• Serveurs

  • [Discussion] Mettre en place un serveur DNS avec Bind9 et DNSSEC

@jeyy : http://mondedie.fr/d/5947/30

Pour le resolv.conf, il faut laisser les DNS par défaut fournis par ton hébergeur. Le serveur DNS décrit dans le tuto est un serveur autoritaire sur une zone, donc il répond uniquement pour résoudre les adresses de la zone définie, ce n'est pas un cache DNS.
ok merci, mais pour le reste est-ce que tu vois quelques chose qui cloche sinon?
parce que ce que je pige pas c'est que tous les test vers "ns.monndd.com" répondent comme je le voudrais pour "monndd.com", et ça je vois pas pourquoi en fait.
re.

bon bin j'ai rajouté :
@                       IN A    10.0.0.1
et ça refonctionne on dirait
3 mois plus tard
Bonjour,

j'aurai besoin d'un peu d'éclaircissement sur le sujet du coin
Je vais donner des exemples, ca m'aidera pour la suite.
Imaginons :
Hostname -> patate
ndd -> douce.com
nameserver -> un truc qui marche -_-'
; ZONE : douce.com
; ------------------------------------------------------------------
$TTL 7200

@       IN      SOA    patate.douce.com. hostmaster.douce.com. (
                                        2014102001 ; Serial
                                        14400      ; Refresh
                                        3600       ; Retry
                                        1209600    ; Expire - 1 week
                                        86400 )    ; Minimum

; NAMESERVERS

@                   IN                NS                   patate.douce.com.
@                   IN                NS                   ns.kimsufi.com.


; Enregistrements A/AAAA

@                   IN                A                        01.02.03.04
@                   IN                AAAA                 1111:1111:1111::1

patate		    IN		      A		     01.02.03.04
patate		    IN		      AAAA		      1111:1111:1111::1

ns1                 IN                A                          01.02.03.04 
ns1                 IN                AAAA                 1111:1111:1111::1

; Sous-domaines - Serveur web
www                 IN                CNAME                douce.com
Le Hosts, devrait donc ressembler à ça ? 
127.0.0.1 localhost.localdomain localhost
01.02.03.04            patate.douce.com       patate
111:111:111::1     patate.douce.com       patate
Enfin je crois qu'il y a un truc que j'ai pas trop compris dans tout ça.
Dans le Hostname faut t-il mettre juste un nom (patate) ou le ndd avec(patate.douce.com) ?

A la deuxieme page, tu dis que si l'Hostname est "serveur1" il faut remplacer "ns1" par "serveur1" Ce qui veut dire que dans le tuto, l'Hostname est "ns1" ?
Bonjour à vous !

J'ai il y a quelques jours acheté un serveur Kimsufi pour un projet WEB ..

Alors que j'avais besoin de faire le paramétrage de BIND, je suis tombé sur ce fameux tutoriel qui au passage est vraiment génial !

Maintenant le problème que je rencontre depuis environ 1 heure ..

J'ai donc un domaine acheté chez : godaddy.com (vraiment pas cher et opérationnel avec kimsufi 20 minutes après l'achat )

Le serveur lui, tel que plus haut est chez Kimsufi (un KS-2)

Lorsque je m'occupe de la sécurité du serveur DNS, plus particulièrement sur DNSSEC j'obtiens une erreur bien méchante après cette commande :
dnssec-signzone -eYYYYMMDDHHMMSS -t -g -k Kdomain.tld.ksk.key -o domain.tld db.domain.tld Kdomain.tld.zsk.key
J'ai, bien entendu tout bien remplacer, réaliser les includes dans le fichier db mais, lorsque je tape cette commande j'ai cette erreur qui apparait :
dnssec-signzone: fatal: No self-signed KSK DNSKEY found. Supply an activekey with the KSK flag set, or use '-P'.
Je me suis donc dis, bon ok j'ai dû faire une connerie je supprime les .key/.private et je vais retaper toutes les commandes, mais non, même erreur.

Après quelques recherches sur Google, aucun résultat concret ... J'espère que l'un d'entre vous s'aura me dire comment corriger ce problème

En tout cas, merci à vous par avance, et merci au créateur de ce tutoriel.
J'ai pas trop d'idée, tu as du faire une erreur lors de l'inclusion ou avec les paramètres de la commande dnssec-signzone.
20 jours plus tard
Mettez à jour BIND, un exploit a été publié il y a quelques jours permettant une attaque DDoS.
5 jours plus tard
Bon je suis en phase étude/préparation avant la mise en place de mon resolveur DNS question est ce que :



correspond bien à ce que j'ai fait :



Ensuite

Est ce obligatoire(nécessaire) de mettre dans le fichier "/etc/bind/domain.tld/db.domain.tld" les nameservers gandi et kimsufi ?
dans ce meme fichier j'indique "ns1" avant mon nomdedomain.fr à quoi cela correspond ? est la même chose pour tous les nom de domaine quelque soit le registrar ?

merci
Hello,

Je me suis fait avoir bêtement donc pensez-y: pour la clé publique à transmettre au registrar, supprimez les espaces

Ptikrazy
13 jours plus tard

Bonjour à tous,

J'ai la même question que dedic, est-ce que quelqu'un peux nous indiquer en clair ce qui doit figurer dans les onglets "Zone DNS" et "Gestion DNS" chez OVH ?

Je suppose que ce doit être ça avec :

host : ns1234567
domaine : cpasca.net
@ip4 : 123.234.123.234
@ip6 : 2001:11aa:9:1

**************************************************************************
Zone DNS :
**************************************************************************

$TTL 86400
@		IN	SOA          ns1234567.cpasca.net. hostmaster.cpasca.net. (2015082601 86400 3600 3600000 300)

	    IN NS     ns1234567.cpasca.net.
                IN NS     ns.kimsufi.com.

                IN MX 10  mail.cpasca.net.

                IN A      123.234.123.234
                IN AAAA   2001:11aa:9:1
www             IN A      123.234.123.234

mail              IN CNAME  ns1234567.cpasca.net.
pop3             IN CNAME  ns1234567.cpasca.net.
smtp             IN CNAME  ns1234567.cpasca.net.

          600 IN TXT    "v=spf1 a mx mail.cpasca.net ~all"
ownercheck          IN TXT    "123abc456"


**************************************************************************
Serveur DNS :
**************************************************************************

ns1234567.cpasca.net               123.234.123.234
ns.kimsufi.com		                    -
**************************************************************************

A force de manip je n'ai maintenant plus de zone DNS chez OVH, "Une erreur est survenue lors de la demande de réinitialisation des serveurs DNS" me dit l'interface, (donc ouverture d'un ticket).

Mais pour éviter ce genre de désagrément une pt'ite info siouplait ?

Merci !

Et encore Mille et un merci à Hardware pour sont (ses) tutos bien expliqués.

Rémy.😉

@dedic et @Rémyy :

Les NS (Nameservers) d'un nom de domaine sont les serveurs DNS autoritaires du domaine, donc les seuls serveurs qui possèdent une copie de la zone DNS du domaine et sous-domaines, c'est l'autorité ultime (dernier maillon de la chaine, autoritaire sur la zone).

Donc en serveur primaire vous avez votre serveur DNS :

ns1.domain.tld (ns1 est arbitraire, vous êtes libre de mettre ce que vous voulez, mais c'est normalisé comme ça)

En serveur secondaire, il faut mettre celui/ceux de votre registrar et/ou hébergeur. Par exemple mon registrar est Gandi donc le serveur DNS secondaire est ns6.gandi.net comme indiqué sur cette page, mon hébergeur est Kimsufi, le serveur DNS secondaire est ns.kimsufi.com comme indiqué dans l'espace client Kimsufi.

A chaque fois, vous devez chercher les serveurs DNS secondaires appropriés.

Donc pour ta question @Rémyy :



On laisse la zone DNS complètement vide puisqu'elle n'est plus gérée par OVH mais bien par notre serveur DNS.



EDIT : Je viens de relire le tutoriel, en effet je n'ai pas du tout expliqué le rôle d'un serveur DNS autoritaire et celui des NS d'un domaine, je mettrai à jour le tuto la semaine prochaine. A la base, j'étais parti du principe que le tutoriel ne pouvais être suivi que par des personnes avertis sur le sujet, c'est pour ça que je n'avais pas détaillé ça. Qu'on soit bien d'accord, ce tutoriel n'est pas adapté si on ne connait pas un minimum le fonctionnement du Domain Name System.

https://fr.wikipedia.org/wiki/Domain_Name_System
https://openclassrooms.com/courses/gerer-son-nom-de-domaine
https://openclassrooms.com/courses/maradns-comme-serveur-dns/serveur-dns-autoritaire-et-serveur-dns-recursif
Oh justement, ne penses-tu pas qu'utiliser NSD avec Unbound est une meilleure solution pour mettre en place un serveur DNS autoritaire (plutôt que d'utiliser Bind9) ?
Bonjour,

J'ai un serveur dédié chez soyoustart et mon domaine est chez OVH.

Dans la gestion des dns chez OVH, j'ai mis mon serveur dns du dédié nsxxxx.ip-3x-xx-xx.eu. et aussi en secondaire sdns2.ovh.net. Au lieu de mettre mon dns du serveur dédié j'aurais pu mettre ça à la place ns.mondomaine.com avec son adresse IP de ma VM.

Si j'ai bien compris le tuto ?

Mais quand je fais un 
named-checkconf -z
zone mondomaine.com/IN: loaded serial 2015083004
zone xxx.xx.178.in-addr.arpa/IN: loaded serial 2015083004
zone localhost/IN: loaded serial 2
zone 127.in-addr.arpa/IN: loaded serial 1
zone 0.in-addr.arpa/IN: loaded serial 1
zone 255.in-addr.arpa/IN: loaded serial 1
Je n'ai pas d'erreur.

Par contre quand je fais 
named-checkconf db.mondomaine.com
db.osnetworking.com:1: unknown option '$TTL'
db.osnetworking.com:3: unknown option 'Serial'
db.osnetworking.com:4: unknown option 'Refresh'
db.osnetworking.com:5: unknown option 'Retry'
db.osnetworking.com:6: unknown option 'Expire'
db.osnetworking.com:7: unknown option 'Minimum'
J'ai ces erreurs, je ne sais pas d'où ça peut venir.

Pouvez vous m'éclairer ?

Merci
Mauvaise commande, la bonne c'est ça : 
named-checkzone mondomaine.com /etc/bind/domain.tld/db.mondomaine.com
Bonjour,

Merci pour la réponse.
Le teste de la zone me met bien ok.
Je redémarre le service bind.
Pour voir si tout est bien démarré je regarde les logs : 
test@root:cat /var/log/syslog
Je m'apperçois que j'ai des erreurs dans le fichiers logs :
Aug 31 09:25:40 test 
Aug 31 09:25:40 test named[25909]: zone mondomaine.com/IN: sending notifies (serial 2015083004)
Aug 31 09:25:40 test named[25909]: zone 213.33.178.in-addr.arpa/IN: sending notifies (serial 2015083004)
Aug 31 09:25:40 test named[25909]: error (unexpected RCODE REFUSED) resolving './NS/IN': 213.251.188.141#53
Aug 31 09:25:40 test named[25909]: error (unexpected RCODE REFUSED) resolving 'ns/A/IN': 213.251.188.141#53
Aug 31 09:25:40 test named[25909]: error (unexpected RCODE REFUSED) resolving 'ns398993.ip-37-59-43.eu/A/IN': 213.251.188.141#53
Aug 31 09:25:40 test named[25909]: error (unexpected RCODE REFUSED) resolving 'ns/AAAA/IN': 213.251.188.141#53
Aug 31 09:25:40 test named[25909]: error (unexpected RCODE REFUSED) resolving 'ns398993.ip-37-59-43.eu/AAAA/IN': 213.251.188.141#53
Aug 31 09:25:40 test named[25909]: error (network unreachable) resolving 'ns398993.ip-37-59-43.eu/A/IN': 2001:67c:1010:23::53#53
Aug 31 09:25:40 test named[25909]: error (network unreachable) resolving 'ns398993.ip-37-59-43.eu/AAAA/IN': 2001:67c:1010:23::53#53
Aug 31 09:25:40 test named[25909]: error (unexpected RCODE REFUSED) resolving './DNSKEY/IN': 213.251.188.141#53
Aug 31 09:25:40 test named[25909]: error (network unreachable) resolving 'ns398993.ip-37-59-43.eu/AAAA/IN': 2001:41d0:1:4a90::1#53
Aug 31 09:25:40 test named[25909]: error (network unreachable) resolving 'sdns2.ovh.net/A/IN': 2001:41d0:1:1983::1#53
Aug 31 09:25:40 test named[25909]: error (network unreachable) resolving 'sdns2.ovh.net/AAAA/IN': 2001:41d0:1:1983::1#53
Aug 31 09:25:40 test named[25909]: error (network unreachable) resolving 'sdns2.ovh.net/A/IN': 2001:41d0:1:1982::1#53
Aug 31 09:25:40 test named[25909]: error (network unreachable) resolving 'sdns2.ovh.net/AAAA/IN': 2001:41d0:1:1982::1#53
Aug 31 09:25:40 test named[25909]: error (network unreachable) resolving 'ns100.ovh.net/AAAA/IN': 2001:41d0:1:1984::1#53
Aug 31 09:25:40 test named[25909]: error (network unreachable) resolving 'ns100.ovh.net/A/IN': 2001:41d0:1:1984::1#53
Aug 31 09:25:40 test named[25909]: error (network unreachable) resolving 'ns100.ovh.net/AAAA/IN': 2001:41d0:1:1981::1#53
Aug 31 09:25:40 test named[25909]: error (network unreachable) resolving 'ns100.ovh.net/A/IN': 2001:41d0:1:1981::1#53
Comment je peux faitr pour résoudre ces erreurs ?

Merci
Hardware wrote:On laisse la zone DNS complètement vide puisqu'elle n'est plus gérée par OVH mais bien par notre serveur DNS.
Hello,
Côté ovh, j'ai deux DNS de spécifiés (mon serv et celui de kimsufi), par contre ma zone DNS est déjà remplie et je ne peux pas la drop car :

Échec d'import de la zone

zone <mondomain.tld>/IN: has 0 SOA records
zone <mondomain.tld>/IN: has no NS records

Du coup, pour le moment, ma zone DNS chez OVH est identique à celle de mon dédié (sauf pour le SOA qui pointe sur ovh)

C'est normal ?
Merci
Hardware wrote:même si tu édites en avancé ?
J'pensais l'avoir fait en avancé, mais non, désolé.
Pour confirmation, je dois bien me retrouver avec une zone DNS complètement vide (même plus de TTL/SOA) côté OVH ?