Der auf der Haupt-IP laufende BIND, der sich mit einer Teilkomponente des VPN-Dienstes bei\u00dft.<\/li>\n<\/ol>\n<\/blockquote>\nAchievement unlocked: IP f\u00fcr VPN-Server \ud83d\ude09<\/strong><\/p>\nNun werden viele meinen, aber technisch notwendig ist das doch nicht, weil man den VPN-Server, bzw. die betroffene Komponente (einen IP-over-DNS-Tunnel-Server) auch auf einem andren Port betreiben k\u00f6nnte, um dann die relevanten Anfragen einfach zu proxien. Nunja: Warum bei einem Dienst, der eh bereits viel Aufwand f\u00fcr das Parsen der Datenstr\u00f6me hat unn\u00f6tige Komponenten dazuwischen schalten? Es reicht schon, wenn man da ohne YetAnotherProxy dazwischen in dem Tunnel kaum mehr als als Modem-Speed schafft. Wenn man dann den VPN-Server noch zus\u00e4tzlich auslastet, wird das garantiert nicht besser.<\/p>\n
Bliebe also noch zu kl\u00e4ren, wie die Trennung von Recursor und autoritivem DNSRBL-Server am einfachsten zu begr\u00fcnden geht. Hmmm, probieren wir den offensichtlichen Weg:<\/p>\n
Auf dem Server l\u00e4uft bereits ein DNS-Server als DNS-Cache und -Rekurser, w\u00e4hrend auf der anderen Zusatz-IP ein VPN-Dienst l\u00e4uft, der den ben\u00f6tigten Port auch blockiert. Die Notwendigkeit liegt nun darin, dass der Betrieb von DNS-Rekursern und authoritiven Systemen auf getrennten IPs empfohlen wird.<\/p><\/blockquote>\n
Gut, klingt erstmal seltsam und leider konnte ich da auf die Schnelle nicht das passende IETF-issued Document for Veriification\u2122 finden. Also sollte das doch erstmal reichen: Manchmal funktioniert das mit dem Beweis durch Autorit\u00e4t ja.<\/p>\n
In diesem Fall jedoch nicht. Also zumindest der RIPE-Beauftragte war da etwas hartn\u00e4ckiger, als gedacht:<\/p>\n
unser RIPE Beauftragter m\u00f6chte noch wissen:<\/p>\n
…und aus technischer Sicht anzuraten, den autoritiven Teil des Nameservers auf einer getrennten IP zu betreiben.<\/p><\/blockquote>\n
Warum wird das technisch angeraten?<\/p><\/blockquote>\n
Weil ich das so sage? Ne, kommt glaube nicht so gut. Auch wenn ich mich jedes Mall angesprochen f\u00fchle, wenn jemand „Gott sei Dank!“ sagt, aber wir haben hier einen durchaus interessierten Menschen; ihm soll auf seine Frage eine angemessene Antwort gegeben werden!<\/p>\n
Ihre letzte offene Frage m\u00f6chte ich gerne beantworten:<\/p>\n
unser RIPE Beauftragter m\u00f6chte noch wissen:<\/p>\n
…und aus technischer sicht anzuraten, den auhoritiven Teil des Nameservers auf einer getrennten IP zu betreiben.<\/p><\/blockquote>\n
Warum wird das technisch angeraten?<\/p><\/blockquote>\n
Beim Betrieb eines Recursors entsteht in Abh\u00e4ngigkeit der Anfragen eine recht hohe Last, da die Antworten auf Anfragen f\u00fcr einen Recursor im Zweifelsfall nicht aus einem Cache geholt werden k\u00f6nnen. Somit ben\u00f6tigt die Beantwortung von Recursor-Anfragen im Vergleich zu autoritiven Antworten mehr Resourcen. Aus diesem Grund ist es ratsam zum Begrenzen der Resourcen ein Rate Limitting durchzuf\u00fchren, bei dem die Anzahl von (offenen) Anfragen bereits im Vorhinein begrenzt wird (z.B. durch Verwerfen von Anfragen, die das Last-Limit \u00fcbersteigen). Wird dies jedoch auf einer IP gemacht, auf der sowohl rekursive wie auch autoritive Anfragen eintreffen, so muss erst der Paket-Inhalt analysiert werden, bevor \u00fcber das Rate Limitting entschieden werden kann. Trennt man die IPs f\u00fcr rekursive und autoritive Anfragen, kann man bereits ohne Betrachtung des Paket-Inhaltes das Rate Limitting vornehmen und bereits mit Mitteln des Betriebssystems lastspezifische, unterschiedliche Limits erreichen, ohne eine unn\u00f6tige Verschlechterung der Erreichbarkeit der autoritiven Zone zu riskieren oder \u00fcberm\u00e4\u00dfig Resourcen zum Lesen der Paketinhalte aufzuwenden.<\/p><\/blockquote>\n
Achievement unlocked: IP f\u00fcr DNS-RBL-Server \ud83d\ude09<\/strong><\/p>\nOkay, ich fasse zusammen: Man muss seinen DNS-Server nur mit statischem Load-Balancing und Vermeidung von DPI begr\u00fcnden, dann klappt’s auch mit der IP. Die oben genannte Begr\u00fcndung ist zwar an sich richtig, aber der springende Punkt ist der Grund nun wiederum auch nicht: Statisches Load Balancing egal ob mit oder ohne Rate Limitting funktioniert nur in begrenztem Umfang. Solange man also die Last auf die einzelnen Systeme absch\u00e4tzen kann, mag es gehen; sobald aber ein Public DNS-Server ins Spiel kommt, ist die Last ungef\u00e4hr so gut vorhersehbar wie die Lottozahlen von n\u00e4chster Woche. Technisch mag das also durchaus stimmen; rein es w\u00fcrde hoffentlich keiner real so machen.<\/p>\n
Genauso wie beim VPN-Dienst steckt hinter der Trennung auch hier wieder ein im Wesentlichen administrativer Gedanke: Nicht nur m\u00f6chte ich den Public DNS getrennt von nem autoritiven DNS haben, der die Erreichbarkeit der dar\u00fcber angebotenen Zonen zu gew\u00e4hrleisten hat, sondern m\u00f6chte ich ferner auch erreichen, dass beim Abfragen von autoritiven Zonen unter meiner Kontrolle nicht gleich jedes Webmaster-Tool rummeckert, dass da auch ein Public Resolver l\u00e4uft.<\/p>\n
Nunja. Bliebe noch zu erw\u00e4hnen:
\nAchievement unlocked: Mit kreativen, technisch wenig zielf\u00fchrenden Begr\u00fcndungen IPs bekommen \ud83d\ude09<\/strong><\/p>\nW\u00e4hrend das VPN bereits funzt, brauch das mit dem DNS noch etwas. Naja, BIND scheint die gew\u00fcnschte Konfiguration irgendwie nicht ganz zu verstehen. Aber ich denk, mit etwas Einsatz der richtigen Black Magic wird das auch noch ^^<\/p>\n
P.S.: Das zus\u00e4tzliche IPv6-\/64-Subnetz war mit einem Klick und der Best\u00e4tigung der Daten\u00fcbermittlung an die Schufa<\/del>RIPE erledigt. Keine Begr\u00fcndung, nix.<\/p>\n![\"Flattr](\"http:\/\/blog.benny-baumann.de\/wp-content\/plugins\/flattr\/img\/flattr-badge-large.png\")
<\/a><\/p>","protected":false},"excerpt":{"rendered":"Ich habe mir da einen neuen Server geholt und eine der Sachen war nun, dass abzusehen war, dass mehrere der zu installierenden Dienste sich ins Gehege kommen w\u00fcrden. Also grob gesagt: Es gab 3 Dienste, die liebend gerne auf Port 53 laufen wollen. Nun sind IPv4-Adressen knapp und der neue Hoster achtet etwas strenger drauf, […]<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"ngg_post_thumbnail":0,"footnotes":""},"categories":[4],"tags":[48,347,69,314,346,313],"class_list":["post-1082","post","type-post","status-publish","format-standard","hentry","category-server","tag-dns","tag-fun","tag-internet","tag-ripe","tag-server","tag-vpn"],"_links":{"self":[{"href":"https:\/\/blog.benny-baumann.de\/index.php?rest_route=\/wp\/v2\/posts\/1082","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/blog.benny-baumann.de\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/blog.benny-baumann.de\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/blog.benny-baumann.de\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/blog.benny-baumann.de\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=1082"}],"version-history":[{"count":3,"href":"https:\/\/blog.benny-baumann.de\/index.php?rest_route=\/wp\/v2\/posts\/1082\/revisions"}],"predecessor-version":[{"id":1084,"href":"https:\/\/blog.benny-baumann.de\/index.php?rest_route=\/wp\/v2\/posts\/1082\/revisions\/1084"}],"wp:attachment":[{"href":"https:\/\/blog.benny-baumann.de\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=1082"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/blog.benny-baumann.de\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=1082"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/blog.benny-baumann.de\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=1082"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}