DNSSEC einrichten b.z.w aktivieren

Status
Für weitere Antworten geschlossen.

Ralfi0815

Benutzer
Mitglied seit
13. Mrz 2020
Beiträge
15
Punkte für Reaktionen
0
Punkte
1
Hallo,

ich betreibe seit 15 Jahren mehrere Websites und e-mail-Server mittels festen IP-Adressen auf zuerst einem Server und seit zwei Jahren auf einer Synology DS918+.

Jetzt würde ich gerne aus verschiedenen Gründen auf dieser DiskStation auch gleich noch einen eigenen DNS-Server betreiben.

Leider habe ich überhaupt keine Ahnung davon.

Bisher nutze ich für verschiedene Zecke nicht nur eingene Zertifikate auf der DiskStation sondern auch 'normale' Zertifikate und für den e-mail-Server DKIM, DMARC und SPF.

Die erste Frage, die mir jetzt aber für einen eigenen DNS-Server einfällt ist, wie aktiviere ich darauf DNSSEC und DANE b.z.w. was ist dabei zu beachten, damit dannach alles wieder funktioniert. Bisher wird DNSSEC bei mir durch die Telekom bereitgestellt und DANE habe ich noch nicht.

Kann mir das jemand freundlicherweise mal näher bringen ?

Danke für jede Hilfe

Ralf
 

the other

Benutzer
Sehr erfahren
Mitglied seit
17. Okt 2015
Beiträge
2.099
Punkte für Reaktionen
539
Punkte
154
Moinsen,
na, für die Theorie findest du sicher genug Lesestoff zum Einsteigen hier und im www...
Als Gedankenanstoß: wenn du zB über einen Raspberry Pi Pihole laufen lässt, dann hast du hier einen DNS-Server, der gleich noch nach Listen Werbung, Spam usw. aussortiert, via DNSSEC geht und ggf. via Stubby DNS Anfragen verschlüsselt oder via unbound die DNS Anfragen an die obersten DNS-Server direkt weiterleitet, ohne die diversen Zwischenstationen (und das logging) zu befragen...

So als Einstieg...
 

Ralfi0815

Benutzer
Mitglied seit
13. Mrz 2020
Beiträge
15
Punkte für Reaktionen
0
Punkte
1
Danke the other,

aber ich bin berufstätig und kann mich nicht auch noch mit einem Raspberry rumschlagen, obgleich ich das gerne täte. Im Internet habe ich bereits dannach gesucht und ebenso hier im Forum. Doch leider habe ich nichts finden können, was auch nur im Ansatz meine Frage lösen könnte.

Allgemeine Antworten nutzen mir auch nicht viel, weil ich vermutlich zu wenig davon verstehe und mittels Kommandozeilen möchte ich mir auch nicht die Zeit sinnlos vertreiben.

Ich dachte eher daran, daß es hierzu in der DiskStation unter DNS-Server etwas gibt, was ich anklicke oder eintrage und damit funktioniert dann DNSSEC und DANE.

Gibt es sowas ?
 

the other

Benutzer
Sehr erfahren
Mitglied seit
17. Okt 2015
Beiträge
2.099
Punkte für Reaktionen
539
Punkte
154
Moinsen,
auch wenn ich selber ebenfalls berufstätig bin...
das kann ich nachvollziehen. Andererseits: Pihole auf Raspieinrichten dauert geschätzt 30 Minuten. IdR läuft es dann auch problemlos...und das Plus an Anwenderfreundlichkeit durch das Minus an Werbung und Doofkram ist den Aufwand wert.
Ob es innerhalb der Syno da was gibt? AFAIK nicht...

Ansonsten: Raspi 3b oder 4 kaufen und zB nach Anleitung bei youtube von semperviedeo einrichten....fertisch.

(Falls du mal was an Gefrickel im Feierabend brauchst...)
:)

Grüßle
the other
 

Ralfi0815

Benutzer
Mitglied seit
13. Mrz 2020
Beiträge
15
Punkte für Reaktionen
0
Punkte
1
Danke the other für deine Antwort,

aber ich brauch ne Antwort auf meine Frage. Sorry, daß ich das so deutlich sage, aber mit neuen Aufgaben b.z.w. aufkommenden Fragen ist mein Problem nicht gelöst.

Also bitte nichts vorschlagen, was mit einer direkten Problemlösung meiner Frage nichts zu tun hat. Denn sonst hätte ich ja auf einem Raspi Forum um Hilfe gebeten !!!! Vielen Dank

Ralfi
 

Ralfi0815

Benutzer
Mitglied seit
13. Mrz 2020
Beiträge
15
Punkte für Reaktionen
0
Punkte
1
Danke,

aber kann denn wirklich niemand auf meine Frage eingehen und beantworten ?

Wenn ich was über Docker hätte wissen wollen, hätte ich eine Frage über Docker gestellt. Meine Frage bezog sich aber auf die APP DNS Server und nicht auf Raspi und auch nicht auf Docker.

Danke für Eure Hilfe
 

blurrrr

Benutzer
Sehr erfahren
Mitglied seit
23. Jan 2012
Beiträge
6.204
Punkte für Reaktionen
1.103
Punkte
248
Mahlzeit Ralle! (sorry, konnte ich mir nicht verkneifen ;))

Tschulli, aber wie kann man bitte seit 15(!) Jahren Web- und Mailserver betreiben und keine Ahnung von DNS haben? Keine Ahnung von DNSEC/DANE ist ja ok, aber DNS generell? :confused: :D
Könntest den Syno-eigenen nehmen, einen der "klassischen" Vertreter (wie zb bind9), oder was moderneres wie PowerDNS mit einem selbst ausgesuchten Backend (bind, sqlite, mysql, etc.).

Frage ist eher: intern oder public? Im letzteren Falle denkst Du bitte daran, dass Du mindestens 2 DNS-Server bzw. 2 öffentliche statische IPs brauchst (Vorschriften und so, weisst schon...) :)

Was "Wie aktiviere ich darauf DNSSEC und DANE" angeht, so hängt das wohl immer von der eingesetzten DNS-Software ab.
 

Tommi2day

Benutzer
Mitglied seit
24. Aug 2011
Beiträge
1.164
Punkte für Reaktionen
63
Punkte
68
Der Synology DNS Server ist nach meiner Ansicht nur sehr abgespeckt für interne LANs gedacht und für DNSSEC nicht zu gebrauchen. So kann er keine Zonen von sich aus signieren. Man könnte natürlich auch brav die Einträge von Hand selber machen und regelmäßig aktualisieren (siehe https://www.heise.de/ct/artikel/Domain-Name-System-absichern-mit-DNSSEC-903318.html?seite=8) , aber für jemanden, dem schon zu viel ist über die genannten Alternativen nachzudenken ist das definitiv nichts und sollte das weiter einem Provider mit der richtigen Infrastruktur überlassen.
 

Ralfi0815

Benutzer
Mitglied seit
13. Mrz 2020
Beiträge
15
Punkte für Reaktionen
0
Punkte
1
Danke blurrrr und Tommi2day,

ja von DNS-Server habe ich keine Ahnung, weil der ja bisher immer vom Provider zur Verfügung gestellt wurde und ich mich da nie drum kümmern mußte.

2 statische IP-Adressen und zwei DS918+ hätte ich ja auch aber so wie ihr zwei mich wissen lassen wollt, ist es wohl nicht so einfach und schon gar nicht mit der bordeigenen APP 'DNS Server' möglich, einen DNS Server mit DNSSEC und DANE zu betreiben. Ich dachte halt bisher, der Aufwand sei vertretbar, weil man ja nur ein paar Einstellungen in 'DNS Server' vor zu nehmen braucht, aber scheinbar ist dem nicht so.

Ich denke mal, dann lasse ich das wohl besser mal.

Danke nochmals und liebe Grüße,

Ralf
 

blurrrr

Benutzer
Sehr erfahren
Mitglied seit
23. Jan 2012
Beiträge
6.204
Punkte für Reaktionen
1.103
Punkte
248
Ich dachte halt bisher, der Aufwand sei vertretbar, weil man ja nur ein paar Einstellungen in 'DNS Server' vor zu nehmen braucht, aber scheinbar ist dem nicht so.

Genau "das" ist das Problem der meisten Leute heutzutage, forciert von den Herstellern, die halt immer alles so "einfach" darstellen. Wäre alles immer so einfach, würde es auch keine Informatiker mehr brauchen, weil es dann ja auch quasi "jeder" könnte ;)

Da die DS918+ auch VMM/Docker können, könntest Du natürlich mal ein wenig damit "rumspielen" (Docker-Vorlagen gibt es wie Sand am Meer und alles andere läuft auf 0815-Linux-Distributionen), aber für ein "vernünftiges" und wirklich "sicheres" DNS-Konzept bräuchte es dann doch wieder eine ganze Ecke mehr an Kisten (allein schon für die DB-Cluster). Zudem müsstest Du Dich dann auch "zwangsläufig" (damit Dir nicht alles um die Ohren fliegt) auch in ganz andere Thematiken einarbeiten, als Beispiel hier mal 2 Links:

https://de.wikipedia.org/wiki/DNS_Amplification_Attack
https://securitytrails.com/blog/most-popular-types-dns-attacks

Und so weiter... Also mit "mal eben" ist es da dann auch definitiv nicht getan. Ausserdem halte ich den Syno-DNS-Server auch in "keinster" Weise für den öffentlichen Betrieb geeignet. Hier läuft er halt einfach nur "intern", es werden ein paar interne Domains damit repliziert (Büro <-> Homeoffice) und das war es dann auch :)

Wenn Dich das Thema interessiert, schau es Dir ruhig an, aber bedenke halt auch, was alles dahinter steckt. Ich persönlich würde dafür auch keine statischen IPs von Büro-Anschlüssen oder dergleichen nehmen, dafür würden sich dann eher irgendwelche vServer beim Hoster anbieten. Gerät da alles ausser Kontrolle, sperrt der Hoster den Kisten mitunter die Verbindung ins Internet. Macht der ISP die Internetanschlüsse der Büroanschlüsse dicht, wäre das dann vermutlich auch wieder weniger lustig ;)
 

Ralfi0815

Benutzer
Mitglied seit
13. Mrz 2020
Beiträge
15
Punkte für Reaktionen
0
Punkte
1
vielen vielen Dank blurrrr,


deine Erläuterungen haben mir sehr geholfen.

Ich betreibe 3 Internetseiten für die Arztpraxis meiner Frau und kümmere mich da um alles. Hab auch ein Online-Terminvergabesystem in die Homepage mit eingebaut und damit habe ich wirklich schon genug zu tun. Daß die Domain Name Server - Funktionalität derart umfangreich ist, wußte ich nicht. Ich spiele halt nur gerne mit solchen Dingen und dachte deshalb daran, einen eigenen DNS-Server zu betreiben. Jedoch soll auf der anderen Seite die damit verbundene Arbeit nicht überhand nehmen.

Ich belasse wohl deshalb alles so, wie es bisher war.

Schönen Abend aus dem heißen Jeddah,

Ralf
 

blurrrr

Benutzer
Sehr erfahren
Mitglied seit
23. Jan 2012
Beiträge
6.204
Punkte für Reaktionen
1.103
Punkte
248
Alles gut, rumspielen gehört einfach dazu, nur sowas dann "öffentlich" zu betreiben, da muss man halt doch etwas vorsichtig mit sein. Intern kann man damit aber auf jeden Fall mal rumspielen. Wünsche ebenfalls einen schönen Abend aus dem weniger heissen NRW ;)
 
Status
Für weitere Antworten geschlossen.
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat