Reverse DNS Deligation für IPv6

  • Hallo ihr,


    ich würde gerne nicht nur für einzelne Adressen einen PTR anlegen lassen im CCP, sondern gleich ganze Netze, also eine Sub-Zone, an (einen) eigene(n) DNS-Server delegieren lassen.


    Bis lang ist diese Feature (verständlicherweise) nicht implementiert, da leider die Nachfrage danach bislang nicht ausreichend bis nicht existent ist.


    Daher möchte ich nun Rückmeldung einholen, ob vielleicht andere Kunden dieses Bedürfnis haben, aber es noch nicht als Wunsch geäußert haben.


    Mein konkreter Anwendungsfall ist, dass ich auch insbesondere dynamisch PTR RR setzen oder auch automatisiert für ein VPN generieren lassen möchte.


    Viele Grüße


    Christian

  • Daher möchte ich nun Rückmeldung einholen, ob vielleicht andere Kunden dieses Bedürfnis haben, aber es noch nicht als Wunsch geäußert haben.


    Mein konkreter Anwendungsfall ist, dass ich auch insbesondere dynamisch PTR RR setzen oder auch automatisiert für ein VPN generieren lassen möchte.

    Selbiges gilt für mich. Ähnlicher Anwendungsfall ist geplant und nur mit Christians Änderung schön umsetzbar.


    Grüße
    Johannes

  • Hallo Herr Preuß,


    Ich bin etwas irritiert, denn es wird ja nicht mehr als Eintrag derart wie folgt gespeichert (korrigieren Sie mich gerne, wenn ich mich jetzt völlig vertue):

    Code
    1. 2.a.0.0.0.2.0.0.0.0.0.4.3.0.a.2.ip6.arpa. IN NS dns1-blub
    2. 2.a.0.0.0.2.0.0.0.0.0.4.3.0.a.2.ip6.arpa. IN NS dns2-blub


    statt

    Code
    1. …2.a.0.0.0.2.0.0.0.0.0.4.3.0.a.2.ip6.arpa. IN PTR bla-blub


    Edit: Um Ihre Frage zu beantworten: Im Zweifelsfall würde ich sowas im Rahmen wie der Erweiterung des Service-Levels für mich ansiedeln.


    Viele Grüße


    Christian

  • Ah, jetzt verstehe ich was Sie meinen. Ich hatte Sie hier missverstanden. Dafür bitte ich um Entschuldigung.


    Ich werde mal prüfen, in wie weit wir fremde Nameserver bei der RIPE hinterlegen dürfen und was passiert, wenn diese nicht erreichbar sind und melde mich dann wieder. Fremde Handles dürfen wir ja nicht mehr so ohne weitere für einzelne IP-Adressen hinterlegen.


    Im PRO Bereich wären eigene Nameserver für IP-Adressen absolut kein Problem. Das nutzen einige große Kunden von uns bereits.



    Mit freundlichen Grüßen


    Felix Preuß

  • Update:


    Eigene NS kann für IPv6 nur auf ein /32 gesetzt werden. Das wir für einen einzelnen Server ein /32 beantragen können, ist nicht realistisch.


    Eine Lösung wäre, dass Sie als gewerblicher Kunde ein managed Cloud Cluster buchen, eine eigene Mitgliedschaft bei der RIPE beantragen und wir dann Ihre Netze routen.


    Bei Interesse berät Sie unser Support dazu gerne.



    Mit freundlichen Grüßen


    Felix Preuß

  • Hallo,


    wenn ich hier mal kurz mein denken reinschmeißen darf.


    Eigene NS kann für IPv6 nur auf ein /32 gesetzt werden. Das wir für einen einzelnen Server ein /32 beantragen können, ist nicht realistisch.


    Ich selber habe bei zwei anderen Anbieter, parallel zu netcup die Möglichkeit dort auch meine eigene Nameserver für mein /48 Netz sowie für ein /64 Netz jeweils anzugeben. Der eine Anbieter hat es dabei wie folgt umgesetzt, dass er einfach für mein spezifischeres /48 Netz ein/mehrere NS-Records zu meinen Nameservern erstellt hat. Beim anderen Anbieter, habe ich die Funktion noch nicht benötigt.


    Daher gehe ich davon aus, dass das bei netcup doch auch ohne weiteres (bzw. der RIPE) möglich wäre ;)

  • Hallo twiddern,



    vielen Dank für deinen Einwurf!


    Ich habe jetzt noch weiter darüber nachgedacht. Via NS Records in unseren Nameservern sollte das in der Tat gehen. Entwicklungsaufwand ist relativ gering. Wenn die Nachfrage entsprechend hoch ist würden wir das Feature aufnehmen und zur Not durch eine minimale Preisanpassung nach oben finanzieren.


    Schönen Feierabend zusammen!



    Gruß Felix Preuß

  • Ich nutze so ein Feature ebenfalls bei einem Mitbewerber für mein /56-Netz. Dort habe ich die kostenlosen DNS-Server von Hurricane Electric hinterlegt. Funktioniert einwandfrei und genauso, wie von twiddern beschrieben. Je nach Anwendungsfall kann das schon sehr praktisch sein. Allerdings macht es für mich persönlich bei /64 noch keinen Sinn, da würde ich es nicht brauchen. Begrüßen würde ich das Feature aber trotzdem.


    felix : Bezüglich RIPE, ich dachte das geht ab /48? Haben die etwas geändert?



    MfG Christian

  • felix : Die NS Records wären nicht für das /32er Netz sondern nur für das /64er Kunden-Netz in eurem Nameserver einzutragen - denke das hast Du inzwischen aber bereits erkannt.


    Ich hätte an diesem Feature übrigens auch Interesse. Nachdem mir der komerzielle Anwendungszweck fehlt würde ich dafür zur Zeit jedoch kein Geld ausgeben.

  • Zitat

    Der eine Anbieter hat es dabei wie folgt umgesetzt, dass er einfach für mein spezifischeres /48 Netz ein/mehrere NS-Records zu meinen Nameservern erstellt hat.


    Verstehe ich nicht. Hilf mir mal bitte den Knopf in meinem Kopf zu lösen.
    Die ip6.arpa Einträge sind an jedem HEX-Zeichen der IPv6 Adresse möglich, somit sind an allen durch 4bit teilbaren Netzgrößen auch NS-Records setzbar.


    Beispiel: IP Adresse 2a03:4000:6:71ec::cafe

    Code
    1. dig -x 2a03:4000:6:71ec::cafe
    2. ...
    3. ;; ANSWER SECTION:
    4. e.f.a.c.0.0.0.0.0.0.0.0.0.0.0.0.c.e.1.7.6.0.0.0.0.0.0.4.3.0.a.2.ip6.arpa. 86052 IN PTR nc.hitco.at.
    5. ...
    6. ;; AUTHORITY SECTION:
    7. 0.0.0.4.3.0.a.2.ip6.arpa. 153456 IN NS root-dns.netcup.net.
    8. ...


    Die NetCup Nameserver sind hier für das Netz 2a03:4000::/32 zuständig (8 HEX-Zeichen x 4bit = 32bit)


    Will ich für mein Netz 2a03:4000:6:71ec::/64 einen eigenen Nameserver nutzen, so müsste NetCup in deren root-dns.netcup.net Nameserver einen NS Record auf meinen Nameserver setzen, und zwar an dieser Position hier:

    Code
    1. c.e.1.7.6.0.0.0.0.0.0.4.3.0.a.2.ip6.arpa. ... IN NS ns1.hitco.at.


    Hätte ich ein /48er Netz, so wäre es eben nicht nach 16 sondern schon nach 12 Zeichen:

    Code
    1. 6.0.0.0.0.0.0.4.3.0.a.2.ip6.arpa. ... IN NS ns1.hitco.at.


    Warum meinst Du, man müsste für ein /48er Netz mehrere Einträge erstellen? Habe ich hier einen Denkfehler?

  • n1, ns2, …? :)


    Dass man mehrere NS Records hinterlegt ist klar und war denke ich nicht gemeint.


    Angenommen jemand hat ein /47er Netz, dann ist für ein /47er Netz ja keine Delegation per NS-Record möglich. Man kann zwei /48 eintragen um ein /47er abzubilden - das war denke ich gemeint.
    Aber für alle durch 4 teilbare IPv6 Netze ist eine unmittelbare Delegierung ohne Tricks möglich.


    für IPv4-Adressen


    Die lassen sich nur an den durch 8 teilbaren Netzgrenzen delegieren, also im Minimum ein /24er IPv4 Netz.

  • Ich habe jetzt noch weiter darüber nachgedacht. Via NS Records in unseren Nameservern sollte das in der Tat gehen. Entwicklungsaufwand ist relativ gering. Wenn die Nachfrage entsprechend hoch ist würden wir das Feature aufnehmen und zur Not durch eine minimale Preisanpassung nach oben finanzieren.


    Ah, ich war gestern schon etwas irritiert, dass bei RIPE eingetragen werden sollte :D


    Mich erfreut es zunächst, dass grundsätzlich auch bei anderen das Interesse an diesem Feature besteht, ob kostenlos oder kostenpflichtig.
    Vom Preismodell würde mich grundsätzlich für den Anfang eher eine einmalige (mittlere) Gebühr interessieren bis das Feature refinanziert wurde o.ä.


    Zusätzlich zum vollständigen delegieren des vollständigen /64-Netzes o.ä., dann auch gerne die Möglichkeit jeweils an den 4er Grenzen die NS-Einträge setzen zu lassen.


    Viele Grüße


    Christian

  • @gunnarh: Du kannst in der Tat bei IPv4 eine Delegation auf z.B. ein /26-Netz machen ...

    dies erfolgt indem Du - in diesem Beispiel bei /26 - in der entsprechenden Zone des /24-Netzes

    CNAME Einträge machst;


    z.B. f. 192.168.10.0/26 soll eine Delegation gemacht werden


    dann befindet sich in der Zone

    0.10.168.192.in-addr.arpa folgendes


    0-63 IN NS ns1.yours.tld.

    0-63 IN NS ns2.yours.tld.


    und mittels

    $GENERATE 0-63 $ IN CNAME $.0-63.10.168.192.IN-ADDR.ARPA.

    werden die entsprechenden CNAME Einträge gemacht


    hier wird es nochmal gezeigt - anderes Beispiel:

    http://www.netdaily.org/tag/29…-reverse-delegation-bind/


    die Namensauflsg. ist da entsprechend über den Umweg des CNAME Eintrags;


    ich habe auch entdeckt, daß eine bestimmte IPv4 mehrere rDNS Einträge hat: z.B. 62.218.34.10;

    wobei kann mich jemand aufklären, welcher Sinn hinter soetwas steckt?


    bei IPv6 wär ich mir nicht so sicher - wobei es da etwas seltsam/krank wäre - ob es hier nicht auch analog f. unorthodoxe Grenzen geht,

    die nicht durch 4 teilbar sind ...

    Grüße / Greetings

    Walter H.


    RS 1000 SAS G7SE / RS 500 SAS G8 / VPS 100 G7SE / RS 2000 SAS Ostern 2018