Server Installation/BIND: Unterschied zwischen den Versionen
Aus Opennet
(→DNSSEC (Zone Signing)) |
(→DNSSEC (Zone Signing)) |
||
Zeile 101: | Zeile 101: | ||
* dnssec-tools installieren (enthält ''zonesigner''): | * dnssec-tools installieren (enthält ''zonesigner''): | ||
apt-get install dnssec-tools | apt-get install dnssec-tools | ||
+ | * Keys je Zone erstellen: | ||
+ | cd /etc/bind/zone | ||
+ | zonesigner -genkeys -usensec3 <zone-name.zone> |
Version vom 18. April 2014, 20:12 Uhr
Je nach Einsatzzweck gibt es zwei Arten von DNS Server Installationen. Auf Gateway Servern betreiben wir Caching-DNS incl. einen Transfer der Opennet internen DNS Zonen. Zentral betreiben wir einen Authoritative-DNS für die öffentlichen und internen Opennet DNS Zonen.
Opennet Gateway Server: Caching NS
- Erforderliche Pakete installieren: bind9
- falls noch kein rndc-Key - rndc absichern per rndc-conf -a
- mkdir /var/log/bind; chown bind /var/log/bind
- /etc/bind/named.conf.options:
acl opennet { 127.0.0.1; 192.168.0.0/16; 172.16.0.0/12; 10.0.0.0/8; 139.30.241.202; }; key dnskey.opennet { algorithm hmac-md5; secret "<<<<Key von anderem Gateway holen>>>>"; }; server 139.30.241.202 { keys dnskey.opennet; }; server 192.168.10.2 { keys dnskey.opennet; }; options { directory "/var/cache/bind"; auth-nxdomain no; # conform to RFC1035 allow-recursion { opennet; }; allow-transfer { opennet; }; listen-on-v6 { any; }; # activate IPv6 check-names slave ignore; # ignoriert unterstrich in Domainnamen vom ON }; logging { channel logfile { file "/var/log/bind/named.log" versions 2 size 1M; print-time yes; # syslog local2; print-category yes; print-severity yes; severity info; }; category default { logfile; }; category general { logfile; }; # category queries { null; }; # category lame-servers { null; }; # category update { null; }; };
- /etc/bind/named.conf.local:
// on - forward (includes vpn) zone "on." { type slave; file "db.on"; masters {139.30.241.202; 192.168.10.2; }; }; //on - reverse zone "168.192.in-addr.arpa" { type slave; file "db.192.168"; masters {139.30.241.202; 192.168.10.2; }; }; //on-vpn - reverse zone "1.10.in-addr.arpa" { type slave; file "db.10.1"; masters {139.30.241.202; 192.168.10.2; }; }; //on-ugw - reverse zone "2.10.in-addr.arpa" { type slave; file "db.10.2"; masters {139.30.241.202; 192.168.10.2; }; };
- lokale Namensauflösung /etc/resolv.conf:
search on nameserver 127.0.0.1
- Überschreiben der Namensauflösung durch ppp-Einwahl unterbinden - /etc/ppp/peers/provider:
#usepeerdns
- Nameserver starten: /etc/init.d/bind9 start
- Funktion prüfen: ps aux|grep bind und rndc status
- Fehlermeldungen suchen: grep named /var/log/daemon.log|tail -20 bzw. tail /var/log/bind/named.log (falls Logfile vorhanden)
- Zonen-Transfer manuell durchführen: rndc retransfer on
Opennet Dienste Server: Authoritative NS
DNSSEC (Zone Signing)
- DNSSEC in /etc/bind/named.conf.options aktivieren:
options { .. dnssec-enable yes; dnssec-validation yes; dnssec-lookaside auto; .. }
- dnssec-tools installieren (enthält zonesigner):
apt-get install dnssec-tools
- Keys je Zone erstellen:
cd /etc/bind/zone zonesigner -genkeys -usensec3 <zone-name.zone>