# Einzelnen ISPConfig als Nameserver



## neovanmatix (11. Mai 2013)

Hallöchen,

ich würde gerne ein paar Dienste auf meinem frischen ISPConfig (ein Root bei Hosteurope) zusammenziehen.

Da läuft nicht viel drauf - ein paar private Webseiten, ein TeamSpeak, ein paar eMails... nichts wildes also.

Ich beziehe meine Domains bei inwx.de. Dort habe ich bisher auch meine DNS-Einträge der Domänen verwaltet.

Mit dem ISPConfig eröffnet sich mir ja jetzt die Möglichkeit, diese Zonen unter einer Oberfläche zu vereinen; leider hört dann aber für mich das KnowHow auf.

Eine Domain benötigt - anscheinend - grundsätzlich min. 2 Nameserver. Gebe ich bei InwX für meine Domänen zweimal den DNS-Namen meines ISPConfig an, gibts natürlich eine Fehlermeldung.

Dann dachte ich, ich versuch's mal mit einem CName für meinen einzelnen ISPConfig - geht natürlich auch nicht, die sind ja nicht doof...

Dann dachte ich mir, ich nutze als primären DNS meinen ISPConfig, und als sekundären den DNS von Inwx. Gut gemeint, jedoch heißt es dann, die beiden DNS-Zonen wären nicht gleich (SOA-Einträge nicht identisch). Macht, wenn man drüber nachdenkt, auch Sinn.

Nun kann ich, sowohl im ISPConfig, als auch bei Inwx einen "Sekundären Nameserver" konfigurieren - leider fehlt mir da ein wenig das KnowHow.

Wie funktioniert sowas grundsätzlich? Kann man, allgemein gesprochen, bei solchen Domain-Registraren quasi eine Kopie der eigenen DNS-Zone vom primären ablegen?

Wie löst ihr das, sofern ihr keine zwei DNS-Server laufen habt?


----------



## nowayback (12. Mai 2013)

Hi,

ich hol mir meine domains auch alle bei inwx und nutze auch die nameserver von denen. schließlich gibts da 3 stück und es ist keine arbeit für mich die zu administrieren.


----------



## neovanmatix (12. Mai 2013)

Hi,

natürlich ist es "keine Arbeit" die DNS-Einträge bei einem anderen Provider zu administrieren.

Aber ich fänd's halt einfach komfortabler - sowohl für die Verwaltung, Bedienung als auch im Fehlerfall - wenn ich alles unter einer Oberfläche konfigurieren könnte.

Wenn ich schon komfortabel die DNS-Zonen im ISPConfig verwalten kann, warum sollte ich's nicht tun?


----------



## nowayback (12. Mai 2013)

Weil bei dir im Fehlerfall dein Server eh nicht erreichbar ist, dir auch nen Secondary DNS auf deinem Server nichts bringt, da der ja dann auch nicht erreichbar ist. Wenn du dann lieber inwx als backup verwenden willst - was ja auch ne lösung ist - warum dann nicht gleich alles bei inwx was dns angeht. 

Außerdem: wenn du eh nur einen Server hast, dann leg bei inwx nen wildcard eintrag an der auf deine ip verweist, dann hast du keine arbeit mehr mit dns.


----------



## neovanmatix (12. Mai 2013)

Hi,

das ist richtig - wenn mein einziger Server ausfällt, auf dem alles läuft, geht eh nix mehr.
So würde ich's DNS-technisch ja auch einrichten wollen - aber ich muss zwei DNS für die Domain angeben - und ich habe ja nur "einen".

Daher inwx als Backup.

Und auch, wenn's in deinen Augen vergeudete Mühe ist, ist es für mich wichtig, weil ich's so einrichten möchte.


----------



## Brainfood (16. Mai 2013)

Zum Verständnis:

Bedingung 1: Name-Server müssen eindeutige FQDNs sein, keine direkten IPs!

Bedingung 2: NS Einträge sollten unmittelbar aufgelöst werden, keine CNAMEs etc.

Bedingung 3: für eine erfolgreiche domain.tld Delegation -> müssen IMMER mindestens 2 unterschiedliche NS Einträge vorhanden sein.
NS1: ns1.deinefirma.tld = geht
NS2: ns1.deinefirma.tld = geht nicht

Bedingung 4: die min. 2 zuständigen Name-Server müssen unterschiedliche IP Adressen haben.

Bedingung 5: die SOA Serial MUSS zwischen NS1 und NS2 gleich sein !!!

Bedingung 6: beziehen sich die NS Einträge (ns1.meinedomain.tld) innerhalb der Haupt-Domain .meinedomain.tld, müssen Glue Records gesetzt werden

Alle anderen Kriterien führen vermutlich, bei Nichtbeachtung, zu leichten Inkonsistenzen ... sollten aber ein generelles DNS Abfragen ohne ERROR ermöglichen

Zu deinem Problem:

Du kannst SOA 1 (inwx) und SOA 2 (ispconfig) einfach als 2 reguläre Primäre DNS Server betreiben, musst aber bei Änderung von Einträgen auf einem NS immer manuell die Änderung auf dem anderen Berücksichtigen.

Ebenso MUSST du immer identische SOA Serials führen ... ob du das so ohne weiteres zwischen inwx und ispconfig hinbekommst?

Wenn du weg von inwx gehen willst, jedoch alles unbedingt von einer DNS / ISPConfig Kiste ausgehen soll ...
dann trickse einfach und richte dir einfach eine 2 Public IPv4 ein.

RIPE Beantragung im RZ, PPTP IPv4 Static Dienste wie Home - Portunity usw.

Möglichkeiten gibt es viele ...

Nur wenn deine Kiste mal abschmiert, verschwindet gleich komplett dein vollständiger DNS ... überleg es dir also 2x

Ich würde an deiner Stelle einfach ein "billigen" wurschtel vServer mieten, ISPConfig3 als Cluster einrichten und die DNS Einträge darauf spiegeln lassen ...

So ne 10-15 Euro Büchse mit 1 GB Ram sollte reichen ... erspart dir aber unter umständen genervte Momente


----------



## nowayback (16. Mai 2013)

> Du kannst SOA 1 (inwx) und SOA 2 (ispconfig) einfach als 2 reguläre Primäre DNS Server betreiben, musst aber bei Änderung von Einträgen auf einem NS immer manuell die Änderung auf dem anderen Berücksichtigen.
> 
> Ebenso MUSST du immer identische SOA Serials führen ... ob du das so ohne weiteres zwischen inwx und ispconfig hinbekommst?


sowohl ispconfig als auch inwx haben ne api über die sich das vorhaben realisieren lassen sollte.



> Nur wenn deine Kiste mal abschmiert, verschwindet gleich komplett dein vollständiger DNS ... überleg es dir also 2x


hab ich auch schon weiter oben geschrieben



> Ich würde an deiner Stelle einfach ein "billigen" wurschtel vServer mieten, ISPConfig3 als Cluster einrichten und die DNS Einträge darauf spiegeln lassen ...


wozu wenn er doch alles hat, was er braucht? Nur weil man es "will"? Sorry ich seh da den nutzen nicht.


----------



## Brainfood (16. Mai 2013)

ja klar, dann soll er es mit einem SYNC über die Remote API zwischen inwx & ispconfig realisieren ...

... dann brauch er aber auch nicht mit "krüppeligen" Fehlkonfigurationen geizen


----------



## nowayback (16. Mai 2013)

hier noch der link zur api doku von inwx Kunde » Einloggen falls benötigt. hätte die datei auch angehangen, is aber zu groß 

grüße
nwb


----------



## Brainfood (16. Mai 2013)

Interessanter Anbieter, kannte ich bis jetzt noch nicht ... vielleicht ziehe ich mit meinem Kram um, die Domains laufen sowieso über ISPConfig Kisten, aber wenn ich jährlich paar Kröten beim Registrar sparen kann ... warum nicht.


----------



## nowayback (16. Mai 2013)

ich bin dort rundum zufrieden... hatte einige verbesserungen bezüglich sicherheit an die leute rangetragen und die haben sie tatsächlich umgesetzt. seither bin ich dort.


----------



## Brainfood (16. Mai 2013)

ich müsste ca. 6-7 Jahre schon bei Webhosting und DynDNS von selfHOST - selfhost sein.

Alle Domains laufen per SelfDNS, daher nutze ich ihre Infrastruktur nicht, sondern zahle nur jährlich die Verlängerung und verwalte selbst den DNS.

Ich schau mir mal den Laden an ...


----------



## neovanmatix (16. Mai 2013)

Hallo,

nach etwas Hilfe mit dem Support von inWX habe ich mein Vorhaben erfolgreich umgesetzt.

Besonders hilfreich war mir folgender DNS-Checker: intodns.com

Auf seiten vom ISPConfig:
- Neue Zone für meine Domains angelegt
- Zonentransfer für folgende IPs: 217.70.142.66,213.239.206.103,46.165.212.97 (ns.inwx.de, ns2.inwx.de, ns3.inwx.de)
- Ebenfalls benachrichtigen: 217.70.142.96
- Zone wie im Screenshot angelegt:






Auf seiten von InWX:
- Bisherige Nameserver-Einträge gelöscht
- Neues NS-Set angelegt: Secondary DNS, als Master-IP die meines ISPConfig-DNS-Servers, als Secondary DNS ns.inwx.de, ns2.inwx.de, ns3.inwx.de
- Neue Zone mit dem zuvor erstellten NS-Set erstellt

Nach ein paar Minuten sieht man dann bereits, dass sich InWX die DNS-Zone von meinem RootServer geholt hat; Namensauflösung habe ich per intodns.com getestet und kleinere Fehler nach und nach korrigiert.

Dabei ist nun in meiner DNS-Zone als NS mein ISPConfig garnicht aufgeführt, sondern nur die InWX-Server. Das habe ich deshalb so eingerichtet, weil ich mit aufgeführtem ISPConfig-NS eine Fehlermeldung erhalten habe, dass - ich glaube - der übergeordnete Nameserver meinen ISPConfig-DNS nicht kennt.
Ich vermute, ich hätte mich da bei InWX melden müssen, damit die meinen NS-Server irgendwo mit aufführen - das war mir dann aber zu doof.

So funktioniert's nämlich auch, mit dem Unterschied, dass ich ~1-2 Minuten warten muss, bis InWX die Zone nach einer Änderung auf meinem ISPConfig aktualisiert - und das ist absolut verschmerzbar. Zumal bekomme ich dann (hoffentlich) ein paar weniger Angriffe ab.

Und sollte mein Server offline sein, funktioniert die Namensauflösung weiterhin - bringt mir zwar nichts, weil quasi alles über den ISP läuft - aber es geht!


----------



## Brainfood (16. Mai 2013)

Zitat von neovanmatix:


> Dabei ist nun in meiner DNS-Zone als NS mein ISPConfig garnicht aufgeführt, sondern nur die InWX-Server. Das habe ich deshalb so eingerichtet, weil ich mit aufgeführtem ISPConfig-NS eine Fehlermeldung erhalten habe, dass - ich glaube - der übergeordnete Nameserver meinen ISPConfig-DNS nicht kennt.
> Ich vermute, ich hätte mich da bei InWX melden müssen, damit die meinen NS-Server irgendwo mit aufführen - das war mir dann aber zu doof.


Glue Record setzen lassen



Zitat von neovanmatix:


> Zumal bekomme ich dann (hoffentlich) ein paar weniger Angriffe ab.


Wenn du irgendwann mal viele DNS Einträge und zusätzlichem DNSSEC betreibst, lohnt sich sicherlich ein "DNS Amplification" mit deiner Domain.



Zitat von neovanmatix:


> So funktioniert's nämlich auch, mit dem Unterschied, dass ich ~1-2 Minuten warten muss, bis InWX die Zone nach einer Änderung auf meinem ISPConfig aktualisiert - und das ist absolut verschmerzbar.


Und das bringt dir jetzt genau was?

Punk1: Du musst trotzdem DNS Änderungen in InWX und zusätzlich in ISPConfig einpflegen = doppelte Arbeit

Punk2: verlässt du dich nur auf den Zonetransfer, fehlen dir die DNS Einträge in der ISPConfig Datenbank = schafft nur Verwirrung

-> Mach es doch sauber über die Remote API


----------



## Brainfood (16. Mai 2013)

Ach und von CNAME würde ich generell abraten:

siehe *RFC1912*

PTR, MX sowie NS Records dürfen sowieso keine CNAMEs sein

und dein www canonical name auf dein A domain record zu setzen erzeugt nur doppelte Abfragen/Traffic ...


----------



## neovanmatix (16. Mai 2013)

Zitat von Brainfood:


> Glue Record setzen lassen


So wie ich das jetzt verstanden habe, brauche ich keine GlueRecords, weil in den von mir hinterlegten DNS-Servern für die Domain kein Nameserver dabei ist, der mit .meinedomain.de endet.
Wenn es z.B. um die Domain meinetld.de geht, und mein Nameserver ns1.meinetld.de heißt - dann würde ich einen GlueRecord benötigen. In meinem Fall ists aber ns.inwx.de - da brauche ich das nicht?
Zumindest wird's auch nicht von intodns.com angemeckert.




Zitat von Brainfood:


> Wenn du irgendwann mal viele DNS Einträge und zusätzlichem DNSSEC betreibst, lohnt sich sicherlich ein "DNS Amplification" mit deiner Domain.


Irgendwann vielleicht - da bin ich aber wohl noch weiter von weg 



Zitat von Brainfood:


> Punk1: Du musst trotzdem DNS Änderungen in InWX und zusätzlich in ISPConfig einpflegen = doppelte Arbeit


Hm.. nein muss ich nicht? Ich ändere etwas in meiner Zone auf dem ISPConfig, der ISPConfig schickt eine Info an den AXRF-Server bei inwx, und der dort hinterlegte Secondary holt sich die aktuelle Zone von meinem ISP.

Zumindest habe ich das so getestet, und es hat funktioniert - oder verstehe ich da was falsch?



Zitat von Brainfood:


> Punk2: verlässt du dich nur auf den Zonetransfer, fehlen dir die DNS Einträge in der ISPConfig Datenbank = schafft nur Verwirrung


Kannst du mir das näher erläutern? Ich ändere doch die Zone ausschließlich auf meinem ISP, und InWX holt sich eine Kopie der Zone. In jedem Fall hält mein ISP also die Haupt-Zoneninfos.


----------



## Brainfood (16. Mai 2013)

Ich lass das quoten mal weg, dad nervt nur ...

Das macht trotzdem alles keinen Sinn.

Du musst entscheiden: Willst du die Domain komplett selber verwalten oder nicht.

Wenn JA:
1. dann benötigt du einen Glue Record.
2. setzt du deinen NS Eintrag innerhalb der Domain (ns1.deinedomain.tld)
3. betreibst die NS von inwx.de nur als "Secondary" DNS - mit Zonetransfer

Wenn NEIN:
1. sind die inwx.de NS Server, die autoritativen NS
2. DNS Einträge machst du dann per inwx.de
3. die DNS Verwaltung unter ISPConfig kannst du gänzlich sein lassen

Wenn JA, und du willst sowohl DNS Änderungen von inwx.de & ISPConfig gültig machen:
1. kommst du um einen Remote API SYNC nicht drumherum

So wie es jetzt eingerichtet ist:
Sind die inwx.de NS, die primären und dein ISPConfig der Secondary, diesen benutzt du aber als "primären" um Änderungen durchführen zu wollen und schreibt die Records dann per Zonetransfer wieder auf die "offiziellen" Primären von inwx.de?

xD

In deinem Screenshot sehe ich nur die NS Einträge von inwx.de, daraus schließe ich:



Zitat von neovanmatix:


> Neues NS-Set angelegt: Secondary DNS, als Master-IP die meines ISPConfig-DNS-Servers, als Secondary DNS ns.inwx.de, ns2.inwx.de, ns3.inwx.de


sonst hättest du: Primary DNS, ... geschrieben, was dann auf technischer Seite Option JA, sprich Glue Records benötigen würde

Das es derzeit bei dir funktioniert, streite ich gar nicht ab ... aber ...


----------



## Brainfood (16. Mai 2013)

PS: nimm zum checken: DNS check tool


----------

