<div dir="ltr"><div dir="ltr"><br></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Fri, 7 Feb 2020 at 11:10, Havard Eidnes <<a href="mailto:he@uninett.no">he@uninett.no</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">> Dear unbound users,<br>
><br>
> i did now setup unbound to use tls encryption on my openwrt router.<br>
> the setup is documented here:<br>
><br>
> <a href="https://openwrt.org/docs/guide-user/services/dns/dot_unbound" rel="noreferrer" target="_blank">https://openwrt.org/docs/guide-user/services/dns/dot_unbound</a><br>
><br>
> like this:<br>
><br>
> config zone<br>
>       option enabled '1'<br>
>       option zone_type 'forward_zone'<br>
>       option tls_upstream '1'<br>
>       option tls_index 'dns.google'<br>
>       list zone_name '.'<br>
>       list server '8.8.8.8'<br>
>       list server '8.8.4.4'<br>
>       list server '2001:4860:4860::8888'<br>
>       list server '2001:4860:4860::8844'<br>
><br>
><br>
> unfortunately they use only google dns servers. afaik unbound uses<br>
> root dns servers per default.<br>
<br>
Concept confusion alert!<br>
<br>
By default unbound does not do query forwarding, and instead does its<br>
own recursive query resolution, caching results, nesting its way down<br>
the name hierarchy, and speaking directly to the publishing name<br>
servers for each domain in the naming hierarchy in order to resolve a<br>
given query.<br>
<br>
Query forwarding relies on *other* recursive resolvers to perform<br>
this function.<br>
<br>
However, please do note that the root name servers do not provide<br>
recursive resolution to *ANYONE*!  They are publishing name servers,<br>
not recursive resolvers!<br>
<br>
> my question is 1. are the root dns servers able to do dns over tls?<br>
<br>
Not that it matters, given the above, but I would think "no"; the root<br>
name servers typically require the efficiency provided by the reduced<br>
number of packets and the statelessness provided by the UDP-based DNS<br>
service.<br>
<br>
> 2.  where do i get a list of the root dns servers to be able to add<br>
> them to this config so that i am not dependant on google only.<br>
<br>
This question does not make sense, given the above.  You cannot<br>
configure unbound to do "query forwarding" to the root name servers<br>
and expect to get a useful result.<br>
<br>
Best regards,<br>
<br>
- Håvard<br></blockquote><div><br></div><div>ok maybe i do not understand how unboud or even any DNS server works. let me rephrase my questions:</div><div><br></div><div>in default unbound config i do not define any DNS servers.</div><div>in the openwrt/luci config for unbound i had to define 8.8.8.8 and tls_index to google.</div><div>is there any way to configure this to use unbound with the default config + dns over tls but not to define google dns servers?</div><div><br></div><div>Yours sincerely</div><div><br></div><div>E<br></div></div></div>