Pseudo second level domain Basics: Unterschied zwischen den Versionen

Aus Xinux Wiki
Zur Navigation springen Zur Suche springen
Zeile 1: Zeile 1:
 
=Klonen des Templates=
 
=Klonen des Templates=
 
;Erstellen eines Nameservers laut Plan
 
;Erstellen eines Nameservers laut Plan
;Name ns.it2XX.int
+
;Name ns.it213.int
 
;Vorläufiger DNS ist der 192.168.X.88
 
;Vorläufiger DNS ist der 192.168.X.88
;Der Server ist autoritativ UND rekursiv validierend
+
;Der Server ist autoritativ UND rekursiv
  
 
=Installation=
 
=Installation=
*apt update  
+
*apt update
 
*apt install bind9 bind9-utils
 
*apt install bind9 bind9-utils
  
 
=Auf den Nameservern=
 
=Auf den Nameservern=
==Trust Anker einfügen==
 
*cd /etc/bind/
 
*wget http://192.168.X.88/trust-anchors.conf
 
*echo 'include "/etc/bind/trust-anchors.conf";' >> named.conf
 
 
  
 
==Optionen==
 
==Optionen==
Zeile 26: Zeile 21:
  
 
         recursion yes;
 
         recursion yes;
        dnssec-validation auto;
 
  
 
         allow-query { any; };
 
         allow-query { any; };
 
};
 
};
 
</pre>
 
</pre>
==Trust-Anker für Fake Root (.int)==
 
;KSK der Zone int vom Fake Root ermitteln
 
*dig DNSKEY int @192.168.X.88 +short
 
 
;Nur der Key mit Kennung 257 3 13 wird verwendet
 
 
;Eintragen in /etc/bind/named.conf.options (siehe oben)
 
 
*systemctl restart bind9
 
  
 
==Zonenfestlegung==
 
==Zonenfestlegung==
Zeile 46: Zeile 31:
 
zone "it213.int" IN {
 
zone "it213.int" IN {
 
     type master;
 
     type master;
     file "it213.int.signed";
+
     file "it213.int";
 
};
 
};
  
Zeile 55: Zeile 40:
 
</pre>
 
</pre>
  
=Zonen selbst (unsigniert)=
+
=Zonen selbst=
  
 
*cat /var/cache/bind/it213.int
 
*cat /var/cache/bind/it213.int
Zeile 102: Zeile 87:
 
</pre>
 
</pre>
  
=DNSSEC Schlüssel erzeugen=
+
=Server starten=
 
 
;Forward Zone
 
*dnssec-keygen -a RSASHA256 -b 2048 -n ZONE it213.int
 
*dnssec-keygen -a RSASHA256 -b 4096 -f KSK -n ZONE it213.int
 
 
 
=DNSKEY einbinden=
 
 
 
;Forward
 
*for k in Kit213.int*.key ; do echo "\$INCLUDE /var/cache/bind/$k" >> /var/cache/bind/it213.int; done
 
 
 
=Zonen signieren=
 
 
 
*dnssec-signzone -A -N INCREMENT -o it213.int -t /var/cache/bind/it213.int
 
 
 
 
 
;Erzeugt
 
<pre>
 
/var/cache/bind/it213.int.signed
 
</pre>
 
 
 
*systemctl restart bind9
 
 
 
=DS Record für Fake Root erzeugen=
 
 
 
;KSK anzeigen
 
*dig DNSKEY it213.int @127.0.0.1 +short
 
 
 
;DS erzeugen
 
*dnssec-dsfromkey Kit213.int.+008+XXXXX.key
 
 
 
;DS Eintrag an Fake Root weitergeben
 
;Im Fake Root in Zone int einfügen
 
;Beispiel:
 
;it213    IN DS  12345 13 2 ABCDEF123456....
 
 
 
=Handling und Logging=
 
 
*systemctl restart bind9
 
*systemctl restart bind9
*journalctl -fu bind9
 
*journalctl -u bind9 -g it213.int
 
  
=Validierungstest=
+
=Test=
  
;Forward Validierung
+
;Forward Lookup
*dig www.it213.int +dnssec
+
*dig www.it213.int
  
;Antwort muss AD-Flag enthalten
+
;Reverse Lookup
 +
*dig -x 10.88.213.22

Version vom 9. März 2026, 15:12 Uhr

Klonen des Templates

Erstellen eines Nameservers laut Plan
Name ns.it213.int
Vorläufiger DNS ist der 192.168.X.88
Der Server ist autoritativ UND rekursiv

Installation

  • apt update
  • apt install bind9 bind9-utils

Auf den Nameservern

Optionen

  • cat /etc/bind/named.conf.options
options {
        directory "/var/cache/bind";

        forwarders { 192.168.X.88; };
        empty-zones-enable no;

        recursion yes;

        allow-query { any; };
};

Zonenfestlegung

  • cat /etc/bind/named.conf.local
zone "it213.int" IN {
     type master;
     file "it213.int";
};

zone "213.88.10.in-addr.arpa" IN {
     type master;
     file "213.88.10.in-addr.arpa";
};

Zonen selbst

  • cat /var/cache/bind/it213.int
$TTL 300
@           IN SOA  ns.it213.int. technik.xinux.de. (
                        2011090204
                        14400
                        3600
                        3600000
                        86400
                    )
        IN NS      ns
        IN MX 10   mail

ns      IN A       10.88.213.21
www     IN A       10.88.213.22
mail    IN A       10.88.213.23
fw      IN A       10.88.213.1
db      IN A       10.88.213.24
app     IN A       10.88.213.25
git     IN A       10.88.213.26
monitor IN A       10.88.213.27
  • cat /var/cache/bind/213.88.10.in-addr.arpa
$TTL 300
@           IN SOA  ns.it213.int. technik.xinux.de. (
                        2011090204
                        14400
                        3600
                        3600000
                        86400
                    )
        IN NS      ns.it213.int.

1       IN PTR     fw.it213.int.
21      IN PTR     ns.it213.int.
22      IN PTR     www.it213.int.
23      IN PTR     mail.it213.int.
24      IN PTR     db.it213.int.
25      IN PTR     app.it213.int.
26      IN PTR     git.it213.int.
27      IN PTR     monitor.it213.int.

Server starten

  • systemctl restart bind9

Test

Forward Lookup
  • dig www.it213.int
Reverse Lookup
  • dig -x 10.88.213.22
Abgerufen von „http://wiki.ixheim.de/index.php?title=Pseudo_second_level_domain_Basics&oldid=67275