Pseudo second level domain Basics
Version vom 8. März 2026, 17:53 Uhr von Thomas.will (Diskussion | Beiträge) (→Zonen selbst (unsigniert))
Klonen des Templates
- Erstellen eines Nameservers laut Plan
- Name ns.it2XX.int
- Vorläufiger DNS ist der 192.168.X.88
- Der Server ist autoritativ UND rekursiv validierend
Installation
- apt update
- apt install bind9 bind9-utils
Auf den Nameservern
Trust Anker einfügen
- cd /etc/bind/
- wget http://192.168.X.88/trust-anchors.conf
- echo 'include "/etc/bind/trust-anchors.conf";' >> named.conf
Optionen
- cat /etc/bind/named.conf.options
options {
directory "/var/cache/bind";
forwarders { 192.168.X.88; };
empty-zones-enable no;
recursion yes;
dnssec-validation auto;
allow-query { any; };
};
Trust-Anker für Fake Root (.int)
- KSK der Zone int vom Fake Root ermitteln
- dig DNSKEY int @192.168.X.88 +short
- Nur der Key mit Kennung 257 3 13 wird verwendet
- Eintragen in /etc/bind/named.conf.options (siehe oben)
- systemctl restart bind9
Zonenfestlegung
- cat /etc/bind/named.conf.local
zone "it213.int" IN {
type master;
file "it213.int.signed";
};
zone "213.88.10.in-addr.arpa" IN {
type master;
file "213.88.10.in-addr.arpa.signed";
};
Zonen selbst (unsigniert)
- cat /var/cache/bind/it213.int
$TTL 300
@ IN SOA ns.it213.int. technik.xinux.de. (
2011090204
14400
3600
3600000
86400
)
IN NS ns
IN MX 10 mail
ns IN A 10.88.213.21
www IN A 10.88.213.22
mail IN A 10.88.213.23
fw IN A 10.88.213.1
db IN A 10.88.213.24
app IN A 10.88.213.25
git IN A 10.88.213.26
monitor IN A 10.88.213.27
- cat /var/cache/bind/213.88.10.in-addr.arpa
$TTL 300
@ IN SOA ns.it213.int. technik.xinux.de. (
2011090204
14400
3600
3600000
86400
)
IN NS ns.it213.int.
1 IN PTR fw.it213.int.
21 IN PTR ns.it213.int.
22 IN PTR www.it213.int.
23 IN PTR mail.it213.int.
24 IN PTR db.it213.int.
25 IN PTR app.it213.int.
26 IN PTR git.it213.int.
27 IN PTR monitor.it213.int.
DNSSEC Schlüssel erzeugen
- Forward Zone
- dnssec-keygen -a RSASHA256 -b 2048 -n ZONE it213.int
- dnssec-keygen -a RSASHA256 -b 4096 -f KSK -n ZONE it213.int
- Reverse Zone
- dnssec-keygen -a RSASHA256 -b 2048 -n ZONE 213.88.10.in-addr.arpa
- dnssec-keygen -a RSASHA256 -b 4096 -f KSK -n ZONE 213.88.10.in-addr.arpa
DNSKEY einbinden
- Forward
- for k in Kit213.int*.key ; do echo "\$INCLUDE /var/cache/bind/$k" >> /var/cache/bind/it213.int; done
- Reverse
- for k in K213.88.10.in-addr.arpa*.key ; do echo "\$INCLUDE /var/cache/bind/$k" >> /var/cache/bind/213.88.10.in-addr.arpa; done
Zonen signieren
- dnssec-signzone -A -N INCREMENT -o it213.int -t /var/cache/bind/it213.int
- dnssec-signzone -A -N INCREMENT -o 213.88.10.in-addr.arpa -t /var/cache/bind/213.88.10.in-addr.arpa
- Erzeugt
/var/cache/bind/it213.int.signed /var/cache/bind/213.88.10.in-addr.arpa.signed
- systemctl restart bind9
DS Record für Fake Root erzeugen
- KSK anzeigen
- dig DNSKEY it213.int @127.0.0.1 +short
- DS erzeugen
- dnssec-dsfromkey Kit213.int.+008+XXXXX.key
- DS Eintrag an Fake Root weitergeben
- Im Fake Root in Zone int einfügen
- Beispiel
- it213 IN DS 12345 13 2 ABCDEF123456....
Handling und Logging
- systemctl restart bind9
- journalctl -fu bind9
- journalctl -u bind9 -g it213.int
Validierungstest
- Forward Validierung
- dig www.it213.int +dnssec
- Antwort muss AD-Flag enthalten