search

ffac / ff-supernode

MIT License
3 stars 2 forks source link

DNS #1

Open istoph opened 7 months ago

istoph commented 7 months ago

Hier haben vor, die DNS Infrastruktur neu aufzusetzen.

Wunschliste:

Meine Zeitplanung beginn März - ende Q2.24

JayBraker commented 7 months ago

Gute Idee, für mich bleibt offen was die "DNS Infrastruktur" umfasst:

istoph commented 7 months ago

Der Plan ist es, einen öffentlichen Revolver für die ffac Gemeinschaft zu schaffen, also ja vergleichbar mit ffmuc.

Die Zonen wie ffac.rocks würde ich ungern mit auf diesem Cluster pflegen wollen.

Die rechtlichen Aspekte muss jemand anderes beantworten. Immerhin hat Quat9 gegen Sony gewonnen. Dennoch sollten wir als ffac keine Sorgen vor solchen rechtlichen Fragen haben, den DNS gehört für mich zur Grundversorgung einer Internetverbindung.

istoph commented 7 months ago

Die Überlegung von heute im Meeting:

Djfe commented 1 month ago

Könnte dieser Error vom Dienst "named" der Grund sein, warum das DNS ab und zu derzeit nicht antwortet? query (cache) 'Beispiel-URL' denied (allow-query-cache did not match)

Djfe commented 1 month ago

Falls du es nicht mitbekommen hast, wir setzen den DNS derzeit produktiv ein. @istoph Wir können uns gerne in einer Videokonferenz weiter zum DNS austauschen und Probleme lösen :)

Korrektur zu meiner letzten Aussage: Das sind externe IPs gewesen, die wir blocken wollten. Ausnahme: fdac::/64 Die hat Florian jetzt noch zusätzlich freigegeben.

Was ist der genaue Grund, dass wir Electric Hurricane als master für lokale IPs nutzen?

Was man sich noch ansehen und ggf. beheben sollte:

  1. Der DNS fragt das Internet nach privaten IPs um Reverse DNS zu machen, statt direkt selber aufzulösen. Das Internet antwortet nur zurück: Kann ich dir nicht beantworten ist dein lokales Netz, schau dir RFC1918 an

Dazu zählen: Das 10er Netz (Class A): Jul 16 21:05:35 dns01 named[82553]: client @0x7fd5f21e3168 2a03:2260:3006:220:xxxx:xxxx:xxxx:xxxx#34147 (202.98.20.10.in-addr.arpa): RFC 1918 response from Internet for 202.98.20.10.in-addr.arpa Das 172.16er Netz (Class B): Jul 16 21:05:24 dns01 named[82553]: client @0x7fd5ea716368 5.145.135.152#39397 (62.0.16.172.in-addr.arpa): RFC 1918 response from Internet for 62.0.16.172.in-addr.arpa Das 192.168er Netz (Class C): Jul 16 21:05:24 dns01 named[82553]: client @0x7fd5c12df168 5.145.135.152#47810 (183.17.168.192.in-addr.arpa): RFC 1918 response from Internet for 183.17.168.192.in-addr.arpa

Es gibt derzeit Clients (gleiche IPv6), die alle 3 Sekunden so eine Anfrage für die 10er Netze absetzen. Zu bearbeiten ist diese Datei: https://github.com/ffac/ff-supernode/blob/dns/playbooks/roles/ff.bind/templates/named.conf.local Die aktuelle Variante liegt auf dem Server nicht im git.

  1. Gewisse Server von Telekom, O2, Versatel (1&1) etc. (Siehe whois) fragen unseren DNS, wie Seiten wie die YouTube API oder ähnliches aufzulösen sind (immer irgendwie CDN related Domains). Sind das eventuell deren DNS-Server und wenn wir mit denen reden, schicken die dann auch gewisse Anfragen an uns zurück, die wir beantworten sollten, auch wenn wir sonst extern nicht erreichbar sein wollen? https://paste.debian.net/hidden/9791be9a/

  2. Können wir solche Loops verhindern? (Entstehen die durch einen Konfigurationsfehler oder muss das so?)

Jul 17 00:58:34 dns01 named[82553]: loop detected resolving 'ns2.surfnet.nl/AAAA' Jul 17 00:58:34 dns01 named[82553]: loop detected resolving 'ns2.surfnet.nl/A' Jul 17 00:58:34 dns01 named[82553]: loop detected resolving 'ns1.surfnet.nl/AAAA' Jul 17 00:58:34 dns01 named[82553]: loop detected resolving 'ns1.surfnet.nl/A' Jul 17 00:56:02 dns01 named[82553]: loop detected resolving 'dns.osn.net/AAAA' Jul 17 00:56:02 dns01 named[82553]: loop detected resolving 'dns.osn.net/A' Jul 17 01:00:49 dns01 named[82553]: loop detected resolving 'ns1.gondor.com/AAAA' Jul 17 01:00:49 dns01 named[82553]: loop detected resolving 'ns1.gondor.com/A' Jul 17 01:00:33 dns01 named[82553]: loop detected resolving 'ns5.publicisgroupe.com/AAAA' Jul 17 01:00:33 dns01 named[82553]: loop detected resolving 'ns5.publicisgroupe.com/A' Jul 17 01:00:33 dns01 named[82553]: loop detected resolving 'ns3.publicisgroupe.com/AAAA' Jul 17 01:00:33 dns01 named[82553]: loop detected resolving 'ns1.publicisgroupe.com/AAAA' Jul 17 01:00:33 dns01 named[82553]: loop detected resolving 'ns3.publicisgroupe.com/A' Jul 17 01:00:33 dns01 named[82553]: loop detected resolving 'ns1.publicisgroupe.com/A' Jul 17 00:48:35 dns01 named[82553]: loop detected resolving 'ns1.telekom.net/AAAA' Jul 17 00:48:35 dns01 named[82553]: loop detected resolving 'ns1.telekom.net/A'

Wichtig ist daran mindestens: gondor.com

4. Ist es wichtig, das hier zu lösen?

Jul 17 00:56:35 dns01 named[82553]: client @0x7fd5c1201b68 2a0a:a540:1d74:0:xxxx:xxxx:xxxx:xxxx#59760 (01.wg-node.freifunk-aachen.de): query (cache) '01.wg-node.freifunk-aachen.de/AAAA/IN' denied (allow-query-cache did not match) Jul 17 00:56:35 dns01 named[82553]: client @0x7fd5c1201b68 2a0a:a540:1d74:0:xxxx:xxxx:xxxx:xxxx#40772 (01.wg-node.freifunk-aachen.de): query (cache) '01.wg-node.freifunk-aachen.de/A/IN' denied (allow-query-cache did not match) Jul 17 00:57:15 dns01 named[82553]: client @0x7fd5c1503568 2a0a:a540:1d74:0:xxxx:xxxx:xxxx:xxxx#44144 (02.wg-node.freifunk-aachen.de): query (cache) '02.wg-node.freifunk-aachen.de/AAAA/IN' denied (allow-query-cache did not match) Jul 17 00:57:15 dns01 named[82553]: client @0x7fd5ea623b68 2a0a:a540:1d74:0:xxxx:xxxx:xxxx:xxxx#51969 (02.wg-node.freifunk-aachen.de): query (cache) '02.wg-node.freifunk-aachen.de/A/IN' denied (allow-query-cache did not match)