Toon posts:

Dynamic DNS Updates Error

Pagina: 1
Acties:

zondag 16 januari 2005 02:43

Acties:

Verwijderd

Topicstarter
Ik probeer dynamische updates voor de dns server op gang te krijgen, maar ik krijg volgende error:


Jan 16 04:31:55 debian-bert dhcpd: Unable to add forward map from laptopbert.spookkot to 192.168.2.250: timed out
Jan 16 04:31:55 debian-bert dhcpd: DHCPREQUEST for 192.168.2.250 from 00:00:39:d6:dd:f2 (laptopbert) via eth0
Jan 16 04:31:55 debian-bert dhcpd: DHCPACK on 192.168.2.250 to 00:00:39:d6:dd:f2 (laptopbert) via eth0


Mijn dhcpd.conf ziet er zo uit:


# /etc/dhcpd.conf

ddns-domainname "spookkot";
ddns-update-style interim;
ddns-updates on;

deny client-updates;
allow unknown-clients;

subnet 192.168.2.0 netmask 255.255.255.0{
range 192.168.2.200 192.168.2.250;

default-lease-time 86400;
max-lease-time 172800;

option subnet-mask 255.255.255.0;
option broadcast-address 192.168.2.255;
option routers 192.168.2.1;

option domain-name "spookkot";
option domain-name-servers 192.168.2.254;

option netbios-name-servers 192.168.2.254;
}


en mijn named.conf:


// This is the primary configuration file for the BIND DNS server named.
//
// Please read /usr/share/doc/bind9/README.Debian for information on the
// structure of BIND configuration files in Debian, *BEFORE* you customize
// this configuration file.
//

options{

directory "/var/cache/bind";


// If there is a firewall between you and nameservers you want
// to talk to, you might need to uncomment the query-source
// directive below. Previous versions of BIND always asked
// questions using port 53, but BIND 8.1 and later use an unprivileged
// port by default.

// query-source address * port 53;

// If your ISP provided one or more IP addresses for stable
// nameservers, you probably want to use them as forwarders.
// Uncomment the following block, and insert the addresses replacing
// the all-0's placeholder.

forwarders {
//0.0.0.0;
192.168.2.1;
};

auth-nxdomain no; # conform to RFC1035


};


controls {
inet 127.0.0.1 port 953
allow { 127.0.0.1; };
};

// prime the server with knowledge of the root servers
zone "." {
type hint;
file "/etc/bind/db.root";
};

// be authoritative for the localhost forward and reverse zones, and for
// broadcast zones as per RFC 1912

zone "localhost" {
type master;
file "/etc/bind/db.local";
};

zone "127.in-addr.arpa" {
type master;
file "/etc/bind/db.127";
};

zone "0.in-addr.arpa" {
type master;
file "/etc/bind/db.0";
allow-update { 192.168.2.0/24; };
};

zone "255.in-addr.arpa" {
type master;
file "/etc/bind/db.255";
allow-update { 192.168.2.0/24; };
};

// add entries for other zones below here

zone "spookkot" {
type master;
file "/etc/bind/db.spookkot";
allow-update { localhost; };
notify no;
};

zone "2.168.192.in-addr.arpa" {
type master;
file "/etc/bind/db.2.168.192";
allow-update { localhost; };
notify no;
};


Hopelijk kan iemand hier raad mee, het is waarschijnlijk een dom probleem, maar ik zit al net iets te lang te zoeken naar de oplossing :O ...

zondag 16 januari 2005 03:05

Acties:
  • Jelmer
  • Registratie: Maart 2000
  • Laatst online: 09:18

Jelmer

man dhcpd.conf Daar staat het exact hoe het wel moet (keys genereren e.d.). Heb het vorige week zelf nog op een debian-testing machine aan de praat gekregen door puur die manpage te volgen. Check iig even /var/log/* op meldingen en zorg dat named write rechten heeft in /etc/bind om z'n journal aan te maken (een leeg bestand aan maken werkt niet, het is nl een binary formaat en er wordt een header verwacht).

[ Voor 5% gewijzigd door Jelmer op 16-01-2005 21:49 ]

zondag 16 januari 2005 15:08

Acties:

Verwijderd

Topicstarter
mja ik volg een lesdocument uit school. Daar zien we helemaal niets over keys genereren... Kan het ook niet zonder?

zondag 16 januari 2005 16:45

Acties:
  • Roel
  • Registratie: Februari 2000
  • Laatst online: 12-02 17:32

Roel

screen -x addict

Of het zonder key's gaat weet ik niet, maar dat is wel het veiligste.

Resistance is futile (If < 1 Ohm)

zondag 16 januari 2005 17:11

Acties:
  • _Squatt_
  • Registratie: Oktober 2000
  • Niet online

_Squatt_

Staat dat lesdocument toevallig online? Kunnen wij er ook een blik op werpen :).

Uit je logs blijkt dat dhcpd wel probeert om de forward map toe te voegen, maar dat hij een time out op de verbinding krijgt. Dat kan komen omdat je named niet draait, of omdat dhcpd wellicht probeert te verbinden met je named op 192.168.2.1.

Als ik mijn dhcpd.conf vergelijk met jouw configuratie dan mis ik onder meer de 2 zone definities die opgeven bij welke dns server dhcpd de update moet doen:
# key gegenereerd met:
# dnssec-keygen -a HMAC-MD5 -b 128 -n USER DHCP_UPDATER
key DHCP_UPDATER {
  algorithm HMAC-MD5.SIG-ALG.REG.INT;
  secret XXXX;
};

# updates voor linux.zwolle opgeven bij de dns server op 127.0.0.1
# en de hierboven gedefinieerde key DHCP_UPDATER gebruiken.
zone linux.zwolle. {
  primary 127.0.0.1;
  key DHCP_UPDATER;
}

# idem voor de reverse dns
zone 0.168.192.in-addr.arpa. {
  primary 127.0.0.1;
  key DHCP_UPDATER;
}


Uit dhcpd.conf(5) maak ik op dat het zonder keys wel moet kunnen, maar dat het is (zoals gezegd) wel minder veilig. Misschien voor wat extra credit uitleggen dat het met keys veiliger is, en een voorbeeld configuratie er bij doen.

"He took a duck in the face at two hundred and fifty knots."

zondag 16 januari 2005 21:48

Acties:
  • Roel
  • Registratie: Februari 2000
  • Laatst online: 12-02 17:32

Roel

screen -x addict

_Squatt_ schreef op zondag 16 januari 2005 @ 17:11:Misschien voor wat extra credit uitleggen dat het met keys veiliger is, en een voorbeeld configuratie er bij doen.
*gaat voor de extra punten*:

Met keys kunnen andere je DNS niet updaten, uitschakelen of vernielen. Als je DNS blokeerd in je firewall is er natuurlijk niks aan de hand, maar anders moet je er zeker op letten.

Mijn configuratie met keys:
dhcpd.conf
option domain-name "internetcafe.melodyshop.nl";
option domain-name-servers 192.168.0.1;

ddns-update-style interim;

default-lease-time 6000;
max-lease-time 7200;

# If this DHCP server is the official DHCP server for the local
# network, the authoritative directive should be uncommented.
authoritative;

# Use this to send dhcp log messages to a different log file (you also
# have to hack syslog.conf to complete the redirection).
log-facility local7;

subnet 192.168.0.0 netmask 255.255.255.0 {

    key gw01.melodyshop.nl {
        algorithm HMAC-MD5;
        secret "*****Topsecret key";
    }

    range 192.168.0.100 192.168.0.250;
    option routers 192.168.0.1;
    option domain-name "intenetcafe.melodyshop.nl";

    ddns-updates on;
    ddns-domainname "internetcafe.melodyshop.nl";
    zone internetcafe.melodyshop.nl {
        primary 127.0.0.1;
        key gw01.melodyshop.nl;
    }

    zone 0.168.192.in-addr.arpa. {
        primary 127.0.0.1;
        key gw01.melodyshop.nl;
    }

    zone in-addr.arpa. {
        primary 127.0.0.1;
        key gw01.melodyshop.nl;
    }

}


en named.conf:


key gw01.melodyshop.nl {
        algorithm HMAC-MD5;
        secret "*****Topsecret key";
        };

        directory "/var/bind";

        // uncomment the following lines to turn on DNS forwarding,
        // and change the forwarind ip address(es) :
        forward first;
        forwarders {
                212.83.192.6;
                212.83.200.5;
        };

        listen-on {
                127.0.0.1;
                192.168.0.1;
        };
        pid-file "/var/run/named/named.pid";
};
zone "." IN {
        type hint;
        file "named.ca";
};

zone "localhost" IN {
        type master;
        file "pri/localhost";
        allow-update { none; };
        notify no;
};

zone "0.0.127.in-addr.arpa" IN {
        type master;
        file "pri/127.0.0";
        allow-update { none; };
        notify no;
};

zone "internetcafe.melodyshop.nl" {
        type master;
        file "local/internetcafe";
        allow-update {
            key gw01.melodyshop.nl;
        };
};

zone "0.168.192.in-addr.arpa" {
        type master;
        file "local/192.168.0";
        allow-update {
            key gw01.melodyshop.nl;
        };
};


Deze configuratie werkt bij mij, alleen moet je wel de secret key even invullen die ik uit veiligheid maar even verandert heb!

Resistance is futile (If < 1 Ohm)

maandag 17 januari 2005 18:33

Acties:

Verwijderd

Topicstarter
okee, heel wel bedankt!
Moet er dan ook nog een key aangemaakt worden met dns-sec ?
En wat moet ik precies zetten in rndc.conf ( of rndc.key ? )

dinsdag 18 januari 2005 01:18

Acties:
  • _Squatt_
  • Registratie: Oktober 2000
  • Niet online

_Squatt_

Ja, je moet je key aanmaken met dnssec-keygen. 't Commando staat in mijn post, en in de manpage van dhcpd.conf, daar staat sowieso wat meer uitleg bij.

rndc.conf/rndc.key heeft niets te maken met dynamic dns updates. Daarin kun je de key zetten voor het programma 'rndc', waarmee je de named server verschillende opdrachten kunt geven. Bijvoorbeeld om een zone te reloaden, of om de server te stoppen.

"He took a duck in the face at two hundred and fifty knots."

Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2026 Hosting door TrueFullstaq