Beiträge von chrko

  • DANE / TLSA Updates automatisiert?

    Die TLSA-Records müssen gar nicht zur nächsten Hierarchieebene propagieren. Das bezog sich auf den Austausch des KSK und ggf. ZSKs. Wenn du die DNS-Server von netcup nutzt, hast du sehr sehr wahrscheinlich eh nur den Haken im CCP gesetzt, und um darum kümmert sich dann netcup.


    Mit der Frage, ob die netcup-DNS-Server eine eigene API haben, habe ich mich noch beschäftigt. Vielleicht liest jemand den Thread zufällig, aber bis jetzt ist mir noch nichts in der Richtung bekannt.
    Ich betreibe mittlerweile meine eigenen DNS-Server mit Backup durch Freunde :)
    Zurück zu netcup: Meinem Kenntnisstand nach gibt es zur Zeit noch keine API oder andere Möglichkeit um die DNS-Einträge auf den Netcup-DNS-Server automatisiert zu aktualisieren. Vielleicht kommt etwas mit dem Echtzeitregistrierung mit (forum.netcup.de/netcup-intern/produkte/p80253-beta-domains-jetzt-live-im-ccp-bestellbar)

  • DANE / TLSA Updates automatisiert?

    Hi Andreas,


    deine Überschrift und dein Inhalt gehen meiner Ansicht nach auseinander. Ich lese folgende 2 Punkte heraus:

    • Automatische Aktualisierung der TSLA-Records
    • Automatische Aktualisierung der DNSKEY/DS bei der nächst höheren Hierarchie-Ebene

    Zum ersten Punkt:
    Das kommt natürlich ganz darauf an, woher du deine Zertifikate bekommst. Falls du sie z.B. via letsencrypt zertifizierst, kannst du natürlich selbst Glue-Code schreiben, der aus entsprechendem Zertifikat einen TLSA-Record generiert und ihn an deine DNS-Server weitergibt. Das ist aber sehr spezifisch, wie dein le- und dns-setup aussieht.


    Zum zweiten Punkt:
    Nach meinem Kenntnisstand gibt es bis jetzt keine bereits angewandte Möglichkeit, die zukünftigen Keys (KSK und/oder ZSK) automatisiert bei der nächsten Instanz zu hinterlegen. Der rfc7344 beschreibt bereits eine mögliche Lösung über spezielle Record-Types (CDS & CDNSKEY) - bind z.B. unterstützt diese auch, aber werden noch von keiner Registry abgeholt, geschweige denn automatisiert.


    Ich persönlich arbeite gerade an Problem 1. Hier habe ich bis jetzt auch noch kein freies Stück Software gesehen, und fange gerade mit einem Konzept vollständig in python an.


    Viele Grüße


    Christian

  • Abuse Meldung, was tun

    fail2ban schützt doch nicht pauschal davor, dass sich jemand zu dir verbindet?
    Ich würde da stark vermuten, dass eben einfach vielleicht durch alte Software "gehackt" worden bist, und da jemand deinen Host für irgendwelche Dinge als Zwischenträger nutzt.

  • Lets Encrypt für externe Domain?

    Dann hast du dich anscheinend noch nie mit LetsEncrypt beschäftigt ;)
    Das WCP kenne ich jetzt nicht, ob es dort eine Möglichkeit um Zertifikate automatisch hoch zu laden gibt. Dein LetsEncrypt-Zertifikat kannst du aber auf jeden Fall erfolgreich über http-01 erstellen lassen.


    Wenn ihr da Tipps zu alternativen Clients der Ähnliches braucht, helfe ich gerne weiter.

  • Reverse DNS Deligation für IPv6

    Zitat von [netcup] Felix

    Ich habe jetzt noch weiter darüber nachgedacht. Via NS Records in unseren Nameservern sollte das in der Tat gehen. Entwicklungsaufwand ist relativ gering. Wenn die Nachfrage entsprechend hoch ist würden wir das Feature aufnehmen und zur Not durch eine minimale Preisanpassung nach oben finanzieren.


    Ah, ich war gestern schon etwas irritiert, dass bei RIPE eingetragen werden sollte :D


    Mich erfreut es zunächst, dass grundsätzlich auch bei anderen das Interesse an diesem Feature besteht, ob kostenlos oder kostenpflichtig.
    Vom Preismodell würde mich grundsätzlich für den Anfang eher eine einmalige (mittlere) Gebühr interessieren bis das Feature refinanziert wurde o.ä.


    Zusätzlich zum vollständigen delegieren des vollständigen /64-Netzes o.ä., dann auch gerne die Möglichkeit jeweils an den 4er Grenzen die NS-Einträge setzen zu lassen.


    Viele Grüße


    Christian

  • Reverse DNS Deligation für IPv6

    Hallo Herr Preuß,


    Ich bin etwas irritiert, denn es wird ja nicht mehr als Eintrag derart wie folgt gespeichert (korrigieren Sie mich gerne, wenn ich mich jetzt völlig vertue):

    Code
    2.a.0.0.0.2.0.0.0.0.0.4.3.0.a.2.ip6.arpa. IN NS dns1-blub
2.a.0.0.0.2.0.0.0.0.0.4.3.0.a.2.ip6.arpa. IN NS dns2-blub


    statt

    Code
    …2.a.0.0.0.2.0.0.0.0.0.4.3.0.a.2.ip6.arpa. IN PTR bla-blub


    Edit: Um Ihre Frage zu beantworten: Im Zweifelsfall würde ich sowas im Rahmen wie der Erweiterung des Service-Levels für mich ansiedeln.


    Viele Grüße


    Christian

  • Reverse DNS Deligation für IPv6

    Hallo ihr,


    ich würde gerne nicht nur für einzelne Adressen einen PTR anlegen lassen im CCP, sondern gleich ganze Netze, also eine Sub-Zone, an (einen) eigene(n) DNS-Server delegieren lassen.


    Bis lang ist diese Feature (verständlicherweise) nicht implementiert, da leider die Nachfrage danach bislang nicht ausreichend bis nicht existent ist.


    Daher möchte ich nun Rückmeldung einholen, ob vielleicht andere Kunden dieses Bedürfnis haben, aber es noch nicht als Wunsch geäußert haben.


    Mein konkreter Anwendungsfall ist, dass ich auch insbesondere dynamisch PTR RR setzen oder auch automatisiert für ein VPN generieren lassen möchte.


    Viele Grüße


    Christian

  • Raspberry Pi als Mailserver mit Domain

    Abgesehen von den Gegebenheiten die man heute einfach beim Betreiben beachten sollte und teils muss, denke ich, dass das Betreiben eines Mail-Servers aufm RPi aus anderen Gründen eher langfristig fehlschlägt.


    Ein Mailserver, auch ein noch so kleiner, hat immer viele kleine Dateien offen und schreibt nahezu kontinuierlich in diese. Eine SD-Karte wird diese extrem vielen kleinen Zugriffen wahrscheinlich nicht stand halten. So müsstest du für ein gutes Disaster Recovery Backup sehr regelmäßig externe Snapshots der SD-Karte anlegen.


    Beste Lösung dieses allgemeinen SD-Karten Problems ist dann die Auslagerung aller Daten bis auf u.a. /boot auf eine externe USB-Platte etc.


    Grüße


    Christian