PowerDNS Authoritative Server 4.3.2

PowerDNS is een dns-server met een database als backend, waardoor het beheer van een groot aantal dns-entries op een gemakkelijke manier kan plaatsvinden. De ontwikkelaars hebben eerder besloten om de twee delen waaruit PowerDNS bestaat, een recursor en een authoritative nameserver, apart uit te geven, zodat ze sneller en gerichter een nieuwe versie kunnen uitbrengen, aldus de ontwikkelaars. De authoritative nameserver zal alleen antwoorden op een dns-look-up als hij betrekking heeft op de domeinen waarvoor hij verantwoordelijk is. De ontwikkelaars hebben PowerDNS Authoritative Server 4.3.2 uitgebracht met de volgende aankondiging:

Authoritative Server 4.3.2

Hello,

We are happy to announce version 4.3.2 of the Authoritative Server.

This release fixes latency calculations to match the approach used in 4.4.0, to make comparisons between 4.3 and 4.4 more useful.

It also contains a few build-related improvements.

Please find a full list in the changelog.

The tarball (signature) is available at downloads.powerdns.com and packages for various Linux distributions are available from repo.powerdns.com.

Please send us all feedback and issues you might have via the mailing list, or in case of a bug, via GitHub.

Lees meer

Reacties (22)

PA5AM 15 maart 2021 09:57

Een half jaar geleden een stuk of 10 domeinen omgezet van BIND9 met zonefiles naar PowerDNS met MariaDB en replicatie, wat een verademing. Prachtig stukje software met prima documentatie.

Kan het iedereen aanraden die zin heeft in een vaag weekend project

casberrypi 15 maart 2021 00:23

Niet echt een stukje software die de meeste Tweakers zullen hebben draaien denk ik? Toevallig heb ik voor mijn werk een constructie waarbij PowerDNS authoritative DNS is, maar zelfs daar zijn de publieke nameservers slaves van mijn eigen server, en is mijn server niet publiekelijk te benaderen.

Niet dat ik me zorgen maak om de veiligheid overigens, maar waarom zou je zelf nameservers draaien?

Wij gebruiken PowerDNS als primaire server omdat we daarbij gebruik maken van een database backend en op die manier eenvoudig records en zones kunnen manipuleren. Vooral bij grote hoeveelheid records een stuk eenvoudiger dan een api van een hosting provider. Maar dat is nogal een bijzondere use-case. Then again, het is DNS, dus er zijn vast Tweakers die gekkere dingen doen. Configuratie management of andere gekke data-store dingen misschien?

GertMenkel @casberrypi • 15 maart 2021 06:36

Ik draai het zelf omdat de plek waar ik mijn domeinen heb gekocht geen competente API heeft om via let's encrypt wildcards aan te vragen.

Als je niet zoals ik vage, oude firewallconfiguraties en netwerkroutes op je servers hebt staan, is een setup met twee servers in een middagje op te zetten, inclusief een geïsoleerde webinterface achter een VPN op de master server. Vanaf dan is het best een krachtig stukje software omdat je ineens een API hebt die je zelf kunt beveiligen in plaats van de soms obscure configuratie die sommige domeinbeheerders vereisen om met een scriptje een subdomein aan te passen of toe te voegen.

Daarnaast is het een nuttige oefening om zoiets op te zetten om net iets dieper in DNS te duiken dan men meestal doet. Een mooie praktijkopdracht om te leren hoe AXFR nu echt werkt, om het zo maar te zeggen. Ik heb het zelf dan ook opgezet voor een aantal hobbydomeinen waar ik zo nu en dan mee experimenteer.

Ik overweeg nu bijvoorbeeld om via een scriptje een aantal hobbysystemen aan elkaar te knopen, namelijk mijn proxmox-thuisserver, mijn cloudinit-configuratie, mijn netbox IP-management en mijn DNS-server om volledig automatisch nieuwe VM's online te gooien met een domeinnaam zonder enige handmatige configuratie. Het enige dat ik nog wil toevoegen voor ik de boel aan elkaar lijm is een interne ACME-server voor mijn privé-certificaatautoriteit, dan heb ik er ook meteen TLS op klaarstaan. Zoiets kan met een competente API als die van TransIP natuurlijk ook, maar dat is niet overal even makkelijk.

Onder de streep zou ik het niemand aanraden die niet de tijd en interesse heeft om zoiets op te zetten. Hoewel powerdns relatief onderhoudsarm is, is en blijft het een systeem dat je wel regelmatig even moet onderhouden en controleren. Maar, als je je eigen DNS wil hosten, is het in mijn optiek vele malen makkelijker op te zetten dan iets als BIND.

FvdM @GertMenkel • 15 maart 2021 18:53

Ik draai het zelf omdat de plek waar ik mijn domeinen heb gekocht geen competente API heeft om via let's encrypt wildcards aan te vragen.

Zelf bouwen is meestal leuker, maar je kan auth dns ook via de gratis CloudFlare DNS regelen. Die API is zo makkelijk in gebruik.

casberrypi @FvdM • 15 maart 2021 21:12

Als je zakelijk klant ben van een organisatie zo groot als Cloudflare dan ben je als het mis gaat een irrelevant nummertje.

Wij zijn klant bij True en daar hebben ze de zaken goed voor elkaar. Als er iets mis is hebben zij competente engineers waar ik samen een probleem mee kan oplossen.

Uiteindelijk zou ik bij problemen onze klanten echt niet kunnen uitleggen dat we een gratis dienst gebruikten bij Cloudflare en dat er daarom misschien iets niet ok is.

casberrypi @GertMenkel • 15 maart 2021 21:38

Kijk @GertMenkel, dit zijn de verhalen waar ik naar viste, deployment op basis van DNS ís cool. Jij Tweaker! $_/-\o_$

VisionMaster @casberrypi • 15 maart 2021 09:28

In mijn homelab heb ik een PowerDNS recursor en authoritive server voor alle thuis dingen. Maar goed, ik heb ook alles in een Netbox administratie en genereer hier mijn configs weer uit. Tuurlijk, deels overkill, maar andere mensen doen aan model-bouw en doen de werkelijke wereld op een andere manier na.

casberrypi @VisionMaster • 15 maart 2021 21:13

Allebei leuk.

StefanTs @casberrypi • 15 maart 2021 07:23

Ik denk dat dat een foute aanname is. Een simpele reden waarom een hoop Tweakers dus wel een DNS server draaien is ad blocking.

rvt1 @StefanTs • 15 maart 2021 07:36

voor adblocking gebruik je geen Authoritative server en doe je ook niet aan eigen DNS beheer. Met adblocking wil je alleen lokaal cachen zodat je geen connecties heb naar een externe DNS server voor snellere lookups op je lokale netwerk.
Kun je bv prima unbound voor gebruiken.

StefanTs @rvt1 • 15 maart 2021 07:44

Dat beweer ik toch ook helemaal niet? De vraag is "waarom zou je zelf nameservers draaien?". Ik geef enkel een gangbaar voorbeeld.

Verder is het natuurlijk wel degelijk een vorm van DNS beheer, stelt natuurlijk niet veel voor maar toch.

bytemaster460 @StefanTs • 15 maart 2021 09:46

Je zegt dat het een foute aanname is en de aanname was dat maar weinig mensen PowerDNS Authoritative server thuis zullen draaien. Die aanname lijkt me gewoon correct. Voor adblocking gebruik je dat niet.

casberrypi @StefanTs • 15 maart 2021 21:33

Je quote uit mijn bericht is een beetje gek. De context van de vraag is die van een briljant stukje software: PowerDNS Authoritative Server

Dat is níet een DNS resolver maar een authoritative nameserver waarmee je dus je eigen domeinen (zones heten die eigenlijk) online houdt. Een resolver heeft helemaal niets met een authoritative server te maken. Overigens (vroeger) deed BIND beide, maar dat is niet zo handig.

Het is net zo min hetzelfde als een browser en een webserver. Zelfde protocol, andere applicatie.

Verder moet je de vraag ook niet lezen alsof je deze software nooit zou moeten gebruiken. Als je goed leest zie je dat ik dat zelf ook doe, in een soort edge-use-case scenario. De vraag is in deze letterlijk bedoeld: Waarom gebruik jij het, en dan hoor je nog eens iets leuks van je mede-tweakers.

Dat je PowerDNS of iets dergelijks als resolver op je pihole hebt, dat kan wel zijn, maar dan weet je nog steeds niet precies hoe het werkt. Overigens gebruikt pihole daar een aangepaste dnsmasq voor.

3dmaster

@casberrypi • 15 maart 2021 02:05

Ik draai voor mijn werk een hele farm met publieke powerDNS servers voor duizenden domeinen. Als je dit ooit gaat doen zet er ook iets als dnsdist voor. Dat maakt je leven een stuk prettiger met al die ddosaanvallen en andere ellende als slecht geconfigureerde recursors die je dan krijgt.

Cybertinus994 15 maart 2021 02:10

Het gaat hier om de authoritive server van ze. Iedereen die dus domeinen heeft kan dit installeren om de dns records van z’n domeinen de wereld in te sturen. Daarmee ben je niet afhankelijk van de authservers van je registrar. Dat scheelt dus een afhankelijkheid als je je domeinen niet bij je registrar host (maar op eigen hardware, of in een private of public cloud).
Verder heb ik zelf pdns auth draaien. Mijn colocation provider geeft me wel een /48 v6 space, maar wil de reverse dns hosten daarvoor. Dus ze hebben de reverse zone gedelegeerd naar mijn eigen server, en daar kan ik naar hartelust reverse records op aanmaken. Werkt prima.

Dus ja, genoeg mensen die behoefte hebben aan een auth dns server.

edit: dit had een reactie op @casberrypi moeten zijn...

[Reactie gewijzigd door Cybertinus994 op 23 juli 2024 20:51]

Yarisken @Cybertinus994 • 15 maart 2021 08:43

Bedankt voor je uitleg, ik wist niet dat je dit eigenlijk mocht. Ik ging er altijd vanuit dat je aan zware voorwaarden diende te voldoen om deel uit te maken van de dns infra wereldwijd. Dus enkel weggelegd voor grote partijen.
Ik denk dan meer aan misbruik enzo.

zx9r_mario @Yarisken • 15 maart 2021 09:32

Om misbruik zoals DNS spoofing tegen te gaan is er DNSSEC.

Cybertinus994 @Yarisken • 15 maart 2021 15:55

Nee hoor, daar zijn geen eisen voor. Domein registreren, PowerDNS auth ergens inrichten, NS records naar die auth laten verwijzen en hobbelen maar

. Niemand die je tegen houd. En als je het fout doet, dan gaat vanzelf je domeinnaam offline

. Leer je van. Met een domein als “ditismijnhobbiedomeintje.nl” is dat niet erg. Met iets als “google.com” of “tweakers.net” natuurlijk wel

Yarisken @Cybertinus994 • 15 maart 2021 18:02

Ok bedankt duidelijk :-)

LiquidCrystal @Cybertinus994 • 16 maart 2021 10:04

Iedereen die dus domeinen heeft kan dit installeren om de dns records van z’n domeinen de wereld in te sturen.

Voorwaarde is wel dat je dan een vast IP-adres gebruikt voor je DNS server.
Als het IP-adres namelijk wijzigt (DHCP), zijn in één klap alle domeinnamen die deze verzorgt onbereikbaar.

Niet echt praktisch

Cybertinus994 @LiquidCrystal • 16 maart 2021 18:48

Klopt. Ik heb de aanname gedaan dat je een auth wel op een machine met een static ip zet. Als je dat niet hebt word het vervelend. Dan moet je de NS records heel de tijd updaten. Daar moet je niet aan willen beginnen.
Dyndns is leuk, maar alleen voor individuele A of AAAA records, groter moet je het niet maken.

LiquidCrystal @Cybertinus994 • 17 maart 2021 08:09

Het is zelfs iets lastiger, aangezien de registrar vaak een naam EN IP-adres wil weten voor de DNS-servers, welke de requests voor je domein gaan afhandelen.

Als je een dynamisch IP-adres hebt, zou dat in sommige gevallen betekenen dat je het IP-adres bij je registrar moet bijwerken als jou IP-adres wijzigt. Daar kun je niet altijd een TTL bij instellen, dus kan het gebeuren dat tussentijdse requests bij een gewijzigd IP-adres nergens aankomen.

Op dit item kan niet meer gereageerd worden.

Versienummer	4.3.2
Releasestatus	Final
Besturingssystemen	Linux, BSD, macOS, Solaris, UNIX
Website	PowerDNS
Download	https://downloads.powerdns.com/
Licentietype	GPL

03-'21	PowerDNS Authoritative Server 4.3.2	22
12-'20	PowerDNS Authoritative Server 4.4.0	0
09-'20	PowerDNS Authoritative Server 4.3.1 / 4.2.3 / 4.1.14	1
04-'20	PowerDNS Authoritative Server 4.2.2	0
04-'20	PowerDNS Authoritative Server 4.3.0	0
09-'19	PowerDNS Authoritative Server 4.2.0	2
02-'19	PowerDNS Authoritative Server 4.1.6	0
11-'18	PowerDNS Authoritative Server 4.1.5 / 4.0.6	0
05-'18	PowerDNS Authoritative Server 4.1.3	0
05-'18	PowerDNS Authoritative Server 4.1.2	0

Software-update: PowerDNS Authoritative Server 4.3.2

Update-historie

Lees meer

Reacties (22)

Sorteer op:

Weergave: