[RDNS] hoe of wat met SOA ? - Serversoftware en clouddiensten

dinsdag 22 november 2005 12:05

Acties:

Verwijderd

Topicstarter

Wanneer je een "domein" aanmaakt voor RDNS dan geef je natuurlijk een SOA op anders kan het "domein" voor de RDNS-records niet bestaan.

We lopen hier tegen een probleem aan waarvan ik niet de oorzaak kan vinden.

Alle DNS-servers moeten "authorative" zijn voor dat "RNDS-domein". Ik zou zeggen, maat het domein aan: xxx.xxx.xxx.in-addr.arpa waar je naar mijn idee gewoon de primary nameserver opgeeft in het SOA-record zijnde primary DNS-server.

Je kunt niet meerdere SOA's aanmaken lijkt me zo, gaat niet werken. Meerdere DNS-server aanmaken in je SOA kan ook niet.

Het lijkt me ook helemaal niet nodig om meerdere primary DNS-server aan te maken voor dit domein, of zou iedere DNS-server voor dit domein primary voor zichzelf moeten zijn ipv dat er aangegeven staat op iedere DNS-server dat voor het RDNS-domein ns1 primary is ?

dinsdag 22 november 2005 12:13

Acties:

Sendy

Ik begrijp niet precies wat je probleem is maar het volgende zal je misschien helpen (ik weet ook niet wat RDNS is trouwens).

Zo'n ding wat jij hier "domein" noemt, heet in DNS taal, een zone. Dat zoekt misschien makkelijker. Authoritive betekent dat de DNS server de baas is over de zone, en dus dat deze het beste antwoord kan geven. Dit heeft niets met de reverse zone (in-addr.arpa) te maken.

[ Voor 3% gewijzigd door Sendy op 22-11-2005 12:13 ]

dinsdag 22 november 2005 12:16

Acties:

Abom

Je reverse DNS-zone heeft ook gewoon een SOA nodig, dat is gewoon de betreffende DNS server (bv: ns1.domein.nl).

Over welk OS hebben we het hier trouwens? Windows ondersteunt meerdere primary DNS servers (wanneer AD integrated) en daardoor heb je dus ook per server een SOA record. BIND heeft één primary DNS server en de rest is secondary.

[ Voor 52% gewijzigd door Abom op 22-11-2005 13:07 ]

dinsdag 22 november 2005 13:04

Acties:

Verwijderd

Topicstarter

Wat ik nodig heb is hetvolgende:

> server ns3.nsentry.de
Default Server: ns3.nsentry.de
Address: 212.162.15.6

> set type=soa
> 128-191.175.244.213.in-addr.arpa.
Server: ns3.nsentry.de
Address: 212.162.15.6

128-191.175.244.213.in-addr.arpa
primary name server = ns3.nsentry.de
responsible mail addr = hostmaster.128-191.175.244.213.in-addr.arpa
serial = 1132659033
refresh = 21600 (6 hours)
retry = 1800 (30 mins)
expire = 691200 (8 days)
default TTL = 86400 (1 day)
128-191.175.244.213.in-addr.arpa nameserver = ns3.nsentry.de
128-191.175.244.213.in-addr.arpa nameserver = ns4.nsentry.de
ns3.nsentry.de internet address = 212.162.15.6
ns4.nsentry.de internet address = 213.203.243.76
>

Deze regels:

128-191.175.244.213.in-addr.arpa nameserver = ns3.nsentry.de
128-191.175.244.213.in-addr.arpa nameserver = ns4.nsentry.de

kom ik alleen even niet helemaal uit hoe die erin gefixed zijn, het lijken wel extra SOA-records. Ik hbe dit geprobeerd bij PowerDNS, PowerAdmin slikt alleen maar 1x SOA (wat volgens mij al niet helemaal juist is)

dinsdag 22 november 2005 13:05

Acties:

Sendy

Die laatste records zijn NS records (zie de term "nameserver"). Je kan misschien beter dig gebruiken voor het bestuderen van DNS records, dit programma is naar mijn mening minder verwarrend.

[ Voor 54% gewijzigd door Sendy op 22-11-2005 13:06 ]

dinsdag 22 november 2005 14:59

Acties:

Verwijderd

Topicstarter

Sendy schreef op dinsdag 22 november 2005 @ 13:05:
Die laatste records zijn NS records (zie de term "nameserver"). Je kan misschien beter dig gebruiken voor het bestuderen van DNS records, dit programma is naar mijn mening minder verwarrend.

Moet ik toch eens goed nagaan, ik heb ze er namelijk wel bij staan NS2 en NS3 als namerecord zoals hierboven...

dinsdag 22 november 2005 19:17

Acties:

localhost

Ook in geel, groen, paars, wit

Snap je probleem nog niet helemaal, maar NS3 en NS4 hebben in ieder geval niet dezelfde versie van de zone, staat axfr/ixfr wel aan? (of firewall dicht voor TCP poort 53?).

code:

# dig @ns3.nsentry.de. 128-191.175.244.213.in-addr.arpa. soa


;; flags: qr aa rd; QUERY: 1, ANSWER: 1, AUTHORITY: 2, ADDITIONAL: 2
;; QUERY SECTION:
;;      128-191.175.244.213.in-addr.arpa, type = SOA, class = IN

;; ANSWER SECTION:
128-191.175.244.213.in-addr.arpa.  1D IN SOA  ns3.nsentry.de. hostmaster.128-191.175.244.213.in-addr.arpa. (
                                        1132675103      ; serial
                                        6H              ; refresh
                                        30M             ; retry
                                        1w1d            ; expiry
                                        1D )            ; minimum

code:

# dig @ns4.nsentry.de. 128-191.175.244.213.in-addr.arpa. soa


;; flags: qr aa rd; QUERY: 1, ANSWER: 1, AUTHORITY: 2, ADDITIONAL: 2
;; QUERY SECTION:
;;      128-191.175.244.213.in-addr.arpa, type = SOA, class = IN

;; ANSWER SECTION:
128-191.175.244.213.in-addr.arpa.  1D IN SOA  ns3.nsentry.de. hostmaster.128-191.175.244.213.in-addr.arpa. (
                                        1132675108      ; serial
                                        6H              ; refresh
                                        30M             ; retry
                                        1w1d            ; expiry
                                        1D )            ; minimum

Achter "flags"staat overigens "aa", het is dus een authoritive answer. (Tot zover de link naar je originele vraag, het werkt dus goed, snap je vraag dus niet helemaal)

dinsdag 22 november 2005 23:49

Acties:

Wunk

Die regels die jij bedoelt zijn volgens mij de verwijzing zoals ze bij ripe/arin gedelegeerd staan naar de betreffende nameservers..

't enige wat je in je named.conf hoeft te hebben is een entry als:

zone "xx.xx.xx.IN-ADDR.ARPA" { type master; file "zone/path/naar/zonefile" ;};

Je zonefile zelf ziet er dan bijvoorbeeld zo uit:
-----------
$ORIGIN xx.xx.xx.IN-ADDR.ARPA.
@ IN SOA ns1.nameserver.nl. hostmaster.nameserver.nl. (
2005102511 ;serial
14400 ;refresh after 4 hours
3600 ;retry after 1 hour
604800 ;expire after 1 week
86400 ) ;minimum TTL of 1 day
;
; Nameservers
;
IN NS ns1.nameserver.nl. ;
IN NS ns2.nameserver.nl.

* IN PTR leuk.wildcard.record.
1 IN PTR voorbeeld1.nl.
2 IN PTR voorbeeld2.nl.
3 IN NS nameserver.van.klant.die.deze.behandeld.hier.

---------------

Dus de range die jij reverse authorative wilt gaan behandelen moet wel eerst bij de betreffende instantie aangegeven worden wat je nameservers zijn..

Bedoel je dit ?, ik heb je post namelijk 4x gelezen nou, en ik snap niet echt wat je probleem is namelijk

donderdag 24 november 2005 07:35

Acties:

Verwijderd

Topicstarter

Aangezien ik gisteren niet op "Verstuur bericht" maar op "Post Reply" drukte doe ik het nu maar even opnieuw.

Ik heb even een controle bij XS4ALL gedaan:

code:

C:\>nslookup
Default Server:  SpeedTouch.lan
Address:  10.0.0.138

> server ns.xs4all.nl
Default Server:  ns.xs4all.nl
Address:  194.109.6.67

> set type=soa
> 21.109.194.in-addr.arpa.
Server:  ns.xs4all.nl
Address:  194.109.6.67

21.109.194.in-addr.arpa
        primary name server = ns.xs4all.nl
        responsible mail addr = hostmaster.xs4all.nl
        serial  = 2005100600
        refresh = 21600 (6 hours)
        retry   = 7200 (2 hours)
        expire  = 604800 (7 days)
        default TTL = 86400 (1 day)
21.109.194.in-addr.arpa nameserver = ns.xs4all.nl
21.109.194.in-addr.arpa nameserver = ns2.xs4all.nl
ns.xs4all.nl    internet address = 194.109.6.67
ns2.xs4all.nl   internet address = 194.109.9.100


> set type=all
> 21.109.194.in-addr.arpa.
Server:  ns.xs4all.nl
Address:  194.109.6.67

21.109.194.in-addr.arpa nameserver = ns.xs4all.nl
21.109.194.in-addr.arpa nameserver = ns2.xs4all.nl
21.109.194.in-addr.arpa
        primary name server = ns.xs4all.nl
        responsible mail addr = hostmaster.xs4all.nl
        serial  = 2005100600
        refresh = 21600 (6 hours)
        retry   = 7200 (2 hours)
        expire  = 604800 (7 days)
        default TTL = 86400 (1 day)
21.109.194.in-addr.arpa nameserver = ns.xs4all.nl
21.109.194.in-addr.arpa nameserver = ns2.xs4all.nl
ns.xs4all.nl    internet address = 194.109.6.67
ns2.xs4all.nl   internet address = 194.109.9.100
>

Je kunt hierbij zien dat deze regels toch echt in het SOA-record moeten staan, of in iedergeval "gelinkt" zijn op een of andere manier:

code:

21.109.194.in-addr.arpa nameserver = ns.xs4all.nl
21.109.194.in-addr.arpa nameserver = ns2.xs4all.nl
ns.xs4all.nl    internet address = 194.109.6.67
ns2.xs4all.nl   internet address = 194.109.9.100

De meeste NS-servers zijn BIND-servers, aangezien ik met PowerDNS werk denk ik dat ik hier een bottleneck kan hebben. BIND is een textfile waar je zoveel in kunt zetten als je wil, PowerDNS heeft in mijn geval een MySQL backend dus hier zou ik wat tekort komingen kunnen hebben... Het is maar een hersenspinsel, het zou moeten werken natuurlijk.

[ Voor 9% gewijzigd door Verwijderd op 24-11-2005 07:36 . Reden: Iets duidelijker gemaakt. ]

donderdag 24 november 2005 10:17

Acties:

Verwijderd

Je hebt, net zoals je SOA-record ook een NS-record. Daar staat die info in. En een field in dat SOA-record bevat de primary (name) server zoals je zelf kan zien.

donderdag 24 november 2005 10:19

Acties:

Verwijderd

Topicstarter

Verwijderd schreef op donderdag 24 november 2005 @ 10:17:
Je hebt, net zoals je SOA-record ook een NS-record. Daar staat die info in. En een field in dat SOA-record bevat de primary (name) server zoals je zelf kan zien.

Die NS werkt dus niet. Je moet buiten je addr.arpa domein naar het domein waar de addr.arpa toe behoort en zo verwijzen.

Het zou met Cname's moeten maar dat lijkt me niet helemaal de bedoeling.

donderdag 24 november 2005 10:21

Acties:

Verwijderd

Hier kan ik echt niks van maken, wees nou eens duidelijk. Zo'n in-addr.arpa heet een zone. En ik snap je zin "Je moet buiten je addr.arpa domein naar het domein waar de addr.arpa toe behoord en zo verwijzen" niet

donderdag 24 november 2005 10:29

Acties:

Verwijderd

Topicstarter

Verwijderd schreef op donderdag 24 november 2005 @ 10:21:
Hier kan ik echt niks van maken, wees nou eens duidelijk. Zo'n in-addr.arpa heet een zone. En ik snap je zin "Je moet buiten je addr.arpa domein naar het domein waar de addr.arpa toe behoord en zo verwijzen" niet

Ja zone, sorry kwam door het gelees waar ze steeds domain. in gebruikten.

Lees dit maar eens, hier gaan ze van zone naar zone als je het mij vraagt:

http://www.tac.nyc.ny.us/cgi-bin/rfc?2317

donderdag 24 november 2005 10:38

Acties:

Sendy

Ik snap nog steeds helemaal niets aan je verhaal, en ik ga geen RFC lezen als ik niet weet waarom. Leg het nog eens duidelijk uit, en gebruik dig om het DNS te inspecteren. Deze geeft duidelijkere uitvoer!

donderdag 24 november 2005 10:49

Acties:

Verwijderd

Topicstarter

Sendy schreef op donderdag 24 november 2005 @ 10:38:
Ik snap nog steeds helemaal niets aan je verhaal, en ik ga geen RFC lezen als ik niet weet waarom. Leg het nog eens duidelijk uit, en gebruik dig om het DNS te inspecteren. Deze geeft duidelijkere uitvoer!

Simpel: Ik heb de extra DNS-records nodig wanneer ik de SOA opvraag van een RDNS-zone.

PrimaryDNS staat in het SOA-record zelf al, de extra DNS-server die je toe wil voegen moet op een of andere manier kunnen, maar gewoon NS-records aanmaken schijnt dus niet te werken.

donderdag 24 november 2005 10:58

Acties:

Verwijderd

"schijnt niet te werken"

Vertel eens wat meer over de situatie waarin je je bevindt en wat je precies gedaan hebt en waar.

donderdag 24 november 2005 11:11

Acties:

Sendy

Verwijderd schreef op donderdag 24 november 2005 @ 10:49:
[...]
Simpel: Ik heb de extra DNS-records nodig wanneer ik de SOA opvraag van een RDNS-zone.
[...]

Wat betekent dit nu weer? Als je het SOA record opvraagd van een zone (of deze nu reverse is of niet) krijg je het SOA record van de zone terug. Daarvoor hoef je geen "extra DNS-records" te hebben?!?

donderdag 24 november 2005 11:29

Acties:

Verwijderd

Topicstarter

Sendy schreef op donderdag 24 november 2005 @ 11:11:
[...]

Wat betekent dit nu weer? Als je het SOA record opvraagd van een zone (of deze nu reverse is of niet) krijg je het SOA record van de zone terug. Daarvoor hoef je geen "extra DNS-records" te hebben?!?

Bekijk hier boven de nslookups nou eens....

donderdag 24 november 2005 11:34

Acties:

Sendy

Verwijderd schreef op donderdag 24 november 2005 @ 11:29:
[...]
Bekijk hier boven de nslookups nou eens....

En wat moet ik daaraan zien? Probeer nu eens dig te gebruiken, dan kan je het zelf zien.

[ Voor 14% gewijzigd door Sendy op 24-11-2005 11:37 ]

donderdag 24 november 2005 11:35

Acties:

Verwijderd

Topicstarter

Sendy schreef op donderdag 24 november 2005 @ 11:34:
[...]

En wat moet ik daaraan zien?

Sorry hoor... je kunt toch zien dat wanneer ik een SOA-record opvraag de DNS-server ook weergegeven worden ?

set type=soa

Ik krijg die onderste 4 regels (records) dus niet te zien wat ik qua records ook invul.

[ Voor 15% gewijzigd door Verwijderd op 24-11-2005 11:39 . Reden: extra info ]

donderdag 24 november 2005 11:38

Acties:

Sendy

Juist. Dat krijg je namelijk ook teruggestuurd door de DNS server. Als je dig zou gebruiken zie je het volgende:

code:

sgr@jfr115:~$ dig 21.109.194.in-addr.arpa. SOA

; <<>> DiG 9.2.4 <<>> 21.109.194.in-addr.arpa. SOA
;; global options:  printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 7589
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 2, ADDITIONAL: 2

;; QUESTION SECTION:
;21.109.194.in-addr.arpa.       IN      SOA

;; ANSWER SECTION:
21.109.194.in-addr.arpa. 86400  IN      SOA     ns.xs4all.nl. hostmaster.xs4all.nl. 2005100600 21600 7200 604800 86400

;; AUTHORITY SECTION:
21.109.194.in-addr.arpa. 86400  IN      NS      ns.xs4all.nl.
21.109.194.in-addr.arpa. 86400  IN      NS      ns2.xs4all.nl.

;; ADDITIONAL SECTION:
21.109.194.in-addr.arpa. 86400  IN      NS      ns.xs4all.nl.
21.109.194.in-addr.arpa. 86400  IN      NS      ns2.xs4all.nl.

;; ADDITIONAL SECTION:
ns.xs4all.nl.           49125   IN      A       194.109.6.67
ns2.xs4all.nl.          49125   IN      A       194.109.9.100

;; Query time: 109 msec
;; SERVER: 192.168.1.23#53(192.168.1.23)
;; WHEN: Thu Nov 24 11:36:27 2005
;; MSG SIZE  rcvd: 164

Zie je de "Additional sections"? Dit wordt ongevraagd meegestuurd omdat de server dat handig lijkt te vinden.

Verwijderd schreef op donderdag 24 november 2005 @ 11:35:
[...]
Ik krijg die onderste 4 regels (records) dus niet te zien wat ik qua records ook invul.

Wat?!? Welke 4 regels (records)? Wat vul je in? Wat is het probleem?

[ Voor 25% gewijzigd door Sendy op 24-11-2005 11:42 ]

donderdag 24 november 2005 11:50

Acties:

Verwijderd

Topicstarter

Sendy schreef op donderdag 24 november 2005 @ 11:38:
Juist. Dat krijg je namelijk ook teruggestuurd door de DNS server. Als je dig zou gebruiken zie je het volgende:

Zie je de "Additional sections"? Dit wordt ongevraagd meegestuurd omdat de server dat handig lijkt te vinden.

[...]

Wat?!? Welke 4 regels (records)? Wat vul je in? Wat is het probleem?

Het is helemaal duidelijk... we praten niet langs elkaar heen in ieder geval. Het blijkt dat BIND die "Additional sections" automatisch meegeeft en PowerDNS niet. Ik zal kijken of die optie aan te zetten is, het zou namelijk in hun FAQ moeten staan maar net zoals iemand anders daar kan ik het ook niet vinden

donderdag 24 november 2005 12:02

Acties:

Sendy

Maar wat is het doel daarvan? Je kan deze namelijk ook opvragen met een gerichte "dig 21.109.194.in-addr.arpa. NS".

donderdag 24 november 2005 12:05

Acties:

Verwijderd

Topicstarter

Sendy schreef op donderdag 24 november 2005 @ 12:02:
Maar wat is het doel daarvan? Je kan deze namelijk ook opvragen met een gerichte "dig 21.109.194.in-addr.arpa. NS".

Het doel er van was zeker weten dat het goed "zichtbaar" was, RIPE had hier namelijk commentaar over. Na een controle bij XS4ALL en die duitse toko kwamen we er achter dat die records dus niet weergegeven werden. Wat blijkt, zij gebruiken beide BIND, dus zocht ik het probleem bij ons zelf.

donderdag 24 november 2005 12:05

Acties:

DukeBox

Verwijderd schreef op donderdag 24 november 2005 @ 11:50:
[...]

Het is helemaal duidelijk... we praten niet langs elkaar heen in ieder geval. Het blijkt dat BIND die "Additional sections" automatisch meegeeft en PowerDNS niet. Ik zal kijken of die optie aan te zetten is, het zou namelijk in hun FAQ moeten staan maar net zoals iemand anders daar kan ik het ook niet vinden

Waarom installeer je niet gewoon BIND ? PowerDNS blinkt niet bepaald uit in het voldoen aan de RFC's waar je toevallig zelf mee op de proppen komt.

donderdag 24 november 2005 12:09

Acties:

Verwijderd

Topicstarter

DukeBox schreef op donderdag 24 november 2005 @ 12:05:
[...]

Waarom installeer je niet gewoon BIND ? PowerDNS blinkt niet bepaald uit in het voldoen aan de RFC's waar je toevallig zelf mee op de proppen komt.

Ja ben ik helemaal met je eens. BIND werkt stukken sneller en makkelijker eigenlijk. Ik zit met een script dat niet helemaal lekker met het aanpassen van BIND-zonefiles om kan gaan en aangezien PDNS met een MySQL-DB werkt.

Ik zou natuurlijk de DB van PDNS bij kunnen laten werken en dan een pdns2bind-script kunnen gebruiken wellicht en BIND als DNS-server laten werken.

vrijdag 25 november 2005 16:20

Acties:

Verwijderd

Topicstarter

OK, helemaal opgelost... nameservers toegevoegd en RIPE vond het leuk. Beetje lastig dat PDNS niet liet zien wat we verwachtte.

Opgelost dus

zondag 27 november 2005 17:06

Acties:

JackBol

Security is not an option!

Verwijderd schreef op vrijdag 25 november 2005 @ 16:20:
OK, helemaal opgelost... nameservers toegevoegd en RIPE vond het leuk. Beetje lastig dat PDNS niet liet zien wat we verwachtte.

Opgelost dus

ik raar je toch aan om een cursusje DNS te volgen...

Opbrengst van mijn Tibber Homevolt met externe kWh meter. | Opbrengst van mijn Tibber Homevolt volgens de Tibber Data API.

zondag 27 november 2005 17:09

Acties:

Verwijderd

Topicstarter

Dirk-Jan schreef op zondag 27 november 2005 @ 17:06:
[...]

ik raar je toch aan om een cursusje DNS te volgen...

Zijn meerdere mensen die daar problemen mee gehad hebben. Windows reageert ook niet als Linux... beste stuurlui staan aan wal