Custom VPN-Lösung des AG prüft den PTR. Mit IPv4 kein Problem, mit IPv6 leider schon und man möchte ja auch irgendwann den Hardswitch auf IPv6 machen.

Ich möchte auch nicht anfangen müssen, meiner Firewall eine fixe IP aus meinem /56er Präfix zu geben.

Bitte nicht über den Sinn und Zweck diskutieren, mir geht es nur um die Machbarkeit bzw. Umsetzung des ganzen, da es sich hierbei lediglich um einen Eintrag handelt.

Bei der Telekom klappt das, bei VF sollte das dann doch auch möglich sein ?!

Hoffe auf eine Antwort von einem VF-MA.

Grüße

Solange deine Firewall nicht auch gleichzeitig der Router ist, gibt es doch gar kein Problem.

Erst wenn deine Firewall auch gleichzeitig den IA_NA auf der externen Seite anfordert, bräuchtest du den PTR auf die IA_NA-Adresse (wobei ich mir ziemlich sicher bin, dass dieser nicht beeinflusst werden kann). Sobald die FW hinter dem Router hängt, bekommt sie ja eh "nur" eine IA_PD-Adresse.

Und entweder du nutzt die gegenenen Möglichkeiten (PTR nur für die ersten 5 Subadressen aus dem ersten Präfix aus dem PD-Bereich) -oder- du kommst um eine Delegierung des DNS nicht drum herum. Und wie gesagt - da die IA_NA-Adresse nicht fest sein muss, wird da auch m.W. nichts eingerichtet.

Und leider wirst du da nicht wirklich was anderes zu Hören bekommen - ich hab damals auch schon angefragt, ob ich für eine andere Adresse als dieser ersten 5 einen PTR bekommen kann - Antwort: "Nein, ist nicht vorgesehen und so über die Technik auch nicht vornehmbar."

FW=Router=VPN Endpunkt für S2S-VPN. Daher ja auch der PTR auf die IA_NA...

Also technisch unmöglich ist das nicht, die Adresse hat sich bei mir auch noch nicht verändert.

Wie gesagt, die Telekomiker bekommen das hin:

Auch wenn sich die Adresse bisher bei dir nie geändert hat, ist die IA_NA-Adresse nicht als "feste" Adresse reserviert oder vertraglich vereinbart. Sie KANN sich ändern, MUSS es aber nicht zwangsläufig.

Und wie gesagt: Bei VF-Kabel gibt's für die IA_NA keinen PTR - über VF selbst lediglich für die ersten 5 Adressen des ersten Subnetzes der IA_PD-Adressen - oder halt die vollständige Weiterleitung aller PTR-Anfragen für alle IA_PD-Adressen an einen DNS deiner Wahl.

Was die Telekom macht, ist dabei völlig irrelevant - rein technisch ist die dortige Begrenzung auf 255 PTR-Records genau so technisch unsinnig, wie es die 5er-Begrenzung bei VF ist. Das sind aber nunmal Limitierungen der ISPs - wenn du mehr willst, sind die gebotenen Lei(s)tungen für deine Anforderungen nicht ausreichend und du wirst um richtige Business-Leitungen (und da rede ich nicht von xDSL oder DOCSIS, sondern wirklich von Glas) nicht drum herum kommen. Nur werden die dann auch definitiv teurer.

Entweder du kannst mit den Einschränkungen leben bzw. dich damit arrangieren -oder- du wirst mehr Geld in die Hand nehmen müssen.

Der Zugang ist Zeitgemäß, der PTR-Record dient nur der zusätzlichen Absicherung (neben Smartcard und TLSA-Record) und gilt auch nur für ein S2S-VPN.

Ich warte noch die Antwort eines VF-MA ab, auch bei der Telekom gibt es übrigens diese Beschränkung lediglich im Webinterface, nach telefonischer Nachfrage stehen aber bei Bedarf auch mehr als 255 Einträge zur Verfügung.

Da ich in der Branche arbeite, weiß ich auch wieviel so ein IP-Access bzw. Upstream zu namhaften Anbietern kostet, daher bitte ich euch, spart euch die Aufklärungsversuche.

Wenn es wirklich nicht geht und sich die IA_NA unter Umständen sogar ändern kann muss ich eben andere Wege gehen, wäre ja nichts Neues das VF da auch wieder ein eigenes Süppchen kocht.

Selbst die Änderung der DNS-Weiterleitung scheint nicht zu funktionieren, ich bekomme:

"Es ist ein technischer Fehler aufgetretren", funktioniert in eurem System eig. überhaupt mal etwas einwandfrei ?