Resolver und/oder DNS im Freifunk

David Lutz kpanic at ff3l.net
Mi Jan 22 23:34:23 CET 2020 

Hallo Thomas,

Die Problematik ist uns durchaus bekannt.
Das Problem ist, dass wir intern die inoffizielle TLD ".ff3l" verwenden. 
In Kombination mit DNSSEC führt das zu massiven Problemen, die uns 
leider dazu gezwungen haben DNSSEC wieder zu deaktivieren.

Wir haben zwei Server mit bind9 laufen (ns1 und ns2), die Master und 
Slave für die Zone .ff3l sind und die TLDs der anderen am ICVPN 
teilnehmenden Freifunk-Communities sowie dn42 und einige OpenNIC-TLDs 
als Stub resolven, sowie die öffentlichen TLDs ganz regulär über die 
Rootzone resolven. Die Gateways forwarden die Requests an diese beiden 
Server, respektive resolven selbst über die Rootzone, falls die beiden 
DNS-Server nicht erreichbar sein sollten (Ausfallsicherheit). Zudem 
haben wir ein Split-Horizon DNS für nextnode.ff3l, das abhängig von der 
Community in der man sich befindet die korrekte Nextnode-Adresse des 
Knotens zurückgibt. Die Zone knoten.ff3l wird automatisch aus dem 
Kartenbackend befüllt, so dass man jeden Knoten unter 
knotenname.knoten.ff3l erreichen kann. Alles in allem also ein ziemlich 
komplexes Setup.

Natürlich kannst du jederzeit einen externen DNS-Server, sei es Google, 
Cloudflare, Quad9 oder einen anderen deiner Wahl, verwenden. Dann klappt 
aber halt der ganze interne Kram nicht mehr ;)

Gruß

David

Am 22.01.2020 um 19:04 schrieb Thomas Rahimi:
> Hallo in die Runde,
>
> beim Testen meines VPNs, das meinen privaten DNS-Resolver verwendet und
> dabei zwingend eine DNSSEC-Validierung durchführt, ist mir aufgefallen,
> dass die im Freifunk-Netz für die Domäne Schwarzwald-Baar verbreiteten
> DNS-Server keine DNSSEC-Validierung vornehmen.
> Im Detail führt dass dazu, dass bewusst nicht verifizierte Domains, wie
> zum Beispiel sigfail.verteiltesysteme.net aufgelöst werden, bei denen
> validierende Resolver keine IP-Adresse ausgeben dürften.
> Wie ist denn die DNS-Infrastruktur im Freifunk Dreiländereck aufgebaut?
> Lassen sich hier andere Resolver verbreiten oder kann auf den
> vorhandenen Gateways eine andere Software verwendet werden, um Nutzer
> des Freifunk-Netzwerks effektiver zu schützen? In meinem privaten
> Netzwerk, ebenso wie in meinem VPN habe ich gute Erfahrungen mit unbound
> 1.9.0 unter Linux gemacht. Lässt sich diese Erfahrung für das
> Freifunk-Netzwerk nutzen? Wenn ja, wäre ich gerne bereit, mich in die
> Absicherung des Netzwerkes einzubringen.
>
> Viele Grüße aus Rottweil
>
> Thomas

Mehr Informationen über die Mailingliste ff3l