Pour ce tuto : http://mondedie.fr/d/5946/1 Si vous avez une question, une remarque ou une suggestion, n'hésitez pas à poster un commentaire sur ce topic.

Super franchement ! Jolie travail. De plus j'en avais besoin. Juste une remarque, tu as mit ":" au lieux de ";" dans un fichier de conf du coup j'avais une erreur. : Sous-domaines - Seedbox plex IN CNAME hostname3 torrent IN CNAME hostname3 ... Merci !

Salut, J'ai suivi le tuto hier soir. Ce matin je n'ai plus accès à mon dédié par SSH car j'ai du mal faire quelque choses.. Je peux en premier lieux de fournir les configuration de mon hebergeur (Kimsufi) et de mon domaine (OVH). Je pense que c'est une erreur con mais.. sa me bloque. Mon nom de domaine chez OVH Mon dédié chez Kimsufi Voila.. Je pense que le soucis viens d'ici, pour le moment j'ai pas accès à mon serveur, pour cela je devrais remettre à zéro les config ci-dessus mais si le problème viens de la.. Merci

Je pense que tu peux te connecter par SSH en utilisant l'ip de ton serveur, regarde la conf de Bind et assure toi que le service est bien démarré. Envoie moi ton nom de domaine par MP pour que je regarde les réponses de ton serveur DNS.

salut, j'ai un soucis avec bind des que je teste j'ai cette erreur... named-checkzone mondomaine.fr.cr db.mondomaine.fr.cr zone mondomaine.fr.cr/IN: loading from master file db.mondomaine.fr.cr failed: file not found pourtant le fichier existe bien... ça vous dis qque chose ?

j’ai trouvé !! La commande « named-checkzone » doit être lancée sur le serveur dans le répertoire /etc/bind Merci pour ton implication en tout cas et pour ce tuto clair ! quentin garnier wrote: salut, j'ai un soucis avec bind des que je teste j'ai cette erreur... named-checkzone mondomaine.fr.cr db.mondomaine.fr.cr zone mondomaine.fr.cr/IN: loading from master file db.mondomaine.fr.cr failed: file not found pourtant le fichier existe bien... ça vous dis qque chose ?

Si j'applique pas à mes propres serveurs ce que je mets dans mes tutoriels maintenant mais où va le monde ? x'D

Bonsoir, J'ai procéder a l'installation en suivant le tuto. Par contre je n'arrive pas a accéder au site via les sous-domaine. exmple: phpmyadmin.ndd.tld ou dashboard.ndd.tld pourtant j'ai mis cela dans mon fichier phpmyadmin IN CNAME mon hostname dashboard IN CNAME mon hostname quelqu'un a une idée pour m'aider

Peux-tu me donner le résultat des commandes suivantes : dig +short A phpmyadmin.ndd.tld dig +short A dashboard.ndd.tld dig +short A phpmyadmin.ndd.tld @8.8.8.8 dig +short A dashboard.ndd.tld @8.8.8.8 dig +short A phpmyadmin.ndd.tld @208.67.222.222 dig +short A dashboard.ndd.tld @208.67.222.222 Si tu es sous windows, cette commande est pas disponible, essaye avec nslookup : nslookup > set type=A > phpmyadmin.ndd.tld [résultat...] > dashboard.ndd.tld [résultat...] > exit nslookup - 8.8.8.8 ... nslookup - 208.67.222.222 ... Envoie moi le contenu de ton fichier de zone par MP.

[Discussion] Mettre en place un serveur DNS avec Bind9 et DNSSEC : Page 6

Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

[Discussion] Mettre en place un serveur DNS avec Bind9 et DNSSEC

Solinvictus

On affiche la valeur du fichier ci-dessous :

cat /etc/bind/domain.tld/dsset-domain.tld.
domain.tld.	IN DS 59704 8 1 EB6646E2A2F95A29895CDC3AE69BB8B62AD3B4D6
domain.tld.      IN DS 59704 8 2 285C224DAA6B145334DE4E7F3D78CE877142ACD344BC6DA6F03D55AD B7838219

On renseigne en conséquence les champs chez godaddy :

Hardware

Nickel merci, je vais rajouter ça.

Solinvictus

J'ai dû modifier Hard, tu dois reprendre l'ajout dans ton tutoriel. Ce n'était pas la première ligne qu'il fallait renseigner mais bien la seconde.

Solinvictus

Bon, je galère cette fois-ci :

1°) L'analyse n'est pas probante : http://dnssec-debugger.verisignlabs.com/equiferus.net et ici aussi : http://dnsviz.net/d/equiferus.net/dnssec/
2°) Je me retrouve avec des réponses dig de ce genre :

root@opch:~➜ dig wiki.equiferus.net +short
opch.equiferus.net.equiferus.net.
root@opch:~➜ dig wiki.equiferus.net +short @208.67.220.220
opch.equiferus.net.
31.7.56.100

La première réponse renvoyée me semble si incompréhensible, pourquoi cette réponse ? fqdn.domain.tld ?

Serait-ce possible que cela soit lié au fait que chez godaddy, je possède un whois "privacy" et qu'en conséquence, deux serveurs DNS me soient inévitablement liés ?

root@opch:~➜ dig NS equiferus.net +short
ns52.domaincontrol.com.
ns1.equiferus.net.
ns51.domaincontrol.com.

Si je regarde cette section : http://dnsviz.net/d/equiferus.net/responses/ , on dirait que c'est bien le cas, non ?

Si vous avez des idées

Hardware

ça me rappel le problème d'un célèbre tracker privé FR hehe ^^

Ils avaient le même soucis avec les NS secondaires de GoDaddy, il suffit juste de les supprimer depuis l'interface de ton registrar. Tu obtiens ces erreurs DNSSEC puisque sur les deux secondaires la zone n'est pas signée, donc y a pas d'enregistrement DNSKEY.

No DNSKEY records found
The A RRset was not signed by any keys in the chain-of-trust

Ou sinon plus propre, tu autorises le transfert AXFR de la zone aux deux NS secondaires avec la directive allow-transfer :

allow-transfer { IP_NS51; IP_NS52; };

Sinon pour ton message plus haut, j'ai pas besoin de modifier le tuto, le second enregistrement est équivalent au premier, seul le type de digest change (1 = SHA1 / 2 = SHA256). En théorie, il est conseillé de mettre deux enregistrements DS dans la zone parent, donc tu peux mettre les deux si tu veux.

Solinvictus

Merci pour toutes ces explications Hard ^^

Cela dit, quand on souscrit à la protection du whois chez godaddy, on ne peut pas supprimer les NS estampillés "domaincontrol". Il me faut donc ajouter la directive au fichier de configuration ?

C'est bien dans :

/etc/bind/named.conf.local

[/s]

~~Si oui, elle est déjà présente. Je remplacerais donc ceci :~~

 allow-transfer { IP_NS51; IP_NS52; 127.0.0.1; ::1; };

[/s]

~~par:~~

 allow-transfer { IP_NS51; IP_NS52; };

[/s]

?

Je pencherai plutôt pour le fichier :

/etc/bind/named.conf.options

[/color]

yabon ?!?

Et pour la réponse dig, la forme tu l'expliquerais comment ?

Hardware

J'ai pas précisé mais c'est dans /etc/bind/named.conf.local entre les accolades de ton domaine, c'est important que ça soit ici sinon tu risques d'autoriser le transfert pour d'autres domaines. Pense à changer le serial de ta zone aussi.

Sinon pour :

opch.equiferus.net.equiferus.net.

Corrige le problème avec DNSSEC déjà, avec les résolveurs de Google ça plante (SERVFAIL). Sinon vérifie que tu as pas préfixé en double l'enregistrement avec ton domaine.

Solinvictus

Dans ce cas cette directive est déjà présente dans le fichier de configuration que tu as donné au départ. Tu l'as redouble alors ?

cat /etc/bind/named.conf.local

zone "equiferus.net" IN {

        # Zone de type maître
        type master;

        # Fichier de zone
        file "/etc/bind/equiferus.net/db.equiferus.net.signed";

        # On autorise le transfert de la zone aux serveurs DNS secondaires
        allow-transfer { 216.69.185.26; 208.109.255.26; 127.0.0.1; ::1; };

        # On autorise tout le monde à envoyer des requêtes vers cette zone
        allow-query { any; };

        # Prévenir les serveurs DNS secondaires qu'un changement a été effectué dans la zone maître
        notify yes;
};

Hardware

Ah bah si c'est déjà le cas, c'est bon alors. Incrémente le sérial de la zone puis redémarre bind et vérifie qu'il notifie bien les 2 NS secondaires.

# journalctl -u bind9

named[xxxx]: zone domain.tld/IN: sending notifies (serial 2016xxxxxx)

Et ton problème devrait être résolu, enfin en théorie. Ça me semble bizarre que tu puisses pas supprimer ces 2 NS, ils devraient pas les rendre obligatoires.

Solinvictus

Je pense que c'était bon depuis le début dans ce cas :

May 03 08:52:32 opch named[18699]: command channel listening on 127.0.0.1#953
May 03 08:52:32 opch named[18699]: command channel listening on ::1#953
May 03 08:52:32 opch named[18699]: managed-keys-zone: loaded serial 4
May 03 08:52:32 opch named[18699]: zone 0.in-addr.arpa/IN: loaded serial 1
May 03 08:52:32 opch named[18699]: zone 127.in-addr.arpa/IN: loaded serial 1
May 03 08:52:32 opch named[18699]: zone localhost/IN: loaded serial 2
May 03 08:52:32 opch named[18699]: zone 255.in-addr.arpa/IN: loaded serial 1
May 03 08:52:32 opch named[18699]: zone equiferus.net/IN: loaded serial 2016050203 (DNSSEC signed)
May 03 08:52:32 opch named[18699]: all zones loaded
May 03 08:52:32 opch named[18699]: running
May 03 08:52:32 opch named[18699]: zone equiferus.net/IN: sending notifies (serial 2016050203)

Je vais voir, sinon je penserais à transférer mon domaine ailleurs.

Oui, ils sont bien indissociables, tu n'as aucune action possible.

Merci Hard !

Hardware

Sinon tu peux demander à leur support, tu leur demandes pourquoi les secondaires ne sont pas mis à jour avec la zone signée avec DNSSEC.

Solinvictus

J'abdique ! Rien n'y change, les DNS secondaires ne sont pas mis à jour. Je vais transférer mon domaine chez Gandi ou ailleurs.

J'aurais pû/dû les contacter, comme tu me le préconises Hard, mais après avoir lu les déboires d'autres personnes à propos du même sujet, je préfère transférer,

Rathorian

Bonjour à tous,

J'ai suivi le tutoriel et ça fonctionne parfaitement, d'ailleurs merci beaucoup.

J'ai juste un petit souci quand je fais un test avec zonemaster...

Après le test, dans l'onglet "connectivity" j'ai un triangle pour faire comprendre qu'il faut faire attention à un détail, le voici :

Toutes les adresses IPv6 des serveurs de noms se trouvent dans le même AS (16276).

Que dois-je donc comprendre ? Est-ce un problème qui n'est pas réglable ?

Merci
Cordialement

arckosfr

Rathorian wrote:Bonjour à tous,

J'ai suivi le tutoriel et ça fonctionne parfaitement, d'ailleurs merci beaucoup.

J'ai juste un petit souci quand je fais un test avec zonemaster...

Après le test, dans l'onglet "connectivity" j'ai un triangle pour faire comprendre qu'il faut faire attention à un détail, le voici :
Toutes les adresses IPv6 des serveurs de noms se trouvent dans le même AS (16276).
Que dois-je donc comprendre ? Est-ce un problème qui n'est pas réglable ?

Merci
Cordialement

En gros ca veux dire qu'en IPv6 l'ensemble de tes serveurs DNS (principale + secondaire) sont sur le même réseaux, donc dans le cas d'une hypothétique coupure plus aucun serveur DNS ne seras accessible.

Rathorian

arckosfr wrote:
Rathorian wrote:Bonjour à tous,

J'ai suivi le tutoriel et ça fonctionne parfaitement, d'ailleurs merci beaucoup.

J'ai juste un petit souci quand je fais un test avec zonemaster...

Après le test, dans l'onglet "connectivity" j'ai un triangle pour faire comprendre qu'il faut faire attention à un détail, le voici :
Toutes les adresses IPv6 des serveurs de noms se trouvent dans le même AS (16276).
Que dois-je donc comprendre ? Est-ce un problème qui n'est pas réglable ?

Merci
Cordialement
En gros ca veux dire qu'en IPv6 l'ensemble de tes serveurs DNS (principale + secondaire) sont sur le même réseaux, donc dans le cas d'une hypothétique coupure plus aucun serveur DNS ne seras accessible.

Merci pour cette information.
Donc au final rien de méchant.

Solinvictus

Suite :

Migration réalisée chez Gandi, et c'est parfait !

Sinon :

Je vois que BXT a sollicité Bortzmeyer a propos de DNS-over-TLS et je trouve ça également intéressant, même indispensable à vrai dire. Il a d'ailleurs publié un article à propos. Suite à cela, ne serait-il pas intéressant de remplacer BIND9 par UNBOUND ? Le premier ne supportant pas encore ce protocole alors que le second pleinement.

J'attends impatiemment ton retour Hard

Hardware

Salut Solinvictus, ce n'est pas possible, ce tuto décrit l'installation d'un serveur DNS autoritaire (faisant autorité sur un NDD) et pas un serveur DNS récursif comme peut l'être Unbound, éventuellement je pourrais remplacer Bind9 par NSD (voir l'article sur mon blog), mais en aucun cas je peux remplacer Bind9 par Unbound pour ce genre d'usage, ce n'est pas son rôle.

Solinvictus

D'accord, c'est ce point qui m'échappait, les rôles différents de bind9 et d'unbound. Je vais regarder du côté de NSD, que je ne connais pas.

Merci o/

Solinvictus

Je ne parviens pas à accéder à certains site, i.e vmware.com :

tail -f daemon.log | grep "error"
[26553]: error (broken trust chain) resolving 'www.vmware.com/A/IN': 208.91.0.24#53
[26553]: error (broken trust chain) resolving 'www.vmware.com/AAAA/IN': 208.91.2.146#53
[26553]: error (broken trust chain) resolving 'www.vmware.com/A/IN': 208.91.2.146#53
[26553]: error (broken trust chain) resolving 'www.vmware.com/A/IN': 208.91.2.59#53

Il faut que je désactive dnssec dans :

/etc/bind/named.conf/options

pour que cela soit résolu... C'est emmerdant.

Une idée ?

Hardware

Demander au hostmaster gérant la zone DNS de vmware.com de réparer le problème

DNSSEC apporte une couche de sécurité supplémentaire mais demande une surveillance régulière de la zone.

« Page précédente Page suivante »