Hallo,
(Lancom 1621, FW 4.12.0031)
im VPN-Status-Trace sehe ich jede Minute:
VPN: external DNS resolution for FOOBAR.
IpStr=>foobar.dyndns.org<, IpAddr(old)=..., IpTtl(old)=60s
IpStr=>foobar.dyndns.org<, IpAddr(new)=..., IpTtl(new)=60s
auch wenn der VPN-Tunnel inaktiv ist.
Bedeutet das wirklich, daß der Router jede Minute bei dyndns nach der IP-Adresse fragt?
Ist doch eigentlich gar nicht erforderlich!?
Belastet das nicht unnötig den dyndns-Server?
Grüße,
Oliver Betz
VPN und dyndns: permanente DNS-Aufloesungen?
Moderator: Lancom-Systems Moderatoren
Hallo Oliver,
das liegt nicht an der Konfiguration des Routers, sondern an der TTL des DynDNS Namens.
> IpStr=>foobar.dyndns.org<, IpAddr(old)=..., IpTtl(old)=60s
Hier siehst Du das die TTL 60 Sekunden ist fuer den Namen "foobar.dyndns.org", also muss der Router nach 60Sekunden erneut anfragen um die Aktualitaet des Namens zu gewaehrleisten. Wenn DynDNS.ORG 60 Sekunden als TTL konfiguriert haben, dann rechnen die auch mit entsprechenden Anfragen beim DNS.
Ciao
LoUiS
das liegt nicht an der Konfiguration des Routers, sondern an der TTL des DynDNS Namens.
> IpStr=>foobar.dyndns.org<, IpAddr(old)=..., IpTtl(old)=60s
Hier siehst Du das die TTL 60 Sekunden ist fuer den Namen "foobar.dyndns.org", also muss der Router nach 60Sekunden erneut anfragen um die Aktualitaet des Namens zu gewaehrleisten. Wenn DynDNS.ORG 60 Sekunden als TTL konfiguriert haben, dann rechnen die auch mit entsprechenden Anfragen beim DNS.
Ciao
LoUiS
Dr.House hat geschrieben:Dr. House: Du bist geheilt. Steh auf und wandle.
Patient: Sind Sie geisteskrank?
Dr. House: In der Bibel sagen die Leute schlicht "Ja, Herr" und verfallen dann ins Lobpreisen.
Hallo LoUiS,
Aber warum macht der Router überhaupt Namensauflösungen, wenn der Tunnel inaktiv ist, die Information über die gegnerische IP-Adresse also gar nicht benötigt wird?
Und auch während der Tunnel besteht, muß der Router m.E. nicht dauernd die Adresse abfragen, weil es über die VPN-Polls sicherer und oft auch schneller erkannt wird.
Eigentlich ist die Namensauflösung doch nur einmal erforderlich, nämlich zum Verbindungsaufbau?
Unsere beiden 1621 rufen sich ja auch nicht alle paar Minuten per ISDN an, um die IP-Adresse zu bestätigen.
Grüße,
Oliver
Woher das Intervall kommt, ist mir schon klar.LoUiS hat geschrieben: das liegt nicht an der Konfiguration des Routers, sondern an der TTL des DynDNS Namens.
Aber warum macht der Router überhaupt Namensauflösungen, wenn der Tunnel inaktiv ist, die Information über die gegnerische IP-Adresse also gar nicht benötigt wird?
Und auch während der Tunnel besteht, muß der Router m.E. nicht dauernd die Adresse abfragen, weil es über die VPN-Polls sicherer und oft auch schneller erkannt wird.
Eigentlich ist die Namensauflösung doch nur einmal erforderlich, nämlich zum Verbindungsaufbau?
Unsere beiden 1621 rufen sich ja auch nicht alle paar Minuten per ISDN an, um die IP-Adresse zu bestätigen.
Grüße,
Oliver
Hi obetz
Gruß
Backslash
Hier machst due einen Gedankenfehler. Gerade wenn der Tunnel inaktiv ist, muß das LANCOM wissen, welche Adresse die Gegenseite hat, damit der Tunnel auch von der Gegenseite her aufgebaut werden kann. Die IPSec-Regeln sind mit der IP-Adresse der Gegenseite verknüpft.Aber warum macht der Router überhaupt Namensauflösungen, wenn der Tunnel inaktiv ist, die Information über die gegnerische IP-Adresse also gar nicht benötigt wird?
Letztendlich hast du in diesem Punkt recht, aber wozu da einen Unterschied machen?Und auch während der Tunnel besteht, muß der Router m.E. nicht dauernd die Adresse abfragen, weil es über die VPN-Polls sicherer und oft auch schneller erkannt wird.
faslch (s.o.)Eigentlich ist die Namensauflösung doch nur einmal erforderlich, nämlich zum Verbindungsaufbau?
Gruß
Backslash
Hallo Backslash,
Wenn mir jemand sagt "ach was, das juckt den nicht", bin ich schon beruhigt.
Grüße,
Oliver
reicht es nicht, erst bei einem Verbindungsversuch den/die Namen aufzulösen?Hier machst due einen Gedankenfehler. Gerade wenn der Tunnel inaktiv ist, muß das LANCOM wissen, welche Adresse die Gegenseite hat, damit der Tunnel auch von der Gegenseite her aufgebaut werden kann. Die IPSec-Regeln sind mit der IP-Adresse der Gegenseite verknüpft.
Wie ich im ursprünglichen Posting anmerkte: sind die vielen Abfragen nicht eine unangemessene Last für den dyndns-Server?Letztendlich hast du in diesem Punkt recht, aber wozu da einen Unterschied machen?
Wenn mir jemand sagt "ach was, das juckt den nicht", bin ich schon beruhigt.
Grüße,
Oliver
ho obetz,
Gruß
Backlash
Nein. Denn wenn die andere Seite zwischendurch eine neue IP-Adresse bekommen hat und dann versucht zu DIR aufzubauen, dann lehnt *DEIN* LANCOM diese Verbindung ab, weil sie von einer unbekannten IP-Adresse kommt.reicht es nicht, erst bei einem Verbindungsversuch den/die Namen aufzulösen?
Wer einen dyndns-Dienst aufzieht hat, entsprechend große Server, die mit einer Anfrage pro Minute und Domain (viel mehr erreicht den Server auch nicht, da das DNS eine hirarchische Struktur hat, d.h. die "höheren" DNS-Server cachen die Antwort) klar kommt. Ebenso wird der DNS-Server deines Providers (der in der Kette ganz oben steht) davon nicht belastet, der muß schließlich 1000de Klicks von Usern auf 1000den klicki-bunti-Seiten mit Milionen Adlinks verkraften können. Daher: alles kein Problem - zumindest nicht deins...Wie ich im ursprünglichen Posting anmerkte: sind die vielen Abfragen nicht eine unangemessene Last für den dyndns-Server?
Wenn mir jemand sagt "ach was, das juckt den nicht", bin ich schon beruhigt.
Gruß
Backlash
Hallo backslash,
(erst bei einem Verbindungsversuch den/die Namen auflösen?)
Aber wenn die minütlichen Abfragen ohnehin kein Problem für den dyndns-Anbieter darstellen, muß man sich darüber ja nicht den Kopf zerbrechen.
Danke für die Auskunft,
Oliver
(erst bei einem Verbindungsversuch den/die Namen auflösen?)
Eben nach dieser Anfrage von einer z.Zt. unbekannten IP-Adresse könnte er ja die Namensauflösung machen. Falls das nicht so lange dauert, daß der Anfragende mit einem Timeout aufgibt.Nein. Denn wenn die andere Seite zwischendurch eine neue IP-Adresse bekommen hat und dann versucht zu DIR aufzubauen, dann lehnt *DEIN* LANCOM diese Verbindung ab, weil sie von einer unbekannten IP-Adresse kommt.
Aber wenn die minütlichen Abfragen ohnehin kein Problem für den dyndns-Anbieter darstellen, muß man sich darüber ja nicht den Kopf zerbrechen.
Danke für die Auskunft,
Oliver