Forum Turris
Fórum Turris Nápověda

Milí majitelé routerů Turris,

toto fórum bylo 9. 12. 2016 zmrazeno a nahrazeno naším novým Turris fórem. Ještě chvíli bude dostupné k prohlížení, ale již zde není možné přispívat. Více informací naleznete v oznámení o uzavření fóra.


Dear Turris routers users,

this forum has been frozen on Dec 9th, 2016 and replaced by our new Turris forum. It will be read-only accessible for some time after. For more information, read the announcement about closing the forum.

Nahoru Téma Majitelé routerů / Technická podpora / DNS server
- - Od JohnyRi Dne 2015-08-25 10:57
Dobrý den,
doufám, že nebudu opakovat již dotazované. Přečetl jsem si jak článek na wiki, tak i několik témat (např zde a zde).
Nenašel jsem tam však potvrzení, že by se někdo snažil na Turrisu implementovat DNS server pro nelokální domény.
O co mi jde:
V síti před Turrisem sloužil jako DHCP a DNS server počítač, kde jsem měl nainstalovaný BIND, který měl 2 zóny, řekněme sit.lan a example.tk včetně automatizovaného překladu podle hostname, pro lokální síť pak navíc sloužil jako DNS forwarder.
Je možné mít BIND nainstalovaný i na Turrisu, obzvláště s ohledem na to, abych nerozbil DNSSEC?

Děkuji.
Nadřazený - - Od Michal Vaner (>>) Dne 2015-08-25 11:40
Dobrý den

Nejsem si úplně jistý, že chápu, čeho chcete dosáhnout, ale dovolím si maličko hádat. Chcete, aby Turris fungoval zároveň jako resolver pro lokální síť a zároveň jako autoritativní server i pro zbytek internetu, nejen vás? Tedy věc, která se v bindu obvykle řeší pomocí pohledů?

Pokud je tomu tak, potom je asi nejjednodušší řešení nechat unbound jak je a pustit druhý DNS server, který bude pouze autoritativní (buď bind, nebo cokoliv jiného, jako třeba knot, s tím už vím, že to někdo zkoušel). Ten však necháte poslouchat pouze na veřejné IP adrese/veřejném rozhraní do internetu. Pokud tedy přijde požadavek z internetu, dostane se tomuto novému serveru, pokud přijde z lokální sítě, propadne do unboundu. Pokud unbound sám bude chtít něco z té domény, kterou poskytuje onen druhý server, tak se zeptá přes veřejnou IP adresu a opět to dopadne, jak má.

Jen je potřeba dát si pozor na jednu věc. Protože budete potřebovat povolit port 53 na firewallu (aby se požadavky dostaly dovnitř), je vhodné unboundu vysvětlit, že na požadavky z vnějšku sítě nemá odpovídat. Kdyby z nějakého důvodu totiž nastartoval jen unbound a ne ten druhý server, požadavky z vnějšku by chodily do něj a on by fungoval jako tzv. „Open Resolver“, což pravděpodobně nechcete.
Nadřazený - - Od JohnyRi Dne 2015-08-26 08:11
Jasně, přesně nějak takhle jsem to chtěl udělat. Jen s tím rozdílem, že bych druhý server pustil na jiném portu, než 53 a udělal na něj přesměrování přes port forwarding.
V případě, že by se nepustil, pak by jen přesměrování vedlo na port, kde nikdo neposlouchá. Díky moc za odpověď.
Nadřazený - - Od JohnyRi Dne 2015-08-26 14:38
Tak ještě doplním, že věc se podařila. Řekl jsem si, že když už, tak už a místo BINDu jsem si nakonfiguroval knot, ať jsme značkoví, že :wink:
Nakonec jsem skutečně musel unbound i knot nakonfigurovat tak, aby oba poslouchaly na rozdílných rozhraních, protože v rámci IPv4 sice moje teorie fungovala, ale problém byl na IPv6, kde se na úrovni firewallu přesměrování portů neaplikuje - nechtěl jsem navíc tvořit konfiguraci nezávislou na LuCi.
Takže konfigurace unbound:

    list interface 192.168.1.1 #LAN adresa
    list interface 127.0.0.1 #localhost
    list interface 2001:470:6F:***::1 #routovaná "interní" IPv6 adresa

Konfigurace knot:

    interfaces {
      wan_ipv4 {
        address 192.168.0.2;
        port 53;
      }
      wan_ipv6 {
        address [2001:470:6e:***::2];
        port 53;
      }
    }

Dotaz z Turrisu na moji doménu jsem pak ještě musel vyřešit určitou oklikou. Turris má totiž na WAN portu nakonfigurovanou privátní adresu a je v DMZ (tzn navenek má veřejnou IP). Kdyby se tedy dotazoval veřejné adresy, kterou navenek má, packet by se nepřesměroval na něj, ale na router před ním. V mém případě je tak master samotný Turris a data posílá na slave v Internetu. Slave je ovšem ns1 (primární), takže Turris se pak nedotazuje sám sebe.

Každopádně ještě jednou díky za pomoc. Snad budou mé poznámky alespoň trochu užitečné.
Nadřazený - Od Ondřej Caletka (>>>) Dne 2015-08-26 15:19
Jen ještě vyzkoušejte, jestli vám všechno nastartuje po rebootu. Tohle konfigurování IP adres občas působí problém s tím, když se služba spustí dřív, než je nastavena IP adresa na rozhraní. V případě IPv6 je to ještě komplikovanější kvůli tzv. předběžné (tentative) adrese, po dobu, než proběhne detekce duplicitních adres.

Pokud by s tím byl problém, nedá se s tím asi nic moc dělat, než nastartovat služby z rc.local s nějakým zpožděním.

Jinak v konfiguraci unbounda můžete pomocí direktivy stub-zone, definovat adresy, na které se má ptát pro dané domény. To je trochu elegantnější než se ptát na vlastní doménu serveru v Internetu.

A ještě upřesním, že rekurzivní resolver se ptá kteréhokoli nameserveru, nemá vůbec tušení, který z nich je primární a který sekundární. Stačí aby kterýkoli z nich odpověděl.
Nahoru Téma Majitelé routerů / Technická podpora / DNS server

Powered by mwForum 2.29.3 © 1999-2013 Markus Wichitill