DigiLoog

昨年末に実施した自鯖NW刷新では、各拠点をVPN接続しつつ経路制御にBGPを使う方針を取った。
ただ、VPN接続ルータのバグによってPPPoE接続が落ちる現象が出る様になってしまい、
同時に拠点間のVPN接続も落ちてメインサーバと疎通が取れない事が発生した。

ファームに原因があるならファームウェアを変更したり別ルータを使うのが本筋だが、
拠点間のVPNは同一ベンダーで合わせたいので刷新は行わず、
ファームをアップグレード・ダウングレードしても直らなかったので諦めた。
ただ、バグについてはベンダーにもPPPoE接続不具合が報告されていたので修正が入る様な気もする。

………

そうなると、シングル接続を冗長化して回避するのが手っ取り早いので、セオリーに従い冗長化する事に。
丁度、eBGPとiBGPの経路制御も勉強したかったので「これ幸い」と前向きに思う事にした。
そうなると、サーバ本体でもBGPを喋らせてデータセンター風のNW設計もテストしたいが、
これは情報収集も進めつつ実装を考えていく予定。
ひとまず、追加分のルータ発注も完了したので、7月はDNSの方も進めつつコチラも着手する予定。

前回書いた通り、DNSSEC検証用にドメインを取ったので処理する権威DNSが必要になった。
とは言っても、Webサーバ・メールサーバ等の本番ドメインを収容している所ではやりたく無い為、
検証用の権威DNSを何かしら構築する方針で考えている。

仮想サーバのリソースも余っているし、予備のグローバルIPも残っている上、
逆NATすればゲートウェイルータ経由で応答させる事も可能なのだが、
検証用途で本格的なサーバを構えるのも大変なので迷っている所。

当初の予定通りラズパイ4を使う案が第一候補になっているのだが、
ラズパイ4は発熱量が凄いのでコレからの時期を乗り越えられるかが懸念点となった。
発熱を回避するには送風して強制的に冷やすか、物を変えるのが手っ取り早い。
ただ、検証用にラズパイ4を用いるのも勿体無いので二の足を踏む状態になっている。

色々な要因を回避する為にサーバ構成を練るのも楽しい一時なので、
この時を考えつつ構成検討を進めようと思う。

独自ドメインを利用するには何でも良いから権威DNSが必要となるので、
普通の人ならばレジストラが提供している権威DNSを使っていると思う。
筆者の場合はスキル向上と世間のDNS動向を調査する為に自前で権威DNSを運用しており、
メインで利用している “ns-lab.org” 含め、関連する4ドメインで分速10～50クエリを捌いている。

DNSは昔から存在する事もあり基本的な考え方は枯れているが、
昨今は「DNS over TLS/HTTPS」セキュリティ強化を図ったり、
以前話題になった「NXNSAttack」の様に新しい攻撃手法が日々編み出されたりしている。

………

そんな中、古めの技術なのに日本で普及していない技術としてDNSSECが存在する。
DNSSECを使うにはレジストリにDSレコード登録が必要な上、ミスるとドメインが全滅する危険がある。
また、キャッシュDNSがDNSSECに対応していない事も多く普及していないのが現状となる。
筆者が所有している4ドメインもコレに漏れず、権威DNSはDNSSECに対応していない。
そもそも、利用しているレジストリがDSレコード申請に対応していない事もあるのだが、
KSK/ZSK運用のナレッジも無いので、対応をずっと見送っていた。

ちょっと前に自宅サーバ刷新が完了した事もあり、暫くの間は積みゲーで遊んだりしていたのだが、
そろそろ自鯖沼に戻りたくなってきたので、スキルを磨けそうなネタが何か無いか探していた。
今上がっている物としては、ESXi 7.0構築、eBGP/iBGPルーティングがあるのだが、
ずっと放置していたDNSSECに着手するのもアリだと思ったので本格的に検討してみた。