ComputerBase Menü
Aktuelles

TTL für Wildcard DNS-Records

CoMo

CoMo

Commodore
Registriert
Dez. 2015
Beiträge
4.409
Hallo,

Ich hoste meine Domains bei deSEC und habe da unterschiedliche TTLs gesetzt. Minimum ist 3600, teilweise habe ich aber auch 12 oder 24 Stunden gesetzt. Das funktioniert soweit für die Domains, die ich aktiv angelegt habe.

Aber es funktioniert nicht für die Wildcard Domains. Jedenfalls nicht mit dem Unbound auf meiner OPNSense.

Beispiel:

<domain>.de TTL 43200
*.<domain>.de TTL 43200

<domain>.de: dig bekommt 43200, Unbound auch.

non-existant.<domain>.de: dig bekommt 43200. Unbound auf der OPNSense bekommt 300.

Wo kommen die 300 her? Kann es sein, dass Unbound hier den niedrigsten Wert nimmt, den es als Record für die Domain gibt? Das wäre nämlich SOA:

Code: 
root@pve:~# dig <domain>.de SOA @ns1.desec.io
;; ANSWER SECTION:
<domain>.de.                300      IN      SOA     get.desec.io. get.desec.io. 2026024839 86400 3600 2419200 3600

Vielleicht kann mir jemand erklären, was Unbound hier macht.

Aktuell habe ich cache-min-ttl auf 1800, also 30 Minuten gesetzt, damit ich nicht alle 5 Minuten alle meine Subdomains rekursiv auflösen muss. Aber so kann das ja nicht gedacht sein.
 
Zuletzt bearbeitet:
CoMo schrieb:
Kann es sein, dass Unbound hier den niedrigsten Wert nimmt, den es als Record für die Domain gibt?
Zum Vergrößern anklicken....


1771539642543.png
 
Da bin ich mir gerade nicht 100% sicher aber ich glaube unbound nimmt immer den TTL wenn es einen expliziten Eintrag im DNS dazu gibt. Daher ist xyz(.)de auch korrekt aufgelöst.

Wenn du jetzt einen wildcard eintrag hast und etwas aufrufst das nicht explizit im dns steht sondern dann fallback auf eine wildcard macht sieht unbound das als nxdomain an und macht einen fallback auf die SOA ttl bzw. den config eintrag „cache-max-negative-ttl“ und nimmt dann davon den niedrigsten als ttl.

Es könnte aus sicht von unbound ja sein, dass test.xyz(.)de ja doch vor dem ablauf der ttl von 43200 wieder existieren könnte.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

K
Eintragungen in den DNS-Records
Antworten
5
Aufrufe
766
ChatGehPeeTee
ChatGehPeeTee
B
iPhone / iPad DNS Records
Antworten
2
Aufrufe
1.813
IgorGlock
IgorGlock
S
"DNS Records" - was sagen diese aus?
Antworten
2
Aufrufe
1.036
MoebiusHRO
M
ekin06
Suche "günstigen" Anbieter für Wildcard SSL-Zertifikat
Antworten
6
Aufrufe
4.792
itdaniel
I
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 187 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz