DNS Server (powerDNS)

[dmant]

Hi,

ich habe zwei DNS Server am laufen (Master und Slave) zwei IPs, zwei verschiedene Standorte. Soweit klappt alles. Mein eigenes DynDNS sowie auch das DNS meiner eigenen Domains.

Weiss jemand von euch zufällig, was ich bei powerDNS einstellen muss, das er auch "öffentlich" ist?

Also ich kann ja in meiner resolv.conf nameserver 8.8.8.8 machen oder nameserver 8.8.4.4 oder aber auch den meiner Fritz.Box oder auch aber den von open DNS oder oder oder.. Aber wenn ich meinen DNS da angebe.. dann geht ausser meinen Domains nichts...

Wie kann ich das einstellen... das der DNS wie jeder anderer... für jeden verfügbar ist?

Danke euch

[debilian]

er, bzw. beide DNS Server müssen nach aussen auf Port 53 lauschen.
Dann musst du die beiden DNS-Server bei deinem Registrar der Domains als Nameserver angeben,
ab da wird er für Abfragen nach deinen Domains genutzt.

hoffe, ich hab nichts vergessen

Nachtrag, wir haben bei uns in der /etc/resolv.conf den Nameserver unseres Rechenzentrums drin.....

[mat6937]

Weiss jemand von euch zufällig, was ich bei powerDNS einstellen muss, das er auch "öffentlich" ist?

Was genau meinst Du mit "öffentlich"?

[dmant]

Also da das ist mir alles klar. Meine Domains funktionieren ja auch 1A. Meine Nameserver angegeben das geht alles.

Aber meine Nameserver lösen nur ihre eigenen Domains auf.

Wenn ich jetzt meinen DNS Server bei mir am PC eingebe dann komme ich nur auf die Domains die ich im powerdns eingetragen habe. Er kann keine anderen Domains auflösen.

Wenn ich bei mir am PC den Google Nameserver oder aber den von opendns Einträge geht alles.

[dmant]

Also wenn ich bei mir am PC

nameserver 8.8.8.8

In der resolv.conf einfüge kann ich auf debianforum.de, auf google.de und auch auf datanet.ovh (meine Domain)

Wenn ich nun aber

nameserver ns1.datanet.ovh

In der resolv.conf eintrage, kann ich außer auf

datanet.ovh

Auf keine andere Website.

[debilian]

ich denke das ist sinnfrei, was du vor hast, lese mal hier die Logik der Namersever:

https://de.wikipedia.org/wiki/Domain_Name_System

Zitat hieraus:

Weiterleitung (forwarding)
Falls der angefragte Namensraum außerhalb der eigenen Domäne liegt, wird die Anfrage an einen fest konfigurierten Nameserver weitergeleitet.
Auflösung über die Root-Nameserver
Falls kein Weiterleitungsserver konfiguriert wurde oder dieser nicht antwortet, werden die Root-Nameserver befragt. Dazu werden in Form einer statischen Datei die Namen und IP-Adressen der Root-Server hinterlegt. Es gibt 13 Root-Server (Server A bis M). Die Root-Server beantworten ausschließlich iterative Anfragen. Sie wären sonst mit der Anzahl der Anfragen schlicht überlastet.

[mat6937]

Wenn ich nun aber
nameserver ns1.datanet.ovh
In der resolv.conf eintrage, kann ich außer auf
datanet.ovh
Auf keine andere Website.

Kannst Du bzw. hast Du "upstream-DNS-Server" in deinem PowerDNS konfiguriert?

[heisenberg]

Grundsätzlich hast Du mal 2 verschiedene Arten von DNS-Servern:

authoritativer DNS-Server

Ein authoritativer Server hat die tatsächlichen Verwaltungsdaten ("Zonendaten") für echte Domains für die der jeweillige Server mit seiner Konfiguration maßgeblich für die Auflösung dieser Domains im Internet ist. Authoritative Server sollten gewissenhaft konfiguriert werden, sowohl von der Serverkonfiguration, als auch von der Konfiguration der einzelnen Zonen.

Resolver oder Recursor

Ein Resolver übernimmt die Ermittlung von DNS-Anfragen von Clients für diese und hangelt sich da über die Root-Server, die Länderdomain-Server zu den authoritativen Servern durch, fragt die Informationen dort ab und gibt diese dann an den Client zurück. Aufgrund der mehrfachen Abfragen, nennt man das auch rekursive Auflösung. Ein Resolver ist üblicherweise ein sehr einfaches Stück Software, dass man nicht groß konfigurieren muss.

Empfehlungen

Die Empfehlung ist dabei, authoritative Server und Resolver klar zu trennen. Der Grund dafür ist z. B. wenn Dein Resolver angegriffen und überlastet wird, dann sind auch Deine echten Internet Domains tot, weil eben die authoritativen Server nicht mehr erreichbar sind. Siehe auch diesen Artikel von DJB: http://cr.yp.to/djbdns/separation.html

Ansonsten betreiben Google et al zwar offene Resolver - aus offensichtlichen Gründen - aber die sind mit Sicherheit sowohl extrem skalierbar implementiert, als auch sehr gut gegen Angriffe abgesichert. Jemandem, der sich nicht intensiv und umfassend mit der Absicherung eines offenen Resolvers beschäftigt, würde ich vom Betrieb eines solchen klar abraten. D. h. immer nur von bestimmten Subnetzen Anfragen erlauben und keinesfalls unbeschränkt vom ganzen Internet.

PowerDNS unterstützt das zwar, dass man ein Setup mit authoritativen und rekursiven Servern gemischt fährt, dass ist aber deutlich komplizierter, als wenn man das getrennt hält. Siehe hier: https://doc.powerdns.com/authoritative/ ... rsion.html

[dmant]

Das ist mal eine Erklärung... Die habe ich verstanden

Da hast du wohl Recht. Also sind meine DNS Server rein für meine Domains zuständig. Diese erzählen den anderen erhältlichen Servern also die Daten zu meinen Domains aber nicht anders herum.

Jetzt habe ich aber direkt noch ne andere Frage dazu.

Bei mir Zuhause habe ich einen Debian Server der als Router fungiert. Er macht das DNS mit bind9 und auch DHCP und ist Gateway usw.

Warum kann der bei mir lokal denn dann andere Adressen auflösen? Was er nicht auflösen kann, leitet er dann iwie weiter.

Wo ist denn da der Unterschied.

[heisenberg]

Bei mir Zuhause habe ich einen Debian Server der als Router fungiert. Er macht das DNS mit bind9 und auch DHCP und ist Gateway usw.

Warum kann der bei mir lokal denn dann andere Adressen auflösen? Was er nicht auflösen kann, leitet er dann iwie weiter.

Wo ist denn da der Unterschied?

Das ist halt die Struktur, von der sich PowerDNS verabschiedet hat: Beides (Resolver+Authoritative DNS) in einem, was bei Bind (und ein paar anderen DNS-Servern) halt immer noch so machbar ist - obwohl davon abgeraten wird. Und im Home-Office macht das ja durchaus auch Sinn. Da ist zum einen die Mißbrauchsgefahr ja nicht gegeben und zum anderen beschränkt sich die Aufgabe des DNS-Servers zu Hause auf das Netz, in dem er steht und stellt nicht für das gesamte Internet den einzigen Punkt für Auflösung eigener Domains.

[VS2FreeUsers]

Hi,

am besten du Testest deine Nameserver config mit denic NAST, dann kannst du dir sicher sein das alles OK ist.

https://nast.denic.de/