TTL nur für subdomain?

  • Wenn du erweiterte DNS Features haben möchtest, ist ggf. ein anderer DNS Anbieter für dich sinnvoll, z.B. Cloudflare.

    Wenn du kein Webhosting hast, kann ich das uneingeschränkt empfehlen - die entsprechenden DNS Server kannst du dann im Netcup Interface eintragen.

  • Was ist denn das Problem mit dem Webhosting? Ich habe seit einigen Wochen testweise ein Webhosting über CF laufen, läuft.

    Für Webhostings gibt es doch den MX Record mail.example.com, der deswegen existiert, falls Netcup den Mailserver ändern muss und deswegen den Record dieser Subdomain maschinell ändern. Soweit meldet sich da mein Gedächtnis.


    Das können sie natürlich nur, wenn sie auch die DNS Server kontrollieren. Deshalb wäre ich beim Webhosting da zurückhaltend.

    Ich bin mir nicht sicher, ob Netcup dir eine Mail schickt, wenn du DNS Records ändern musst, weil dein Webhosting bspw. umgezogen wird, auf einen anderen Server.

    Deshalb die Einschränkung hier - wenn du das allerdings in Kauf nimmst / nehmen kannst: Go for it.

  • Möglicher Workaround in manchen Situationen: CNAME auf eine Subdomain, die woanders liegt, wo Du die TTL beeinflussen kannst.

    Genau so mache ich das mit einen DNS Server von he.net, dort kann man auch die TTL einzelen für alle Einträge einstellen und sogar DDNS machen.

    Der Service ist kostenlos und ich habe dort sogar ein Subdomain laufen, weil ich dort auch IPv6 Tunnel für Internetanschlüsse (z.B Pyur) habe die kein IPv6 haben.


    Sprich: xxx.bla.domain.tld

    xxx Kein Frei bei he.net eingestellt werden und der Rest bla.domain.tld wird bei Netcup als NS Einträge zu he.net eingestellt.

    • ns5.he.net
    • ns4.he.net
    • ns3.he.net
    • ns2.he.net

    Du hast ns1.he.net vergessen, HE.net hat nämlich 5 DNS Systeme vorhanden.


    Mit der Webseite bekomme ich folgedes Ergebnis für DE:

    Germany - Berlin (deber01) OK 0.504 0.660 0.748 2001:470:100::2
    Germany - Frankfurt (defra05) OK 35.742 35.947 36.546 216.218.130.2
  • Welcher Peering Punkt wäre bei dir am nächsten gelegen?

    Hat Vodafone kein Deal mit Peering in Deutschland gemacht, weil Amsterdam billiger ist?


    Ich wohne in Hamburg und 1&1 gibt das an Decix in Hamburg ab und dort dann direkt an he.net weiter.

    Dort geht das bei allen Servern im Netzt von he.net nach Berlin rüber.


  • Welcher Peering Punkt wäre bei dir am nächsten gelegen?

    Unterschiedlich - mit einem alten Kabel Vertrag (IPv4 only) ging es mal am ecix in Hamburg raus, manchmal aber auch über den bcix in Berlin.

    Aber Cloudflare hatte ich immer über Hamburg. Jetzt werde ich an Cloudflare in Düsseldorf übergeben.


    War aber bei mir das gleiche AS (31334).

  • wollen wir das hier weiterführen

    Dann mache ich hier mit offtopic weiter :saint:


    Wenn du kein Webhosting hast, kann ich das uneingeschränkt empfehlen

    Man sollte sich bei Cloudflare allerdings bewusst sein, dass man eventuell schnell umziehen muss. Es ist ein amerikanisches Startup und die wollen per Definition an die Börse und fett Geld in möglichst kurzer Zeit machen. Und das Öl des 21 Jahrhunderts sind nunmal Daten. CF weiß wo wir surfen (weil ja alle 1.1.1.1 für DNS benutzen) und "managen" all unseren Trafik. Sie wissen also fast mehr über jeden von uns als Google, und es gibt kein opt-out. Momentan verwalten die ~20 Millionen Domains und machen pro Halbjahr ~40 Millionen Verlust. Sie haben ~75k zahlende Nutzer, der Rest zahlt mit Daten. Sie sind erst vor ein paar Monaten an die Börse gegangen, haben also etwas Schonfrist, bald werden sie aber Geld verdienen müssen. Das Gute an CF ist, dass wenn die mal down sind sie das halbe Internet mit runterziehen. Too big to fail also, was kann da schon schief gehen.

    https://twitter.com/PowerDNS_B…/1073641249192726528?s=09

    https://metro.co.uk/2019/07/02…luding-detector-10103471/


    Wenn Cloudflare (oder die US Behörden) entscheiden dass jemand böse ist, ist das Internet praktisch weg (Wie es scheint können Leute aus dem Iran die Webseiten zum Beispiel gerade nicht benutzen). CF ist kostenlos, komfortabel und am schnellsten. Man sollte sich aber bewusst sein, dass sie auch Nachteile haben.

  • Es ist ein amerikanisches Startup und die wollen per Definition an die Börse und fett Geld in möglichst kurzer Zeit machen. Und das Öl des 21 Jahrhunderts sind nunmal Daten. CF weiß wo wir surfen (weil ja alle 1.1.1.1 für DNS benutzen)

    Das wird heißer gekocht, als es gegessen wird.


    Zunächst gibt es die Cloudflare Germany GmbH - d.h. US Behörden dürften recht eingeschränkten Zugriff auf die deutsche Anycast Infrastruktur für Resolver und CDN / Proxy haben. Dann gibt es die Privacy Policy [1], die mir sehr gut erscheint. Hier ist es sinnvoll nach Public Resolver Users zu suchen.


    Auch auf der Website des Resolvers, wird nochmal dargestellt, wie persönliche Daten verarbeitet werden [2].

    Zusätzlich ist auch [3] sehr lesenswert.


    Warum fallen überhaupt Daten an?

    Ganz einfach: der DNS Cache, der Records für eine gewisse Zeit vorhält und Performance Metriken.


    Bei dem CDN / Proxy Produkt ist es Bestandteil des Produktes, dass Datenströme analysiert werden, um DoS Attacken abzuwehren. Dafür brauchen sie die Daten.

    Außerdem ist CF einer der Orte, wo der Traffic unverschlüsselt vorliegt und wo es für US Geheimdienste möglich ist a) zu Schnorcheln und b) Dateien auszutauschen ohne TLS kaputt zu machen. Die US Behörden werden sich hüten diesen Laden zu schließen, weil er für die Geheimdienste sehr wertvoll ist. Also nix mit schnell mal umziehen.


    Das gilt aber nur, wenn du die Wolke auch an hast. Hast du die Wolke deaktiviert, macht Cloudflare nur DNS.


    Halbes Internet Down geht auch via: AWS Down; DECIX Down etc. pp. Dafür braucht man nicht Cloudflare.

    Und an die Daten kommt man bei US Unternehmen manchmal mit, und manchmal ohne National Security Letter.


    1: https://www.cloudflare.com/privacypolicy/

    2: https://one.one.one.one/dns/

    3: https://developers.cloudflare.…cy-policy/privacy-policy/

  • Steini die würden sich doch selber ins Knie schießen, Cloudflare zu verbieten, dass Terrororganisationen ihre Kunden sind.

    Ein US Unternehmen hat unverschlüsselt Daten darüber, wo die eigentlichen Daten der Webseiten herkommen und wer sich für diese Webseiten interessiert.

    Und diese Infos geben die Terrororganisationen freiwillig heraus, weil sie es anscheinend nicht besser wissen.


    Kannst du 1 + 1 zusammen zählen. Deswegen machen die CF nicht dicht, im Gegenteil.

    Cloudflare wird es noch sehr sehr lange geben.

  • CF weiß wo wir surfen (weil ja alle 1.1.1.1 für DNS benutzen) und "managen" all unseren Trafik.

    Wie kommst du auf die Information, dass ja alle 1.1.1.1 als DNS Cache verwenden?

    Halbes Internet Down geht auch via: AWS Down; DECIX Down etc. pp. Dafür braucht man nicht Cloudflare.

    Decix würde zwar einen sehr markanten Impact haben, in diesem Ausmaß müsste hier aber viel passieren, dass hier ein 100% Totalverlust eintritt. Entsprechende ISPs sollten doch auch andere Uplinks - Transit oder Peering (Linx, Amsix, Swissix, VIX, etc) besitzen, um dies zu kompensieren. Der interessante Faktor wäre hier eher, wie sich der Traffic auf die ganzen anderen IX verteilt.

    AWS hingegen hätte vermutlich einen massiven Impact auf Webservices.