Forum général.général DNS DHCP

Posté par  .
Étiquettes : aucune
0
6
mai
2010
Bonjour j'ai un souci pour enregistrer dynamiquement les données du dns avec mon dhcp........

DNS (192.168.1.3) :
named.conf

include "/etc/bind/rndc.key";

acl reseauLocal {
192.168.1.0/24;
};

options {
directory "/var/cache/bind";
forwarders {
192.168.1.2;
};
allow-query {reseauLocal;};
allow-recursion {reseauLocal;};
};

controls {
inet 127.0.0.1 port 953
allow { 127.0.0.1; } keys { "Kdhcpupdate_rndc-key"; };
};

zone "." {
type hint;
file "/etc/namedb/db.root";
};

zone "toto.mondomaine.org" in {
type master;
file "/etc/namedb/db.toto.mondomaine.org";
allow-update{key Kdhcpupdate_rndc-key;};
notify yes;
};

zone "1.168.192.in-addr.arpa" in {
type master;
file "/etc/namedb/db.16.168.1";
allow-update{key Kdhcpupdate_rndc-key;};
notify yes;
};


/etc/bind/rndc.conf

key "Kdhcpupdate_rndc-key" {
algorithm hmac-md5;
secret "monsecret........";
};

options {
default-key Kdhcpupdate_rndc-key;
default-server 127.0.0.1;
};
server localhost {
key Kdhcpupdate_rndc-key;
};



/etc/bind/rndc.key

key "Kdhcpupdate_rndc-key" {
algorithm hmac-md5;
secret "monsecret........";
};


DHCP (192.168.1.4) :
dhcpd.conf

allow booting;
allow bootp;
authoritative;
ddns-domainname "toto.mondomaine.org.";
ddns-rev-domainname "in-addr.arpa.";
ddns-updates on;
ddns-update-style interim;
ignore client-updates;
update-static-leases on;
subnet 192.168.1.0 netmask 255.255.255.0 {
# PASSERELLE PAR DEFAUT
option routers 192.168.16.1;
# ADRESSE DE DIFFUSION
option broadcast-address 192.168.16.255;
# MASQUE DE SOUS-RESEAU
option subnet-mask 255.255.255.0;
# delai du bail en seconde
# default-lease-time 3600;
# NOM DE DOMAINE
option domain-name "toto.mondomaine.org";
option domain-name-servers 192.168.1.3;
key "dhcpupdate" {
algorithm hmac-md5;
secret "monsecret qui est le meme que sur le serveur bind sur la machine 192.168.1.3";
};

zone 1.168.192.in-addr.arpa {
primary 192.168.16.3;
key dhcpupdate;
}
zone toto.mondomaine.org {
primary 192.168.16.3;
key dhcpupdate;
}




Le DHCP marche très bien... et le DNS aussi... mais les fichiers db.1.168.192 et db.toto.mondomaine.org ne se remplissent pas au fur et à mesure (dynamiquement).... je n'ai pas d'erreur dans les logs....sans doute un gros oubli

si quelqu'un pouvait m'aider... merci!!

  • # journal

    Posté par  (site web personnel) . Évalué à 2.

    C'est un journal/fichier de log des enregistrements donc une méthode qui liste la zone correspondante permet de consulter le contenu de celle-ci. ( dig, host ).

    Système - Réseau - Sécurité Open Source - Ouvert à de nouvelles opportunités

  • # faute de frappe/recopie

    Posté par  (site web personnel) . Évalué à 2.

    C'est normal ça ?

    option routers 192.168.16.1;

    Système - Réseau - Sécurité Open Source - Ouvert à de nouvelles opportunités

    • [^] # Re: faute de frappe/recopie

      Posté par  . Évalué à 3.


      zone "1.168.192.in-addr.arpa" in {
      type master;
      file "/etc/namedb/db.16.168.1";
      allow-update{key Kdhcpupdate_rndc-key;};
      notify yes;
      };

      et avec celle là, ca expliquerait pourquoi rien ne se passe dans le fichier
      /etc/namedb/db.1.168.192


      par contre une piste pourrait etre que ton bind ne sait pas aller travailler dans /etc/namedb

      de memoire, avec mon bind (version 9) esclave, j'avais du mettre les fichiers dans
      /var/bind ou un dossier dans ce style pour une vague raison de chroot

      • [^] # Re: faute de frappe/recopie

        Posté par  . Évalué à 1.

        En fait j'ai fait quelques coquilles de copier/coller avec les adresses ip pour éviter de mettre mes adresses réelles... désolé.... car tout fonctionne en fait (d'ailleurs au niveau du dns j'ai plusieurs zones esclaves qui sont bien répliqués...)

        Par contre mes les fichiers db.1.168.192 et db.toto.mondomaine.org ne se remplissent pas...

        db.toto.mondomaine.org est vide (0 octet) je l'ai créé et laissé vide

        et pour db.1.168.192 dans le doute, je l'ai commencé à la main :

        $ORIGIN .
        $TTL 3600 ; 1 hour
        1.168.192.in-addr.arpa IN SOA toto.mondomaine.org. hostmaster.mondomaine.org. (
        12 ; serial
        900 ; refresh (15 minutes)
        600 ; retry (10 minutes)
        86400 ; expire (1 day)
        3600 ; minimum (1 hour)
        )
        NS toto.mondomaine.org
        $ORIGIN 1.168.192.in-addr.arpa.
        $TTL 1200 ; 20 minutes
        3 PTR toto.mondomaine.org
        4 PTR toto2.mondomaine.org
        toto.mondomaine.org A 192.168.1.3


        J'ai tout plein de machine XP Pro qui récupèrent leur adresse IP par le serveur dhcp 192.168.1.4 mais rien n'est rajouté dans le DNS!!! c'est à dire dans les fichiers si-dessus...

        LA SUITE RECTIFIEE :

        DNS (192.168.1.3) :
        named.conf

        include "/etc/bind/rndc.key";

        acl reseauLocal {
        192.168.1.0/24;
        };

        options {
        directory "/var/cache/bind";
        forwarders {
        192.168.1.2;
        };
        allow-query {reseauLocal;};
        allow-recursion {reseauLocal;};
        };

        controls {
        inet 127.0.0.1 port 953
        allow { 127.0.0.1; } keys { "Kdhcpupdate_rndc-key"; };
        };

        zone "." {
        type hint;
        file "/etc/namedb/db.root";
        };

        zone "toto.mondomaine.org" in {
        type master;
        file "/etc/namedb/db.toto.mondomaine.org";
        allow-update{key Kdhcpupdate_rndc-key;};
        notify yes;
        };

        zone "1.168.192.in-addr.arpa" in {
        type master;
        file "/etc/namedb/db.1.168.192";
        allow-update{key Kdhcpupdate_rndc-key;};
        notify yes;
        };


        /etc/bind/rndc.conf

        key "Kdhcpupdate_rndc-key" {
        algorithm hmac-md5;
        secret "monsecret........";
        };

        options {
        default-key Kdhcpupdate_rndc-key;
        default-server 127.0.0.1;
        };
        server localhost {
        key Kdhcpupdate_rndc-key;
        };



        /etc/bind/rndc.key

        key "Kdhcpupdate_rndc-key" {
        algorithm hmac-md5;
        secret "monsecret........";
        };


        DHCP (192.168.1.4) :
        dhcpd.conf

        allow booting;
        allow bootp;
        authoritative;
        ddns-domainname "toto.mondomaine.org.";
        ddns-rev-domainname "in-addr.arpa.";
        ddns-updates on;
        ddns-update-style interim;
        ignore client-updates;
        update-static-leases on;
        subnet 192.168.1.0 netmask 255.255.255.0 {
        # PASSERELLE PAR DEFAUT
        option routers 192.168.16.1;
        # ADRESSE DE DIFFUSION
        option broadcast-address 192.168.16.255;
        # MASQUE DE SOUS-RESEAU
        option subnet-mask 255.255.255.0;
        # delai du bail en seconde
        # default-lease-time 3600;
        # NOM DE DOMAINE
        option domain-name "toto.mondomaine.org";
        option domain-name-servers 192.168.1.3;
        key "dhcpupdate" {
        algorithm hmac-md5;
        secret "monsecret qui est le meme que sur le serveur bind sur la machine 192.168.1.3";
        };

        zone 1.168.192.in-addr.arpa {
        primary 192.168.1.3;
        key dhcpupdate;
        }
        zone toto.mondomaine.org {
        primary 192.168.1.3;
        key dhcpupdate;
        }



        PS : je vais essayé de voir pour les droits d'accès (effectivement c'est aussi en environnement chrooté) et de regarder aussi du côté de dig......

  • # dns...dnssec

    Posté par  (site web personnel) . Évalué à 1.

    Il existe une commande dont je ne me rappelle plus le nom qui permet de modifier les mises à jour dynamique.

    De mémoire les fichiers journaux ont l'extension jnl.
    Il y a déjà un moment que j'ai mis en place ce type de solution.

    Lsof est ton ami.
    En effet les permissions/ droits d'accès sont à vérifier.
    Il y a peut être un "touch" à faire pour créer le fichier journal la première fois ( ce fichier jnl contient les transactions effectuées ).

    Faire tourner bind en mode bavard peut servir.

    Système - Réseau - Sécurité Open Source - Ouvert à de nouvelles opportunités

    • [^] # Re: dns...dnssec

      Posté par  . Évalué à 1.

      en mettant des log plus verbeux sur le bind (192.168.1.3) :

      # log zone
      logging {
      channel update_debug {
      file "/var/log/update_debug.log" versions 3 size 100k;
      severity debug 3;
      print-category yes;
      print-severity yes;
      print-time yes;
      };
      channel security_info {
      file "/var/log/securite_debug.log" versions 3 size 100k;
      severity info;
      print-category yes;
      print-severity yes;
      print-time yes;
      };

      channel queries_info {
      file "/var/log/queries_debug.log" versions 3 size 1m;
      severity debug 1;
      print-category yes;
      print-severity yes;
      print-time yes;
      };

      channel lame_info {
      file "/var/log/lame_debug.log" versions 3 size 100k;
      severity info;
      print-category yes;
      print-severity yes;
      print-time yes;
      };

      category update { update_debug; };
      category security { security_info; };
      category queries { queries_info; };
      category lame-servers { lame_info; };
      };





      mon fichier securite_debug.log me donne les pistes!!!!


      06-May-2010 11:46:36.741 security: error: client 192.168.16.4#54579: request has invalid signature: TSIG dhcpupdate: tsig verify failure (BA
      DKEY)


      je verrai ça lundi! merci pour votre aide en tous les cas!!

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.