Dominio de uso especial home.arpa.
Por el 2 de Abril de 2022
El RFC 8375 de 2018 propone
el uso del dominio de uso especial .home.arpa para redes residenciales,
corrigiendo un error en el RFC 7788 donde reemplaza .home por .home.arpa para evitar que se filtren consultas DNS a los servidores raíz, evitando dos problemas:
- Sobrecarga innecesaria en los servidores raíz, una pieza crítica de la infraestructura de Internet.
- Filtrado de datos de la red interna del usuario hacia la red pública.
Estas son algunas de las opciones comúnmente usadas que constituyen una mala práctica:
Dominio .local
Se desaconseja el uso del dominio .local ya que éste fue designado para su uso con DNS multidifusión de forma que cada dispositivo de la red puede definir su nombre de host lo que puede provocar conflictos de resolución de nombres.
Dominio inventado
Otra mala práctica es el uso de un dominio inventado tal como .homenet, .network o .redcasa, ya que si la consulta no se resuelve localmente el router la reenvía a servidores DNS públicos y se acaba generando una carga innecesaria en los servidores raíz. Además es posible que el dominio que uses sea registrado como un nuevo TLD público en un futuro (como por ejemplo el dominio .casa), especialmente desde que la ICANN permite el registro de nuevos TLDs genéricos.
Dominio registrado
Una solución clásica a este problema es registrar un dominio para los dispositivos de la red interna, con la ventaja de poder usar DNSSEC aunque también con algunas desventajas:- Hay que pagar el dominio de forma periódica
- Para hacer algunos cambios hay que cambiar la configuración del DNS público
- Si la consulta no se puede resolver se filtrará información de la red interna
Este método lo explico en el artículo Delegación de zona DNS para red local usando un dominio real con DNSSEC.
Una solución es usar el dominio .home.arpa
Se propone el uso del dominio home.arpa en redes residenciales. Con esta propuesta, las consultas de nombres para *.home.arpa no serán enviadas al internet público, de forma que:
- Evitas que se filtre ninguna información de tu red interna
- No tendrás problemas con DNS multidifusión
- No generarás tráfico innecesario en los servidores raíz
- Es totalmente gratis y no hay que pagar ningún mantenimiento
Inconvenientes
- No funciona bien con algunos dispositivos
- No permite validar las consultas con DNSSEC
Configuración
Además de establecer el nombre de host y de dominio en la máquina a configurar (por ejemplo nombremaquina.home.arpa) se deben configurar también los servidores DHCP y DNS. Esto lo explico con más detalle en el artículo Red doméstica con DNS reverso y caché local.
DHCP con dhcpd
Esta es la parte correspondiente de la configuración de dhcpd.conf:
option domain-name "home.arpa";
DNS con unbound
Esta es la parte de la configuración de unbound 1.15.0 correspondiente a la
zona home.arpa. para la red privada:
server:
[...]
# Estas direcciones pertenecen a mi red privada
private-address: 192.168.10.0/24
# Permite a este dominio y sus subdominios tener direcciones privadas
private-domain: home.arpa
# Sirve estas zonas autoritativamente para los clientes DNS
local-zone: "home.arpa." static
local-data: "host1.home.arpa. IN A 192.168.10.1"
local-data: "host2.home.arpa. IN A 192.168.10.2"
# DNS reverso
local-zone: "10.168.192.in-addr.arpa." static
local-data: "192.168.10.1 host1.home.arpa"
local-data: "192.168.10.2 host2.home.arpa"
[...]