DNS Server (powerDNS)
DNS Server (powerDNS)
Hi,
ich habe zwei DNS Server am laufen (Master und Slave) zwei IPs, zwei verschiedene Standorte. Soweit klappt alles. Mein eigenes DynDNS sowie auch das DNS meiner eigenen Domains.
Weiss jemand von euch zufällig, was ich bei powerDNS einstellen muss, das er auch "öffentlich" ist?
Also ich kann ja in meiner resolv.conf nameserver 8.8.8.8 machen oder nameserver 8.8.4.4 oder aber auch den meiner Fritz.Box oder auch aber den von open DNS oder oder oder.. Aber wenn ich meinen DNS da angebe.. dann geht ausser meinen Domains nichts...
Wie kann ich das einstellen... das der DNS wie jeder anderer... für jeden verfügbar ist?
Danke euch
ich habe zwei DNS Server am laufen (Master und Slave) zwei IPs, zwei verschiedene Standorte. Soweit klappt alles. Mein eigenes DynDNS sowie auch das DNS meiner eigenen Domains.
Weiss jemand von euch zufällig, was ich bei powerDNS einstellen muss, das er auch "öffentlich" ist?
Also ich kann ja in meiner resolv.conf nameserver 8.8.8.8 machen oder nameserver 8.8.4.4 oder aber auch den meiner Fritz.Box oder auch aber den von open DNS oder oder oder.. Aber wenn ich meinen DNS da angebe.. dann geht ausser meinen Domains nichts...
Wie kann ich das einstellen... das der DNS wie jeder anderer... für jeden verfügbar ist?
Danke euch
Re: DNS Server (powerDNS)
er, bzw. beide DNS Server müssen nach aussen auf Port 53 lauschen.
Dann musst du die beiden DNS-Server bei deinem Registrar der Domains als Nameserver angeben,
ab da wird er für Abfragen nach deinen Domains genutzt.
hoffe, ich hab nichts vergessen
Nachtrag, wir haben bei uns in der /etc/resolv.conf den Nameserver unseres Rechenzentrums drin.....
Dann musst du die beiden DNS-Server bei deinem Registrar der Domains als Nameserver angeben,
ab da wird er für Abfragen nach deinen Domains genutzt.
hoffe, ich hab nichts vergessen
Nachtrag, wir haben bei uns in der /etc/resolv.conf den Nameserver unseres Rechenzentrums drin.....
-- nichts bewegt Sie wie ein GNU --
Re: DNS Server (powerDNS)
Was genau meinst Du mit "öffentlich"?dmant hat geschrieben:23.06.2023 13:41:03Weiss jemand von euch zufällig, was ich bei powerDNS einstellen muss, das er auch "öffentlich" ist?
Debian 12.9 mit LXDE, OpenBSD 7.6 mit i3wm, FreeBSD 14.1 mit Xfce
Re: DNS Server (powerDNS)
Also da das ist mir alles klar. Meine Domains funktionieren ja auch 1A. Meine Nameserver angegeben das geht alles.
Aber meine Nameserver lösen nur ihre eigenen Domains auf.
Wenn ich jetzt meinen DNS Server bei mir am PC eingebe dann komme ich nur auf die Domains die ich im powerdns eingetragen habe. Er kann keine anderen Domains auflösen.
Wenn ich bei mir am PC den Google Nameserver oder aber den von opendns Einträge geht alles.
Aber meine Nameserver lösen nur ihre eigenen Domains auf.
Wenn ich jetzt meinen DNS Server bei mir am PC eingebe dann komme ich nur auf die Domains die ich im powerdns eingetragen habe. Er kann keine anderen Domains auflösen.
Wenn ich bei mir am PC den Google Nameserver oder aber den von opendns Einträge geht alles.
Re: DNS Server (powerDNS)
Also wenn ich bei mir am PC
nameserver 8.8.8.8
In der resolv.conf einfüge kann ich auf debianforum.de, auf google.de und auch auf datanet.ovh (meine Domain)
Wenn ich nun aber
nameserver ns1.datanet.ovh
In der resolv.conf eintrage, kann ich außer auf
datanet.ovh
Auf keine andere Website.
nameserver 8.8.8.8
In der resolv.conf einfüge kann ich auf debianforum.de, auf google.de und auch auf datanet.ovh (meine Domain)
Wenn ich nun aber
nameserver ns1.datanet.ovh
In der resolv.conf eintrage, kann ich außer auf
datanet.ovh
Auf keine andere Website.
Re: DNS Server (powerDNS)
ich denke das ist sinnfrei, was du vor hast, lese mal hier die Logik der Namersever:
https://de.wikipedia.org/wiki/Domain_Name_System
Zitat hieraus:
https://de.wikipedia.org/wiki/Domain_Name_System
Zitat hieraus:
Weiterleitung (forwarding)
Falls der angefragte Namensraum außerhalb der eigenen Domäne liegt, wird die Anfrage an einen fest konfigurierten Nameserver weitergeleitet.
Auflösung über die Root-Nameserver
Falls kein Weiterleitungsserver konfiguriert wurde oder dieser nicht antwortet, werden die Root-Nameserver befragt. Dazu werden in Form einer statischen Datei die Namen und IP-Adressen der Root-Server hinterlegt. Es gibt 13 Root-Server (Server A bis M). Die Root-Server beantworten ausschließlich iterative Anfragen. Sie wären sonst mit der Anzahl der Anfragen schlicht überlastet.
-- nichts bewegt Sie wie ein GNU --
Re: DNS Server (powerDNS)
Kannst Du bzw. hast Du "upstream-DNS-Server" in deinem PowerDNS konfiguriert?dmant hat geschrieben:23.06.2023 14:22:50Wenn ich nun aber
nameserver ns1.datanet.ovh
In der resolv.conf eintrage, kann ich außer auf
datanet.ovh
Auf keine andere Website.
Debian 12.9 mit LXDE, OpenBSD 7.6 mit i3wm, FreeBSD 14.1 mit Xfce
- heisenberg
- Beiträge: 4127
- Registriert: 04.06.2015 01:17:27
- Lizenz eigener Beiträge: MIT Lizenz
Re: DNS Server (powerDNS)
Grundsätzlich hast Du mal 2 verschiedene Arten von DNS-Servern:
authoritativer DNS-Server
Ein authoritativer Server hat die tatsächlichen Verwaltungsdaten ("Zonendaten") für echte Domains für die der jeweillige Server mit seiner Konfiguration maßgeblich für die Auflösung dieser Domains im Internet ist. Authoritative Server sollten gewissenhaft konfiguriert werden, sowohl von der Serverkonfiguration, als auch von der Konfiguration der einzelnen Zonen.
Resolver oder Recursor
Ein Resolver übernimmt die Ermittlung von DNS-Anfragen von Clients für diese und hangelt sich da über die Root-Server, die Länderdomain-Server zu den authoritativen Servern durch, fragt die Informationen dort ab und gibt diese dann an den Client zurück. Aufgrund der mehrfachen Abfragen, nennt man das auch rekursive Auflösung. Ein Resolver ist üblicherweise ein sehr einfaches Stück Software, dass man nicht groß konfigurieren muss.
Empfehlungen
Die Empfehlung ist dabei, authoritative Server und Resolver klar zu trennen. Der Grund dafür ist z. B. wenn Dein Resolver angegriffen und überlastet wird, dann sind auch Deine echten Internet Domains tot, weil eben die authoritativen Server nicht mehr erreichbar sind. Siehe auch diesen Artikel von DJB: http://cr.yp.to/djbdns/separation.html
Ansonsten betreiben Google et al zwar offene Resolver - aus offensichtlichen Gründen - aber die sind mit Sicherheit sowohl extrem skalierbar implementiert, als auch sehr gut gegen Angriffe abgesichert. Jemandem, der sich nicht intensiv und umfassend mit der Absicherung eines offenen Resolvers beschäftigt, würde ich vom Betrieb eines solchen klar abraten. D. h. immer nur von bestimmten Subnetzen Anfragen erlauben und keinesfalls unbeschränkt vom ganzen Internet.
PowerDNS unterstützt das zwar, dass man ein Setup mit authoritativen und rekursiven Servern gemischt fährt, dass ist aber deutlich komplizierter, als wenn man das getrennt hält. Siehe hier: https://doc.powerdns.com/authoritative/ ... rsion.html
authoritativer DNS-Server
Ein authoritativer Server hat die tatsächlichen Verwaltungsdaten ("Zonendaten") für echte Domains für die der jeweillige Server mit seiner Konfiguration maßgeblich für die Auflösung dieser Domains im Internet ist. Authoritative Server sollten gewissenhaft konfiguriert werden, sowohl von der Serverkonfiguration, als auch von der Konfiguration der einzelnen Zonen.
Resolver oder Recursor
Ein Resolver übernimmt die Ermittlung von DNS-Anfragen von Clients für diese und hangelt sich da über die Root-Server, die Länderdomain-Server zu den authoritativen Servern durch, fragt die Informationen dort ab und gibt diese dann an den Client zurück. Aufgrund der mehrfachen Abfragen, nennt man das auch rekursive Auflösung. Ein Resolver ist üblicherweise ein sehr einfaches Stück Software, dass man nicht groß konfigurieren muss.
Empfehlungen
Die Empfehlung ist dabei, authoritative Server und Resolver klar zu trennen. Der Grund dafür ist z. B. wenn Dein Resolver angegriffen und überlastet wird, dann sind auch Deine echten Internet Domains tot, weil eben die authoritativen Server nicht mehr erreichbar sind. Siehe auch diesen Artikel von DJB: http://cr.yp.to/djbdns/separation.html
Ansonsten betreiben Google et al zwar offene Resolver - aus offensichtlichen Gründen - aber die sind mit Sicherheit sowohl extrem skalierbar implementiert, als auch sehr gut gegen Angriffe abgesichert. Jemandem, der sich nicht intensiv und umfassend mit der Absicherung eines offenen Resolvers beschäftigt, würde ich vom Betrieb eines solchen klar abraten. D. h. immer nur von bestimmten Subnetzen Anfragen erlauben und keinesfalls unbeschränkt vom ganzen Internet.
PowerDNS unterstützt das zwar, dass man ein Setup mit authoritativen und rekursiven Servern gemischt fährt, dass ist aber deutlich komplizierter, als wenn man das getrennt hält. Siehe hier: https://doc.powerdns.com/authoritative/ ... rsion.html
Zuletzt geändert von heisenberg am 23.06.2023 17:54:13, insgesamt 2-mal geändert.
Re: DNS Server (powerDNS)
Das ist mal eine Erklärung... Die habe ich verstanden
Da hast du wohl Recht. Also sind meine DNS Server rein für meine Domains zuständig. Diese erzählen den anderen erhältlichen Servern also die Daten zu meinen Domains aber nicht anders herum.
Jetzt habe ich aber direkt noch ne andere Frage dazu.
Bei mir Zuhause habe ich einen Debian Server der als Router fungiert. Er macht das DNS mit bind9 und auch DHCP und ist Gateway usw.
Warum kann der bei mir lokal denn dann andere Adressen auflösen? Was er nicht auflösen kann, leitet er dann iwie weiter.
Wo ist denn da der Unterschied.
Da hast du wohl Recht. Also sind meine DNS Server rein für meine Domains zuständig. Diese erzählen den anderen erhältlichen Servern also die Daten zu meinen Domains aber nicht anders herum.
Jetzt habe ich aber direkt noch ne andere Frage dazu.
Bei mir Zuhause habe ich einen Debian Server der als Router fungiert. Er macht das DNS mit bind9 und auch DHCP und ist Gateway usw.
Warum kann der bei mir lokal denn dann andere Adressen auflösen? Was er nicht auflösen kann, leitet er dann iwie weiter.
Wo ist denn da der Unterschied.
- heisenberg
- Beiträge: 4127
- Registriert: 04.06.2015 01:17:27
- Lizenz eigener Beiträge: MIT Lizenz
Re: DNS Server (powerDNS)
Das ist halt die Struktur, von der sich PowerDNS verabschiedet hat: Beides (Resolver+Authoritative DNS) in einem, was bei Bind (und ein paar anderen DNS-Servern) halt immer noch so machbar ist - obwohl davon abgeraten wird. Und im Home-Office macht das ja durchaus auch Sinn. Da ist zum einen die Mißbrauchsgefahr ja nicht gegeben und zum anderen beschränkt sich die Aufgabe des DNS-Servers zu Hause auf das Netz, in dem er steht und stellt nicht für das gesamte Internet den einzigen Punkt für Auflösung eigener Domains.dmant hat geschrieben:23.06.2023 17:07:54Bei mir Zuhause habe ich einen Debian Server der als Router fungiert. Er macht das DNS mit bind9 und auch DHCP und ist Gateway usw.
Warum kann der bei mir lokal denn dann andere Adressen auflösen? Was er nicht auflösen kann, leitet er dann iwie weiter.
Wo ist denn da der Unterschied?
-
- Beiträge: 58
- Registriert: 26.06.2023 09:09:40
- Lizenz eigener Beiträge: GNU General Public License
Re: DNS Server (powerDNS)
Hi,
am besten du Testest deine Nameserver config mit denic NAST, dann kannst du dir sicher sein das alles OK ist.
https://nast.denic.de/
am besten du Testest deine Nameserver config mit denic NAST, dann kannst du dir sicher sein das alles OK ist.
https://nast.denic.de/
vs2-free-users community
#vs2-free-users #VS2FreeUsers
#vs2-free-users #VS2FreeUsers