expertenaustausch > linux.debian.user.german

Dirk Salva (23.09.2005, 01:10)
On Thu, Sep 22, 2005 at 09:05:23PM +0200, Andreas Pakulat wrote:
> Ich nehme an dhcp+autodns-dhcp+bind9? Ich hab jetzt dhcp3 und der will
> irgendwie nicht - der macht keinerlei Anstalten ein DNS-Update
> auszuführen. Aber siehe dazu auch den längeren Thread von mir und Thomas


Hmm. Ich gebe zu, bei mir hat das alles nicht viel zu tun, insofern...
Hier läuft dhcp3-server und bind9. Ich habe diesen thread jetzt nicht
wirklich durchgelesen, aber was hat es mit autodns auf sich? Hat mit
Sicherheit nix mit dyndns zu tun, das machte ddclient (machte, weils
jetzt der LANCOM-Router macht; bind und dhcp laufen aber immer noch
unter Debian, ich will nicht abhängig von soner Blackbox sein). Was ich
dabei überhaupt noch nicht ausprobiert habe (ist es das, worauf Du
hinauswillst?): einen unbekannten Rechner mit festgelegtem Namen ins
Netz hängen und diesen dann von den schon vorhandenen Rechnern mit
Namen anzusprechen. Das habe ich noch nie ausprobiert, kann da also
auch nichts weiter zu vermelden.

> c) Overkill (ach das erwähnte ich ja schon ;-)


Ach? Meinst Du wirklich?;-)

ciao, Dirk
Dirk Salva (23.09.2005, 01:10)
On Thu, Sep 22, 2005 at 10:30:04PM +0200, Andreas Kroschel wrote:
> Ich kann selbst nicht mehr viel beitragen, da ich die beiden vor zwei
> Jahren aufgesetzt und seitdem das meiste vergessen habe.
> <http://www.mattfoster.clara.co.uk/ddns.htm> war aber entscheidend
> dafür, daß es seinerzeit geklappt hatte.


Hmm. Ich habs mal nach

aber damit nie ans Rennen gekriegt. Leider stecke ich auch nicht (mehr)
so tief in der Materie drin, um auf Anhieb zu sagen, wo denn die
wesentlichen Unterschiede liegen.

Ein Autoupdate fände ich allerdings auch so richtig nett, vielleicht
fassts ja mal jemand zusammen, wenns bei ihm läuft?

ciao, Dirk
Andreas Kroschel (23.09.2005, 01:30)
* Dirk Salva:

> Ein Autoupdate fände ich allerdings auch so richtig nett, vielleicht
> fassts ja mal jemand zusammen, wenns bei ihm läuft?


Wie gesagt, es läuft, aber für ein Mini-HOWTO fehlt momentan die Zeit.
Ich hatte seinerzeit die von mir angeführte URL ohne Ahnung von der
Materie relativ stumpfsinnig step-by-step durchexerziert (will auch
nicht behaupten, daß ich jetzt Ahnung hätte, DNS kann IMHO sehr schnell
sehr komplex werden). Wenn ich jetzt noch wüßte, ob weitere Googelei
notwendig war, wäre es eine Linksammlung aus zwei, drei URLs; momentan
erinnere ich mich nur noch an die eine.

Grüße,
Andreas
Marcel Gschwandl (23.09.2005, 01:50)
> Für einfache Anwendungsfälle ist der bind9 + DNS-HOWTO wirklich_sehr_
> einfach aufzusetzen. Jedenfalls aus meiner Perspektive (hab das ja grad
> gemacht). Den dhcpd zum laufen zu kriegen ist noch einfacher, nur beide
> zusammen will nicht so recht...

Also ich selbst hab das auch gemacht, doch zwei Punkte haben mich
gestört:
1) 90% der DNS-Konifguration hab ich einfach irgendwo abgetippt ohne zu
wissen was sie genau tut (und das rauszufinden war nicht bei allem
einfach)
2) den für mich interessanten Teil, also die Kommunikation zwischen DNS
und DHCP, zu implementieren hat mich reichlich Zeit gekostet.

Ich gebe zu, ich bin vielleicht ein Spezialfall, aber wenn ich so Sachen
konfiguriere, dann möchte ich auch wissen wieso es geht und wieso etwas
in einer bestimmten Form gemacht werden muss damit es läuft und nicht
nur einfach Configs abtippen und dann den Service starten. Das kommt
natürlich auch daher, dass ich diese Sachen nur selten produktiv
einsetzen muss/kann, sondern dass ich das alles nur so aus Spass und um
was zu lernen mache....

dnsmasq hab ich einfach vorgeschlagen, weil es sehr simpel ist. Es ist
schnell aufgesetzt und läuft dann mal. Wer dann doch noch mit bind und
dem ISC-dhcpd rumprobieren will, kann dass ja dann immer noch tun, aber
man hat zumindest schon mal was lauffähiges zur Verfügung.

Greets
Marcel Gschwandl (23.09.2005, 03:10)
Leider ist es bei mir auch schon über ein Jahr her das ich mich wirklich
mit bind und dem dhcpd auseinander gesetzt habe (mit gewissen Teilen
davon sogar vor noch längerer Zeit). Aber hier trotzdem einige Punkte an
die ich mich noch erinnere:

1) der Name des Keys muss in beiden Konfigs genau gleich sein
(casesensitive)
2) alle relativen Filereferenzen in named.conf(.*) sind relativ
zu /var/cache/bind/
3) bind bzw. die Gruppe bind braucht Schreib- und Leseberechtigungen
auf /var/cache/bind/ und alle darin liegenden Zonen-Dateien
4) die dienste im Vordergrund zu starten, wenn möglich mit Debug
Optionen hilft oft weiter

das wars eigentlich was mir grad so einfällt, zum abrunden der Sache
poste ich hier noch meine Konfigfiles bzw. Ausschnitte davon...

##-----------------------------------------------------------------
#/etc/bind/named.conf.local
##-----------------------------------------------------------------
include "/etc/bind/dhcp.key";

zone "lan.local" {
type master;
file "db.lan.local";
allow-update { key "dhcp-key"; };
};

zone "0.0.10.in-addr.arpa" IN {
type master;
file "db.0.0.10";
allow-update { key "dhcp-key"; };
};
##-----------------------------------------------------------------

##-----------------------------------------------------------------
#/etc/bind/dhcp.key
##-----------------------------------------------------------------
key "dhcp-key" {
algorithm hmac-md5;
secret "dV0GQhZLPgcF7ytZ6Nbr9w==";
};
##-----------------------------------------------------------------

##-----------------------------------------------------------------
#/etc/dhcp3/dhcpd.conf
##-----------------------------------------------------------------
ddns-update-style interim;

key dhcp-key {
algorithm HMAC-MD5;
secret dV0GQhZLPgcF7ytZ6Nbr9w==;
}

zone lan.local. {
primary 127.0.0.1;
key dhcp-key;
}

zone 0.0.10.in-addr.arpa. {
primary 127.0.0.1;
key dhcp-key;
}
<snip/>
##-----------------------------------------------------------------

Ob es die Quotes ("") in /etc/bind/dhcp.key wirklich braucht, kann ich
im Moment nicht mehr sagen.

Leider kann ich im Moment auch nicht gross was testen, denn der Server
auf dem das lief hat sich letzte Woche verabschiedet :-( zum Glück aber
erst grad nach einem frischen Backup :-).

Und bevor irgendwer was sagt.... die secrets sind natürlich geändert.
("dnssec-keygen -a HMAC-MD5 -b 128 -n USER mykey", aus dem generierten
Kmykey+*+*.private brauchts dann nur den Teil hinter "Key:") :-)

Folgende Änderungen hab ich auch noch gemacht, ich weiss aber nicht mehr
ob die einen Zusammenhang hatten mit ddns.

##-----------------------------------------------------------------
#/etc/bind/named.conf.options
##-----------------------------------------------------------------
options {
directory "/var/cache/bind";

forwarders {
ip.zu.ISPs.dns1
ip.zu.ISPs.dns2
};

auth-nxdomain no; # conform to RFC1035
};

include "/etc/bind/rndc.key";

controls {
inet 127.0.0.1 port 953
allow { 127.0.0.1; } keys { "rndc-key"; };
};
##-----------------------------------------------------------------

##-----------------------------------------------------------------
#/etc/bind/rndc.key
##-----------------------------------------------------------------
key "rndc-key" {
algorithm hmac-md5;
secret "GpuP/d9Tci5IwMrAU3BrWQ==";
};
##-----------------------------------------------------------------

hth
Dirk Salva (23.09.2005, 10:10)
On Fri, Sep 23, 2005 at 03:07:32AM +0200, Marcel Gschwandl wrote:
> 1) der Name des Keys muss in beiden Konfigs genau gleich sein
> (casesensitive)


Das ist irgendwie selbstverständlich...

> 2) alle relativen Filereferenzen in named.conf(.*) sind relativ
> zu /var/cache/bind/


? Äh? Das heisst jetzt genau was?

> 3) bind bzw. die Gruppe bind braucht Schreib- und Leseberechtigungen
> auf /var/cache/bind/ und alle darin liegenden Zonen-Dateien


Hat sie hier.

> das wars eigentlich was mir grad so einfällt, zum abrunden der Sache
> poste ich hier noch meine Konfigfiles bzw. Ausschnitte davon...


Danke.

ciao, Dirk
Dirk Salva (23.09.2005, 10:10)
On Fri, Sep 23, 2005 at 01:48:46AM +0200, Marcel Gschwandl wrote:
> 2) den für mich interessanten Teil, also die Kommunikation zwischen DNS
> und DHCP, zu implementieren hat mich reichlich Zeit gekostet.


Ach - den Teil hast Du zum Laufen gekriegt? Ich nämlich leider noch
nicht:-(

ciao, Dirk
Dirk Salva (23.09.2005, 10:10)
On Fri, Sep 23, 2005 at 03:07:32AM +0200, Marcel Gschwandl wrote:
> Und bevor irgendwer was sagt.... die secrets sind natürlich geändert.
> ("dnssec-keygen -a HMAC-MD5 -b 128 -n USER mykey", aus dem generierten
> Kmykey+*+*.private brauchts dann nur den Teil hinter "Key:") :-)


Hmm. Und was macht rndc-confgen -a dann? Das erstellt eine Datei
/etc/bind/rndc.key, ist das was anderes, oder kann ich mir überlegen,
welches Verfahren ich benutze? Und was heisst bei dnssec-keygen "ich
brauche nur das aus .private"?!? Muss ich die beiden entstandenen Datei
(die im /root abgelegt wurden) nach /etc/bind kopieren, oder wie jetzt?

ciao, Dirk
Marcel Gschwandl (23.09.2005, 10:50)
On Fri, 2005-09-23 at 09:24 +0200, Dirk Salva wrote:
> On Fri, Sep 23, 2005 at 03:07:32AM +0200, Marcel Gschwandl wrote:
> Das ist irgendwie selbstverständlich...
> ? Äh? Das heisst jetzt genau was?

Dass z.B. der Eintrag 'file "db.0.0.10";' in der Zonenkonfiguration
zu /var/cache/bind/db.0.0.10 expandiert wird. Das hat zur Folge das die
eigenen Zonen-Dateien eben nicht unter /etc/bind/ sondern
in /var/cache/bind/ anzulegen sind, in einigen HowTos ist das nicht der
Fall.

Greetings
Dirk Salva (23.09.2005, 10:50)
On Fri, Sep 23, 2005 at 03:07:32AM +0200, Marcel Gschwandl wrote:
> Ob es die Quotes ("") in /etc/bind/dhcp.key wirklich braucht, kann ich
> im Moment nicht mehr sagen.
> Und bevor irgendwer was sagt.... die secrets sind natürlich geändert.
> ("dnssec-keygen -a HMAC-MD5 -b 128 -n USER mykey", aus dem generierten
> Kmykey+*+*.private brauchts dann nur den Teil hinter "Key:") :-)
> #/etc/bind/rndc.key


Und da ist es wieder, mein Key-Problem:

/etc/init.d/bind9 restart
Stopping domain name service: namedrndc: connection to remote host
closed
This may indicate that the remote server is using an older version of
the command protocol, this host is not authorized to connect,
or the key is invalid.
..
Starting domain name service: named.

Und nun!?

ciao, Dirk
Marcel Gschwandl (23.09.2005, 11:10)
On Fri, 2005-09-23 at 09:55 +0200, Dirk Salva wrote:
> On Fri, Sep 23, 2005 at 03:07:32AM +0200, Marcel Gschwandl wrote:
> Hmm. Und was macht rndc-confgen -a dann? Das erstellt eine Datei
> /etc/bind/rndc.key, ist das was anderes, oder kann ich mir überlegen,
> welches Verfahren ich benutze?

ich behaupte jetzt einfach mal, das generiert auch was brauchbares bzw.
der Output ist eigentlich sogar besser, da er schon das richtige
"Format" hat. Ich vermute dass man auch einen so generierten Schlüssel
brauchen kann, ich kann mich halt einfach daran erinnern es mit
dnssec-keygen gemacht zu haben.

> Und was heisst bei dnssec-keygen "ich
> brauche nur das aus .private"?!? Muss ich die beiden entstandenen Datei
> (die im /root abgelegt wurden) nach /etc/bind kopieren, oder wie jetzt?

nein, man braucht wirklich nur den eigentlichen Schlüssel daraus (also
der Teil hinter "Key:"), die beiden generierten Files kannst du danach
entfernen. Den kopierten Schlüssel fügt man dann in /etc/bind/dhcp.key
(oder wenn man es direkt in der named.conf haben will halt dort) ein.

<Vorlage>
key "dhcp-key" {
algorithm hmac-md5;
secret "<hier Key rein kopieren>";
};
</Vorlage>

Greets
Marcel Gschwandl (23.09.2005, 12:10)
was steht in deinem syslog zum bind start bzw. stop?

> Und da ist es wieder, mein Key-Problem:
> /etc/init.d/bind9 restart
> Stopping domain name service: namedrndc: connection to remote host
> closed
> This may indicate that the remote server is using an older version of
> the command protocol, this host is not authorized to connect,
> or the key is invalid.
> .
> Starting domain name service: named.

ich kann mich daran erinnern, dieses Problem auch mal gehabt zu haben,
aber leider weiss ich die Lösung grad nicht mehr....

aber evtl. hilf ja der output von "/usr/sbin/named -u bind -f -d 2"
Dirk Salva (23.09.2005, 12:20)
On Fri, Sep 23, 2005 at 10:40:39AM +0200, Marcel Gschwandl wrote:
> > ? Äh? Das heisst jetzt genau was?

> Dass z.B. der Eintrag 'file "db.0.0.10";' in der Zonenkonfiguration
> zu /var/cache/bind/db.0.0.10 expandiert wird. Das hat zur Folge das die
> eigenen Zonen-Dateien eben nicht unter /etc/bind/ sondern
> in /var/cache/bind/ anzulegen sind, in einigen HowTos ist das nicht der
> Fall.


Ah soo. Bei mir steht da sowieso
file "/etc/bind/db.dnetz";
das sollte ausreichend sein. Mein Problem ist ja sowieso leider ein
ganz anderes:

root@server:/# /etc/init.d/bind9 restart
Stopping domain name service: namedrndc: connection to remote host
closed
This may indicate that the remote server is using an older version of
the command protocol, this host is not authorized to connect,
or the key is invalid.
..
Starting domain name service: named.

Ich kapier die verdammte Fehlermeldung nicht. Und die kommt *immer*,
sobald ich irgendwas bzgl. update einbaue:-/

ciao, Dirk
Martin Reising (23.09.2005, 13:10)
On Fri, Sep 23, 2005 at 10:15:07AM +0200, Dirk Salva wrote:
> /etc/init.d/bind9 restart
> Stopping domain name service: namedrndc: connection to remote host
> closed
> This may indicate that the remote server is using an older version of
> the command protocol, this host is not authorized to connect,
> or the key is invalid.
> .
> Starting domain name service: named.
> Und nun!?


Wie kommst du auf das schmale Brett, das Key in Config einbauen und
Restart den laufenden Bind automagisch in die Lage versetzen den Key
zu benutzen.

/etc/init.d/bind stop
Key einbauen
/etc/init.d/bind start

Nur so hat das hier funktioniert.
Marcel Gschwandl (23.09.2005, 13:30)
On Fri, 2005-09-23 at 11:21 +0200, Dirk Salva wrote:
> On Fri, Sep 23, 2005 at 10:40:39AM +0200, Marcel Gschwandl wrote:
> Ah soo. Bei mir steht da sowieso
> file "/etc/bind/db.dnetz";
> das sollte ausreichend sein.

ich bin mir nicht sicher ob das so mit ddns sauber funktioniert, denn
der bind muss ja die dynamischen Hosts eintragen können, dazu schreibt
er zu erst Journal-Dateien und wenn es gewünscht wird, überträgt er
diese einträge in die Zonen-Dateien. Ich kann leider aus dem Kopf heraus
nicht sagen wo bind versucht diese Journale anzulegen, wenn er es aber
in /etc/bind/ versucht könnte das zu Berechtigungsproblemen führen.

> Mein Problem ist ja sowieso leider ein
> ganz anderes:
> root@server:/# /etc/init.d/bind9 restart
> Stopping domain name service: namedrndc: connection to remote host
> closed
> This may indicate that the remote server is using an older version of
> the command protocol, this host is not authorized to connect,
> or the key is invalid.
> .
> Starting domain name service: named.

Du hast aber recht, dass da sicher auch noch ein anderes Problem
besteht, versuch mal den von Martin Reising beschriebenen Weg, der
klingt plausibel..

Wär doch gelacht wenn wir dass nicht noch hinkriegen :-)

Greets
Marcel

BTW: Welche Versionen von bind und dhcpd setzt du eigentlich ein?

Ähnliche Themen