Eigenes DNS Setup #91

Open
opened 2024-04-13 12:34:52 +02:00 by rouven.seifert · 1 comment

Ich hatte mal die Tage damit rumgespielt und das ist gar nicht mal so schwer. Mein Vorschlag für ein Setup ist gerade wie folgt:

  • Setup mit Bind
    • Ist die Standardimplementierung von der ISC und Alternativen wie PowerDNS sind nur unnötig komplex.
  • Quitte wird unter ns.ifsr.de primary authoritative nameserver für ifsr.de.
  • INWX Server werden secondaries.
  • Wir machen Hidden master; heißt nur die INWX Server stehen bei uns im NS Record.
    • Hat den Vorteil dass wir die bei der DENIC eingetragenen Nameserver nie ändern müssen.
    • Ist auch eine gute Practice wenn wir DNSSEC machen. Der Server der die Schlüssel hat (Quitte) sollte nicht unbedingt DNS Traffic von überall zulassen.

Vorteile des Ganzen

  • Wir können DNS Einträge über Nix verwalten. Wenn man will und etwas bastelt sogar per Modulimport setzen und entfernen.
  • Man lernt was über DNS
  • Wir können DNSSEC machen und haben die Kontrolle über die Schlüssel.
  • Wenn's einmal läuft, dann geht's auch nicht mehr kaputt.

Nachteile

  • Menschen müssen sich mit Zonentransfers, Serials und weiteren DNS Konzepten vertraut machen.
    • Bestes Beispiel: Immer wenn man eine Änderung in den Records macht muss die serial erhöht werden.
    • Mit DNSSEC wird das nochmal komplexer weil's dann zwei serials gibt.
  • Wenn man bei DNSSEC Dinge falsch macht gibt's eventuell Ausfälle.

Domains

Geplant hatte ich das ganze erstmal nur für ifsr.de. Wenn's funktioniert kann man drüber nachdenken, auch nightline und ewsp wieder selber zu machen. Da bei denen aber gerade DNSSEC über INWX an ist wird es beim Transfer mindestens im Uninetz zu Ausfällen kommen.

Ich hatte mal die Tage damit rumgespielt und das ist gar nicht mal so schwer. Mein Vorschlag für ein Setup ist gerade wie folgt: - Setup mit Bind - Ist die Standardimplementierung von der ISC und Alternativen wie PowerDNS sind nur unnötig komplex. - Quitte wird unter ns.ifsr.de primary authoritative nameserver für `ifsr.de`. - INWX Server werden secondaries. - Wir machen Hidden master; heißt nur die INWX Server stehen bei uns im NS Record. - Hat den Vorteil dass wir die bei der DENIC eingetragenen Nameserver nie ändern müssen. - Ist auch eine gute Practice wenn wir DNSSEC machen. Der Server der die Schlüssel hat (Quitte) sollte nicht unbedingt DNS Traffic von überall zulassen. ## Vorteile des Ganzen - Wir können DNS Einträge über Nix verwalten. Wenn man will und etwas bastelt sogar per Modulimport setzen und entfernen. - Man lernt was über DNS - Wir können DNSSEC machen und haben die Kontrolle über die Schlüssel. - Wenn's einmal läuft, dann geht's auch nicht mehr kaputt. ## Nachteile - Menschen müssen sich mit Zonentransfers, Serials und weiteren DNS Konzepten vertraut machen. - Bestes Beispiel: Immer wenn man eine Änderung in den Records macht muss die serial erhöht werden. - Mit DNSSEC wird das nochmal komplexer weil's dann zwei serials gibt. - Wenn man bei DNSSEC Dinge falsch macht gibt's eventuell Ausfälle. ## Domains Geplant hatte ich das ganze erstmal nur für `ifsr.de`. Wenn's funktioniert kann man drüber nachdenken, auch nightline und ewsp wieder selber zu machen. Da bei denen aber gerade DNSSEC über INWX an ist wird es beim Transfer mindestens im Uninetz zu Ausfällen kommen.
Author
Owner
Wir können [dns.nix](https://github.com/nix-community/dns.nix) nutzen, um uns die Syntax von Zonefiles ersparen. #### Weitere Vorteile davon: - [Serial kann automatisch mit jedem commit erhöht werden.](https://git.sr.ht/~rouven/nixos-config/tree/main/item/hosts/falkenstein/modules/dns/default.nix#L14) - [Service records können automatisch aus der nginx config erstellt werden.](https://git.sr.ht/~rouven/nixos-config/tree/main/item/hosts/falkenstein/modules/dns/default.nix#L38)
Sign in to join this conversation.
No labels
No milestone
No project
No assignees
1 participant
Notifications
Due date
The due date is invalid or out of range. Please use the format "yyyy-mm-dd".

No due date set.

Dependencies

No dependencies set.

Reference: wurzel/fruitbasket#91
No description provided.