Lokale Nutzung öffentlicher Domain

TCM

Well-Known Member
Hi,

angenommen, man hat eine Domain registriert, die in den delegierten Nameservern jedoch keine Records eingetragen hat und nutzt diese ausschließlich lokal, d.h. der lokale caching Resolver hat einfach die Domain authoritativ eingetragen und die ganzen Records zeigen auf RFC1918-Adressen.

Jetzt will ich den caching Resolver von der Domain trennen und dafür authoritative Server lokal hinstellen. Ideen, die mir in den Sinn kommen:

1. Domain wird in den caching Resolvern als Stub-Zone eingetragen und zeigt auf die lokalen, authoritativen Nameserver (diese erhalten RFC1918-Adressen)

Vorteil: spart öffentliche Adressen
Nachteil: Stub-Zone

2. die authoritativen Nameserver erhalten öffentliche Adressen und werden ordentlich im Glue beim Registrar hinterlegt. Die auth. Server sind dabei jedoch split-brain und serven nach außen hin eine leere Zone, nach innen wie gehabt die Zoneninhalte. Die caching Resolver "finden" damit die Domain durch ganz normale iterative Auflösung.

Vorteil: Auflösung funktioniert "natürlicher". Man kann externen Resolvern selektiv Records präsentieren, falls doch mal nötig. DNSSEC wird nicht unmöglich(?), zumindest für lokale Resolver.
Nachteil: verbrennt öff. Adressen. Zusätzlich ist nur ein AS vorhanden, die Redundanz für "richtiges" DNS ist damit nicht gegeben, ist aber durch hauptsächlich lokale Nutzung eigtl. egal.

3. ???

Momentan tendiere ich zu 1. Gibt es gravierende Gründe für 2.? Gibt es andere Lösungen?

Edit: Umstrukturierung des Namensraums ist mittelfristig ausgeschlossen.
 
Option 2 hat den ... "Vorteil", dass mit dem ganzen anlaufenden DoH+co man noch halbwegs eine Chance hat, dass der Desktop-Browser nach yet-another-update noch funktioniert.

Zu Nachteilen.. wie redundant das haeltst, ist dein Bier und kaum einer mit einer Domain (und eigenem DNS hat mehrere AS - was auch nicht notwendig ist). Aber was meinst Du mit IP-Adressen "verbrennen"? Durch die Sichtbarkeit?
 
Mit verbrennen meinte ich, die Adressen in Zeiten von IPv4-Knappheit überhaupt für etwas zu belegen, was gar nicht für extern gedacht ist.
 
Naja.. aber die "zwei" werden die Knappheit nicht heilen (nichts "unterhalb" eines /22 wird das tun). Eine NS-RR adresse muss ja auch nicht "dediziert" sein.
 
Zurück
Oben