 |
|
|
|
| Autor |
Nachricht |
obetz
Anmeldungsdatum: 28.12.2004
Beiträge: 34
|
 Verfasst am:
Do 08 Sep, 2005 10:56 |
  |
|
Hallo,
(Lancom 1621, FW 4.12.0031)
im VPN-Status-Trace sehe ich jede Minute:
VPN: external DNS resolution for FOOBAR.
IpStr=>foobar.dyndns.org<, IpAddr(old)=..., IpTtl(old)=60s
IpStr=>foobar.dyndns.org<, IpAddr(new)=..., IpTtl(new)=60s
auch wenn der VPN-Tunnel inaktiv ist.
Bedeutet das wirklich, daß der Router jede Minute bei dyndns nach der IP-Adresse fragt?
Ist doch eigentlich gar nicht erforderlich!?
Belastet das nicht unnötig den dyndns-Server?
Grüße,
Oliver Betz |
|
|
   |
|
Guest
|
| Verfasst am:
|
|
|
|
|
|
LoUiS
Site Admin
Anmeldungsdatum: 07.11.2004
Beiträge: 3989
Wohnort: Aix la Chapelle
|
| Verfasst am:
Do 08 Sep, 2005 11:13 |
|
|
Hallo Oliver,
das liegt nicht an der Konfiguration des Routers, sondern an der TTL des DynDNS Namens.
> IpStr=>foobar.dyndns.org<, IpAddr(old)=..., IpTtl(old)=60s
Hier siehst Du das die TTL 60 Sekunden ist fuer den Namen "foobar.dyndns.org", also muss der Router nach 60Sekunden erneut anfragen um die Aktualitaet des Namens zu gewaehrleisten. Wenn DynDNS.ORG 60 Sekunden als TTL konfiguriert haben, dann rechnen die auch mit entsprechenden Anfragen beim DNS.
Ciao
LoUiS |
_________________
| Dr.House hat folgendes geschrieben:
|
Dr. House: Du bist geheilt. Steh auf und wandle.
Patient: Sind Sie geisteskrank?
Dr. House: In der Bibel sagen die Leute schlicht "Ja, Herr" und verfallen dann ins Lobpreisen.
|
|
|
  |
|
obetz
Anmeldungsdatum: 28.12.2004
Beiträge: 34
|
| Verfasst am:
Do 08 Sep, 2005 11:29 |
|
|
Hallo LoUiS,
| LoUiS hat folgendes geschrieben:
|
das liegt nicht an der Konfiguration des Routers, sondern an der TTL des DynDNS Namens.
|
Woher das Intervall kommt, ist mir schon klar.
Aber warum macht der Router überhaupt Namensauflösungen, wenn der Tunnel inaktiv ist, die Information über die gegnerische IP-Adresse also gar nicht benötigt wird?
Und auch während der Tunnel besteht, muß der Router m.E. nicht dauernd die Adresse abfragen, weil es über die VPN-Polls sicherer und oft auch schneller erkannt wird.
Eigentlich ist die Namensauflösung doch nur einmal erforderlich, nämlich zum Verbindungsaufbau?
Unsere beiden 1621 rufen sich ja auch nicht alle paar Minuten per ISDN an, um die IP-Adresse zu bestätigen.
Grüße,
Oliver |
|
|
|
|
backslash
Moderator
Anmeldungsdatum: 08.11.2004
Beiträge: 4571
Wohnort: Aachen
|
| Verfasst am:
Do 08 Sep, 2005 16:15 |
|
|
Hi obetz
| Zitat:
|
|
Aber warum macht der Router überhaupt Namensauflösungen, wenn der Tunnel inaktiv ist, die Information über die gegnerische IP-Adresse also gar nicht benötigt wird?
|
Hier machst due einen Gedankenfehler. Gerade wenn der Tunnel inaktiv ist, muß das LANCOM wissen, welche Adresse die Gegenseite hat, damit der Tunnel auch von der Gegenseite her aufgebaut werden kann. Die IPSec-Regeln sind mit der IP-Adresse der Gegenseite verknüpft.
| Zitat:
|
|
Und auch während der Tunnel besteht, muß der Router m.E. nicht dauernd die Adresse abfragen, weil es über die VPN-Polls sicherer und oft auch schneller erkannt wird.
|
Letztendlich hast du in diesem Punkt recht, aber wozu da einen Unterschied machen?
| Zitat:
|
|
Eigentlich ist die Namensauflösung doch nur einmal erforderlich, nämlich zum Verbindungsaufbau?
|
faslch (s.o.)
Gruß
Backslash |
|
|
|
|
obetz
Anmeldungsdatum: 28.12.2004
Beiträge: 34
|
| Verfasst am:
Do 08 Sep, 2005 17:07 |
|
|
Hallo Backslash,
| Zitat:
|
Hier machst due einen Gedankenfehler. Gerade wenn der Tunnel inaktiv ist, muß das LANCOM wissen, welche Adresse die Gegenseite hat, damit der Tunnel auch von der Gegenseite her aufgebaut werden kann. Die IPSec-Regeln sind mit der IP-Adresse der Gegenseite verknüpft.
|
reicht es nicht, erst bei einem Verbindungsversuch den/die Namen aufzulösen?
| Zitat:
|
Letztendlich hast du in diesem Punkt recht, aber wozu da einen Unterschied machen?
|
Wie ich im ursprünglichen Posting anmerkte: sind die vielen Abfragen nicht eine unangemessene Last für den dyndns-Server?
Wenn mir jemand sagt "ach was, das juckt den nicht", bin ich schon beruhigt.
Grüße,
Oliver |
|
|
|
|
backslash
Moderator
Anmeldungsdatum: 08.11.2004
Beiträge: 4571
Wohnort: Aachen
|
| Verfasst am:
Do 08 Sep, 2005 17:24 |
|
|
ho obetz,
| Zitat:
|
|
reicht es nicht, erst bei einem Verbindungsversuch den/die Namen aufzulösen?
|
Nein. Denn wenn die andere Seite zwischendurch eine neue IP-Adresse bekommen hat und dann versucht zu DIR aufzubauen, dann lehnt *DEIN* LANCOM diese Verbindung ab, weil sie von einer unbekannten IP-Adresse kommt.
| Zitat:
|
Wie ich im ursprünglichen Posting anmerkte: sind die vielen Abfragen nicht eine unangemessene Last für den dyndns-Server?
Wenn mir jemand sagt "ach was, das juckt den nicht", bin ich schon beruhigt.
|
Wer einen dyndns-Dienst aufzieht hat, entsprechend große Server, die mit einer Anfrage pro Minute und Domain (viel mehr erreicht den Server auch nicht, da das DNS eine hirarchische Struktur hat, d.h. die "höheren" DNS-Server cachen die Antwort) klar kommt. Ebenso wird der DNS-Server deines Providers (der in der Kette ganz oben steht) davon nicht belastet, der muß schließlich 1000de Klicks von Usern auf 1000den klicki-bunti-Seiten mit Milionen Adlinks verkraften können. Daher: alles kein Problem - zumindest nicht deins...
Gruß
Backlash |
|
|
|
|
obetz
Anmeldungsdatum: 28.12.2004
Beiträge: 34
|
| Verfasst am:
Do 08 Sep, 2005 19:38 |
|
|
Hallo backslash,
(erst bei einem Verbindungsversuch den/die Namen auflösen?)
| Zitat:
|
Nein. Denn wenn die andere Seite zwischendurch eine neue IP-Adresse bekommen hat und dann versucht zu DIR aufzubauen, dann lehnt *DEIN* LANCOM diese Verbindung ab, weil sie von einer unbekannten IP-Adresse kommt.
|
Eben nach dieser Anfrage von einer z.Zt. unbekannten IP-Adresse könnte er ja die Namensauflösung machen. Falls das nicht so lange dauert, daß der Anfragende mit einem Timeout aufgibt.
Aber wenn die minütlichen Abfragen ohnehin kein Problem für den dyndns-Anbieter darstellen, muß man sich darüber ja nicht den Kopf zerbrechen.
Danke für die Auskunft,
Oliver |
|
|
|
|
|
|
|
|
| |
|
|
