Dynamisches DNS (DDNS): Vollständiger technischer Leitfaden zu Einrichtung, Architektur und Sicherheit

Dynamic DNS (DDNS) ist ein Dienst, der den DNS-Eintrag eines Domainnamens automatisch aktualisiert, wenn sich die zugehörige IP-Adresse ändert, und so eine persistente Hostname-Auflösung für Geräte mit nicht-statischen öffentlichen IPs ermöglicht. Im Gegensatz zum herkömmlichen statischen DNS, bei dem ein Administrator einen A– oder AAAA-Eintrag manuell aktualisiert, verwendet DDNS einen authentifizierten API-Aufruf — typischerweise ausgelöst durch einen leichtgewichtigen Client oder Router-Firmware — um die neue Adresse innerhalb von Sekunden nach der Erkennung an den autoritativen Nameserver zu übermitteln.

Für Heimanwender, kleine Unternehmen und Betreiber selbst gehosteter Infrastrukturen macht DDNS den Kauf einer statischen IP bei einem ISP überflüssig und ermöglicht dennoch einen zuverlässigen, namensbasierten Zugriff auf Remote-Dienste. Das praktische Ergebnis: Ihr Domain-home.example.com wird korrekt aufgelöst, unabhängig davon, ob Ihr ISP Ihre Adresse um 2 Uhr nachts rotiert hat oder nicht.

Wie das Domain Name System mit dynamischen Adressen umgeht

Um zu verstehen, warum DDNS wichtig ist, hilft es zu verstehen, wo Standard-DNS versagt. Ein herkömmlicher DNS-A-Eintrag ordnet einem Hostnamen eine IPv4-Adresse mit einem Time-to-Live (TTL)-Wert zu, der Resolvern mitteilt, wie lange diese Zuordnung zwischengespeichert werden soll. Wenn ein Heimanbieter Ihre öffentliche IP neu zuweist — was bei jeder DHCP-Lease-Erneuerung, einem Modem-Neustart oder nach einem erzwungenen 24-Stunden-Reconnect-Zyklus, der in europäischen Märkten üblich ist, passieren kann — wird der zwischengespeicherte Eintrag veraltet. Jeder Resolver, der die alte Adresse zwischengespeichert hat, leitet den Datenverkehr weiterhin an einen toten Endpunkt, bis die TTL abläuft.

DDNS löst dieses Problem durch:

• Sehr niedrig gehaltene TTL (typischerweise 60–300 Sekunden), damit veraltete Einträge schnell ablaufen.
• Ausführen eines clientseitigen Agenten, der IP-Änderungen erkennt und sofort ein authentifiziertes Update an den autoritativen Nameserver des DDNS-Anbieters sendet.
• Abschluss des vollständigen Update-Zyklus — Erkennung, API-Aufruf, Nameserver-Propagierung — in der Regel innerhalb von ein bis zwei Minuten.

Die DDNS-Update-Architektur im Detail

Das Verständnis der vollständigen Update-Kette hilft Ihnen, Fehler zu diagnostizieren und die Zuverlässigkeit zu optimieren.

IP-Änderungserkennung

Ein DDNS-Client ermittelt die aktuelle öffentliche IP durch eine von drei Methoden:

1. Direkte WAN-Schnittstellenabfrage — Der Client liest die dem WAN-Interface des Routers zugewiesene IP direkt aus. Dies ist die genaueste Methode und vermeidet die Abhängigkeit von Drittanbieterdiensten.
2. Externer IP-Echo-Dienst — Der Client fragt einen Dienst wie https://api.ipify.org oder https://checkip.amazonaws.com ab. Dies funktioniert auch, wenn der Client auf einem internen Host hinter NAT läuft, führt jedoch eine Abhängigkeit von einem Drittanbieter-Endpunkt ein.
3. Router-API-Polling — Erweiterte Clients fragen die Verwaltungs-API des Routers (UPnP, TR-069 oder einen anbieterspezifischen REST-Endpunkt) ab, um die WAN-IP abzurufen, ohne das lokale Netzwerk zu verlassen.

Die Update-Anfrage

Sobald eine Änderung erkannt wird, sendet der Client eine authentifizierte HTTP- oder HTTPS-Anfrage an die Update-API des DDNS-Anbieters. Der De-facto-Standard ist das DynDNS HTTP-Update-Protokoll, das die meisten Anbieter aus Kompatibilitätsgründen implementieren:

https://username:password@dynupdate.provider.com/nic/update?hostname=home.example.com&myip=203.0.113.45

Der Server antwortet mit einer Statuszeichenkette (good, nochg, nohost, badauth usw.), die der Client analysiert, um den Erfolg zu bestätigen oder einen Fehler zu protokollieren.

Nameserver-Propagierung

Nachdem das Backend des Anbieters das Update empfangen hat, schreibt es die neue IP in die Zonendatei des autoritativen Nameservers und setzt die TTL des Eintrags zurück. Da DDNS-Anbieter ihre eigenen autoritativen Nameserver kontrollieren, erfolgt die Propagierung zur autoritativen Quelle sofort. Die verbleibende Verzögerung ist ausschließlich auf den Ablauf des Resolver-Caches zurückzuführen, weshalb eine niedrige TTL (60–120 Sekunden) für ein schnelles Failover entscheidend ist.

Dynamic DNS vs. statische IP: Ein technischer Vergleich

Für Produktions-Workloads, die garantierte Uptime-SLAs erfordern, bleibt ein Dedicated Server mit einem statischen IP-Block die richtige Architektur. DDNS ist eine pragmatische Brücke für Szenarien, in denen eine statische IP entweder nicht verfügbar oder wirtschaftlich nicht vertretbar ist.

Hauptanwendungsfälle für Dynamic DNS

Fernzugriff auf Heiminfrastruktur

Der häufigste Einsatz: Zugriff auf ein NAS, einen Sicherheitskamera-DVR, einen Plex-Server oder eine Home Assistant-Instanz von außerhalb des Heimnetzwerks. DDNS stellt einen stabilen Hostnamen bereit, sodass Sie Ihre aktuelle IP nie nachschlagen müssen, bevor Sie eine Verbindung herstellen.

Selbst gehostete VPN-Endpunkte

Beim Betrieb von WireGuard oder OpenVPN auf einem Heimrouter oder einem Raspberry Pi referenziert die VPN-Client-Konfiguration einen Hostnamen, keine IP. Ohne DDNS unterbricht jede IP-Rotation alle Client-Konfigurationen gleichzeitig. Mit DDNS wird der Hostname innerhalb von Minuten nach der Rotation zur neuen IP aufgelöst, und Clients verbinden sich beim nächsten Handshake-Versuch automatisch neu.

Heimlabor- und Entwicklungsserver

Entwickler, die lokale Staging-Umgebungen, Git-Server oder CI/CD-Pipelines betreiben, die von entfernten Standorten aus zugänglich sind, verlassen sich auf DDNS, um konsistente Webhook-URLs und SSH-Endpunkte aufrechtzuerhalten. Dies ist ein besonders starker Anwendungsfall in Kombination mit einer VPS Hosting-Umgebung, die als Reverse-Proxy oder Jump-Host fungiert und den Datenverkehr über einen Tunnel an das Heimlabor weiterleitet.

IoT und Remote-Sensornetzwerke

Eingebettete Geräte, die an einen zentralen Collector berichten, oder Edge-Knoten, die Befehle empfangen müssen, benötigen eine stabile Adresse. DDNS übernimmt die Hostname-Schicht; ordnungsgemäße Firewall-Regeln und TLS übernehmen die Sicherheitsschicht.

Kleine Unternehmensdienste ohne Budget für statische IP

Ein kleines Unternehmen, das einen internen Mail-Relay, eine SFTP-Dropbox oder ein Remote-Desktop-Gateway betreibt, kann DDNS verwenden, um externe Erreichbarkeit aufrechtzuerhalten, ohne ISP-Gebühren für statische IPs zu zahlen. Kombinieren Sie dies mit Email Hosting für die primären MX-Einträge und verwenden Sie DDNS nur für zusätzliche interne Dienste.

Auswahl eines DDNS-Anbieters

Nicht alle DDNS-Anbieter sind architektonisch gleichwertig. Wichtige Bewertungskriterien:

• Update-API-Kompatibilität — Unterstützt er das Standard-DynDNS-Protokoll? Dies bestimmt, welche Clients und Router nativ funktionieren.
• TTL-Kontrolle — Können Sie eine TTL unter 300 Sekunden festlegen? Entscheidend für eine schnelle Konvergenz nach IP-Änderungen.
• Unterstützung benutzerdefinierter Domains — Können Sie Ihre eigene registrierte Domain anstelle einer Anbieter-Subdomain verwenden? Unerlässlich für professionelle Deployments.
• IPv6 (AAAA-Eintrag) Unterstützung — Wird zunehmend wichtiger, da ISPs Dual-Stack- und IPv6-only-Präfixe einführen.
• Update-Häufigkeitsbeschränkungen — Einige kostenlose Tarife drosseln Updates oder erfordern eine periodische manuelle Bestätigung, um den Hostnamen aktiv zu halten.
• Nur-HTTPS-API — Jeder Anbieter, der Update-Aufrufe noch über einfaches HTTP akzeptiert, ist ein Sicherheitsrisiko.

Beliebte Anbieter sind No-IP, Dynu, DuckDNS (kostenlos, tokenbasiert, hervorragend für die Automatisierung) und Cloudflare (wenn Sie Ihre eigene Domain verwalten, kann die Cloudflare-API als vollwertiges DDNS-Backend mit hervorragender TTL-Kontrolle und kostenlosem HTTPS fungieren).

Wenn Sie bereits eine Domain verwalten, gibt Ihnen die Registrierung über einen Anbieter mit einer robusten DNS-API — wie Domain Registration — die vollständige Kontrolle über TTL-Werte und Eintragstypen, ohne überhaupt von einem Drittanbieter-DDNS-Dienst abhängig zu sein.

Schritt-für-Schritt DDNS-Einrichtung

Schritt 1: Bewerten Sie die IP-Rotationshäufigkeit Ihres ISP

Bevor Sie irgendetwas konfigurieren, ermitteln Sie, wie oft sich Ihre IP tatsächlich ändert. Unter Linux können Sie Ihre öffentliche IP im Laufe der Zeit protokollieren:

while true; do
  echo "$(date '+%Y-%m-%d %H:%M:%S') $(curl -s https://api.ipify.org)"
  sleep 3600
done >> /var/log/ip_rotation.log

Wenn sich Ihre IP weniger als einmal pro Woche ändert, nimmt die Dringlichkeit einer sehr niedrigen TTL ab. Wenn sie sich täglich oder bei jeder Neuverbindung ändert, setzen Sie die TTL auf 60 Sekunden.

Schritt 2: Wählen und konfigurieren Sie einen DDNS-Anbieter

Registrieren Sie ein Konto bei Ihrem gewählten Anbieter und erstellen Sie einen Hostname-Eintrag. Notieren Sie die folgenden Zugangsdaten, die Sie für die Client-Konfiguration benötigen:

• Benutzername oder Token
• Passwort oder API-Schlüssel
• Hostname (z. B. home.example.ddns.net oder Ihre eigene Domain)
• Update-Endpunkt-URL

Schritt 3: Konfigurieren Sie DDNS auf Ihrem Router

Die meisten modernen Router (OpenWrt, pfSense, Mikrotik, Asus Merlin, DD-WRT) haben native DDNS-Unterstützung. Der Konfigurationspfad variiert je nach Firmware, aber die erforderlichen Felder sind konsistent:

• Dienstanbieter — Wählen Sie aus dem Dropdown-Menü oder geben Sie eine benutzerdefinierte URL ein.
• Hostname — Der vollqualifizierte Domainname, der aktualisiert werden soll.
• Benutzername / Passwort oder Token — Ihre Anbieter-Zugangsdaten.
• Prüfintervall — Wie häufig der Router auf IP-Änderungen prüft (empfohlen: 5 Minuten).

Unter OpenWrt wird DDNS durch das ddns-scripts-Paket verwaltet:

opkg update && opkg install ddns-scripts ddns-scripts-noip luci-app-ddns

Konfigurieren Sie dann über LuCI (die Web-Oberfläche) oder bearbeiten Sie direkt /etc/config/ddns.

Schritt 4: DDclient für softwarebasierte Updates installieren

Wenn Ihr Router keine DDNS-Unterstützung hat oder Sie die Update-Logik auf einem bestimmten Host ausführen möchten, ist DDclient die am weitesten verbreitete Open-Source-Lösung.

Installation unter Debian/Ubuntu:

sudo apt update && sudo apt install ddclient -y

Eine minimale /etc/ddclient.conf für Cloudflare als DDNS-Backend:

protocol=cloudflare
zone=example.com
login=your@email.com
password=YOUR_CLOUDFLARE_API_TOKEN
ttl=120
use=web, web=https://api.ipify.org
home.example.com

Dienst starten und aktivieren:

sudo systemctl enable --now ddclient
sudo systemctl status ddclient

Ein sofortiges Update erzwingen und Logs prüfen:

sudo ddclient -daemon=0 -debug -verbose -noquiet

Schritt 5: Konfiguration validieren

Überprüfen Sie von einem externen Netzwerk aus (mobile Daten, eine andere ISP-Verbindung oder ein Remote-Server), ob der Hostname zu Ihrer aktuellen IP aufgelöst wird:

dig +short home.example.com @8.8.8.8

Vergleichen Sie die Ausgabe mit Ihrer tatsächlichen öffentlichen IP:

curl -s https://api.ipify.org

Beide Werte müssen übereinstimmen. Wenn sie sich unterscheiden, überprüfen Sie das DDclient-Log unter /var/log/ddclient.log oder die DDNS-Statusseite des Routers auf Fehlercodes.

Schritt 6: Eine IP-Änderung simulieren

Um den vollständigen Update-Zyklus zu überprüfen, ohne auf eine echte Rotation warten zu müssen, ändern Sie die IP im Dashboard Ihres DDNS-Anbieters vorübergehend auf eine Dummy-Adresse (z. B. 1.2.3.4), und erzwingen Sie dann einen DDclient-Lauf:

sudo ddclient -daemon=0 -force

Bestätigen Sie, dass der Eintrag innerhalb des TTL-Fensters zu Ihrer tatsächlichen IP zurückkehrt.

Erweiterte Konfiguration: Cloudflare API als DDNS-Backend verwenden

Wenn Sie eine Domain besitzen und Cloudflare für DNS verwenden, können Sie Drittanbieter-DDNS-Dienste vollständig umgehen. Die Cloudflare-API gibt Ihnen TTL-Kontrolle unter 60 Sekunden, kostenloses DNSSEC und keine Abhängigkeit von der Verfügbarkeit eines DDNS-Anbieters.

Ein minimales Bash-Skript mit der Cloudflare API v4:

#!/bin/bash
CF_API_TOKEN="YOUR_API_TOKEN"
ZONE_ID="YOUR_ZONE_ID"
RECORD_ID="YOUR_A_RECORD_ID"
HOSTNAME="home.example.com"
NEW_IP=$(curl -s https://api.ipify.org)
CURRENT_IP=$(curl -s -X GET "https://api.cloudflare.com/client/v4/zones/${ZONE_ID}/dns_records/${RECORD_ID}" 
  -H "Authorization: Bearer ${CF_API_TOKEN}" 
  -H "Content-Type: application/json" | python3 -c "import sys,json; print(json.load(sys.stdin)['result']['content'])")

if [ "$NEW_IP" != "$CURRENT_IP" ]; then
  curl -s -X PUT "https://api.cloudflare.com/client/v4/zones/${ZONE_ID}/dns_records/${RECORD_ID}" 
    -H "Authorization: Bearer ${CF_API_TOKEN}" 
    -H "Content-Type: application/json" 
    --data "{"type":"A","name":"${HOSTNAME}","content":"${NEW_IP}","ttl":60,"proxied":false}"
  echo "$(date): Updated ${HOSTNAME} to ${NEW_IP}"
fi

Planen Sie dies mit cron, um alle 5 Minuten ausgeführt zu werden:

*/5 * * * * /usr/local/bin/cf-ddns.sh >> /var/log/cf-ddns.log 2>&1

Sicherheitsarchitektur für DDNS-exponierte Dienste

Das Exponieren eines Dienstes über DDNS im öffentlichen Internet erweitert Ihre Angriffsfläche erheblich. Der Hostname selbst ist öffentlich auflösbar, was bedeutet, dass automatisierte Scanner Ihre Dienste innerhalb von Minuten nach dem Aktivieren des Eintrags entdecken und untersuchen werden. Ein mehrschichtiges Verteidigungsmodell ist obligatorisch.

Netzwerkperimeter-Kontrollen

• Firewall-Regeln mit portspezifischen Allowlists — Öffnen Sie nur Ports, die aktiv genutzt werden. Ein Heimserver, der nur SSH und HTTPS betreibt, sollte Regeln haben, die alles außer TCP 22 und TCP 443 eingehend blockieren.
• Fail2ban oder gleichwertig — Sperrt automatisch IPs, die wiederholte Authentifizierungsfehler auslösen. Unerlässlich für jeden SSH- oder HTTP-Dienst, der über DDNS exponiert wird.
• Port-Knocking — Speziell für SSH fügt Port-Knocking eine Verschleierungsschicht hinzu, die den Großteil des automatisierten Scan-Datenverkehrs eliminiert.

Transportschichtsicherheit

Jeder über DDNS exponierte Webdienst muss HTTPS verwenden. Erhalten Sie ein Zertifikat über Let’s Encrypt (kostenlos, automatisiert über Certbot) oder einen kommerziellen Anbieter. Wenn Sie einen produktiven Webdienst betreiben, erwägen Sie die Kombination mit SSL Certificates für erweiterte Validierungsoptionen. Exponieren Sie niemals reine HTTP-Admin-Oberflächen — Zugangsdaten, die im Klartext über einen DDNS-aufgelösten Hostnamen übertragen werden, sind trivial abfangbar.

Authentifizierungshärtung

• Deaktivieren Sie die Passwort-Authentifizierung für SSH; verwenden Sie ausschließlich Ed25519- oder RSA-4096-Schlüsselpaare.
• Aktivieren Sie Multi-Faktor-Authentifizierung auf jedem webbasierten Admin-Panel (Router-UI, NAS-Oberfläche, Home Assistant usw.).
• Verwenden Sie einen Reverse-Proxy (Nginx, Caddy, Traefik) vor Backend-Diensten, um TLS-Terminierung, Rate-Limiting und Zugriffs-Logging zu zentralisieren.

VPN als bevorzugtes Zugriffsmuster

Für Dienste, die nicht öffentlich zugänglich sein müssen — Heim-NAS, interne Dashboards, Entwicklungsumgebungen — ist die richtige Architektur, nur einen VPN-Endpunkt über DDNS zu exponieren und alle anderen Dienste hinter dem VPN zu halten. Dies reduziert die öffentliche Angriffsfläche auf einen einzigen gehärteten Endpunkt (WireGuard auf UDP 51820, zum Beispiel), während alles andere vollständig vom öffentlichen Internet ferngehalten wird.

DDNS-Kontosicherheit

Das DDNS-Anbieterkonto selbst ist ein hochweriges Ziel. Wenn ein Angreifer die Kontrolle darüber erlangt, kann er Ihren Hostnamen auf einen bösartigen Server umleiten — ein klassischer DNS-Hijacking-Angriff. Mindern Sie dies durch:

• Verwendung eines starken, einzigartigen Passworts für das DDNS-Anbieterkonto.
• Aktivierung von TOTP-basierter 2FA auf dem Anbieterkonto.
• Periodische Rotation von API-Tokens und Verwendung von Scoped-Tokens (nur Lese-/Schreibzugriff für die spezifische Zone, nicht das gesamte Konto).

Häufige Fehlermodi und Fehlerbehebung

Hostname wird nach der Rotation zur alten IP aufgelöst

Die TTL ist noch nicht abgelaufen, oder der DDNS-Client hat die Änderung nicht erkannt. Überprüfen Sie das Client-Log, stellen Sie sicher, dass die Update-API good zurückgegeben hat, und bestätigen Sie, dass die TTL niedrig genug eingestellt ist (unter 300 Sekunden).

DDclient meldet nochg, aber die IP ist falsch

DDclient speichert die zuletzt bekannte IP in /var/cache/ddclient/ddclient.cache. Wenn diese Datei einen veralteten Wert enthält, löschen Sie sie und erzwingen Sie einen Neustart:

sudo rm /var/cache/ddclient/ddclient.cache
sudo ddclient -daemon=0 -force

Update-API gibt badauth zurück

Die Zugangsdaten in der Konfigurationsdatei sind falsch oder das API-Token wurde rotiert. Generieren Sie das Token im Anbieter-Dashboard neu und aktualisieren Sie /etc/ddclient.conf.

IP-Erkennung gibt eine private RFC1918-Adresse zurück

Der Client liest die LAN-IP anstelle der öffentlichen WAN-IP. Ändern Sie die use=-Direktive in DDclient auf use=web, um die externe IP-Erkennung über einen Echo-Dienst zu erzwingen.

Hostname wird korrekt aufgelöst, aber die Verbindung wird abgelehnt

Das DNS-Update war erfolgreich, aber eine Firewall-Regel blockiert die Verbindung, oder der Dienst lauscht nicht auf dem erwarteten Port. Verwenden Sie nmap von einem externen Host aus, um den Port-Status zu bestätigen:

nmap -p 443,22,80 home.example.com

Wann DDNS nicht das richtige Werkzeug ist

DDNS ist eine pragmatische Lösung, keine produktionsreife Lösung für jedes Szenario. Erkennen Sie seine Einschränkungen:

• Öffentliche Websites mit hohem Datenverkehr — Die Konvergenzverzögerung nach einer IP-Änderung (selbst 60–120 Sekunden) verursacht Verbindungsfehler für Benutzer, die den alten Eintrag zwischengespeichert haben. Eine VPS Hosting-Umgebung mit einer statischen IP eliminiert dies vollständig.
• E-Mail-Zustellung (MX-Einträge) — Mail-Server benötigen stabile PTR (Reverse DNS)-Einträge für die Zustellbarkeit. ISPs bieten selten PTR-Kontrolle für dynamische IPs an, und große Mail-Anbieter werden E-Mails von dynamischen Adressbereichen ablehnen oder als Spam markieren. Verwenden Sie einen dedizierten Email Hosting-Dienst oder einen VPS mit statischer IP für jede Mail-Infrastruktur.
• Zahlungsabwicklung und Compliance — PCI-DSS und ähnliche Frameworks erfordern oft statische, prüfbare IP-Adressen für Karteninhaberdaten-Umgebungen. DDNS ist hier kategorisch ungeeignet.
• Multi-Region-Redundanz — DDNS-Anbieter unterstützen typischerweise kein gewichtetes Routing, keine Gesundheitsprüfungen oder geografischen Lastausgleich. Für diese Anforderungen verwenden Sie einen geeigneten DNS-Anbieter mit Traffic-Management-Funktionen.

Technische Entscheidungsmatrix

Aktionsfähige Einrichtungs-Checkliste

Bevor Sie Ihr DDNS-Deployment als produktionsbereit betrachten, überprüfen Sie jeden Punkt auf dieser Liste:

• [ ] TTL auf dem DDNS-Hostnamen ist auf 60–120 Sekunden eingestellt.
• [ ] DDNS-Client oder Router ist so konfiguriert, dass er mindestens alle 5 Minuten auf IP-Änderungen prüft.
• [ ] Update-API-Aufrufe verwenden ausschließlich HTTPS — kein Klartext-HTTP.
• [ ] DDNS-Anbieterkonto ist mit einem starken Passwort und TOTP 2FA geschützt.
• [ ] API-Tokens sind auf die minimal erforderlichen Berechtigungen beschränkt.
• [ ] Firewall-Regeln exponieren nur die spezifischen Ports, die von aktiven Diensten benötigt werden.
• [ ] Fail2ban oder gleichwertiger Brute-Force-Schutz ist auf allen exponierten Diensten aktiv.
• [ ] Alle webbasierten Dienste verwenden gültige TLS-Zertifikate mit automatischer Erneuerung.
• [ ] SSH-Passwort-Authentifizierung ist deaktiviert; schlüsselbasierte Authentifizierung wird erzwungen.
• [ ] DDclient- oder gleichwertige Client-Logs werden überwacht (erwägen Sie die Weiterleitung an syslog oder einen Log-Aggregator).
• [ ] IP-Änderungs-Simulationstest wurde durchgeführt und die Konvergenzzeit dokumentiert.
• [ ] Dienste, die keinen öffentlichen Zugriff erfordern, befinden sich hinter einem VPN und sind nicht direkt exponiert.

Häufig gestellte Fragen

Was ist der Unterschied zwischen DDNS und Standard-DNS?

Standard-DNS ordnet einen Hostnamen einer statischen IP-Adresse zu, die sich selten oder nie ändert, mit TTLs, die auf Stunden oder Tage eingestellt sind. DDNS ist ein System, bei dem ein leichtgewichtiger Client kontinuierlich die öffentliche IP des Hosts überwacht und automatisch authentifizierte Updates an den autoritativen Nameserver sendet, wenn sich die IP ändert, und so eine genaue Auflösung trotz häufiger Adressrotation aufrechterhält.

Wie schnell propagiert ein DDNS-Update nach einer IP-Änderung?

Mit einer TTL von 60 Sekunden und einem reaktionsfähigen DDNS-Client (Polling alle 1–5 Minuten) dauert der vollständige Zyklus von der IP-Änderung bis zur korrekten Auflösung für neue Anfragen ungefähr 2–6 Minuten. Resolver, die den vorherigen Eintrag zwischengespeichert haben, werden ihn weiterhin verwenden, bis ihre zwischengespeicherte TTL abläuft, sodass die Worst-Case-Verzögerung dem TTL-Wert zum Zeitpunkt des letzten erfolgreichen Updates entspricht.

Kann ich meinen eigenen Domainnamen mit DDNS anstelle einer Anbieter-Subdomain verwenden?

Ja. Die meisten kostenpflichtigen DDNS-Tarife und alle API-basierten Ansätze (Cloudflare, Route 53 usw.) unterstützen benutzerdefinierte Domains. Sie verweisen die Nameserver Ihrer Domain auf den DDNS-Anbieter oder verwenden die API des Anbieters, um einen bestimmten Eintrag in Ihrer bestehenden Zone zu aktualisieren. Dies wird für jeden professionellen oder geschäftlichen Einsatz dringend empfohlen.

Ist DDNS sicher genug, um Dienste im Internet zu exponieren?

DDNS selbst ist nur ein DNS-Mechanismus — er ist weder sicher noch unsicher für sich allein. Die Sicherheit hängt vollständig davon ab, was Sie exponieren und wie Sie es schützen. Ein DDNS-Hostname, der auf einen ordnungsgemäß mit Firewall gesicherten, TLS-verschlüsselten, schlüssel-authentifizierten Dienst zeigt, ist akzeptabel sicher. Ein DDNS-Hostname, der auf ein ungepatchtes Router-Admin-Panel mit einem Standardpasswort zeigt, ist eine kritische Schwachstelle. Die DNS-Schicht ist Ihr geringstes Problem; die Anwendungs- und Netzwerksicherheitsschichten sind das, was zählt.

Funktioniert DDNS mit IPv6?

Ja. Die meisten modernen DDNS-Clients und -Anbieter unterstützen AAAA-Eintrags-Updates neben A-Einträgen. In Dual-Stack-Netzwerken können Sie beide Einträge gleichzeitig pflegen. DDclient unterstützt IPv6 nativ; konfigurieren Sie eine separate usev6=-Direktive in der Konfigurationsdatei, um die IPv6-Erkennungsmethode anzugeben.

Was passiert, wenn der DDNS-Client aufhört zu laufen?

Der DNS-Eintrag behält die zuletzt erfolgreich aktualisierte IP-Adresse auf unbestimmte Zeit — DDNS-Anbieter entfernen oder invalidieren Einträge nicht automatisch, wenn der Client offline geht. Wenn sich Ihre IP ändert, während der Client ausgefallen ist, wird der Hostname zur alten (falschen) IP aufgelöst, bis der Client wieder läuft und ein Update sendet. Für kritische Dienste überwachen Sie den DDNS-Client-Prozess mit einem Supervisor wie systemd und richten Sie Benachrichtigungen für Update-Fehler ein.