DNSSEC komt ook bij KPN

dat artikel lijkt te gaan over de nameservers, dat heeft niet zoveel te maken met onze reverse-DNS records die verwijderd waren (waar dit topic over gaat).

Ze konden ook prima DNSSEC activeren zonder deze rDNS records te verwijderen.

Hallo @wjb  en @xorinzor , ik zocht binnen dit forum op DNSSEC en toen kwam ook dit topic naar boven, vandaar mijn reactie binnen dit topic.

zoals gezegd staan deze 2 zaken compleet los van elkaar.

Ik deel je mening dat het verwijderen van de rDNS records een domme actie van KPN is geweest (en gelukkig voor sommigen inclusief mijzelf ook alweer is opgelost), maar je moet nu niet alles gaan aangrijpen om te denken dat het met elkaar te maken heeft.

Om te beginnen waren niet de rDNS records verwijderd maar de bijbehorende A records. Ten tweede is dat rDNS record voor mij uitsluitend nuttig wanneer deze eenduidig naar mijn aansluiting verwijst en dat doet deze niet. Er is mij namelijk medegedeeld dat het mij toegezegde vaste IP adres geen vast IP adres is en dat dit rDNS record dus niet specifiek naar mij verwijst maar naar mijn huidige IP adres dat door KPN op ieder door haar gewenst moment naar een andere abonnee kan verwijzen of zelfs opgezegd worden en dan ontvangt vervolgens een of andere Chinees alle aan mijn domein gerichte email.

KPN maakt mij derhalve zonder mij daar op een behoorlijke wijze van in kennis te stellen, voor zover überhaupt mogelijk bij een eenzijdige onttrekking aan toezeggingen, afhankelijk van een externe dienst welke zij bij deze dus eveneens ondermijnt. Leuk verder dat wanneer ik thuis ben ik YouTube en dit forum kan bezoeken, maar indien ik van buitenaf mijn huis niet kan bezoeken is minstens 90% van de waarde weg.

Jouw publieke IP adres is formeel een dynamisch IP adres maar in de praktijk en conform de policy van KPN is deze zo vast als dat deze maar zijn kan. De kans dat jouw publieke IP adres wijzigt is zo goed als nihil.

Welke onttrekking aan toezeggingen?

Maar je kan van buitenaf jouw huis toch ook gewoon bezoeken of ervaar je daar problemen bij?

Een consumenten abonnement heeft altijd al dynamische IP-adressen gehad, ik snap niet zo goed wat je bedoelt.

Wat bedoel je hiermee? Welke beveiligingsmaatregel zou jou voorkomen om het IP-adres van een A-record in te zien? Als jij via een computer op je netwerk het A-record up-to-date houdt is er in theorie niks wat je er van weerhoudt om vanaf een externe locatie te kunnen verbinden naar je thuisnetwerk. Dit heb ik zelf ook ingesteld voor mijn netwerk/domein.

Wow en dat terwijl dat IP adres gewoonweg niet zal wijzigen. Je moet van hele goede huize komen om jouw publieke IP adres gewijzigd te krijgen, dat gaat je gewoon niet lukken.

Zelfs als je KPN smeekt om een nieuw IP adres omdat je een DDoS aanval ondergaat zal je die niet gaan krijgen.

Welke beveiligingsmaatregel?

In mijn aanbod stond dat ik een vast IP adres zou krijgen. Ik vind het in dit opzicht niet zo heel interessant wat jij denkt te weten of als vanzelfsprekend beschouwt. Er is een toezegging gedaan en ik constateer dat KPN medewerkers dit buitengewoon gemakzuchtig verwerpen en ook op geen enkele wijze tegemoet willen komen om de daaruit voortkomende problemen op te lossen.

Eh? Daar hebben we het nu net over. DNSSEC dus. Die “dienst” die controleert of dat A record wel echt klopt.

Ik hamer daar niet op. Ja, formeel is het een dynamisch IP adres want KPN wil zich het recht voorbehouden om jouw IP adres te kunnen wijzigen. In de praktijk en conform de policy van KPN zal jouw IP adres echter nooit wijzigen.

Maar dat is toch ook met dyndns geen enkel probleem.

Maar wat heeft dat nu toch met dyndns te maken.

Overigens mijn dynamic dns entry by synology.me scoort even goed (of slecht) als de domeinen van bijvoorbeeld anwb en abnamro.

Er zijn relatief weinig domeinen die volledig DNSSEC zijn dus als jouw privédomein dat wel is, heel goed.

Kan je eens eens screenshot plaatsen van die Verisign DNSSEC controle voor jouw privédomein.

Dus jij hebt nogsteeds hetzelfde abonnement van 8 jaar geleden met dezelfde snelheid? Als je namelijk ooit eens voor een snellere verbinding gekozen hebt heb je daarmee ook een nieuw abonnement gekregen en daarmee je eventuele recht op een vast IP-adres waar je destijds misschien recht op had verloren. Ik snap overigens ook totaal niet waarom je hier de hele tijd zo'n groot probleem van maakt, gezien je dit zelf zoals ik al zei makkelijk in 10 minuten kan regelen.

DNSSEC zou hier geen enkele impact op moeten hebben, ik heb zelf ook DNSSEC op mijn domein en het werkt allemaal prima. Klinkt alsof je iets niet goed geconfigureerd hebt.