DNS

[istoph]

Hier haben vor, die DNS Infrastruktur neu aufzusetzen.

Wunschliste:

• Eine Floating IPv4 und IPv6, damit der Service immer verfügbar ist. (TBD)
• Der Dienst soll eine öffentliche (FFRL) IP bekommen und öffentlich im Internet und WAN zugängig sein.
• Port 53UDP/TCP (853/TCP DoT)
• Der Dienst soll via Ansible Deployt werden.
• Software ist aktuell offen: Bind Unbound etc.
• Hardware: Supernodes oder LXC Container. (bestimmt durch Ansible)
• Monitoring

Meine Zeitplanung beginn März - ende Q2.24

[JayBraker]

Gute Idee, für mich bleibt offen was die "DNS Infrastruktur" umfasst:

• ffac.rocks wahrscheinlich als authoritativer Server?
• Wollen wir einen öffentlichen Resolver betreiben, vergleichbar zu ffmuc (dnsdist)?
• Wie gehen wir mit dem Abuse-Potential eines öffentlichen Resolvers um?

[istoph]

Der Plan ist es, einen öffentlichen Revolver für die ffac Gemeinschaft zu schaffen, also ja vergleichbar mit ffmuc.

Die Zonen wie ffac.rocks würde ich ungern mit auf diesem Cluster pflegen wollen.

Die rechtlichen Aspekte muss jemand anderes beantworten. Immerhin hat Quat9 gegen Sony gewonnen. Dennoch sollten wir als ffac keine Sorgen vor solchen rechtlichen Fragen haben, den DNS gehört für mich zur Grundversorgung einer Internetverbindung.

[istoph]

Die Überlegung von heute im Meeting:

• Um den Dienst auch extern anbieten zu können, könnte es sinnvoll sein, den Service so aufzusetzen, dass er intern und extern über unterschiedliche VMs angesprochen wird. Dies würde es ermöglichen, bei Problemen auf der externen Seite schnell einzugreifen. Zudem ist das Traffic-Monitoring einfacher.
• Es gibt bereits einen Internen Bind9 mit angepasster Config, die übernommen werden kann.

[Djfe]

Könnte dieser Error vom Dienst "named" der Grund sein, warum das DNS ab und zu derzeit nicht antwortet? query (cache) 'Beispiel-URL' denied (allow-query-cache did not match)

[Djfe]

Falls du es nicht mitbekommen hast, wir setzen den DNS derzeit produktiv ein. @istoph Wir können uns gerne in einer Videokonferenz weiter zum DNS austauschen und Probleme lösen :)

Korrektur zu meiner letzten Aussage: Das sind externe IPs gewesen, die wir blocken wollten. Ausnahme: fdac::/64 Die hat Florian jetzt noch zusätzlich freigegeben.

---

Was ist der genaue Grund, dass wir Electric Hurricane als master für lokale IPs nutzen?

Was man sich noch ansehen und ggf. beheben sollte:

1. Der DNS fragt das Internet nach privaten IPs um Reverse DNS zu machen, statt direkt selber aufzulösen. Das Internet antwortet nur zurück: Kann ich dir nicht beantworten ist dein lokales Netz, schau dir RFC1918 an

Dazu zählen: Das 10er Netz (Class A): Jul 16 21:05:35 dns01 named[82553]: client @0x7fd5f21e3168 2a03:2260:3006:220:xxxx:xxxx:xxxx:xxxx#34147 (202.98.20.10.in-addr.arpa): RFC 1918 response from Internet for 202.98.20.10.in-addr.arpa Das 172.16er Netz (Class B): Jul 16 21:05:24 dns01 named[82553]: client @0x7fd5ea716368 5.145.135.152#39397 (62.0.16.172.in-addr.arpa): RFC 1918 response from Internet for 62.0.16.172.in-addr.arpa Das 192.168er Netz (Class C): Jul 16 21:05:24 dns01 named[82553]: client @0x7fd5c12df168 5.145.135.152#47810 (183.17.168.192.in-addr.arpa): RFC 1918 response from Internet for 183.17.168.192.in-addr.arpa

Es gibt derzeit Clients (gleiche IPv6), die alle 3 Sekunden so eine Anfrage für die 10er Netze absetzen. Zu bearbeiten ist diese Datei: https://github.com/ffac/ff-supernode/blob/dns/playbooks/roles/ff.bind/templates/named.conf.local Die aktuelle Variante liegt auf dem Server nicht im git.

2. Gewisse Server von Telekom, O2, Versatel (1&1) etc. (Siehe whois) fragen unseren DNS, wie Seiten wie die YouTube API oder ähnliches aufzulösen sind (immer irgendwie CDN related Domains). Sind das eventuell deren DNS-Server und wenn wir mit denen reden, schicken die dann auch gewisse Anfragen an uns zurück, die wir beantworten sollten, auch wenn wir sonst extern nicht erreichbar sein wollen? https://paste.debian.net/hidden/9791be9a/

3. Können wir solche Loops verhindern? (Entstehen die durch einen Konfigurationsfehler oder muss das so?)

Jul 17 00:58:34 dns01 named[82553]: loop detected resolving 'ns2.surfnet.nl/AAAA' Jul 17 00:58:34 dns01 named[82553]: loop detected resolving 'ns2.surfnet.nl/A' Jul 17 00:58:34 dns01 named[82553]: loop detected resolving 'ns1.surfnet.nl/AAAA' Jul 17 00:58:34 dns01 named[82553]: loop detected resolving 'ns1.surfnet.nl/A' Jul 17 00:56:02 dns01 named[82553]: loop detected resolving 'dns.osn.net/AAAA' Jul 17 00:56:02 dns01 named[82553]: loop detected resolving 'dns.osn.net/A' Jul 17 01:00:49 dns01 named[82553]: loop detected resolving 'ns1.gondor.com/AAAA' Jul 17 01:00:49 dns01 named[82553]: loop detected resolving 'ns1.gondor.com/A' Jul 17 01:00:33 dns01 named[82553]: loop detected resolving 'ns5.publicisgroupe.com/AAAA' Jul 17 01:00:33 dns01 named[82553]: loop detected resolving 'ns5.publicisgroupe.com/A' Jul 17 01:00:33 dns01 named[82553]: loop detected resolving 'ns3.publicisgroupe.com/AAAA' Jul 17 01:00:33 dns01 named[82553]: loop detected resolving 'ns1.publicisgroupe.com/AAAA' Jul 17 01:00:33 dns01 named[82553]: loop detected resolving 'ns3.publicisgroupe.com/A' Jul 17 01:00:33 dns01 named[82553]: loop detected resolving 'ns1.publicisgroupe.com/A' Jul 17 00:48:35 dns01 named[82553]: loop detected resolving 'ns1.telekom.net/AAAA' Jul 17 00:48:35 dns01 named[82553]: loop detected resolving 'ns1.telekom.net/A'

Wichtig ist daran mindestens: gondor.com

4. Ist es wichtig, das hier zu lösen?

Jul 17 00:56:35 dns01 named[82553]: client @0x7fd5c1201b68 2a0a:a540:1d74:0:xxxx:xxxx:xxxx:xxxx#59760 (01.wg-node.freifunk-aachen.de): query (cache) '01.wg-node.freifunk-aachen.de/AAAA/IN' denied (allow-query-cache did not match) Jul 17 00:56:35 dns01 named[82553]: client @0x7fd5c1201b68 2a0a:a540:1d74:0:xxxx:xxxx:xxxx:xxxx#40772 (01.wg-node.freifunk-aachen.de): query (cache) '01.wg-node.freifunk-aachen.de/A/IN' denied (allow-query-cache did not match) Jul 17 00:57:15 dns01 named[82553]: client @0x7fd5c1503568 2a0a:a540:1d74:0:xxxx:xxxx:xxxx:xxxx#44144 (02.wg-node.freifunk-aachen.de): query (cache) '02.wg-node.freifunk-aachen.de/AAAA/IN' denied (allow-query-cache did not match) Jul 17 00:57:15 dns01 named[82553]: client @0x7fd5ea623b68 2a0a:a540:1d74:0:xxxx:xxxx:xxxx:xxxx#51969 (02.wg-node.freifunk-aachen.de): query (cache) '02.wg-node.freifunk-aachen.de/A/IN' denied (allow-query-cache did not match)