Hi,
DNSSEC ist ja im Anmarsch, und die Denic erlaubt ab dem 2. März Domaininhabern, Schlüsselmaterial zu hinterlegen.
Ein Problem, das dann auftreten wird, ist, dass DNS-Antworten, die größer als 512 Byte sind, durch einen Großteil der NAT-Router nicht durchkommen werden:
Zwar werden die meisten Antworten trotz Signatur kleiner als 512 Byte sein. Am Beispiel einer ANY-Abfrage lässt sich jedoch zeigen, dass die Antworten durchaus eine Größe von mehreren kb erreichen können. Das ist zu groß für UDP, daher versuchen viele Clients es anschließend über TCP. Und hier setzen die meisten NAT-Router bisher aus, da sie das (noch) nicht beherrschen.
Vor ein paar Wochen habe ich gelesen, dass auch Lancom-Router kein DNS über TCP beherrschen sollen. Folglich erscheint es ratsam, sich nach Alternativen umzusehen. Da allerdings viel schlecht recherchierter Mist verbreitet wird, hier also ganz direkt die Frage an die, die es wissen müssen: Beherrschen Lancom-Router (etwa ein 1722) DNS über TCP?
Grüße
T.
DNSSEC im Anmarsch - Beherrschen Lancom-Router DNS über TCP?
Moderator: Lancom-Systems Moderatoren
-
Transcendence
- Beiträge: 144
- Registriert: 21 Okt 2006, 15:28
Tun sie meiner Beobachtung nach derzeit nicht. Kann man auch gut nachvollziehen, indem man einen Lancom nach eine signierte Zone abfrägt, sobald auf TCP umgestellt wird, gibts ein Connection refused.
Sollte da nicht zeitgerecht nachgebessert werden, wäre ein Workaround wohl nur, seine Clients andere DNS Server nutzen zu lassen (in seiner Rolle als Nat-Router gibts dabei natürlich keine Probleme).
Sollte da nicht zeitgerecht nachgebessert werden, wäre ein Workaround wohl nur, seine Clients andere DNS Server nutzen zu lassen (in seiner Rolle als Nat-Router gibts dabei natürlich keine Probleme).
Liebe Grüße,
michael
michael
-
Transcendence
- Beiträge: 144
- Registriert: 21 Okt 2006, 15:28