[BIND9] Slave DNS server - auto-new-zones - Serversoftware en clouddiensten

woensdag 18 augustus 2021 08:36

Acties:

0 Henk 'm!

Best life ever

Topicstarter

Ik heb 2 DirectAdmin machines draaien, welke elkaars master/slave zijn qua DNS servers. (multi server setup)
helaas geeft dit wat irritante problemen, specifiek is de situatie:

- domeinnaam abc.tld staat op server 1 (hosting, email)
- op server 2 is een compleet nieuwe setup gemaakt met Varnish, Nginx en daar draait voor domeinnaam abc.tld nu een nieuwe website (echter bereikbaar onder prd.abc.tld)
- Nu dient (www.)abc.tld ingesteld te gaan worden op server2 puur en alleen voor HTTP verkeer (dus als een ALIAS) alle e-mail blijft op server 1.

dit accepteert (uiteraard) DirectADmin niet ivm multi-server setup, domein transfer/check etc etc.

Doel
Hierom wil ik een derde nameserver opzetten, welke beide DirectAdmin machines gaan gebruiken (Dus elke directadmin server wordt master, de derde DNS wordt de slave voor beide(

hierdoor kan ik namelijk server onafhankelijk aliassen instellen van elke domeinnaam op elke server; DNS A/AAAA aanpassen en gaan met die banaan

Gisteren een DNS server opgezet op 1 van mijn VPSen waarop Portainer draait voor rand-zaken.

BIND9 (docker) container met de volgende config (named.conf.options)

code:

acl "trusted" {
        **IP_NS0**;
        **IP_NS1**;;
        **IP_NS3_(eigen)**; # dit is in dit geval het IP adres van VPS
        127.0.0.1;
        localhost;
};

options {
        directory "/var/cache/bind";

        dnssec-validation auto;
        dnssec-enable yes;
        dnssec-lookaside auto;

        allow-new-zones yes;
        allow-transfer { trusted; };

        auth-nxdomain no;    # conform to RFC1035
        listen-on-v6 { any; };
};

Op het domeinnaam de extra NS record toegevoegd voor die server (ns3.domain.tld), even gewacht en de NOTIFY kwam binnen op de nieuwe DNS server! $_/-\o_$

Maar helaas:

17-Aug-2021 22:44:01.673 client @0x7f289c0c6ae0 149.210.250.174#48508: received notify for zone 'abc.tld': not authoritative

Met geen mogelijkheid voegt ie automatisch de zone toe - tot vannacht 1u bezig geweest, maar toen maar gekapt - vanmorgen nog even wat uitgezocht, maar helaas. Geen oplossing behalve de standaard oplossing welke ik al in de config file heb staan.

Zie ik iets over het hoofd?

12,85kWp - ZB 7,5m2/400l - 5kW Pana H WP (CV&SWW) - 13,8kWh accu

woensdag 18 augustus 2021 08:59

Acties:

0 Henk 'm!

Drs_Ben

Staat je rndc.key goed?

woensdag 18 augustus 2021 09:31

Acties:

0 Henk 'm!

Crazy-

Best life ever

Topicstarter

Drs_Ben schreef op woensdag 18 augustus 2021 @ 08:59:
Staat je rndc.key goed?

wat heet goed?

named.conf:

code:

include "/etc/bind/rndc.key";

controls {
       inet 127.0.0.1 port 953
               allow { 127.0.0.1; } keys { "rndc-key"; };
};

waarbij rndc.key de output van "rndc-confgen" heeft gekregen (Gedeelte key)

code:

key "rndc-key" {
        algorithm hmac-md5;
        secret "_ZEER_GEHEIM_";
};

12,85kWp - ZB 7,5m2/400l - 5kW Pana H WP (CV&SWW) - 13,8kWh accu

woensdag 18 augustus 2021 10:16

Acties:

0 Henk 'm!

Oliekoets

Misschien denk ik te makkelijk maar waarom niet alleen die url met proxy doorzetten ipv aan de dns te sleutelen.

woensdag 18 augustus 2021 10:28

Acties:

0 Henk 'm!

Crazy-

Best life ever

Topicstarter

Oliekoets schreef op woensdag 18 augustus 2021 @ 10:16:
Misschien denk ik te makkelijk maar waarom niet alleen die url met proxy doorzetten ipv aan de dns te sleutelen.

Goed punt

echter dan kan niet apache/nginx correct ingesteld worden en ook ssl etc (+ dan staat de SSL op op de ene machine, de www-root op de andere - maakt het extreem verwarrend)

+ die VPS draait ook op een andere locatie > fallback dns beter

ondertussen:

named.conf:

code:

include "/etc/bind/named.conf.options";
include "/etc/bind/named.conf.local";
include "/etc/bind/named.conf.default-zones";

key "rndc-key" {
       algorithm hmac-md5;
       secret __ZEER_GEHEIM__";
};
 
controls {
       inet 127.0.0.1 port 953
               allow { 127.0.0.1; } keys { "rndc-key"; };
};

named.conf.options:

code:

acl "trusted" {
        ipns1;
        ipns2;
        ipns3;
        127.0.0.1;
        localhost;
};

options {
        directory "/var/cache/bind";
 
        dnssec-validation auto;
        dnssec-enable yes;
        dnssec-lookaside auto;

        allow-new-zones yes;
        allow-transfer { trusted; };

        auth-nxdomain no;    # conform to RFC1035
        listen-on-v6 { any; };
};

$ rndc status

code:

version: BIND 9.11.3-1ubuntu1.11-Ubuntu (Extended Support Version) <id:a375815>
running on e9f5f96694b8: Linux x86_64 4.14.138-rancher #1 SMP Sat Aug 10 11:25:46 UTC 2019
boot time: Wed, 18 Aug 2021 08:24:18 GMT
last configured: Wed, 18 Aug 2021 08:24:18 GMT
configuration file: /etc/bind/named.conf
CPUs found: 2
worker threads: 2
UDP listeners per interface: 1
number of zones: 101 (96 automatic)
debug level: 0
xfers running: 0
xfers deferred: 0
soa queries in progress: 0
query logging is OFF
recursive clients: 0/900/1000
tcp clients: 3/150
server is up and running

Voor de volledigheid:

het domeinnaam heeft 3 NS records, van elke NS server (De reden dat ik de notify ontvang op de nieuwe slave lijkt dat wel correct)

[ Voor 74% gewijzigd door Crazy- op 18-08-2021 11:39 ]

12,85kWp - ZB 7,5m2/400l - 5kW Pana H WP (CV&SWW) - 13,8kWh accu

woensdag 18 augustus 2021 17:22

Acties:

0 Henk 'm!

Crazy-

Best life ever

Topicstarter

Update

ik kreeg meer en meer het idee dat het ging goed zou gaan werken - heb hierom het plan veranderd en BIND9 losgelaten.

Binnen een uurtje had ik een PowerDNS machine draaien en alle domeinen staan netjes op de slave! NS records aangepast, GLUE records aangepast en alles draait perfect

12,85kWp - ZB 7,5m2/400l - 5kW Pana H WP (CV&SWW) - 13,8kWh accu

[BIND9] Slave DNS server - auto-new-zones

Vraag

Alle reacties