Pseudo second level domain Basics: Unterschied zwischen den Versionen

Aus Xinux Wiki
Zur Navigation springen Zur Suche springen
 
(16 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt)
Zeile 1: Zeile 1:
 
=Klonen des Templates=
 
=Klonen des Templates=
 
;Erstellen eines Nameservers laut Plan
 
;Erstellen eines Nameservers laut Plan
;Name ns.it2XX.int
+
;Name ns.it213.int
 
;Vorläufiger DNS ist der 192.168.X.88
 
;Vorläufiger DNS ist der 192.168.X.88
;Der Server ist autoritativ UND rekursiv validierend
+
;Der Server ist autoritativ UND rekursiv
  
 
=Installation=
 
=Installation=
*apt update  
+
*apt update
*apt install bind9 bind9-utils
+
*apt install bind9 bind9-utils bind9-dnsutils
  
 
=Auf den Nameservern=
 
=Auf den Nameservern=
==Trust Anker einfügen==
 
*cd /etc/bind/
 
*wget http://192.168.X.88/trust-anchors.conf
 
*echo 'include "/etc/bind/trust-anchors.conf";' >> named.conf
 
 
  
 
==Optionen==
 
==Optionen==
Zeile 21: Zeile 16:
 
options {
 
options {
 
         directory "/var/cache/bind";
 
         directory "/var/cache/bind";
 
 
         forwarders { 192.168.X.88; };
 
         forwarders { 192.168.X.88; };
 
         empty-zones-enable no;
 
         empty-zones-enable no;
 
 
         recursion yes;
 
         recursion yes;
        dnssec-validation auto;
 
 
 
         allow-query { any; };
 
         allow-query { any; };
 +
        allow-transfer { 127.0.0.1; };
 +
        dnssec-validation no;
 
};
 
};
 
+
</pre>
==Trust-Anker für Fake Root (.int)==
 
;KSK der Zone int vom Fake Root ermitteln
 
*dig DNSKEY int @192.168.X.88 +short
 
 
 
;Nur der Key mit Kennung 257 3 13 wird verwendet
 
 
 
;Eintragen in /etc/bind/named.conf.options (siehe oben)
 
 
 
*systemctl restart bind9
 
  
 
==Zonenfestlegung==
 
==Zonenfestlegung==
Zeile 46: Zeile 30:
 
zone "it213.int" IN {
 
zone "it213.int" IN {
 
     type master;
 
     type master;
     file "it213.int.signed";
+
     file "it213.int";
 
};
 
};
  
 
zone "213.88.10.in-addr.arpa" IN {
 
zone "213.88.10.in-addr.arpa" IN {
 
     type master;
 
     type master;
     file "213.88.10.in-addr.arpa.signed";
+
     file "213.88.10.in-addr.arpa";
 
};
 
};
 
</pre>
 
</pre>
  
=Zonen selbst (unsigniert)=
+
=Zonen selbst=
  
 
*cat /var/cache/bind/it213.int
 
*cat /var/cache/bind/it213.int
Zeile 68: Zeile 52:
 
                     )
 
                     )
 
         IN NS      ns
 
         IN NS      ns
ns     IN A      10.88.213.21
+
        IN MX 10  mail
www    IN A      10.88.213.22
+
 
 +
ns       IN A      10.88.213.21
 +
www       IN A      10.88.213.11
 +
mail      IN A      10.88.213.3
 +
fw        IN A      10.88.213.1
 +
proxy     IN A      10.88.213.4
 +
checkmk  IN A      10.88.213.5
 +
revproxy  IN A      10.88.213.41
 +
nextcloud IN A      10.88.213.8
 +
docker    IN A      10.88.213.9
 
</pre>
 
</pre>
  
Zeile 83: Zeile 76:
 
                     )
 
                     )
 
         IN NS      ns.it213.int.
 
         IN NS      ns.it213.int.
 +
 +
1      IN PTR    fw.it213.int.
 
21      IN PTR    ns.it213.int.
 
21      IN PTR    ns.it213.int.
22     IN PTR    www.it213.int.
+
11     IN PTR    www.it213.int.
 +
3      IN PTR    mail.it213.int.
 +
4      IN PTR    proxy.it213.int.
 +
5      IN PTR    checkmk.it213.int.
 +
8      IN PTR    nextcloud.it213.int.
 +
9      IN PTR    docker.it213.int.
 +
41      IN PTR    revproxy.it213.int.
 
</pre>
 
</pre>
  
=DNSSEC Schlüssel erzeugen=
+
=Server starten=
 
+
*systemctl restart named
;Forward Zone
 
*dnssec-keygen -a RSASHA256 -b 2048 -n ZONE it213.int
 
*dnssec-keygen -a RSASHA256 -b 4096 -f KSK -n ZONE it213.int
 
 
 
;Reverse Zone
 
*dnssec-keygen -a RSASHA256 -b 2048 -n ZONE 213.88.10.in-addr.arpa
 
*dnssec-keygen -a RSASHA256 -b 4096 -f KSK -n ZONE 213.88.10.in-addr.arpa
 
 
 
=DNSKEY einbinden=
 
 
 
;Forward
 
*for k in Kit213.int*.key ; do echo "\$INCLUDE /var/cache/bind/$k" >> /var/cache/bind/it213.int; done
 
 
 
;Reverse
 
*for k in K213.88.10.in-addr.arpa*.key ; do echo "\$INCLUDE /var/cache/bind/$k" >> /var/cache/bind/213.88.10.in-addr.arpa; done
 
 
 
=Zonen signieren=
 
 
 
*dnssec-signzone -A -N INCREMENT -o it213.int -t /var/cache/bind/it213.int
 
*dnssec-signzone -A -N INCREMENT -o 213.88.10.in-addr.arpa -t /var/cache/bind/213.88.10.in-addr.arpa
 
 
 
;Erzeugt
 
<pre>
 
/var/cache/bind/it213.int.signed
 
/var/cache/bind/213.88.10.in-addr.arpa.signed
 
</pre>
 
 
 
*systemctl restart bind9
 
 
 
=DS Record für Fake Root erzeugen=
 
 
 
;KSK anzeigen
 
*dig DNSKEY it213.int @127.0.0.1 +short
 
 
 
;DS erzeugen
 
*dnssec-dsfromkey Kit213.int.+008+XXXXX.key
 
 
 
;DS Eintrag an Fake Root weitergeben
 
;Im Fake Root in Zone int einfügen
 
;Beispiel:
 
;it213    IN DS  12345 13 2 ABCDEF123456....
 
 
 
=Handling und Logging=
 
*systemctl restart bind9
 
*journalctl -fu bind9
 
*journalctl -u bind9 -g it213.int
 
 
 
=Validierungstest=
 
 
 
;Forward Validierung
 
*dig www.it213.int +dnssec
 
  
;Antwort muss AD-Flag enthalten
+
=Test=
 +
==journactl==
 +
;Fortlaufend die letzten 10 Einträge
 +
*journalctl -fu named
 +
;Die letzten 20 Einträge
 +
*journalctl -n 20 -u  named
 +
;Grep nach it213.int
 +
*journalctl  -u  named -g it213.int
 +
==dig==
 +
;Forwardlookup eigener Nameserver wird gefragt
 +
*dig @127.0.0.1 -t a www.it213.int
 +
;Welcher Mailserver ist für die Zone zuständig
 +
*dig @127.0.0.1 -t mx it213.int
 +
;Reverse Lookup
 +
*dig @127.0.0.1 -x 10.88.213.21
 +
;Zonen abziehen
 +
*dig @127.0.0.1 -t axfr it213.int
 +
*dig @127.0.0.1 -t axfr 213.88.10.in-addr.arpa
 +
;Fakeroot Nameserver abfragen
 +
*dig @192.168.9.88 -t a mail.it213.int
 +
=Eigenen Nameserver eintragen=
 +
*cat /etc/resolv.conf
 +
search it213.int
 +
nameserver 127.0.0.1

Aktuelle Version vom 17. März 2026, 08:06 Uhr

Klonen des Templates

Erstellen eines Nameservers laut Plan
Name ns.it213.int
Vorläufiger DNS ist der 192.168.X.88
Der Server ist autoritativ UND rekursiv

Installation

  • apt update
  • apt install bind9 bind9-utils bind9-dnsutils

Auf den Nameservern

Optionen

  • cat /etc/bind/named.conf.options
options {
        directory "/var/cache/bind";
        forwarders { 192.168.X.88; };
        empty-zones-enable no;
        recursion yes;
        allow-query { any; };
        allow-transfer { 127.0.0.1; };
        dnssec-validation no;
};

Zonenfestlegung

  • cat /etc/bind/named.conf.local
zone "it213.int" IN {
     type master;
     file "it213.int";
};

zone "213.88.10.in-addr.arpa" IN {
     type master;
     file "213.88.10.in-addr.arpa";
};

Zonen selbst

  • cat /var/cache/bind/it213.int
$TTL 300
@           IN SOA  ns.it213.int. technik.xinux.de. (
                        2011090204
                        14400
                        3600
                        3600000
                        86400
                    )
        IN NS      ns
        IN MX 10   mail

ns        IN A       10.88.213.21
www       IN A       10.88.213.11
mail      IN A       10.88.213.3
fw        IN A       10.88.213.1
proxy     IN A       10.88.213.4
checkmk   IN A       10.88.213.5
revproxy  IN A       10.88.213.41
nextcloud IN A       10.88.213.8
docker    IN A       10.88.213.9
  • cat /var/cache/bind/213.88.10.in-addr.arpa
$TTL 300
@           IN SOA  ns.it213.int. technik.xinux.de. (
                        2011090204
                        14400
                        3600
                        3600000
                        86400
                    )
        IN NS      ns.it213.int.

1       IN PTR     fw.it213.int.
21      IN PTR     ns.it213.int.
11      IN PTR     www.it213.int.
3       IN PTR     mail.it213.int.
4       IN PTR     proxy.it213.int.
5       IN PTR     checkmk.it213.int.
8       IN PTR     nextcloud.it213.int.
9       IN PTR     docker.it213.int.
41      IN PTR     revproxy.it213.int.

Server starten

  • systemctl restart named

Test

journactl

Fortlaufend die letzten 10 Einträge
  • journalctl -fu named
Die letzten 20 Einträge
  • journalctl -n 20 -u named
Grep nach it213.int
  • journalctl -u named -g it213.int

dig

Forwardlookup eigener Nameserver wird gefragt
  • dig @127.0.0.1 -t a www.it213.int
Welcher Mailserver ist für die Zone zuständig
  • dig @127.0.0.1 -t mx it213.int
Reverse Lookup
  • dig @127.0.0.1 -x 10.88.213.21
Zonen abziehen
  • dig @127.0.0.1 -t axfr it213.int
  • dig @127.0.0.1 -t axfr 213.88.10.in-addr.arpa
Fakeroot Nameserver abfragen
  • dig @192.168.9.88 -t a mail.it213.int

Eigenen Nameserver eintragen

  • cat /etc/resolv.conf
search it213.int
nameserver 127.0.0.1
Abgerufen von „http://wiki.ixheim.de/index.php?title=Pseudo_second_level_domain_Basics&oldid=67402