Bonjour,
Je suis gérant de deux zones DNS qui sont hébergées sur mon serveur (virtuel) perso. L’hébergeur dudit serveur, OVH, met à ma disposition un serveur DNS esclave, permettant à mes zones d’être servies par deux serveurs de noms distincts, ce qui est le minimum recommandé. Malheureusement, les deux serveurs sont donc chez OVH (AS 16276), alors que les bonnes pratiques recommandent aussi que les différents serveurs de noms soient dans des AS différents.
En conséquence et conformément au RFC 2182, §6, je cherche « une organisation de taille similaire » à la mienne (soit environ 1m70) avec qui passer un accord d’échange de zones secondaires.
Si vous administrez un serveur de noms ailleurs que chez OVH, je vous propose donc de faire de votre serveur un esclave pour mes zones, et en échange, je ferai du mien un esclave pour les vôtres.
Si vous êtes intéressés, nous pouvons en discuter ici-même, ou vous pouvez me joindre par e-mail à dgouttegattat@incenp.org.
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256
Si vous souhaitez que les transferts de zones entre nos machines soient authentifiés, vous pouvez aussi m’envoyer une clef TSIG par e-mail chiffré, avec ma clef OpenPGP disponible sur http://incenp.org/srv/dgouttegattat.asc (empreinte 4FA2 0823 62FE 73AD 03B8 8830 A8DC 7067 E25F BABB — il s’agit de la clef utilisée pour signer le fragment de message que vous êtes en train de lire). À défaut, l’authentification se fera sur la seule base des adresses IP.
-----BEGIN PGP SIGNATURE-----
iQEcBAEBCAAGBQJVNXokAAoJEKpDc+bILHitoA4IAMvuizXQEmRSocl++dQn6bgB
KuwEc3ujC3hc/Haa+zdBDSMJzJ8hxuLR15B1vXjDmsspro311eiUJPcoSTWPMZel
/i0JQ6kk7Jd7vEYvyoV+IorcCBh1jHz4lQdXut8dCWhATNuQK1vD81UIjh84AMxN
bE6EYpuBb5EnYAUsz7Kg9kqJozO/HtNpJOa0zEHWKiaFyqDcjyLzs4Qe/TW9yVhm
RtsTxfIpy+SVkbmipJoPP9J84Q0R43VIix8grW7dPEQz7MTRfcnALCxDeZXr8JNI
WvyUrynNnwYa4FZjrb3qLXIjYiScBgZTJcbWo7Gd2th6q5UxnwCwyEtHF6bNJ4M=
=BJm3
-----END PGP SIGNATURE-----
# Franchement !
Posté par Sidonie_Tardieu . Évalué à 0.
Franchement, c'est dégoûtant. Tu t'adonnes au stupre, d'accord, mais va publier tes annonces d'orgies ailleurs ! Grossssssssssss.
Pour un sextumvirat ! Zenitram, Tanguy Ortolo, Maclag, xaccrocheur, arnaudus et alenvers présidents !
# OVH aussi
Posté par 🚲 Tanguy Ortolo (site web personnel) . Évalué à 3.
Je me serais bien proposé, en réplication avec TSIG, mais… mon serveur perso est derrière une ADSL… de chez OVH ! Ceci dit, ma connexion utilise un autre AS d'OVH, le 35540. Donc si ça te convient…
[^] # Re: OVH aussi
Posté par 🚲 Tanguy Ortolo (site web personnel) . Évalué à 3.
Derrière une VDSL2 OVH pardon.
[^] # Re: OVH aussi
Posté par gouttegd (site web personnel) . Évalué à 2.
On peut raisonnablement supposer que le réseau de OVH l’hébergeur est distinct de celui de OVH le fournisseur d’accès (raison pour laquelles ils ont deux numéros d’AS différents), et qu’une panne de l’un n’affectera pas systématiquement l’autre. C’est déjà un début, ça me convient.
(L’offre n’est pas limitée à une seule personne — mon serveur a je pense largement de quoi héberger d’autres zones —, donc si d’autres sont intéressés, ce n’est pas trop tard.)
# Intérêt ?
Posté par Kerro . Évalué à 3.
Il y a quelques années j'avais fait la même chose avec une entreprise « amie ». Histoire d'être fier de respecter la norme.
Mais si mes services (serveur web, serveur d'email, etc) sont au même endroit que mon DNS, il n'est pas bien utile d'avoir un DNS accessible ailleurs : si l'accès à mon réseau est coupé, DNS ou pas, rien ne sera accessible.
Quelqu'un a un contre-exemple ?
Si j'ai des services éparpillés un peu partout, là ok, il faut une infrastructure DNS répartie également.
[^] # Re: Intérêt ?
Posté par 🚲 Tanguy Ortolo (site web personnel) . Évalué à 5.
Je pense qu'il est préférable d'avoir une résolution qui marche, puis un échec de connexion, qu'un échec de résolution. Déjà, ça permet de mieux identifier le problème : serveur injoignable, c'est clair. Nom impossible à résoudre en revanche…
[^] # Re: Intérêt ?
Posté par gouttegd (site web personnel) . Évalué à 6.
Dans mon cas, où tous les services sont sur une seule machine (exactement la même machine qui sert la zone DNS…), l’intérêt est réduit, en effet. Inutile de le nier, ma motivation principale n’est rien de plus que la satisfaction de faire les choses correctement.
Mais quelques informations (pas beaucoup, je te l’accorde) publiées dans ma zone restent intéressantes même dans le cas où les services sont temporairement inaccessibles, comme par exemple :
– l’adresse du serveur de courrier (au moins le serveur SMTP de l’expéditeur saura déjà où l’envoyer, même s’il devra attendre pour procéder à l’envoi proprement dit) ;
– les clefs DKIM (un client peut vouloir vérifier une signature DKIM à n’importe quel moment) ;
– dans le même ordre d’idée, les enregistrements SPF et DMARC ;
– l’empreinte de ma clef OpenPGP (publiée via un enregistrement CERT).
[^] # Re: Intérêt ?
Posté par bobmoutarde . Évalué à 1.
Sur le fond tu as raison, si c'est une panne générale de l'AS plus aucun service… Par contre dans le cas où c'est une mauvaise configuration d'un FW, IPS ou je ne sais quel autre équipement, tu pourrais te retrouver avec une coupure du trafic DNS mais pas du reste. C'est rare mais ça peut arriver.
# Intéressant
Posté par claudex . Évalué à 4.
Je comptais justement me faire un serveur de nom hébergé sur mes machines. Si tu peux attendre un mois (ou moins, ça dépend de mon temps libre et de ma motivation), je peux te fournir un esclave chez firstheberg, et plus tard, un esclave auto-hébergé chez edpnet en Belgique.
Ce n'est pas non plus une offre limitée à une personne.
« Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche
[^] # Re: Intéressant
Posté par claudex . Évalué à 4.
Bon, en fait, j'étais motivé aujourd'hui et j'ai un serveur de prêt.
« Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.