Skip to content
New issue

Have a question about this project? Sign up for a free GitHub account to open an issue and contact its maintainers and the community.

By clicking “Sign up for GitHub”, you agree to our terms of service and privacy statement. We’ll occasionally send you account related emails.

Already on GitHub? Sign in to your account

DNS #1

Open
istoph opened this issue Jan 17, 2024 · 5 comments
Open

DNS #1

istoph opened this issue Jan 17, 2024 · 5 comments

Comments

@istoph
Copy link

istoph commented Jan 17, 2024

Hier haben vor, die DNS Infrastruktur neu aufzusetzen.

Wunschliste:

  • Eine Floating IPv4 und IPv6, damit der Service immer verfügbar ist. (TBD)
  • Der Dienst soll eine öffentliche (FFRL) IP bekommen und öffentlich im Internet und WAN zugängig sein.
  • Port 53UDP/TCP (853/TCP DoT)
  • Der Dienst soll via Ansible Deployt werden.
  • Software ist aktuell offen: Bind Unbound etc.
  • Hardware: Supernodes oder LXC Container. (bestimmt durch Ansible)
  • Monitoring

Meine Zeitplanung beginn März - ende Q2.24

@JayBraker
Copy link

JayBraker commented Jan 23, 2024

Gute Idee, für mich bleibt offen was die "DNS Infrastruktur" umfasst:

  • ffac.rocks wahrscheinlich als authoritativer Server?
  • Wollen wir einen öffentlichen Resolver betreiben, vergleichbar zu ffmuc (dnsdist)?
  • Wie gehen wir mit dem Abuse-Potential eines öffentlichen Resolvers um?

@istoph
Copy link
Author

istoph commented Jan 28, 2024

Der Plan ist es, einen öffentlichen Revolver für die ffac Gemeinschaft zu schaffen, also ja vergleichbar mit ffmuc.

Die Zonen wie ffac.rocks würde ich ungern mit auf diesem Cluster pflegen wollen.

Die rechtlichen Aspekte muss jemand anderes beantworten. Immerhin hat Quat9 gegen Sony gewonnen. Dennoch sollten wir als ffac keine Sorgen vor solchen rechtlichen Fragen haben, den DNS gehört für mich zur Grundversorgung einer Internetverbindung.

@istoph
Copy link
Author

istoph commented Feb 6, 2024

Die Überlegung von heute im Meeting:

  • Um den Dienst auch extern anbieten zu können, könnte es sinnvoll sein, den Service so aufzusetzen, dass er intern und extern über unterschiedliche VMs angesprochen wird. Dies würde es ermöglichen, bei Problemen auf der externen Seite schnell einzugreifen. Zudem ist das Traffic-Monitoring einfacher.
  • Es gibt bereits einen Internen Bind9 mit angepasster Config, die übernommen werden kann.

@Djfe
Copy link
Member

Djfe commented Jul 10, 2024

Könnte dieser Error vom Dienst "named" der Grund sein, warum das DNS ab und zu derzeit nicht antwortet?
query (cache) 'Beispiel-URL' denied (allow-query-cache did not match)

@Djfe
Copy link
Member

Djfe commented Jul 17, 2024

Falls du es nicht mitbekommen hast, wir setzen den DNS derzeit produktiv ein. @istoph
Wir können uns gerne in einer Videokonferenz weiter zum DNS austauschen und Probleme lösen :)

Korrektur zu meiner letzten Aussage:
Das sind externe IPs gewesen, die wir blocken wollten.
Ausnahme: fdac::/64
Die hat Florian jetzt noch zusätzlich freigegeben.


Was ist der genaue Grund, dass wir Electric Hurricane als master für lokale IPs nutzen?

Was man sich noch ansehen und ggf. beheben sollte:

  1. Der DNS fragt das Internet nach privaten IPs um Reverse DNS zu machen, statt direkt selber aufzulösen. Das Internet antwortet nur zurück: Kann ich dir nicht beantworten ist dein lokales Netz, schau dir RFC1918 an

Dazu zählen:
Das 10er Netz (Class A): Jul 16 21:05:35 dns01 named[82553]: client @0x7fd5f21e3168 2a03:2260:3006:220:xxxx:xxxx:xxxx:xxxx#34147 (202.98.20.10.in-addr.arpa): RFC 1918 response from Internet for 202.98.20.10.in-addr.arpa
Das 172.16er Netz (Class B): Jul 16 21:05:24 dns01 named[82553]: client @0x7fd5ea716368 5.145.135.152#39397 (62.0.16.172.in-addr.arpa): RFC 1918 response from Internet for 62.0.16.172.in-addr.arpa
Das 192.168er Netz (Class C): Jul 16 21:05:24 dns01 named[82553]: client @0x7fd5c12df168 5.145.135.152#47810 (183.17.168.192.in-addr.arpa): RFC 1918 response from Internet for 183.17.168.192.in-addr.arpa

Es gibt derzeit Clients (gleiche IPv6), die alle 3 Sekunden so eine Anfrage für die 10er Netze absetzen.
Zu bearbeiten ist diese Datei: https://github.com/ffac/ff-supernode/blob/dns/playbooks/roles/ff.bind/templates/named.conf.local
Die aktuelle Variante liegt auf dem Server nicht im git.

  1. Gewisse Server von Telekom, O2, Versatel (1&1) etc. (Siehe whois) fragen unseren DNS, wie Seiten wie die YouTube API oder ähnliches aufzulösen sind (immer irgendwie CDN related Domains). Sind das eventuell deren DNS-Server und wenn wir mit denen reden, schicken die dann auch gewisse Anfragen an uns zurück, die wir beantworten sollten, auch wenn wir sonst extern nicht erreichbar sein wollen?
    https://paste.debian.net/hidden/9791be9a/

  2. Können wir solche Loops verhindern? (Entstehen die durch einen Konfigurationsfehler oder muss das so?)


Jul 17 00:58:34 dns01 named[82553]: loop detected resolving 'ns2.surfnet.nl/AAAA'
Jul 17 00:58:34 dns01 named[82553]: loop detected resolving 'ns2.surfnet.nl/A'
Jul 17 00:58:34 dns01 named[82553]: loop detected resolving 'ns1.surfnet.nl/AAAA'
Jul 17 00:58:34 dns01 named[82553]: loop detected resolving 'ns1.surfnet.nl/A'
Jul 17 00:56:02 dns01 named[82553]: loop detected resolving 'dns.osn.net/AAAA'
Jul 17 00:56:02 dns01 named[82553]: loop detected resolving 'dns.osn.net/A'
Jul 17 01:00:49 dns01 named[82553]: loop detected resolving 'ns1.gondor.com/AAAA'
Jul 17 01:00:49 dns01 named[82553]: loop detected resolving 'ns1.gondor.com/A'
Jul 17 01:00:33 dns01 named[82553]: loop detected resolving 'ns5.publicisgroupe.com/AAAA'
Jul 17 01:00:33 dns01 named[82553]: loop detected resolving 'ns5.publicisgroupe.com/A'
Jul 17 01:00:33 dns01 named[82553]: loop detected resolving 'ns3.publicisgroupe.com/AAAA'
Jul 17 01:00:33 dns01 named[82553]: loop detected resolving 'ns1.publicisgroupe.com/AAAA'
Jul 17 01:00:33 dns01 named[82553]: loop detected resolving 'ns3.publicisgroupe.com/A'
Jul 17 01:00:33 dns01 named[82553]: loop detected resolving 'ns1.publicisgroupe.com/A'
Jul 17 00:48:35 dns01 named[82553]: loop detected resolving 'ns1.telekom.net/AAAA'
Jul 17 00:48:35 dns01 named[82553]: loop detected resolving 'ns1.telekom.net/A'

Wichtig ist daran mindestens: gondor.com

  1. Ist es wichtig, das hier zu lösen?
Jul 17 00:56:35 dns01 named[82553]: client @0x7fd5c1201b68 2a0a:a540:1d74:0:xxxx:xxxx:xxxx:xxxx#59760 (01.wg-node.freifunk-aachen.de): query (cache) '01.wg-node.freifunk-aachen.de/AAAA/IN' denied (allow-query-cache did not match)
Jul 17 00:56:35 dns01 named[82553]: client @0x7fd5c1201b68 2a0a:a540:1d74:0:xxxx:xxxx:xxxx:xxxx#40772 (01.wg-node.freifunk-aachen.de): query (cache) '01.wg-node.freifunk-aachen.de/A/IN' denied (allow-query-cache did not match)
Jul 17 00:57:15 dns01 named[82553]: client @0x7fd5c1503568 2a0a:a540:1d74:0:xxxx:xxxx:xxxx:xxxx#44144 (02.wg-node.freifunk-aachen.de): query (cache) '02.wg-node.freifunk-aachen.de/AAAA/IN' denied (allow-query-cache did not match)
Jul 17 00:57:15 dns01 named[82553]: client @0x7fd5ea623b68 2a0a:a540:1d74:0:xxxx:xxxx:xxxx:xxxx#51969 (02.wg-node.freifunk-aachen.de): query (cache) '02.wg-node.freifunk-aachen.de/A/IN' denied (allow-query-cache did not match)

Sign up for free to join this conversation on GitHub. Already have an account? Sign in to comment
Labels
None yet
Projects
None yet
Development

No branches or pull requests

3 participants