Afox Posted October 7, 2021 Share Posted October 7, 2021 Hallo, Idee ist es einen eigenen DNS Server zu betreiben den ich bei allen Clients meines Netzwerks als Alternative zu Public DNS Servern hinterlegen kann. Kann man so etwas mit Froxlor umsetzen (ggf. auch ohne eigene Domains)? LG, Afox Link to comment Share on other sites More sharing options...
0 d00p Posted October 8, 2021 Share Posted October 8, 2021 Wo ist denn dein problem? das jemand irgendwelche subdomains bruteforcen könnte und dann sieht "oh, guck ma, zeigt auf 10.0.0.2" - hat doch niemand was gewonnen damit?! Du willst DNS aber auch wieder kein DNS... Link to comment Share on other sites More sharing options...
0 Afox Posted October 8, 2021 Author Share Posted October 8, 2021 Ich hatte einen Gedankenfehler und kann es auch ohne die Option umsetzen denke ich. Danke Link to comment Share on other sites More sharing options...
0 Shortie Posted October 8, 2021 Share Posted October 8, 2021 1 hour ago, Afox said: Bezüglich des DNS Server bin ich noch über ein "Problem" gestolpert. Und zwar habe ich bei meinen Domains teilweise auch private IP Adressen hinterlegt und gesehen dass diese ebenfalls in den Records auftauchen. Frage wäre ob es möglich wäre diese privaten Bereiche auszuschließen/zu entfernen? Wird mit Froxlor generierten Zonen und Configs wahrscheinlich nicht gehen, aber generell geht das. BIND 9 kann das in Abhängigkeit des Clients - also woher die Abfrage kommt. Das bedeutet Du musst ACLs und Views einführen. Schau dir Example 2 in folgendem Link an: https://kb.isc.org/docs/aa-00851 Link to comment Share on other sites More sharing options...
0 Afox Posted October 8, 2021 Author Share Posted October 8, 2021 Danke für den Hinweis. Frage wäre dann noch ob eine solche individuelle Konfiguration überhaupt mit froxlor kompatibel ist? Denn wenn ich es richtig verstanden habe müsste ich dazu die froxlor_bind.conf anpassen. Link to comment Share on other sites More sharing options...
0 Afox Posted October 11, 2021 Author Share Posted October 11, 2021 Ist es denkbar dass in Zukunft der AXFR Transfer mit einem Secret abgesichert werden kann (Stichwort TSIG)? Link to comment Share on other sites More sharing options...
0 d00p Posted October 11, 2021 Share Posted October 11, 2021 Ja wieso nicht, einfach unter GitHub nen Feature request Link to comment Share on other sites More sharing options...
0 Afox Posted October 11, 2021 Author Share Posted October 11, 2021 Ref: https://github.com/Froxlor/Froxlor/issues/981 Link to comment Share on other sites More sharing options...
0 Afox Posted October 14, 2021 Author Share Posted October 14, 2021 Noch eine Frage: Kommt Froxlor auch mit ipv6 zurecht? Link to comment Share on other sites More sharing options...
0 d00p Posted October 14, 2021 Share Posted October 14, 2021 Ja sicher... Link to comment Share on other sites More sharing options...
0 Afox Posted October 14, 2021 Author Share Posted October 14, 2021 Super, danke. Das Einzige wo ich jetzt noch hänge ist wie ich den Slave dazu bekomme die Zonen zu syncen etc.. Link to comment Share on other sites More sharing options...
0 Afox Posted October 15, 2021 Author Share Posted October 15, 2021 Also bevor ich jetzt committe möchte ich meine bisherigen Gedanken nochmal absegnen lassen, wenn möglich: Und zwar ist aktuell eine Master Slave Konfiguration realistisch nur mit PowerDNS und Froxlor möglich. Dabei kann der von Froxlor erstellte Master im Grunde so gelassen werden wie er ist (inkl. AXFR Einträge) und der Slave (ohne Froxlor) wird ebenfalls "regulär" (inklusive Supermasters Eintrag) eingerichtet. Bezüglich DNSSEC bin ich mir noch unschlüssig ob das so mit Froxlor in Kombination funktioniert wenn ich auf dem Master manuell für jede Zone pdnsutil secure-zone example.com eingebe und darauf achte dass die entsprechende Domain nicht komplett gelöscht wird. Wäre um ein kurzes Feedback dankbar ob das so möglich ist. LG Link to comment Share on other sites More sharing options...
0 d00p Posted October 15, 2021 Share Posted October 15, 2021 Bitte beachte das ich das nicht in ein Release mergen kann bevor das für alle unterstützten Dienste bereitsteht, sprich bind. Wieso sollte da master/slave nicht gehen? Haben wir auch bei Kunden. Froxlor als (normaler) bind Nameserver und der Slave ist extern. Link to comment Share on other sites More sharing options...
0 Afox Posted October 15, 2021 Author Share Posted October 15, 2021 Also mein bisheriges Verständnis bezüglich bind war dass man dort die Zonen auf dem Slave manuell anlegen muss und ein automatischer Sync nicht möglich ist. Ändert sich dann etwas (Zone wird gelöscht/kommt hinzu) auf dem Master, muss alles manuell nachgezogen werden. Link to comment Share on other sites More sharing options...
0 d00p Posted October 15, 2021 Share Posted October 15, 2021 25 minutes ago, Afox said: Also mein bisheriges Verständnis bezüglich bind war dass man dort die Zonen auf dem Slave manuell anlegen muss und ein automatischer Sync nicht möglich ist. Was glaubst du wozu AXFR da ist? Ich mach da auf den Slaves genau nix Link to comment Share on other sites More sharing options...
0 Afox Posted October 15, 2021 Author Share Posted October 15, 2021 Oh ok, umso besser. Bind wäre auch mein Favorit gewesen. 1 hour ago, d00p said: Bitte beachte das ich das nicht in ein Release mergen kann bevor das für alle unterstützten Dienste bereitsteht, sprich bind. Meintest du das in Bezug auf DNSSEC? Eine "PowerDNS only" Funktion wäre wohl nicht denkbar? Link to comment Share on other sites More sharing options...
0 d00p Posted October 15, 2021 Share Posted October 15, 2021 Naja, erstellen der Keys usw. Wird ja wenn ähnlich oder sogar gleich ablaufen, Rest ist dann zonen-inhalt. Mir wär es halt schon lieb auch ein Feature für beide Varianten anbieten zu können Link to comment Share on other sites More sharing options...
0 Afox Posted October 15, 2021 Author Share Posted October 15, 2021 Unter bind scheint es aber auch relativ automatisch zu funktionieren sehe ich gerade. Wichtige Tools wären dann: Mit dnssec-keymgr kann man die Keys automatisiert erzeugen und verwalten lassen. Bei dem signing bin ich noch etwas verwirrt. Evtl. geht das mittels auto-dnssec, update-policy und/oder rndc sign <zone>. Link to comment Share on other sites More sharing options...
0 Shortie Posted October 18, 2021 Share Posted October 18, 2021 On 10/15/2021 at 1:02 PM, d00p said: Was glaubst du wozu AXFR da ist? Ich mach da auf den Slaves genau nix Wie sagst du einem Slave automatisch dass er für eine Domain / Zone zuständig ist? AXFR macht doch nur Zonen-Updates oder hab ich was übersehen? Link to comment Share on other sites More sharing options...
0 d00p Posted October 18, 2021 Share Posted October 18, 2021 1 hour ago, Shortie said: Wie sagst du einem Slave automatisch dass er für eine Domain / Zone zuständig ist? Hä? Garnicht, du sagst dem slave natürlich wer sein master ist...sonst nix, du gibst doch da keine domains/zonen speziell an Link to comment Share on other sites More sharing options...
0 Shortie Posted October 18, 2021 Share Posted October 18, 2021 3 hours ago, d00p said: Hä? Garnicht, du sagst dem slave natürlich wer sein master ist...sonst nix, du gibst doch da keine domains/zonen speziell an ich muß doch dem Slave eine Konfiguration mitgeben, dass dieser weiß dass er für eine Domain zuständig ist: # Slave zone statement for forward DNS lookup zone "domain.com" IN { type slave; file "domain.com"; masters { 192.168.2.5; }; }; und diese Konfiguration geht meines Wissens nicht automatisch aus bind, sondern nur über externe Scripte oder dein Registrar wenn dort der Slave läuft (bspw. bei Schlundtech oder InternetX möglich). Link to comment Share on other sites More sharing options...
0 d00p Posted October 18, 2021 Share Posted October 18, 2021 Also wir nutzen 2 externe slaves die wir nicht verwalten und ich wüsste nich das wir da irgendwo irgendwas an domains eingetragen/gemeldet/oder sonstwas haben. Also muss es ja irgendwas geben was eingehende AXFR entsprechend so handlet das der Slave sie kennt - hat halt sogesehen nicht mehr allzuviel mit froxlor ansich zu tun, da kann ich dir nur bedingt helfen Link to comment Share on other sites More sharing options...
0 Afox Posted October 18, 2021 Author Share Posted October 18, 2021 Aber der Master ist ein von Froxlor gefütterter bind Server? Das Einzige was ich dazu noch gefunden habe sind Katalog-Zonen die aber Froxlor soweit ich weiß so nicht verwendet: https://kb.isc.org/docs/aa-01401 Ansonsten habe ich bei allen Anleitungen nur das gefunden wie es Shortie beschreibt. Link to comment Share on other sites More sharing options...
0 d00p Posted October 18, 2021 Share Posted October 18, 2021 10 minutes ago, Afox said: Aber der Master ist ein von Froxlor gefütterter bind Server Genau jo, ganz normal Standard Setup. Link to comment Share on other sites More sharing options...
0 Afox Posted October 18, 2021 Author Share Posted October 18, 2021 Die Config von dem Slave würde ich gerne mal sehen Da muss doch etwas geskripted sein?! Irgendwie mit rsync und Umschreibungen oder so... Link to comment Share on other sites More sharing options...
0 d00p Posted October 18, 2021 Share Posted October 18, 2021 kann ich dir leider nicht sagen - ist wie gesagt ein externer dienstleister Link to comment Share on other sites More sharing options...
Question
Afox
Hallo,
Idee ist es einen eigenen DNS Server zu betreiben den ich bei allen Clients meines Netzwerks als Alternative zu Public DNS Servern hinterlegen kann. Kann man so etwas mit Froxlor umsetzen (ggf. auch ohne eigene Domains)?
LG,
Afox
Link to comment
Share on other sites
Top Posters For This Question
26
22
7
Popular Days
Oct 7
21
Oct 18
12
Oct 8
9
Oct 15
7
Top Posters For This Question
Afox 26 posts
d00p 22 posts
Shortie 7 posts
Popular Days
Oct 7 2021
21 posts
Oct 18 2021
12 posts
Oct 8 2021
9 posts
Oct 15 2021
7 posts
54 answers to this question
Recommended Posts
Create an account or sign in to comment
You need to be a member in order to leave a comment
Create an account
Sign up for a new account in our community. It's easy!
Register a new accountSign in
Already have an account? Sign in here.
Sign In Now