Dynamic DNS mit AWS Route 53

Bis vor kurzem habe ich dyn.com als Lösung für meine dynamische DNS Domäne genutzt. Leider ist dyn.com für eine Domäne zu teuer geworden seit Oracle Dyn übernommen hat. Ich wollte jedoch nicht einfach den Anbieter wechseln, lieber wäre mir eine "eigene" Lösung gewesen, um unabhängig zu sein von den Launen eines Dienstleisters.

Per Zufall bin ich dann über diese Blog Artikel gestossen:

• https://medium.com/@avishayil/dynamic-dns-using-aws-route-53-60a2331a58a4
• https://willwarren.com/2014/07/03/roll-dynamic-dns-service-using-amazon-route53/

In diesen Artikeln wird erklärt, wie AWS Route 53 als kostengünstige dynamische DNS Lösung eingesetzt werden kann. Ich habe dies ausprobiert und es ist relativ einfach umzusetzen, wenn man sich mit AWS (cli) und AWS Route 53 schon auskennt.

Ich habe eine veränderte Version der Scripts aus dem Original-Artikel erstellt:

Anpassen müsst ihr folgende Variablen:

• ZONEID => Eure AWS Route 53 Zonen ID hier eintragen
• RECORDSET => Domäne bzw. Record eingeben, z.B.: example.com oder www.example.com
• TTL => Gewünschte TTL: https://de.wikipedia.org/wiki/Time_to_Live
• TYPE => Record type angeben: https://en.wikipedia.org/wiki/List_of_DNS_record_types

Ihr könnt natürlich alles andere auch anpassen im Script, ich will nur noch auf folgende Variablen aufmerksam machen:

• aws_profile => Hier könnt ihr das AWS Profil angeben, falls ihr mehrer nutzt: https://docs.aws.amazon.com/cli/latest/userguide/cli-configure-profiles.html
• aws_binary_path => Pfad zu eurem AWS cli. Je nach Installation unterschiedlich. Bei Nutzung mit cron teilweise nötig um die PATH Variable richtig zu setzen.
• IPFILE=> Pfad/Dateiname in welcher die IPv4 des letzten Laufs gespeichert wird.
• COMMENT => Kommentar welcher beim aktualisieren des DNS-Eintrages bei AWS Route 53 gespeichert wird.

Ein weiterer interessanter Abschnitt im Script ist das herausfinden der externen IPv4-Adresse:

# Get the external IP address
# https://unix.stackexchange.com/questions/22615/how-can-i-get-my-external-ip-address-in-a-shell-script
# example1: dig @resolver1.opendns.com A myip.opendns.com +short -4
# example2: dig @ns1-1.akamaitech.net ANY whoami.akamai.net +short -4
# example3: dig @ns1.google.com TXT o-o.myaddr.l.google.com +short -4 | sed -e 's#"##g'
IPv4=$(dig @resolver1.opendns.com A myip.opendns.com +short -4)

Es gibt viele Möglichkeiten die externe IPv4-Adresse zu bestimmen, wichtig jedoch ist, dass dies zuverlässig funktioniert und sich nicht über die Zeit ändert. Im Kommentar sind einige Beispiele und ein Link zu einem Thread der sich diesem Thema widmet. Eine alternative zu dig wäre auch mit curl die IPv4 zu bestimmen, z.B. mit: curl https://ipinfo.io/ip

Script ausführen

Wenn ihr das Script das erste mal ausführt und noch keine IPv4 im IPFILE gespeichert ist, wird versucht der AWS Route 53 DNS-Eintrag zu aktualisieren. Um die Aktualisierung der DNS-Eintrages zu forcieren, müsst ihr also nur das IPFILE löschen.

> ./updateRoute53DNSRecord.sh
[Sat Mar 21 21:25:48 UTC 2020] Starting "./updateRoute53DNSRecord.sh"
External Ipv4 has changed to xxx.yyy.zzz.000
{
    "ChangeInfo": {
        "Id": "/change/C0917505C6U6425KAQMX",
        "Status": "PENDING",
        "SubmittedAt": "2020-03-21T21:25:50.110000+00:00",
        "Comment": "Auto updating @ Sat Mar 21 21:25:48 UTC 2020"
    }
}
AWS Route 53 record "supportblog.ch" with type "A" has been updated with value "xxx.yyy.zzz.000" in zone ABCD0987EFGC91 
[Sat Mar 21 21:25:50 UTC 2020] Script finished 

> ./updateRoute53DNSRecord.sh
[Sat Mar 21 21:25:40 UTC 2020] Starting "./updateRoute53DNSRecord.sh"
External IPv4 is still the same.
[Sat Mar 21 21:25:40 UTC 2020] Script finished

Zugriffskontrolle DNS Zone

Es ist zusätzlich ratsam einen Benutzer mit programmgesteuertem Zugriff (programmatic access user) zu erstellen und diesen im AWS-cli Profil einzurichten.

• https://docs.aws.amazon.com/de_de/IAM/latest/UserGuide/id_users_create.html#id_users_create_cliwpsapi
• https://docs.aws.amazon.com/de_de/cli/latest/userguide/cli-chap-configure.html

Dem Benutzer mit programmgesteuertem Zugriff sollte noch eine AWS IAM Policy, die nur Änderungen von Einträgen in einer angegebene Zone erlaubt, angefügt werden:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": "route53:ChangeResourceRecordSets",
            "Resource": "arn:aws:route53:::hostedzone/<your zone id>"
        },
        {
            "Sid": "VisualEditor1",
            "Effect": "Allow",
            "Action": "route53:ListHostedZonesByName",
            "Resource": "*"
        }
    ]
}

Crontab einrichten

Schlussendlich könnt ihr noch einen Cronjob einrichten um die Ausführung des Scripts zu automatisieren:

*/30 * * * * /root/updateRoute53DNSRecord.sh >> /root/updateRoute53DNSRecord.log