• Serveurs

  • [Discussion] Mettre en place un serveur DNS avec Bind9 et DNSSEC

Bonjour,

J'ai récemment fait l’acquisition d'in nom de domaine chez Gandi en partie pour m'essayer sur ce magnifique tuto. j'ai pris une extension .com et pourtant le service DNSSEC n'est pas actif.
bonjour,
Je viens de terminer le tuto avec succès. Toute ma gratitude pour ce travail mis à la disposition de toute la communauté.
Je voudrais poser une question concernant les enregistrements DMARC et DKIM
Dans ce syntaxe: 
mail._domainkey     IN                TXT                  "k=rsa; p=CLE PUBLIQUE DKIM"
_dmarc              IN                TXT                  "v=DMARC1; p=reject; rua=mailto:postmaster@domain.tld; ruf=mailto:admin@domain.tld; fo=0; adkim=s; aspf=s; pct=100; rf=afrf; sp=reject"
dans "mail._domainkey" qu'est ce qu'il faut mettre concretement? remplacer domain par mon nom de domaine???
aussi avec P=CLE PUBLIQUE DKIM est à laisser tel ou on doit fournir la clé et où la trouver au cas où???

J'ai remarqué aussi que mon enregistrement dmarc n'a pas été pris en compte non plus. Que faire????
6 jours plus tard
Salut Hard,

J'aimerai faire mon DNS chez moi, mais je n'ai aucune possibilité d'éditer le dns secondaire de mon serveur.
J'ai remarqué le même problème sur mon VPS scaleway, aucune possibilité d'éditer ceci.

A tu une solution dans ce cas ?

Merci par avance
C'est pas grave, tu peux utiliser les serveurs secondaires de ton registrar ou d'un service tiers comme ceux de http://puck.nether.net/ (voir d'autres sur http://www.frankb.us/dns/). Le mieux c'est d'avoir les deux NS sur un réseau et un AS complètement différent pour éviter d'éventuelles indisponibilités en cas de panne réseau.
Merci pour ta réponse,
Pour mon test mon domaine est chez ovh (xataz.ovh très original), et mon serveur chez scaleway.

J'ai configurer, sur ovh dans zone dns, que je ne peux enlevé de toute façon :
xataz.ovh. NS dns15.ovh.net.
xataz.ovh. NS ns15.ovh.net.

et dans gestion DNS :
ns1.xataz.ovh XX.XX.XX.XX
ns15.ovh.net
dns15.ovh.net


Sur mon serveur j'ai configurer comme sur ton tuto.

Les pings de mes sous-domaine passe niquel. Mais même après 24h, les sites de test de dns, n'arrive pas a résoudre ou alors avec les erreurs.

Pour le moment j'ai tous remis par défaut, mais je reteste ce soir pour voir.
23 jours plus tard
bonjour,

j'ai une erreur dans l'interface OVH quand j'essaye d'ajouter une delegation sécurisée pour le support du DNSSEC


no modification ds requested : same ds data are registred

le problème c'est que j'en ai pas d'enregistré dans la liste

Edit:

j'ai un souci en ajoutant un sous domaine qui pointe sur une utre IP , j'ai mis ca :

www IN CNAME XXX.ovh
patate IN CNAME IP du serveur cible

le problème est sur patate.


sinon à part ca j'ai suivi le tuto , bon au début je n'étais pas réveillé mais en faisant comme expliqué c'est nickel , merci pour le tuto
gutter wrote:bonjour,

j'ai une erreur dans l'interface OVH quand j'essaye d'ajouter une delegation sécurisée pour le support du DNSSEC


no modification ds requested : same ds data are registred

le problème c'est que j'en ai pas d'enregistré dans la liste

Edit:

j'ai un souci en ajoutant un sous domaine qui pointe sur une utre IP , j'ai mis ca :

www IN CNAME XXX.ovh
patate IN CNAME IP du serveur cible

le problème est sur patate.


sinon à part ca j'ai suivi le tuto , bon au début je n'étais pas réveillé mais en faisant comme expliqué c'est nickel , merci pour le tuto
Il te suffit de lire les 3 pages précédentes et t auras la réponse...
A = IP
CNAME = hostname

Change ton CNAME par A sur la ligne patate et c'est good
17 jours plus tard
Bonsoir,

Je souhaiterais mettre en place un serveur DNS sous Bind9 pour mon "laboratoire" de tests.
Je compte louer un nom de domaine chez Gandi, mon serveur DNS serait hébergé chez moi.

Est-ce envisageable de l'auto-héberger ou non ?

Merci
Si pas une IP fixe ça va foutre la merde je pense
arckosfr wrote:Si pas une IP fixe ça va foutre la merde je pense
J'ai une IP fixe.
18 jours plus tard
Petit souci de mon côté avec la mise en place de DNSSEC.
J'ai installé le paquet rng-tools comme indiqué sur le tuto, ajouter dans /etc/default/rng-tools les 2 lignes suivantes: 
HRNGDEVICE=/dev/urandom
RNGDOPTIONS="-W 80% -t 20"
puis un petit start du service: /etc/init.d/rng-tools start
mais lors du lancement du service, j'ai droit à un beau "failed". Il n'est ok que si je laisse la configuration du fichier 
/etc/default/rng-tools
par défaut
Dès que je rentre ces 2 lignes, échec....

Une idée, merci par avance
2 mois plus tard
Je pense qu'on peut très fortement recommender NSD (pour Name Server Daemon) pour de l'usage authoritative-only.
Il y a aussi KnotDNS, mais NSD est encore plus léger et ne fait que ce qu'on lui demande. Il supporte bien entendu DNSSEC.

NSD est plus performant, et... tant mieux, car il se concentre essentiellement sur sa tâche de serveur autoritaire, alors que BIND, bien plus complet, est un vrai couteau-suisse. BIND est "bon partout, mais excellent en rien".
https://www.nlnetlabs.nl/blog/2013/07/05/nsd4-performance-measurements/

Performant, oui, mais plus sûr également. Le code source de NSD est bien plus facile à maintenir (beaucoup moins long) que celui de BIND, même si cette comparaison est injuste, c'est un fait que NSD soit beaucoup plus facile à maintenir. On ne compte plus les 0-day sur BIND (j'exagère, mais il y a quand même pas mal de risques potentiels) ; et si des failles encore plus critiques sont découvertes, il est toujours bon d'avoir à sa portée une alternative. En fait, NSD a été développé à la base pour être une alternative.

Mieux encore, NSD est simple de configuration. Je fais tourner mon DNS autoritaire avec ce fichier de conf, unique :
server:
   server-count: 1
   do-ip4 : yes
   do-ip6 : yes
   hide-version: yes
   identity: "Anonymous DNS."
   zonesdir: "/etc/zones"
zone:
   name: domain.tld
   zonefile: db.domain.tld.signed
   notify:  217.70.177.40 NOKEY
   provide-xfr: 217.70.177.40 NOKEY
Alors, qu'en pensez-vous ? Qu'en penses-tu Hardware ? Je pense que ça peut s'ajouter très vite fait à ton tuto, en complément de BIND : libre à quelqu'un de choisir. Pour le récursif, on peut utiliser Unbound qui est né un peu de la même façon que NSD (pour ça qu'on voit souvent le couple NSD/Unbound).
2 mois plus tard
famillebundy wrote:Petit souci de mon côté avec la mise en place de DNSSEC.
J'ai installé le paquet rng-tools comme indiqué sur le tuto, ajouter dans /etc/default/rng-tools les 2 lignes suivantes: 
HRNGDEVICE=/dev/urandom
RNGDOPTIONS="-W 80% -t 20"
puis un petit start du service: /etc/init.d/rng-tools start
mais lors du lancement du service, j'ai droit à un beau "failed". Il n'est ok que si je laisse la configuration du fichier 
/etc/default/rng-tools
par défaut
Dès que je rentre ces 2 lignes, échec....

Une idée, merci par avance 😉
Je viens de remettre sur l'aspect sécurité de mon serveur DNS et toujours le même type d'erreur dès l'ajout de ces 2 lignes après installation du paquet rng-tools...

d'avance merci
Finalement, problème résolu sans rien avoir modifié dans le fichier /etc/default/rng-tools
La clé a pu quand même se générer donc on laisse comme ça
un mois plus tard
Bonsoir,

J'ai le même message d'erreur que mon collègue au dessus et je n'ai pas vu de réponse à son problème.
Quand je fais la commande service bind9 status, j'ai les messages d'erreurs suivant 
Apr 01 22:34:58 named[18851]: error (network unreachable) resolving 'sdns2.ovh.net/AAAA/IN': 2001:500:3::42#53
Apr 01 22:34:58 named[18851]: error (network unreachable) resolving './NS/IN': 2001:7fd::1#53
Apr 01 22:34:58 named[18851]: error (network unreachable) resolving 'sdns2.ovh.net/A/IN': 2001:7fe::53#53
Apr 01 22:34:58 named[18851]: error (network unreachable) resolving 'sdns2.ovh.net/AAAA/IN': 2001:7fe::53#53
Apr 01 22:34:58 named[18851]: error (network unreachable) resolving 'sdns2.ovh.net/A/IN': 2001:7fd::1#53
Apr 01 22:34:58 named[18851]: error (network unreachable) resolving 'sdns2.ovh.net/AAAA/IN': 2001:7fd::1#53
Apr 01 22:34:58 named[18851]: error (network unreachable) resolving 'sdns2.ovh.net/A/IN': 2001:41d0:1:1986::1#53
Apr 01 22:34:58 named[18851]: error (network unreachable) resolving 'sdns2.ovh.net/A/IN': 2001:41d0:1:4a83::1#53
Apr 01 22:34:58 named[18851]: error (network unreachable) resolving 'sdns2.ovh.net/A/IN': 2001:41d0:1:1984::1#53
Apr 01 22:34:58 named[18851]: error (network unreachable) resolving 'sdns2.ovh.net/A/IN': 2001:41d0:1:4a81::1#53
En regardant sur internet, il me semblait que c'était du à une recherche en ipv6 impossible. Du coup j'ai suivi les indications suivantes :
https://ubuntu-tutorials.com/2009/03/21/configure-bind-9-for-ipv4-or-ipv6-only/

Mais je me retrouve toujours à avoir les messages. Est-ce que quelqu'un aurait une réponse concernant ce problème ?
Est-ce que cela a une incidence sur la propagation des nouveaux sous domaines ?

Merci d'avance
un mois plus tard

Yop,

J'aurais besoin de ton aide Hard :

Je me retrouve coincé avec mon registrar godaddy pour entrer mon enregistrement dnssec.

Selon leur site, mon domaine étant en .net, on a :

https://img.gillesliard.net/V0RN5vYw/4jalgFch.png[/img]

Je t'avoue que je ne n'arrive pas à établir les correspondances avec le tutoriel. Sur leur interface, je ne peux que renseigner les champs ci-dessus :

Soit :

* Key tag

  • Algorithm
  • Digest type
  • Digest[/b]

Tu aurais une idée ? Autant chez gandi c'était simple, qu'ici je suis paumé.

Merci Hard.

Oui parce que Gandi détecte les paramètres automatiquement. Pour le tag et le digest type (SHA1/SHA-256) c'est dans le fichier où se trouve ta clé publique KSK, l'algo c'est celui utilisé avec la commande dnssec-keygen (RSASHA256) et le digest c'est le condensât de la clé publique KSK.
Merci ^^ Je vais regarder ça une énième fois. Je te ferai un screen des menus "algorithm" et "digest type" parce qu'on ne peut pas entrer les valeurs que tu cites, et c'est pour ça que je coince...
Le fichier : 
/etc/bind/domain.tld/dsset-domain.tld.
contenait les valeurs à indiquer.

Merci du conseil Hard.
Tu peux faire un petit screen pour Go-daddy stp ? Je vais le mettre dans le tuto