Requerimientos para resolvers on-premise

Planisys se encargará de preparar servidores on-premise para formar parte de su infraestructura ligada a un Reseller o Tenant de PDNS.

En caso de contar con firewall externo

En principio se deberá permitir acceso a las IPs 190.185.104.222, 209.127.217.3, 190.185.104.132, 190.185.107.248, 179.63.248.252, 179.63.248.250, 179.63.248.92, 2803:bc00::81 en puertos 22022 y 53 (entrante) mínimamente.

Luego el servidor resolver deberá tener abierto siempre al mundo los siguientes puertos entrantes y salientes:

  • 53 TCP/UDP - DNS puro

  • 853 TCP - DoT (RFC 7858)

  • 443 TCP - DoH (RFC 8484)

  • 8443 TCP saliente iniciador de la conexión

  • TCP 80 si no se dispone de certificados, para ACME HTTP-01 challenge de Let’s Encrypt

  • TCP 22022 para ssh en vez de puerto 22 default

Las restricciones de acceso al resolver a nivel aplicación en los puertos 53/853/443 estarán dadas en cuanto se declare en la interfaz web los puertos permitidos. Si el cliente desea agregar estas mismas restricciones declaradas en el portal PDNS a nivel firewall externo , puede hacerlo pero se perdería la información SIEM si es que se quisiese utilizarla.

Locale

  • el locale de Debian debe ser en_US.UTF-8 , instalar en inglés americano (US)

Selección del hardware para un resolver

dado que el resolver debe computar hashes DNSSEC cada vez que resuelve un dominio partiendo de los root-nameservers, es importante seleccionar un hardware adecuado.

Para éso, en linux recomendamos correr el comando:

grep -o -w 'aes|sha\_ni|pclmulqdq|rdseed|rdrand|avx|avx2|avx512' /proc/cpuinfo | sort | uniq

El resultado ideal en 2024 sería , teniendo en cuenta SIMD (Single Instruction Multiple Data, o manejo paralelo de lotes de datos)

  • sha_ni (hashing DNSSEC: DS/NSEC/NSEC3 en SHA-256)

  • aes (para DoT/DoH)

  • avx (ideal para lotes de validaciones)

  • avx2 (ideal para lotes de validaciones)

  • pclmulqdq (helpful in DoT/DoH)

  • rdrand (DNS cookies, NSEC3 randoms)

  • rdseed (RNG , fuente de entropia)

  • avx512 (para SIMD a gran escala, resolvers de alta capacidad)

Escala de requisitos de hardware

  • Hasta 20.000 clientes 2 x VPS de 16GB RAM / 4 vCPU / 20GB SSD

  • Hasta 100.000 clientes 2 x VPS de 32GB RAM / 8 vCPU / 30GB SSD

  • Hasta 500.000 clientes 2 x VPS de 64GB RAM / 16 vCPU / 40GB SSD

Aviso

En caso de configurar la VM en un entorno PROXMOX es necesario que el modelo de CPU sea HOST para poder utilizar la cripto-aceleracion propia de la CPU en operaciones DNSSEC (modo “CPU passthrough”). Como lo puede ver en el siguiente print:

../_images/proxmox1.png

Para la instalación existen varias modalidades

  1. en caso de proveer acceso a un Dell iDrac con IP pública, se necesitará user y password para que Planisys realice la instalación del Sistema Operativo sobre el bare metal y podrá realizar todos los pasos del punto 2 sin necesidad de involucrar al cliente.

    El firewall en este caso deberá estar completamente abierto al mundo:

    • TCP 443 # HTTPS Web UI and Redfish

    • TCP 5900 # Virtual Console (KVM)

    • TCP 5901 # (sometimes used by KVM viewer)

    • UDP 623 # IPMI over LAN

    • TCP 22 # Optional SSH access

    • TCP 5120 # Virtual Media (if needed)

    Una vez realizada la operación de instalación, todo esto se puede volver a cerrar, recomendando ubicar la IP del iDrac en una DMZ o LAN interna.

  2. en caso de tener un bare-metal o KVM o LXC ya instalado , los requerimientos son:

    • el sistema operativo a instalar por el cliente será Debian12 headless (sin interfaz gráfica) para acceso ssh puerto 22022 con un usuario y clave, aunque luego Planisys ingresará como root con clave pública .

    • En caso de proveer un usuario distinto de root, este deberá poder convertirse en root via sudo (o su - root en caso de proveer la clave de root).

    • De esta manera , Planisys podrá ingresar al sistema remotamente como root, ejecutar ciertas operaciones manuales como ssh-keygen, agregar IPs en /root/.ssh/authorized_keys, generar un nuevo machine-id y ejecutar un playbook ansible para el setup del resolver.

    Por otro lado, es necesario que la dirección IP pública tenga reverso en el DNS, y que dicho reverso resuelva a la dirección IP pública. Esto vale tanto para ipv4 como ipv6.

    Aviso

    el puerto 22022 deberá estar abierto a las IPs listadas más arriba. Una vez realizada la instalación, el puerto 22 en caso de tener firewall externo se puede volver a cerrar.

  3. en caso de haber contratado un cluster VRRP de dos o más resolvers, las opciones serán únicamente bare-metal o KVM (no LXC) , y adicionalmente se nos deberá proveer una dirección IP virtual. El resto es como en el punto anterior. El cluster actuará en modo hot/standby a nivel network, pero utilizará dnsdist para realizar load-balancing a nivel aplicación entre ambos servidores en la medida que ambos estén vivos, y así utilizar toda la potencia computacional del cluster completo.

  4. en caso de haber contratado un SIEM, Planisys deberá estimar el volumen de datos para realizar una evaluación de cuál hardware conviene, y el cliente además deberá especificar si quiere o no clusterizar la base de datos del SIEM. Se recomienda un un SIEM local a los resolvers para poder transferir lotes de DNSTAP (logs comprimidos de DNS) hacia el consumidor que inyecta los datos en la base de datos, sin necesidad de utilizar ancho de banda externo.

Last Updated on 2025-06-03