ComputerBase Menü
Aktuelles

TTL für Wildcard DNS-Records

CoMo

CoMo

Commodore
Registriert
Dez. 2015
Beiträge
4.415
Hallo,

Ich hoste meine Domains bei deSEC und habe da unterschiedliche TTLs gesetzt. Minimum ist 3600, teilweise habe ich aber auch 12 oder 24 Stunden gesetzt. Das funktioniert soweit für die Domains, die ich aktiv angelegt habe.

Aber es funktioniert nicht für die Wildcard Domains. Jedenfalls nicht mit dem Unbound auf meiner OPNSense.

Beispiel:

<domain>.de TTL 43200
*.<domain>.de TTL 43200

<domain>.de: dig bekommt 43200, Unbound auch.

non-existant.<domain>.de: dig bekommt 43200. Unbound auf der OPNSense bekommt 300.

Wo kommen die 300 her? Kann es sein, dass Unbound hier den niedrigsten Wert nimmt, den es als Record für die Domain gibt? Das wäre nämlich SOA:

Code: 
root@pve:~# dig <domain>.de SOA @ns1.desec.io
;; ANSWER SECTION:
<domain>.de.                300      IN      SOA     get.desec.io. get.desec.io. 2026024839 86400 3600 2419200 3600

Vielleicht kann mir jemand erklären, was Unbound hier macht.

Aktuell habe ich cache-min-ttl auf 1800, also 30 Minuten gesetzt, damit ich nicht alle 5 Minuten alle meine Subdomains rekursiv auflösen muss. Aber so kann das ja nicht gedacht sein.
 
Zuletzt bearbeitet:
Da bin ich mir gerade nicht 100% sicher aber ich glaube unbound nimmt immer den TTL wenn es einen expliziten Eintrag im DNS dazu gibt. Daher ist xyz(.)de auch korrekt aufgelöst.

Wenn du jetzt einen wildcard eintrag hast und etwas aufrufst das nicht explizit im dns steht sondern dann fallback auf eine wildcard macht sieht unbound das als nxdomain an und macht einen fallback auf die SOA ttl bzw. den config eintrag „cache-max-negative-ttl“ und nimmt dann davon den niedrigsten als ttl.

Es könnte aus sicht von unbound ja sein, dass test.xyz(.)de ja doch vor dem ablauf der ttl von 43200 wieder existieren könnte.
 
Nein, habe ich gerade ausprobiert. cache-max-negative-ttl greift nicht. Stattdessen greift weiterhin cache-min-ttl. Also ist das für Unbound keine negative Antwort.
 
  • Gefällt mir
Reaktionen: millen
Kann natürlich sein das nicht nxdomain bei raus kommt, aber unbound aufgrund des fehlenden expliziten eintrags und den "fallback" auf die wildcard einfach sicherheitshalber den SOA wert nimmt.

Ich finde leider nirgends eine exakte Beschreibung davon wie unbound da arbeitet.
 
Zuletzt bearbeitet:
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

K
Eintragungen in den DNS-Records
Antworten
5
Aufrufe
768
ChatGehPeeTee
ChatGehPeeTee
B
iPhone / iPad DNS Records
Antworten
2
Aufrufe
1.814
IgorGlock
IgorGlock
S
"DNS Records" - was sagen diese aus?
Antworten
2
Aufrufe
1.037
MoebiusHRO
M
ekin06
Suche "günstigen" Anbieter für Wildcard SSL-Zertifikat
Antworten
6
Aufrufe
4.797
itdaniel
I
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 187 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz