Même moi j'ai pas eu de problèmes, donc tout le monde peut réussir 8)
Merci pour le tuto
Merci pour le tuto
[Discussion] Mettre en place un serveur DNS avec Bind9 et DNSSEC
oki, merci
Donc, si j'ai plusieurs VMs, y aura qu'une seule ip wan (si j'ai qu'une seule ip wan)
c'est bien cela?
Donc, si j'ai plusieurs VMs, y aura qu'une seule ip wan (si j'ai qu'une seule ip wan)
c'est bien cela?
Salutations,
J'ai suivi avec assiduité le tutoriel d'installation de DNS mais je bloque au niveau de DNSSEC, à l'étape où il faut générer la clé KSK et la donner au registrar.
Je suis chez Online.net. Je les ai contacté, mais il semble qu'ils ne gèrent pas ce type d'enregistrement. Je suis donc presque arrivé à la fin du process, mais ai au final un DNS pas complètement sécurisé.
J'aurais donc voulu savoir comment faire pour "contourner" ce pb et ainsi pouvoir finir le tuto.
Bien cordialement.
V.
J'ai suivi avec assiduité le tutoriel d'installation de DNS mais je bloque au niveau de DNSSEC, à l'étape où il faut générer la clé KSK et la donner au registrar.
Je suis chez Online.net. Je les ai contacté, mais il semble qu'ils ne gèrent pas ce type d'enregistrement. Je suis donc presque arrivé à la fin du process, mais ai au final un DNS pas complètement sécurisé.
J'aurais donc voulu savoir comment faire pour "contourner" ce pb et ainsi pouvoir finir le tuto.
Bien cordialement.
V.
- Modifié
Seule solution : changer de registrar.
OVH et Gandi supportent bien DNSSEC. Ça m'étonne de la part de Online, regarde bien si tu as pas la possibilité de leur fournir ta clé, ça me semble étrange, mais c'est possible qu'ils ne prennent pas encore en charge DNSSEC complètement.
OVH et Gandi supportent bien DNSSEC. Ça m'étonne de la part de Online, regarde bien si tu as pas la possibilité de leur fournir ta clé, ça me semble étrange, mais c'est possible qu'ils ne prennent pas encore en charge DNSSEC complètement.
Salut Hardware et merci pour ta réponse
Justement, Online ne le supporte pas et c'est vraiment dommage. En plus, à la Hotline, ils ne font pas de support pour tout ce qui touche au DNS... en gros, c'est démerde-toi. Dommage parce que les prix sont vraiment intéressants sinon.
Bref, je viens de regarder chez GANDI... c'est cher un nom de domaine chez eux ! 2x le prix de chez Online !!! Oo'
Je me vois pas tout transférer ailleurs, ou alors Kimsufi ! Mais là, pareil, les boxes 1er prix sont toutes prises... grrr
Je continue mes recherches
Cordialement
++
V.
Justement, Online ne le supporte pas et c'est vraiment dommage. En plus, à la Hotline, ils ne font pas de support pour tout ce qui touche au DNS... en gros, c'est démerde-toi. Dommage parce que les prix sont vraiment intéressants sinon.
Bref, je viens de regarder chez GANDI... c'est cher un nom de domaine chez eux ! 2x le prix de chez Online !!! Oo'
Je me vois pas tout transférer ailleurs, ou alors Kimsufi ! Mais là, pareil, les boxes 1er prix sont toutes prises... grrr
Je continue mes recherches
Cordialement
++
V.
Tu peux retrouver la liste des registrars prennant en charge DNSSEC sur le site de l'ICANN :
https://www.icann.org/resources/pages/deployment-2012-02-25-en
Comme tu peux le voir, il y en a très peu vu que ce standard est assez récent. Les serveurs racines et la zone root "." ont leur signature depuis 2010, ensuite on suivi les domaines de haut-niveau NET, ORG, COM dans la même année. Pour moi un bon Registrar se doit de proposer DNSSEC, au moins pour les professionnels et les entreprises.
https://www.icann.org/resources/pages/deployment-2012-02-25-en
Comme tu peux le voir, il y en a très peu vu que ce standard est assez récent. Les serveurs racines et la zone root "." ont leur signature depuis 2010, ensuite on suivi les domaines de haut-niveau NET, ORG, COM dans la même année. Pour moi un bon Registrar se doit de proposer DNSSEC, au moins pour les professionnels et les entreprises.
RE Salut Hardware, et encore merci pour ta réponse
Juste une question, comme ça : si je prends un serveur Kimsufi à 5€, vu que c'est du OVH Low Cost, le DNSSEC est aussi pris en charge ? ou faut vraiment prendre un serveur OVH ?
Si je demande, c'est juste que je n'ai pas "envie de m'embêter" à avoir 1 serveur hébergé ici (en l’occurrence Online.net), un domaine géré là-bas (GANDI ou OVH), etc. Le mieux pour moi serait de tout regrouper en un seul endroit.
Donc si KimSufi gère le DNSSEC, je dirai banco !
Au plaisir.
V.
Juste une question, comme ça : si je prends un serveur Kimsufi à 5€, vu que c'est du OVH Low Cost, le DNSSEC est aussi pris en charge ? ou faut vraiment prendre un serveur OVH ?
Si je demande, c'est juste que je n'ai pas "envie de m'embêter" à avoir 1 serveur hébergé ici (en l’occurrence Online.net), un domaine géré là-bas (GANDI ou OVH), etc. Le mieux pour moi serait de tout regrouper en un seul endroit.
Donc si KimSufi gère le DNSSEC, je dirai banco !
Au plaisir.
V.
La prise en charge de DNSSEC est complètement indépendante de l'offre d'hébergement ou de l'hébergeur, le plus important c'est de prendre un nom de domaine chez un registrar qui dispose bien de ce standard. Ton serveur tu peux le prendre n'importe où, peut importe l'hébergeur, ça n'a aucune importance.
Donc dire :
Moi par exemple, j'ai choisis Gandi en tant que registrar et SoYouStart (OVH) en tant qu'hébergeur, ça fonctionne très bien. Si tu préfère regrouper tout chez le même prestataire, tu peux transférer ton nom de domaine de Online.net vers OVH puis choisir une offre kimsufi pour l'hébergement.
Donc dire :
C'est incorrect.virgo77 wrote:Si KimSufi gère le DNSSEC, je dirai banco !
Moi par exemple, j'ai choisis Gandi en tant que registrar et SoYouStart (OVH) en tant qu'hébergeur, ça fonctionne très bien. Si tu préfère regrouper tout chez le même prestataire, tu peux transférer ton nom de domaine de Online.net vers OVH puis choisir une offre kimsufi pour l'hébergement.
7 jours plus tard
- Modifié
J'ai un soucis avec la vérification "TXT de chez Kimsufi ... donc je configure le db.domain.tld comme il faut et sous la ligne :
Ps / C'est un NDD, de chez OVH ...
@ IN NS ns.kimsufi.com.ownercheck IN TXT "1234abcd"Ps / C'est un NDD, de chez OVH ...
Tu peux me passer ton enregistrement SOA ?
Comme je ne sais pas exactement ce que tu veux je te met toute le db.domain.tld:
(si j'ai bien compris, c'est la lign "SOA" ?
(si j'ai bien compris, c'est la lign "SOA" ?
; ZONE : nomdedomaine.ovh
; ------------------------------------------------------------------
$TTL 7200
@ IN SOA ns12346.ip-00-00-000.eu. hostmaster.nomdedomaine.ovh. (
2015030401 ; Serial
7200 ; Refresh
1800 ; Retry
1209600 ; Expire - 1 week
86400 ) ; Minimum
; NAMESERVERS
@ IN NS ns123456.ip-00-000-000.eu.
@ IN NS ns.kimsufi.com.
ownercheck IN TXT "1234abcd"- Modifié
Voila pourquoi ça ne marche pas, OVH cherche le sous domaine ownercheck.nomdedomaine.tld et toi dans ta zone tu indiques ownercheck.ns12346.ip-00-00-000.eu., il faut que tu corriges ta zone DNS comme ceci :
; ZONE : domain.tld
; ------------------------------------------------------------------
$TTL 7200
@ IN SOA hostname.domain.tld. hostmaster.domain.tld. (
2014102001 ; Serial
7200 ; Refresh
1800 ; Retry
1209600 ; Expire - 1 week
86400 ) ; Minimum
; Serveurs de noms
@ IN NS hostname.domain.tld.
@ IN NS ns.kimsufi.com.
; Enregistrements A
@ IN A IPv4 serveur
hostname IN A IPv4 serveur
; Vérification OVH
ownercheck IN TXT "1234abcd"
J'ai fait ce que tu ma='a dis je crois ... mais ... ça veux pas !
; ZONE : nomdedomaine.ovh
; ------------------------------------------------------------------
$TTL 7200
@ IN SOA ns123456.ip-00-000-000.eu. hostmaster.nomdedomaine.ovh. (
2015030402 ; Serial
7200 ; Refresh
1800 ; Retry
1209600 ; Expire - 1 week
86400 ) ; Minimum
; Serveurs de noms
@ IN NS ns123456.ip-00-000-000.eu.
@ IN NS ns.kimsufi.com.
; Enregistrements A
@ IN A 10.20.30.40
nomdedomaine.ovh IN A 10.20.30.40
; Vérification OVH
ownercheck IN TXT "1234abcd"
Non tu as pas compris. Je vais expliquer simplement :
Ton serveur DNS doit être identité sur le réseau avec un adresse unique qui lui est propre. Ton serveur dispose d'un nom d'hôte ou hostname en anglais permettant de le retrouver sur le réseau local, tu peux voir son nom en regardant dans le fichier /etc/hostname.
Tu peux bien entendu changer son nom à ta convenance, par exemple si tu décides de nommer ton serveur 'serveur1', dans /etc/hostname tu dois mettre :
Une fois que c'est fait, un redémarrage du serveur est nécessaire. La zone DNS devra être comme ceci :
Ton serveur DNS doit être identité sur le réseau avec un adresse unique qui lui est propre. Ton serveur dispose d'un nom d'hôte ou hostname en anglais permettant de le retrouver sur le réseau local, tu peux voir son nom en regardant dans le fichier /etc/hostname.
Tu peux bien entendu changer son nom à ta convenance, par exemple si tu décides de nommer ton serveur 'serveur1', dans /etc/hostname tu dois mettre :
serveur1
serveur1.tondomaine.tld.127.0.0.1 localhost.localdomain localhost
IP DU SERVEUR serveur1.tondomaine.tld serveur1Une fois que c'est fait, un redémarrage du serveur est nécessaire. La zone DNS devra être comme ceci :
; ZONE : tondomaine.tld.
; ------------------------------------------------------------------
$TTL 7200
@ IN SOA serveur1.tondomaine.tld. hostmaster.tondomaine.tld. (
2014102001 ; Serial
7200 ; Refresh
1800 ; Retry
1209600 ; Expire - 1 week
86400 ) ; Minimum
; Serveurs de noms
@ IN NS serveur1.tondomaine.tld.
@ IN NS ns.kimsufi.com.
; Enregistrements A
@ IN A IPv4 serveur
hostname IN A IPv4 serveur
; Vérification OVH
ownercheck IN TXT "1234abcd"Super, c'est cool ça fonctionne merci encore je passe a DNSeCC !
19 jours plus tard
- Modifié
Hello @Harware,
Dis, je suis entrain de regarder ton tuto, de le décortiquer, avant de me lancer dans l'install de bind et dnssec sur mon vps, qui actuellement n'a pour fonction que d'être un vpn.
N'étant pas du tout expert dans le domaine des dns, loin de là, j'avoue que j'suis un peu perdu. Même si tes explications, notamment la dernière sur ce post, sont cool pour la compréhension.
Pour expliquer vite fait ma situation :
-J'ai un serveur seedbox avec une IP X
-Un vps-vpn avec IP Y
-Un nom de domaine chez gandi
Actuellement, chez gandi, j'ai deux enregistrements sur ma zone, et vue que j'suis noob, j'ai fait court et simple : un A pour chacune de mes IP ( serv et vps ), afin d'avoir deux sous-domaines (s.domain.tld ; point.domain.tld).
Si je me lance dans l'installation d'un resolveur sur mon vps qui me sert actuellement de vpn, comment faire dans le fichier de zone pour conserver mes deux sous-domaines de l'image ci-dessus ? A priori je dirais rien de particulier, mais sait-on jamais !
Y a t-il des manip particulières pour que les résolutions dns soient bien "encapsulées" à l'intérieur du vpn, quand j'accéderai au web depuis mon client ?
Quels sont les avantages de Bind par rapport à Unbound ?
Désolé si mes interrogations sont débiles ou si j'prends le problème dans le mauvais sens.
Le vpn tourne bien actuellement, j'voudrais pas tout casser. :>
Dis, je suis entrain de regarder ton tuto, de le décortiquer, avant de me lancer dans l'install de bind et dnssec sur mon vps, qui actuellement n'a pour fonction que d'être un vpn.
N'étant pas du tout expert dans le domaine des dns, loin de là, j'avoue que j'suis un peu perdu. Même si tes explications, notamment la dernière sur ce post, sont cool pour la compréhension.
Pour expliquer vite fait ma situation :
-J'ai un serveur seedbox avec une IP X
-Un vps-vpn avec IP Y
-Un nom de domaine chez gandi
Actuellement, chez gandi, j'ai deux enregistrements sur ma zone, et vue que j'suis noob, j'ai fait court et simple : un A pour chacune de mes IP ( serv et vps ), afin d'avoir deux sous-domaines (s.domain.tld ; point.domain.tld).
Si je me lance dans l'installation d'un resolveur sur mon vps qui me sert actuellement de vpn, comment faire dans le fichier de zone pour conserver mes deux sous-domaines de l'image ci-dessus ? A priori je dirais rien de particulier, mais sait-on jamais !
Y a t-il des manip particulières pour que les résolutions dns soient bien "encapsulées" à l'intérieur du vpn, quand j'accéderai au web depuis mon client ?
Quels sont les avantages de Bind par rapport à Unbound ?
Désolé si mes interrogations sont débiles ou si j'prends le problème dans le mauvais sens.
Le vpn tourne bien actuellement, j'voudrais pas tout casser. :>
- Modifié
Tout ce que tu as à faire c'est de reprendre la zone qui se trouve chez ton registrar et de remettre les enregistrements dans la zone que tu as indiqué à Bind. Les résolutions DNS à l'intérieur de ton VPN se feront sans problème si la configuration DNS est correcte et qu'un résolveur est configuré dans resolv.conf.AlkaSeltZer wrote: Si je me lance dans l'installation d'un resolveur sur mon vps qui me sert actuellement de vpn, comment faire dans le fichier de zone pour conserver mes deux sous-domaines de l'image ci-dessus ? A priori je dirais rien de particulier, mais sait-on jamais !
Y a t-il des manip particulières pour que les résolutions dns soient bien "encapsulées" à l'intérieur du vpn, quand j'accéderai au web depuis mon client ?
Les deux sont bons, historiquement le plus utilisé c'est Bind, on le retrouve partout, après côté fonctionnalité Unbound reprend tout ce que fait Bind, de ce que j'ai entendu dire il serait même plus performant et fiable.AlkaSeltZer wrote: Quels sont les avantages de Bind par rapport à Unbound ?
- Modifié
Oki merci. (:
J'attends que gandi prenne en compte les modifications de serveur de nom, ils mettent du temps ..
Et pour info, en tout cas dans mon cas, le dnssec n'est pas pris en charge par gandi en ce moment.
edit : Bon, tout à l'air ok ! ( en ayant mis push "dhcp-option DNS IP LOCALE" dans la conf openvpn )
Dis moi, comment vérifier que c'est bien bind9 sur le serveur qui bosse pour les résolutions ?
J'attends que gandi prenne en compte les modifications de serveur de nom, ils mettent du temps ..
Et pour info, en tout cas dans mon cas, le dnssec n'est pas pris en charge par gandi en ce moment.
edit : Bon, tout à l'air ok ! ( en ayant mis push "dhcp-option DNS IP LOCALE" dans la conf openvpn )
Dis moi, comment vérifier que c'est bien bind9 sur le serveur qui bosse pour les résolutions ?
SI tu as mis "dhcp-option DNS IP LOCALE" c'est forcément ton résolveur qui fait le boulot, il va agir comme un cache en envoyant des requêtes aux serveurs racines DNS pour les zones pour lesquelles il n'a pas autorité.
Tu as quoi comme TLD pour ne pas avoir DNSSEC ?
Tu as quoi comme TLD pour ne pas avoir DNSSEC ?
Bon, ça foire. ^^
Depuis 2 jours, j'arrive à faire "fonctionner" le truc, puis le lendemain, ça ne résoud plus rien, le navigateur cherche en boucle. C'doit fonctionner le temps du cache avec les dns externes.
Je pige pas trop, la zone est ok, le fichier de conf semble ok aussi..
Depuis 2 jours, j'arrive à faire "fonctionner" le truc, puis le lendemain, ça ne résoud plus rien, le navigateur cherche en boucle. C'doit fonctionner le temps du cache avec les dns externes.
Je pige pas trop, la zone est ok, le fichier de conf semble ok aussi..