Cablesurf und (Reverse-)DNS

Ich bin privat Kunde beim Internet-Anbieter Cablesurf. Das Unternehmen gehört oder gehörte wohl irgendwie zu Kabel & Medien Service, wurde dann aber irgendwann von der Tele-Columbus-Gruppe gekauft. Das führte dann zu einigen unschönen Anrufen, auch mir hat man damals am Telefon erstmal nur erzählt, mein Produkt würde eingestellt und ich müsste mir eine Alternative suchen. Dass es nur entweder deutlich weniger leistungsfähig oder aber merklich teurer gibt, fand ich nicht so lustig, allein, als ich nachfrage, was passieren würde, wenn ich nicht wechseln sollte erfuhr ich dann, dass alles beim Alten bliebe. Und so habe ich noch heute den selben Tarif, mittlerweile halt nur mit eigenem Endgerät.

An dieser Stelle muß ich wirklich - bevor ich zu meckern beginne - eine Lanze für den Dienst brechen: Die machen Internet, und das machen sie ziemlich verdammt gut, bei mir hier zumindest. Mein letzter Ausfall war 2013, das ist ziemlich beeindruckend. Und auch, wenn die Hotline hin und wieder mal vergisst, auf eine Mail zu antworten, oder einem zum Stand eines Tickets zu informieren, dann kann man das im großen und ganzen verschmerzen, im Laden und am Telefon sind die Mitarb* nett und hilfreich genug. Und flexibel ist der Laden auchm, man hat mir da schon vor über zehn Jahren einen IPv6-Tunnel angeboten. Was ich hier gleich schreiben werden fällt definitiv unter die Kategorie “Jammern auf hohem Niveau” :-)

Ich habe in letzter Zeit das Problem, dass jeder SSH-Login von zu Hause aus auf einem meiner privaten Server ewig dauert - zumindest das erste Mal, dann geht es ein paar Stunden schnell, und danach dauert es wieder. Das liegt natürlich am Reverse-DNS, wie ein beherztes

UseDNS no

in der sshd_config auch sofort bewiesen hat. Allein, das ist jetzt keine tolle Lösung, und mich hat interessiert, was das Problem war. Gehen wir mal davon aus, meine IPv6-Adresse zu Hause sein $IP6 aus dem Netz 0.5.c.4.1.0.0.2.ip6.arpa. Dafür ist folgender SOA-Record hinterlegt:

$ dig 0.5.c.4.1.0.0.2.ip6.arpa. soa +short
dns1.cablesurf.de. hostmaster.cablesurf.de. 201121301 14400 3600 1209600 14400

Man beachte die 14400, die negative caching time in Sekunden. Und in der Tat, für die Adresse von der aus ich mich auf meine Server verbinde, gibt es keinen Eintrag:

$ dig -n -x $IP6
[...]
;; ->>HEADER<<- opcode: QUERY, status: NXDOMAIN, id: 34400

Wir schauen also, welche Server zuständig sind:

$ dig 0.5.c.4.1.0.0.2.ip6.arpa ns +short
dns1.cablesurf.de.
dns3.cablesurf.de.
dns2.cablesurf.de.
ns.ripe.net.

Eigenwillig, aber mal schauen. Probieren wir erstmal dns1:

$ dig -n -x $IP6 @dns1.cablesurf.de | grep status
;; ->>HEADER<<- opcode: QUERY, status: NXDOMAIN, id: 20860

War zu erwarten. Was ist mit dns2 und dns3?

$ dig -n -x $IP6 @dns2.cablesurf.de

; <<>> DiG 9.10.3-P4-Debian <<>> -n -x 2001:4c50:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx @dns2.cablesurf.de
;; global options: +cmd
;; connection timed out; no servers could be reached
$ dig -n -x $IP6 @dns3.cablesurf.de

; <<>> DiG 9.10.3-P4-Debian <<>> -n -x 2001:4c50:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx @dns3.cablesurf.de
;; global options: +cmd
;; connection timed out; no servers could be reached

Oh, das ist unschön. Zwei Server, die beide Timeouts liefern. Und der Server vom RIPE?

$ dig -n -x $IP6 @ns.ripe.net +norec | grep status
;; ->>HEADER<<- opcode: QUERY, status: SERVFAIL, id: 49063

Ich glaube, da muss nochmal jemand ran und Reine machen :-)