Das ist sehr schade. Als Vorschlag hatte ich an eine globale Option in den DNS Einstellungen gedacht die die "offiziellen" privaten IP Ranges (10.0.0.0/8 , 172.16.0.0/12, 192.168.0.0/16) ausschließt/entfernt bzw. eine Einstellung bei den IP Adressen selbst mit der man eine IP aus den DNS Records ausklammern kann.

Wo ist denn dein problem? das jemand irgendwelche subdomains bruteforcen könnte und dann sieht "oh, guck ma, zeigt auf 10.0.0.2" - hat doch niemand was gewonnen damit?!

Du willst DNS aber auch wieder kein DNS...

Ich hatte einen Gedankenfehler und kann es auch ohne die Option umsetzen denke ich. Danke

1 hour ago, Afox said:

Bezüglich des DNS Server bin ich noch über ein "Problem" gestolpert. Und zwar habe ich bei meinen Domains teilweise auch private IP Adressen hinterlegt und gesehen dass diese ebenfalls in den Records auftauchen. Frage wäre ob es möglich wäre diese privaten Bereiche auszuschließen/zu entfernen?

 

Wird mit Froxlor generierten Zonen und Configs wahrscheinlich nicht gehen, aber generell geht das.
BIND 9 kann das in Abhängigkeit des Clients - also woher die Abfrage kommt. Das bedeutet Du musst ACLs und Views einführen. Schau dir Example 2 in folgendem Link an:

https://kb.isc.org/docs/aa-00851

Danke für den Hinweis. Frage wäre dann noch ob eine solche individuelle Konfiguration überhaupt mit froxlor kompatibel ist? Denn wenn ich es richtig verstanden habe müsste ich dazu die froxlor_bind.conf anpassen.

Ist es denkbar dass in Zukunft der AXFR Transfer mit einem Secret abgesichert werden kann (Stichwort TSIG)?

Ja wieso nicht, einfach unter GitHub nen Feature request

Ref: https://github.com/Froxlor/Froxlor/issues/981

Noch eine Frage: Kommt Froxlor auch mit ipv6 zurecht?

Ja sicher...

Super, danke. Das Einzige wo ich jetzt noch hänge ist wie ich den Slave dazu bekomme die Zonen zu syncen etc..

Also bevor ich jetzt committe möchte ich meine bisherigen Gedanken nochmal absegnen lassen, wenn möglich:

Und zwar ist aktuell eine Master Slave Konfiguration realistisch nur mit PowerDNS und Froxlor möglich. Dabei kann der von Froxlor erstellte Master im Grunde so gelassen werden wie er ist (inkl. AXFR Einträge) und der Slave (ohne Froxlor) wird ebenfalls "regulär" (inklusive Supermasters Eintrag) eingerichtet. Bezüglich DNSSEC bin ich mir noch unschlüssig ob das so mit Froxlor in Kombination funktioniert wenn ich auf dem Master manuell für jede Zone

pdnsutil secure-zone example.com

eingebe und darauf achte dass die entsprechende Domain nicht komplett gelöscht wird.

Wäre um ein kurzes Feedback dankbar ob das so möglich ist.

LG

Bitte beachte das ich das nicht in ein Release mergen kann bevor das für alle unterstützten Dienste bereitsteht, sprich bind. Wieso sollte da master/slave nicht gehen? Haben wir auch bei Kunden. Froxlor als (normaler) bind Nameserver und der Slave ist extern. 

Also mein bisheriges Verständnis bezüglich bind war dass man dort die Zonen auf dem Slave manuell anlegen muss und ein automatischer Sync nicht möglich ist. Ändert sich dann etwas (Zone wird gelöscht/kommt hinzu) auf dem Master, muss alles manuell nachgezogen werden.

25 minutes ago, Afox said:

Also mein bisheriges Verständnis bezüglich bind war dass man dort die Zonen auf dem Slave manuell anlegen muss und ein automatischer Sync nicht möglich ist.

Was glaubst du wozu AXFR da ist?

Ich mach da auf den Slaves genau nix

Oh ok, umso besser. Bind wäre auch mein Favorit gewesen.

1 hour ago, d00p said:

Bitte beachte das ich das nicht in ein Release mergen kann bevor das für alle unterstützten Dienste bereitsteht, sprich bind.

Meintest du das in Bezug auf DNSSEC? Eine "PowerDNS only" Funktion wäre wohl nicht denkbar?

Naja, erstellen der Keys usw. Wird ja wenn ähnlich oder sogar gleich ablaufen, Rest ist dann zonen-inhalt. Mir wär es halt schon lieb auch ein Feature für beide Varianten anbieten zu können

 

Unter bind scheint es aber auch relativ automatisch zu funktionieren sehe ich gerade. Wichtige Tools wären dann:

Mit dnssec-keymgr kann man die Keys automatisiert erzeugen und verwalten lassen. Bei dem signing bin ich noch etwas verwirrt. Evtl. geht das mittels auto-dnssec, update-policy und/oder rndc sign <zone>.

 

On 10/15/2021 at 1:02 PM, d00p said:

Was glaubst du wozu AXFR da ist?

Ich mach da auf den Slaves genau nix

Wie sagst du einem Slave automatisch dass er für eine Domain / Zone zuständig ist?

AXFR macht doch nur Zonen-Updates oder hab ich was übersehen?

1 hour ago, Shortie said:

Wie sagst du einem Slave automatisch dass er für eine Domain / Zone zuständig ist?

Hä? Garnicht, du sagst dem slave natürlich wer sein master ist...sonst nix, du gibst doch da keine domains/zonen speziell an

3 hours ago, d00p said:

Hä? Garnicht, du sagst dem slave natürlich wer sein master ist...sonst nix, du gibst doch da keine domains/zonen speziell an

ich muß doch dem Slave eine Konfiguration mitgeben, dass dieser weiß dass er für eine Domain zuständig ist:

# Slave zone statement for forward DNS lookup
zone "domain.com" IN {
        type slave;
        file "domain.com";
        masters { 192.168.2.5; };
};

und diese Konfiguration geht meines Wissens nicht automatisch aus bind, sondern nur über externe Scripte oder dein Registrar wenn dort der Slave läuft (bspw. bei Schlundtech oder InternetX möglich).

Also wir nutzen 2 externe slaves die wir nicht verwalten und ich wüsste nich das wir da irgendwo irgendwas an domains eingetragen/gemeldet/oder sonstwas haben. Also muss es ja irgendwas geben was eingehende AXFR entsprechend so handlet das der Slave sie kennt - hat halt sogesehen nicht mehr allzuviel mit froxlor ansich zu tun, da kann ich dir nur bedingt helfen

Aber der Master ist ein von Froxlor gefütterter bind Server?

Das Einzige was ich dazu noch gefunden habe sind Katalog-Zonen die aber Froxlor soweit ich weiß so nicht verwendet: https://kb.isc.org/docs/aa-01401

Ansonsten habe ich bei allen Anleitungen nur das gefunden wie es Shortie beschreibt.

10 minutes ago, Afox said:

Aber der Master ist ein von Froxlor gefütterter bind Server

Genau jo, ganz normal Standard Setup.

Die Config von dem Slave würde ich gerne mal sehen

Da muss doch etwas geskripted sein?! Irgendwie mit rsync und Umschreibungen oder so...