Beiträge von poosan

    Hallo,

    bei redhell ist es ja so, dass jeder Nutzer eine begrenzte Anzahl von Punkten vergeben kann. Ist Ihnen das bekannt? Was wäre wichtiger, DNS-SEC, DANE, Domainreselling oder sekundäre Nameserver?


    Also meine DNS-Wünsche sind:

    1. DANE
    2. DNSSEC
    3. Mehr DNS Resource Records (insb. NAPTR) im ccp
    4. Sekundären DNS-Server-Support

    Das sind zu viele Wünsche, also suchen wir nach Synergien:

    1. DANE benötigt: 1. DNSSEC (Wunsch b) und 2. einen TLSA Resource Record (Wunsch c)
    2. DNSSEC benötigt:

      • Die Möglichkeit einen DS Resource Record in der TLD einzutragen
      • Mehr DNS Resource Records (Wunsch c)
      • Einen primären DNS-Server (so stellt es sich das netcup vor). Mit Blick auf mögliche Man-in-the-Middle-Angriffe ist das auch die einzige Möglichkeit Kontrolle über die privaten Schlüssel zu behalten. Allerdings benötigten wir für einen primären DNS-Server auch einen sekundären DNS-Server (Wunsch d)
    3. Wenn wir einen primären DNS-Server betreiben (Wunsch b3), dann sind uns die möglichen RRs im ccp egal.
    4. Kein direkt Wunsch, aber eine Notwendigkeit für den primären DNS-Server (Wunsch b3) und somit die Voraussetzung Wunsch a-b zu erfüllen.

    Zusammengefasst komme ich auf zwei zu implementierende Punkte.

    • DNSSEC, speziell die Möglichkeit einen DS Resource Record in der TLD einzutragen (Wunsch b1).
    • Sekundären DNS-Server-Support (Wunsch d).

    Ich will hiermit nicht direkt Werbung für mein Feature-Request machen, aber für einen Provider der DNSSEC (und somit auch DANE) integrieren will, wäre der sekundäre DNS-Server-Support eine strategische Entscheidung. Zumindest ist das der ursprüngliche Grund meiner Nachfrage.


    Was ist wenn der Nameserver des Kunden A die Zone tolledomain.tld propagiert und der Nameserver von Kunde B auch? Wer hat dann das Recht dazu? So einfach ist das alles nicht, wie es auf den ersten Blick vielleicht aussieht.


    Das kann der DNS-Server von Kunde A ja machen, allerdings, darf das nicht der sekundäre DNS-Server übernehmen. Aber mal ehrlich, wenn ein Slave-DNS-Server für die Zone example.com auch Request für tolledomain.tld beantwortet, weil die vom DNS-Server von Kunde A (Besitzer von Domain example.com) propagiert wurden, dann ist das eine kritische Sicherheitslücke der DNS-Server-Software die sofort gemeldet werden sollte (oder der DNS-Server ist grob fahrlässig konfiguriert).


    Bei bind würde ich das so machen:

    Code
    zone "example.com" {
      type slave;
      masters { <IP Kunde A>; };
      file "/var/lib/bind/db.example.com";
    };
    zone "tolledomain.tld" {
      type slave;
      masters { <IP Kunde B>; };
      file "/var/lib/bind/db.tolledomain.tld";
    };

    Damit wäre das beschriebene Szenario nicht möglich.


    Die Entwicklungskosten, gemessen an Mitarbeitergehältern, betragen grob geschätzt 40K - 60K Euro.


    Wenn ihr System OpenSource wäre, dann hätte ich wohl schon mit der Arbeit an einem Patch begonnen. Ansonsten wäre das auch eine schöne Ausgabe für einen Auszubildenden. Wenn ich Azubi/Praktikant wäre, würde ich mich darüber freuen.


    Bitte den Beitrag jetzt nicht falsch verstehen.


    Auf keinen Fall, die Tatsache, dass Sie hier schon drei mal geantwortet haben, zeigt, dass sie zu mindestens über das Thema nachdenken, was mich erfreut.


    Gruß, poosan

    Kostenlos können wir keinen sekundären DNS-Server anbieten. Es gibt die Möglichkeit das wir die Kosten dafür auf alle Produkte verteilen oder so einen DNS-Server optional gegen Gebühr anbieten.


    Ich denke nicht, dass netcup Dienste Kostenlos anbieten soll (Obwohl sich viele drüber freuen würden ;)). Das Sie mit DNS-Diensten nicht viel Verdienen hatten Sie schon in einem anderen Beitrag erläutert. De Facto bezahle ich aber schon für die sekundären DNS-Server, da ich die Domain (noch) über das ccp-System pflege. Mein Vorschlag ist es ja "nur", dass diese sekundären DNS-Server die Zonen-Informationen nicht mehr vom DNS-Server nehmen, der vom ccp-System gefüttert wird, sondern von dem vServer des jeweiligen Kunden. Das die Implementierung Zeit und Kosten verursacht mag sein. Die Kostengestaltung liegt auf Seiten von netcup.


    Allerdings ist es kontraproduktiv, jetzt hier über Kosten zu diskutieren!


    Wenn sich genügend Kunden finden, die einen sekundären DNS-Server über uns beziehen möchten, werden wir diesen anbieten und die Kosten dafür auf alle Produkte umlegen.


    Der Vorschlag von redhell wäre hier z.B. Interessant.



    Ansonsten möchte ich hiermit einfach mal aufrufen, sich zu melden, wer an einem sekundären DNS-Server-Dienst interessiert ist, weil er seine Zone auf seinen eignen Root-Server verwalten möchte. Wenn sich hier ein paar melden und können wir darüber diskutieren, unsere Zonen-Daten gegenseitig zu transferieren um so ein netcup-Community-DNS-Cloud einzurichten. Zu mindestens so lange bis netcup evtl. ihre sekundären DNS-Server öffnet.


    Gruß, poosan

    wir bieten keinen solchen Dienst an, da die meisten unserer Kunden für so ein Vorhaben einfach einen zweiten kleinen Root-Server dafür buchen. Günstiger geht das ja kaum. Wäre das nicht auch eine Lösung für Sie?


    Das ist für mich leider keine Lösung, da es nur ein kleiner privater Server ist (die kleinen Root-Server sind so schön günstig ;)) und sich somit die Kosten direkt verdoppeln. Außerdem sehe ich das so, dass ich schon für die Domain inkl. Slave-Server bezahle.


    Mein Vorschlag bzw. Wunsch an netcup wäre also ihre Salve-Server zum Replizieren eigener DNS-Server zur Verfügung zu stellen. Ich kenne nicht das netcup-System aber aus Sicht einer DNS-Server-Konfiguration wäre das "nur" eine Änderung der IP-Adresse des Primary-Server der jeweiligen Zone. :S (Ich gebe zu, dass diese Sichtweise evtl. etwas naiv ist.)


    Mit Hinsicht auf DNSSEC, was laut Felix (Link) erst einmal nur für "Kunden die eigene Nameserver betreiben" angeboten werden soll, wäre das z.B. sehr hilfreich. Auch könnte man DNS-Records nutzen, die nicht im ccp angeboten werden.


    Gruß, poosan

    Das wird nicht funktionieren weil du dann deine Zonen auf die DNS-Server von Netcup replizieren müsstest, den Zugriff auf diese Teile wirst du sicher nicht erhalten.


    Richtig, die Zonen müssten per AXFR auf die Slaves transferiert werden. Ich hatte gelesen, das andere Anbieter das implementieren, in dem man deren DNS-Server IP als zusätzliche DNS-Server im Web-Frontend einträgt. Hatte gehofft, dass ntcup etwas ähnliches anbietet


    Da dies wohl netcup nicht anbietet, könntest du dir Hurricane Electric Hosted DNS anschauen.


    Danke, werde ich mir mal anschauen. Allerdings wäre es mir lieber wenn netcup das auch anbieten würde. Momentan stellen die ja auch die sekundären DNS-Server für die Domain.

    Hallo,
    wenn ich auf meinem vServer für meine Domain einen eigenen primary DNS-Dienst laufen lassen möchte. Kann ich dann die DNS-Server von netcup als slave Server benutzen?
    Wenn ja, was muss ich dazu im ccp einstellen?


    Gruß, poosan

    Hallo,
    das hört sich ja sehr schön an, dass die Domainverwaltung kontinuierlich erweitert wird.


    Ich habe auf meinem Root-Server einen SIP-Server laufen und möchte gerne SIPS (also SIP mit TLS) benutzen. Damit diese automatisch genutzt werden kann brauche ich nach rfc3263 einen NAPTR DNS-Eintrag.
    Leider ist es mir aber nicht möglich im CCP einen RR-Typ NAPTR auszuwählen. Wird es dazu in Zukunft auch noch ein Update geben? Es sollte doch so ähnlich wie der SRV-Typ zu realisieren sein.


    Andererseits, finde ich die Vorstellung, die Domain direkt auf dem Root-Server (z.B. mit Bind9) selber zu verwalten sehr angenehm. Damit könnte man dann auch die DNS-Einträge selbständig verwalten, ohne auf die "Einschränkungen" des Web-Interfaces angewiesen zu sein.


    Allerdings ist diese auch nach der hier beschriebenen Erweiterung nicht so einfach, denn mit nur einem Root-Server kann/darf man nicht die erforderlichen Slave-DNS-Server betreiben.


    Ist es irgendwie möglich, dass netcup ihrer DNS-Server als secondary DNS-Server, für eine Domain die auf einem Root-Server verwaltet wird, bereitstellt?