Ralph wrote: ↑Sat 17. Dec 2022, 14:50
es geht aber um ein DNSBL Lookup Problem mit einigen Anbietern über 127.0.0.53, was sagt denn bei dir folgendes:
Code: Select all
; <<>> DiG 9.16.33-Debian <<>> all.spamrats.com @127.0.0.53
;; global options: +cmd
;; connection timed out; no servers could be reached
Nicht weiter erstaunlich, wenn der DNSStubListener ausgeschaltet ist und 127.0.0.53 auch nicht als DNSServer eingetragen ist in der /etc/systemd/resolved.conf
Ich setze auch keine DNS-Server in der /etc/network/interfaces. Unsere Konfigurationen sind halt völlig unterschiedlich, das sage ich völlig wertfrei, schon weil ich zu wenig Ahnung von diesen Dingen habe, um beurteilen zu können, was letztlich die bessere Methode ist, falls es ein "besser" hier wirklich gibt.
resolvectl status zeigt bei mir:
Code: Select all
Global
Protocols: -LLMNR -mDNS -DNSOverTLS DNSSEC=yes/supported
resolv.conf mode: uplink
Current DNS Server: 192.168.1.101
DNS Servers: 192.168.1.101 2000:1000:2000:3000::101 8.8.4.4
2001:4860:4860::8844
Fallback DNS Servers: 1.1.1.1 1.0.0.1 2606:4700:4700::1111 2606:4700:4700::1001
Link 2 (eth0)
Current Scopes: none
Protocols: -DefaultRoute +LLMNR -mDNS -DNSOverTLS DNSSEC=yes/supported
Link 3 (eth1)
Current Scopes: none
Protocols: -DefaultRoute +LLMNR -mDNS -DNSOverTLS DNSSEC=yes/supported
Link 4 (eth2)
Current Scopes: none
Protocols: -DefaultRoute +LLMNR -mDNS -DNSOverTLS DNSSEC=yes/supported
Der 192.168.1.101 ist mein Resolver, der über das Cloud vLAN angebunden ist (eth2). Der wird immer benutzt, sofern er verfügbar ist. Das war eben in einigen anderen von mir versuchten Einstellungen nicht so, gerade bei Benutzung des StubResolvers wie bei dir.
Das hätte ich durchaus gern so gehabt wegen des lokalen Caches des Stub-Resolvers, aber nach einigen Stunden Betrieb hat das Ding meinen Resolver soweit heruntergestuft, dass der nächste Resolver in der Liste dran war. Der war dann nach einiger Zeit ebenso "out" und der nächste kam dran usw. Das war nicht in meinem Sinne und sehr wahrscheinlich auch immer noch einer von mehreren Bugs von systemd-resolved.
Da bleibt nur "DNSSEC=no" in der /etc/systemd/resolved.conf wie bei dir. Dann passiert das nicht. Das Problem besteht sowohl bei "DNSSEC=yes" als auch bei "DNSSEC=allow-downgrade". Der Default "no" kommt also wohl nicht von ungefähr. Aber das will ich so nicht haben, DNSSEC hätte ich schon ganz gern validiert. Man muss ja nicht alles glauben, was irgendwelche dubiosen Zeitgenossen einem als vertrauenswürdige Informationen verkaufen wollen. Beim Uplink-Modus passiert das jetzt nicht mehr.
/etc/systemd/resolved.conf
Code: Select all
[Resolve]
# Some examples of DNS servers which may be used for DNS= and FallbackDNS=:
# Cloudflare: 1.1.1.1 1.0.0.1 2606:4700:4700::1111 2606:4700:4700::1001
# Google: 8.8.8.8 8.8.4.4 2001:4860:4860::8888 2001:4860:4860::8844
# Quad9: 9.9.9.9 2620:fe::fe
DNS=192.168.1.101 2000:1000:2000:3000::101 8.8.4.4 2001:4860:4860::8844
DNSSEC=yes
DNSOverTLS=no
MulticastDNS=no
LLMNR=no
Cache=no-negative
DNSStubListener=no
#DNSStubListener=yes
#DNSStubListenerExtra=
ReadEtcHosts=yes
#ResolveUnicastSingleLabel=no
/etc/resolv.conf ist ein Symlink:
Code: Select all
lrwxrwxrwx 1 root root 32 16. Dez 20:22 /etc/resolv.conf -> /run/systemd/resolve/resolv.conf
und sieht mit den obigen Einstellungen dann so aus:
Code: Select all
# This file is managed by man:systemd-resolved(8). Do not edit.
#
# This is a dynamic resolv.conf file for connecting local clients directly to
# all known uplink DNS servers. This file lists all configured search domains.
#
# Third party programs should typically not access this file directly, but only
# through the symlink at /etc/resolv.conf. To manage man:resolv.conf(5) in a
# different way, replace this symlink by a static file or a different symlink.
#
# See man:systemd-resolved.service(8) for details about the supported modes of
# operation for /etc/resolv.conf.
nameserver 192.168.1.101
nameserver 2000:1000:2000:3000::101
nameserver 8.8.4.4
# Too many DNS servers configured, the following entries may be ignored.
nameserver 2001:4860:4860::8844
search .