wurzel/fruitbasket
9
1
Fork 0
Code Issues 5 Pull requests Packages Projects Releases Wiki Activity

Eigenes DNS Setup #91

New issue
Open
opened 2024-04-13 12:34:52 +02:00 by rouven.seifert · 1 comment
rouven.seifert commented 2024-04-13 12:34:52 +02:00
Owner
Copy link

Ich hatte mal die Tage damit rumgespielt und das ist gar nicht mal so schwer. Mein Vorschlag für ein Setup ist gerade wie folgt:

  • Setup mit Bind
    • Ist die Standardimplementierung von der ISC und Alternativen wie PowerDNS sind nur unnötig komplex.
  • Quitte wird unter ns.ifsr.de primary authoritative nameserver für ifsr.de.
  • INWX Server werden secondaries.
  • Wir machen Hidden master; heißt nur die INWX Server stehen bei uns im NS Record.
    • Hat den Vorteil dass wir die bei der DENIC eingetragenen Nameserver nie ändern müssen.
    • Ist auch eine gute Practice wenn wir DNSSEC machen. Der Server der die Schlüssel hat (Quitte) sollte nicht unbedingt DNS Traffic von überall zulassen.

Vorteile des Ganzen

  • Wir können DNS Einträge über Nix verwalten. Wenn man will und etwas bastelt sogar per Modulimport setzen und entfernen.
  • Man lernt was über DNS
  • Wir können DNSSEC machen und haben die Kontrolle über die Schlüssel.
  • Wenn's einmal läuft, dann geht's auch nicht mehr kaputt.

Nachteile

  • Menschen müssen sich mit Zonentransfers, Serials und weiteren DNS Konzepten vertraut machen.
    • Bestes Beispiel: Immer wenn man eine Änderung in den Records macht muss die serial erhöht werden.
    • Mit DNSSEC wird das nochmal komplexer weil's dann zwei serials gibt.
  • Wenn man bei DNSSEC Dinge falsch macht gibt's eventuell Ausfälle.

Domains

Geplant hatte ich das ganze erstmal nur für ifsr.de. Wenn's funktioniert kann man drüber nachdenken, auch nightline und ewsp wieder selber zu machen. Da bei denen aber gerade DNSSEC über INWX an ist wird es beim Transfer mindestens im Uninetz zu Ausfällen kommen.

Ich hatte mal die Tage damit rumgespielt und das ist gar nicht mal so schwer. Mein Vorschlag für ein Setup ist gerade wie folgt: - Setup mit Bind - Ist die Standardimplementierung von der ISC und Alternativen wie PowerDNS sind nur unnötig komplex. - Quitte wird unter ns.ifsr.de primary authoritative nameserver für `ifsr.de`. - INWX Server werden secondaries. - Wir machen Hidden master; heißt nur die INWX Server stehen bei uns im NS Record. - Hat den Vorteil dass wir die bei der DENIC eingetragenen Nameserver nie ändern müssen. - Ist auch eine gute Practice wenn wir DNSSEC machen. Der Server der die Schlüssel hat (Quitte) sollte nicht unbedingt DNS Traffic von überall zulassen. ## Vorteile des Ganzen - Wir können DNS Einträge über Nix verwalten. Wenn man will und etwas bastelt sogar per Modulimport setzen und entfernen. - Man lernt was über DNS - Wir können DNSSEC machen und haben die Kontrolle über die Schlüssel. - Wenn's einmal läuft, dann geht's auch nicht mehr kaputt. ## Nachteile - Menschen müssen sich mit Zonentransfers, Serials und weiteren DNS Konzepten vertraut machen. - Bestes Beispiel: Immer wenn man eine Änderung in den Records macht muss die serial erhöht werden. - Mit DNSSEC wird das nochmal komplexer weil's dann zwei serials gibt. - Wenn man bei DNSSEC Dinge falsch macht gibt's eventuell Ausfälle. ## Domains Geplant hatte ich das ganze erstmal nur für `ifsr.de`. Wenn's funktioniert kann man drüber nachdenken, auch nightline und ewsp wieder selber zu machen. Da bei denen aber gerade DNSSEC über INWX an ist wird es beim Transfer mindestens im Uninetz zu Ausfällen kommen.
rouven.seifert commented 2024-04-19 23:05:30 +02:00
Author
Owner
Copy link

Wir können dns.nix nutzen, um uns die Syntax von Zonefiles ersparen.

Weitere Vorteile davon:

Wir können [dns.nix](https://github.com/nix-community/dns.nix) nutzen, um uns die Syntax von Zonefiles ersparen. #### Weitere Vorteile davon: - [Serial kann automatisch mit jedem commit erhöht werden.](https://git.sr.ht/~rouven/nixos-config/tree/main/item/hosts/falkenstein/modules/dns/default.nix#L14) - [Service records können automatisch aus der nginx config erstellt werden.](https://git.sr.ht/~rouven/nixos-config/tree/main/item/hosts/falkenstein/modules/dns/default.nix#L38)
Sign in to join this conversation.
No Branch/Tag specified
Branches Tags
main
purgetunus
upgrade-24.05
monitoring
nix-remote
No results found.
Labels
Clear labels
No items
No labels
Milestone
Clear milestone
No items
No milestone
Projects
Clear projects
No items
No project
Assignees
Clear assignees
No assignees
1 participant
Notifications
Due date
The due date is invalid or out of range. Please use the format "yyyy-mm-dd".

No due date set.

Dependencies

No dependencies set.

Reference: wurzel/fruitbasket#91
No description provided.
Delete branch "%!s()"

Deleting a branch is permanent. Although the deleted branch may continue to exist for a short time before it actually gets removed, it CANNOT be undone in most cases. Continue?