Wunsch: Flush Netcup DNS Resolver

  • Hallo,

    nach einer gestrigen Umstellung hege ich wieder mal den Wunsch, dass es eine Möglichkeit als Netcupkunde gäbe, die im Wiki empfohlenen Nameserver zu flushen. Dies wird von den großen Anbietern auch supported.


    Die TTL meine Domäne lag bei einer Stunde und bis auf die beiden Nameserver 46.38.225.230 und 46.38.252.230 lösen alle korrekt die neuen Einträge auf ( Änderung war gestern nachmittag) . Das Problem ist erstmal nur zweitrangig, da diese beiden bei mir nur als Fallback im Einsatz sind. Es ist allerdings nicht das erste Mal, dass die beiden eklatant länger brauchen. Zumal die Domäne zu einem Webhosting bei Netcup gehört, finde ich es noch was blöder.


    Gruß

  • Ist zwar etas OT aber ich teile meine Erfahrung hier. Ich habe vor etwa einem halben Jahr auf einen anderen DNS Provider umgestellt. Vorher hatte ich öfters Probleme mit DNSSEC und auch Lets Encrypt beim Erneuern der Zertifikate. Seitdem Wechsel ist nicht einmal wieder ein Fehler im DNSSEC und LE aufgetaucht und alles was DNS betrifft läuft nun völiig entspannt und schnell.

  • Hay,


    kann ich voll unterstützen. Auch mir fällt auf, dass selbst der DNS meines Internetproviders zuhause schneller mit den neuen Adressen versorgt, als der standardmäßige netcup DNS bei meinen RS/VPS Servern, wo Domain, Nameserver und Webserver alles irgendwie im selben Haus stehen...


    CU, Peter

    Peter Kleemann // https://www.pkleemann.de // +49 621 1806222-0 // Kann Programme, Internet, Netzwerke und Telefon.

  • Wenn man mehrere Server bei Netcup hat lohnt es sich vielleicht einen weiteren als Firewall (z.B. Pfsense, OpnSense) und Service Provider einzusetzen.

    Ich nutze die Firewall einen DNS Resolver zu betreiben und um einen zentralen Zeitserver zu haben.

    Das hat den Charme, dass ich manche DNS Einträge gezielt von Dritten auflösen lassen kann, um zum Beispiel auch "Private DNS" von Cloudanbietern bequem nutzen zu können. Die Einträge kurz zu flushen ist natürlich auch kein Problem...


    Wenn man keine Firewall benötigt, dann ist das natürlich ein wenig über das Ziel hinaus...

  • Hallo zusammen,

    ein kurzes Update: es gibt hierzu zwar ein geplantes Vorhaben, aber leider noch kein konkretes Datum für die Umsetzung.

    Schön zu hören ;) Ich lasse mich überraschen


    Wenn man mehrere Server bei Netcup hat lohnt es sich vielleicht einen weiteren als Firewall (z.B. Pfsense, OpnSense) und Service Provider einzusetzen.

    Ich nutze die Firewall einen DNS Resolver zu betreiben und um einen zentralen Zeitserver zu haben.

    Das hat den Charme, dass ich manche DNS Einträge gezielt von Dritten auflösen lassen kann, um zum Beispiel auch "Private DNS" von Cloudanbietern bequem nutzen zu können. Die Einträge kurz zu flushen ist natürlich auch kein Problem...


    Wenn man keine Firewall benötigt, dann ist das natürlich ein wenig über das Ziel hinaus...

    Da sehe ich aktuell keinen Vorteil zu Unbound als DNS Resolver auf allen Kisten der im Zweifel auch noch gecachte bereits abgelaufene Antworten liefern kann. Irgendwo her muss die Firewall Kiste dann ja auch wieder die Einträge bekommen und eigentlich 2 davon wegen SPOF. Klar kann ich CF, G00gle und Co. in meine resolv.conf eintragen, aber eigentlich will ich dass mein Cluster bei Verlust der externen Konnektivität nicht direkt Amok rennt ( Erfahrungen aus dem Berufsleben )-

  • Schön zu hören ;) Ich lasse mich überraschen


    Da sehe ich aktuell keinen Vorteil zu Unbound als DNS Resolver auf allen Kisten der im Zweifel auch noch gecachte bereits abgelaufene Antworten liefern kann. Irgendwo her muss die Firewall Kiste dann ja auch wieder die Einträge bekommen und eigentlich 2 davon wegen SPOF. Klar kann ich CF, G00gle und Co. in meine resolv.conf eintragen, aber eigentlich will ich dass mein Cluster bei Verlust der externen Konnektivität nicht direkt Amok rennt ( Erfahrungen aus dem Berufsleben )-

    Unbound auf der PfSense hat mehrere Vorteile:

    1. Du hast eine GUI und bessere Beschreibungstexte.

    2. Du kommst nicht in eine Schräglage durch abweichende DNS Antworten. Das kann dir zum Beispiel passieren, wenn ein CDN oder Cloudanbieter für 2 IPs unterschiedliche GEO daten hat und nicht auf die gleiche Region matcht. Das ist mir tatsächlich schon mehrfach passiert und das will man einfach nicht haben.

    3. Am Caching und asynchronen Nachladen ändert sich ja nichts. Deinem Cluster ist es ja egal wo er den DNS Eintrag herbekommt. Zumal viele Cluster selbst interne DNS Server betreiben.

    4. Resolver pro Server verursachen unnötigen Traffic und Last. Das macht man nicht und die Dienstanbieter bitten auch deutlich darum, das nicht zu tun. Dann lieber einen Public DNS Eintragen und Forwarden.

  • Unbound auf der PfSense hat mehrere Vorteile:

    1. Du hast eine GUI und bessere Beschreibungstexte.

    2. Du kommst nicht in eine Schräglage durch abweichende DNS Antworten. Das kann dir zum Beispiel passieren, wenn ein CDN oder Cloudanbieter für 2 IPs unterschiedliche GEO daten hat und nicht auf die gleiche Region matcht. Das ist mir tatsächlich schon mehrfach passiert und das will man einfach nicht haben.

    3. Am Caching und asynchronen Nachladen ändert sich ja nichts. Deinem Cluster ist es ja egal wo er den DNS Eintrag herbekommt. Zumal viele Cluster selbst interne DNS Server betreiben.

    4. Resolver pro Server verursachen unnötigen Traffic und Last. Das macht man nicht und die Dienstanbieter bitten auch deutlich darum, das nicht zu tun. Dann lieber einen Public DNS Eintragen und Forwarden.

    1.) Lasse ich mal so stehen, bei mir trifft der Punkt aufgrund Automatisierung nicht zu

    2.) Das ist aber nur solange valide bis die TTL vom Eintrag abgelaufen ist und in dem Zeitraum mehrere Server die gleiche Abfrage machen. Ansonsten kann dir das doch auch weiterhin passieren? Als Beispiel

    lbxxxxx.cloudapp.azure.com haben immer TTL von nur 10 Sekunden...

    4.) Die Logik erschließt sich mir nicht so ganz. Aktuell beantwortet der Unbound alle DNS Anfragen vom Host. Fragen 10 Container die gleiche Abfrage und die DNS TTL ist nicht abgelaufen, werden die vom Cache beantwortet. Würde ich jetzt den 8.8. eintragen, würden 10 Anfragen Richtung g00gle gehen. Aktuell sind im Cache ~2000 Antworten vorgehalten.