Page tree
Skip to end of metadata
Go to start of metadata

Netwerk interfaces

Je Soleus VPS is uitgerust met twee netwerk interfaces. In het overzicht van oVirt worden deze aangeduid als nic1 (ovirtmgmt/ovirtmgmt) en nic2 (br-lan/br-lan). In je geïnstalleerde OS zullen ze in het algemeen andere namen hebben, zoals eth0/eth1, enp1s0/enp2s0 of nog andere varianten. nic1 is via de Coloclue switches en routers direct verbonden (1 Gbit/sec) met het internet, terwijl nic2 gekoppeld is aan een intern Soleus LAN voor communicatie met andere VPS'en bij Soleus, zowel systeem diensten als VPS'en van andere gebruikers. Ook heb je via nic2 een high-performance (20 Gbit/sec) verbinding met de Soleus storage/backup server, op het adres storage.lan.soleus.nu.

Adresruimte

Voor internet toegang beschikt Soleus over het 94.142.246.0/24 netwerk voor IPv4 en het 2a02:898:62::/48 netwerk voor IPv6. Op het interne Soleus LAN gebruiken we alleen IPv4 over een RFC 1918 netwerk 10.20.0.0/24. Bij de oplevering van je VPS krijg je daarom voor nic1 een IPv4 en een IPv6 adres toegekend, en voor nic2 alleen een IPv4 adres. Als je je VPS zelf installeert vanaf een iso image, let er dan goed op dat je alleen de toegekende adressen gebruikt. Afwijkingen hiervan kunnen een verstoring van het netwerk voor alle andere leden veroorzaken, en dat willen we uiteraard niet. De toegekende adressen zijn uiteraard gekoppeld aan namen in onze DNS. Samenvattend krijg je bij een VPS genaamd vpsnaam het volgende:

interfaceIPnaamadres/netmask
nic1IPv4vpsnaam.soleus.nu94.142.246.X/24
nic1IPv6vpsnaam.soleus.nu2a02:898:62:f6::X/64
nic2IPv4vpsnaam.lan.soleus.nu10.20.0.X/24

X is een waarde tussen 33 en 251, die in het geval van IPv6 als hexadecimaal getal gerepresenteerd wordt.

Omdat we slechts 256 openbare IPv4 adressen tot onze beschikking hebben, moeten we daar zuinig mee omgaan. Per VPS krijg je dus in principe maar 1 openbaar IPv4 adres tot je beschikking. In het verre verleden zijn er enkele VPS'en uitgerust met 2 of zelfs 3 IPv4 adressen. De technische noodzaak daarvoor is veelal vervallen, en we verzoeken deze leden dan ook met klem om hun extra adressen terug te geven aan de pool.

Voor IPv6 adressen ligt de situatie heel anders, daarvoor hebben we een overvloed aan adresruimte in voorraad. Als je behoefte hebt aan extra IPv6 adressen, stuur dan een verzoekje aan ct@soleus.nu en we kennen je zonder moeilijke vragen een /60 blok toe uit onze pool. Alle verkeer voor dat blok routeren we (via Coloclue) naar het primaire IPv6 adres van je VPS.

Routering

Om ervoor te zorgen dat je VPS ook daadwerkelijk met het hele internet kan communiceren moet er een gateway geconfigureerd worden waarheen het verkeer gestuurd kan worden dat niet op het lokale netwetk afgeleverd kan worden. Deze gateway adressen zijn dus alleen van toepassing voor nic1 en dienen als volgt gezet te worden:

IPv494.142.246.254
IPv62a02:898:62:f6::ffff

DNS resolving

Voor het vertalen van domeinnamen naar IP adressen heb je een DNS resolver nodig. Op je VPS heb je in het algemeen voldoende aan een zogenaamde stub resolver, een in elke Linux distro ingebouwd stukje software dat al het DNS resolver werk uitbesteedt aan een of meer externe servers. In de klassieke opzet configureer je dat proces en die servers in de file /etc/resolv.conf. In sommige nieuwere distro's zijn allerlei complicerende mechanismes toegevoegd om dit ingewikkelder te maken, maar dat levert je op een doorsnee VPS geen enkele meerwaarde. We adviseren je dan ook om die mechanismes uit te schakelen en terug te vallen op de klassieke configuratie. De door ons aanbevolen configuratie ziet er zo uit:

# /etc/resolv.conf - DNS resolver configuration file
search soleus.nu
# default to Soleus resolvers
nameserver 10.20.0.15
nameserver 10.20.0.14

Je maakt dan gebruik van de Soleus DNS resolvers via het interne Soleus LAN. Deze resolvers zijn volledig DNSSEC-enabled. Omdat je DNS requests gemixt worden met die van alle andere Soleus leden, zijn requests voor externe waarnemers niet terug te traceren tot jouw specifieke VPS. Wij garanderen je ook dat we geen logging doen van DNS requests, dit in tegenstelling tot populaire diensten als 1.1.1.1 (Cloudfare), 8.8.8.8 (Google) of 9.9.9.9 (Quad9). Een ander klein voordeel van de Soleus resolvers is dat ze ook de correcte reverse mapping voor interne IP adressen kunnen doen, zoals:

wytze@bocanium:~$ host 10.20.0.15
15.0.20.10.in-addr.arpa domain name pointer ns02.lan.soleus.nu.
wytze@bocanium:~$ host 10.20.0.14
14.0.20.10.in-addr.arpa domain name pointer ns01.lan.soleus.nu

Je bent uiteraard vrij om andere keuzes te maken. Vooral tijdens het installeren van je VPS vanaf een iso is het vaak handig om tijdelijk even 8.8.8.8 oid als resolver te configureren omdat op dat moment het interne Soleus LAN vaak nog niet volledig geconfigureerd is op je VPS, waardoor de Soleus resolvers niet bereikbaar zijn.

Voor de ernstig geïnteresseerden: de Soleus DNS resolvers ondersteunen ook DNS-over-TLS, zowel op het interne Soleus LAN als over het publieke internet. Je bereikt deze dienst op poort 853 van ns01.[lan.]soleus.nu of ns02.[lan.]soleus.nu.

DNS records voor je VPS

Zoals we hierboven al zagen worden er voor je VPS met naam vpsnaam door ons automatisch een aantal DNS records aangemaakt:

naamtypewaarde
vpsnaam.soleus.nuA94.142.246.X
vpsnaam.soleus.nuAAAA2a02:898:62:f6::X
vpsnaam.lan.soleus.nuA10.20.0.X
X.246.142.94.in-addr.arpaPTRvpsnaam.soleus.nu.
X.X.0.0.0.0.0.0.0.0.0.0.0.0.0.0.6.f.0.0.2.6.0.0.8.9.8.0.2.0.a.2.ip6.arpaPTRvpsnaam.soleus.nu.

De laatste twee records zijn zogenaamde reverse mappings, records om voor een gegeven IP adres de bijbehorende naam in de DNS te kunnen vinden. Met name voor mail servers is de waarde hiervan vaak kritiek voor het correct functioneren van de server. Wanneer je eigen domeinnaam bezit en beheert, en deze ook voor je VPS wilt gebruiken, dan is dat wat betreft de forward mappings (de eerste drie records uit de tabel) geheel in je eigen hand. Voor de laatste twee records kun je met een mailtje aan ct@soleus.nu vragen om vpsnaam.soleus.nu. te vervangen door je eigen domeinnaam.

Veelgestelde vragen

voeg hier je vraag toe

Ik heb dom.ein gekocht; hoe kan ik zorgen dat de webserver op mijn vps daaraan gekoppeld wordt?

Als de aanbieder van je dom.ein ook een DNS management interface aanbiedt, dan kun je daarin A en AAAA records aanmaken voor vps.dom.ein met dezelfde waarden als die records voor vpsnaam.soleus.nu hebben. Vervolgens kun je een mailtje aan ct@soleus.nu sturen met het verzoek om de reverse mappings voor je VPS te veranderen in vps.dom.ein.

Als de aanbieder van je dom.ein geen DNS management interface aanbiedt, of alleen tegen hoge kosten, dan kun je ook zelf een DNS server inrichten op je VPS. We bevelen hiervoor de nsd software van NLnet Labs van harte aan (die gebruiken we zelf ook). Als secondary name server kun je gebruik maken van Coloclue: zij hebben een secondary name server ns4.coloclue.net die die volgens het ‘supermaster’ principe van powerdns automatisch alle zones die je erheen stuurt zal hosten. Je moet dan nog wel aan de aanbieder van je dom.ein de namen en adressen van je nameservers voor dom.ein doorgeven, dus bijvoorbeeld:

dom.einNSvps.dom.ein.

94.142.246.X

2a02:898:62:f6::X

dom.einNSns4.coloclue.net.

95.211.237.213

2001:1af8:4500:a060:1::53

Hoe zit het met DNSSEC?

Soleus heeft al zijn domeinen (soleus.nu, soleus.org en hostingvereniging.nl) met DNSSEC (d.m.v. NSEC) beveiligd, dat wil zeggen dat alle record sets in de zones voorzien van digitale handtekeningen waarvan de echtheid geverifieerd kan worden via de DNS. Daarvoor heb je wel een zogenaamde validating DNS resolver nodig. De Soleus resolvers, gebaseerd op unbound, zijn geconfigureerd als validating DNS resolvers. Helaas zijn nog steeds niet alle domeinen in de wereld voorzien van DNSSEC handtekeningen, maar voor alle domeinen die aangeven (door middel van een speciaal DS record bij hun parent), zal een validating resolver die controle met behulp van de digitale handtekeningen uitvoeren, en bij het falen van die controle wordt een SERVFAIL geretourneerd aan de client in plaats van een potentieel niet betrouwbaar antwoord.