in Pi-Hole dubbele resolvers toevoegen als je dat nog niet had. En dan zorgen dat Pi-Hole niet uitvalt
makes it run like clockwork
The problem with common sense is that sense never ain't common - From the notebooks of Lazarus Long
GoT voor Behoud der Nederlandschen Taal [GvBdNT
Puur snelheid, ik ben echt een zeurkous over DNS. Het mag niet vertraagd inladen, een site moet instant op het scherm verschijnen van boven tot onder. Ik had/heb nog een betaald controlD abonnement, omdat ik hun merk wel kan waarderen. Ik merkte dat het internet daardoor net niet zo snel voelt als met KPN's eigen DNS servers, de DNS farm van KPN is ook wel uitzonderlijk snel en betrouwbaar te noemen.
:strip_exif()/f/image/7lSqccTGQEcMnBI2MuvI0sZh.png?f=user_large)
:strip_exif()/f/image/AtdsMVFqZdornkzVMSKEA8G6.png?f=user_large)
:strip_exif()/f/image/3VWIEuAgDhOKSE0A5w08kJkF.png?f=user_large)
:strip_exif()/f/image/SdJXkyEGvmpItToJNu3mTf5j.png?f=user_large)
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
| # Core Server Configuration
server:
# Logging Settings
log-time-ascii: yes
log-time-iso: yes
chroot: ""
logfile: /var/log/unbound.log
verbosity: 0
statistics-interval: 0
extended-statistics: yes
statistics-cumulative: yes
# Server Resource Settings
num-threads: 4
num-queries-per-thread: 4096
so-rcvbuf: 4m
so-sndbuf: 4m
so-reuseport: yes
# Network Interface Configuration
interface: 0.0.0.0
interface: ::
port: 5335
# Protocol Support
prefer-ip6: yes
incoming-num-tcp: 1024
outgoing-range: 8192
edns-buffer-size: 1232
max-udp-size: 1232
# Cache Configuration
rrset-cache-size: 256m
msg-cache-size: 128m
cache-max-ttl: 86400
cache-max-negative-ttl: 60
# Cache Performance Tuning
prefetch: yes
prefetch-key: yes
serve-expired: yes
serve-expired-ttl: 86400
serve-expired-ttl-reset: yes
serve-expired-reply-ttl: 30
rrset-roundrobin: yes
# Cache Slabs (Concurrency)
msg-cache-slabs: 4
key-cache-slabs: 4
rrset-cache-slabs: 4
infra-cache-slabs: 4
# Privacy and Security
use-caps-for-id: no
# DNSSEC Configuration
harden-algo-downgrade: no
harden-referral-path: no
# Query Privacy
# Infrastructure Cache Settings
infra-cache-numhosts: 10000
infra-host-ttl: 900
# TLS Configuration
tls-cert-bundle: "/etc/ssl/certs/ca-certificates.crt"
# Root Server Settings
root-hints: "/var/lib/unbound/root.hints"
target-fetch-policy: "3 2 1 0 0"
unwanted-reply-threshold: 10000000 |
Bij mij geeft unbound aan dat 50-70% geprefetched is, of dat helemaal betrouwbaar is weet ik niet want ik draai heel veel monitoring tools voor het netwerk naar het internet smokeping roept vele domeinen aan elke 5 minuten.
In de AdGuard uitleg staat het volgende:
Dan is de enige tool die échte prefetch uitvoert als de TTL verloopt -> unbound. Zowel Pi-Hole als AdGuard serveren stale records en vernieuwen op de achtergrond, en dat is sinds Pi-Hole v6 ook mogelijk.
Unbound prefetched al voordat de ttl verloopt en wel - zie mijn eerdere post - zodra de cache entry in de laatste 10% van de TTL tijd zit. Of ik heb de werking niet goed begrepen.....:
[...]
Dat lijkt inderdaad 1:1 met PiHole te matchen
:strip_exif()/i/2002897482.png?f=thumbmini)
:strip_exif()/u/253657/crop6755bf724a347.gif?f=community)
:strip_icc():strip_exif()/u/506130/keitjes.jpg?f=community)
:strip_icc():strip_exif()/u/25009/crop65f1e3109d1b7_cropped.jpg?f=community)
/u/669546/crop645389a7e3f72_cropped.png?f=community)
:strip_icc():strip_exif()/u/144633/crop643e593ea432f_cropped.jpg?f=community)
:strip_icc():strip_exif()/u/72351/Toon_en_Len%25202015-02-02%252070x69.jpg?f=community)
:strip_exif()/u/476997/ceetava60x60.gif?f=community)