Готовится статья о DNS сервере NSD

Проблемы с установкой, настройкой и работой системных и сетевых программ.

Модераторы: GRooVE, alexco

Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Аватара пользователя
razdrob
рядовой
Сообщения: 12
Зарегистрирован: 2008-06-23 14:10:24
Контактная информация:

Re: Готовится статья о DNS сервере NSD

Непрочитанное сообщение razdrob » 2009-03-11 14:03:22

Спасибо за прошлый ответ! Проблема решена.
Сервера успешно запущены - полет нормальный %-) Огромное спасибо за статью!

Вопрос: Как правильно работать с DNSSEC ?

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
terminus
майор
Сообщения: 2305
Зарегистрирован: 2007-10-29 11:27:35
Откуда: Рига

Re: Готовится статья о DNS сервере NSD

Непрочитанное сообщение terminus » 2009-03-11 15:03:20

Я должен признаться, что не работал с DNSSEC на таком уровне чтобы мог сам что-либо советовать...

Когда пару лет назад я попробовал разобраться в вопросе, то выяснились некоторые вещи от которых стало чуть ли не смешно, в следствии чего мною на DNSSEC тогда было "положено накрест". Вещи были такие:
- На тот момент небыло разработаной глобальной структуры для внедрения DNSSEC. Корневые домены и домены второго уровня не имели цепочки доверия сертификатов (что с того, что я подпишу данные своей зоны своим сертификатом, если он не заверен никем? Что с того, что кто-то сделает то же самое со своими зонами, если его сертификаты это та же филькина грамота без подписи вышестоящего регистратора).
- Баг в дизайне реализации ответов DNSSEC сервера о несуществующих адресах в зоне - позволяло проводить энумерацию всех данных в зоне.
- отсутствие поддержки в djbdns

Переодически я интересуюсь как и что сейчас с этим DNSSEC, но времени на то чтобы досканально изучить эту штуку не хватает. Пока я ее не выучу так чтобы от зубов отскакивало, применять не буду / не могу.

Знаю, что в данный момент уже многие корневые домены имеют внедренную стректуру DNSSEC, а значит может быть построена корректная цепь доверия (пошли подвижки).
Еще знаю, что ISC начали внедрять альтернативный механизм для подписи публичных ключей, назывемый DLV - это сделано для того чтобы дать возможность подписывать зону тем чей регистратор вышестояшей зоны не имеет внедренного DNSSEC.
Так же пошло движение со стороны RIPE - они начали подписывать свои обратные зоны.
Багу протокола позволяющую перечитывать все записи в зоне разрешили введя механизм NSEC3.

Если интересует вопрос и захотите сами разобраться, то могу только ссылок накидать. :pardon:
http://www.nlnetlabs.nl/publications/dnssec_howto/
https://dlv.isc.org/about/background
https://www.isc.org/solutions/dlv
http://www.unbound.net/documentation/howto_anchor.html
http://www.unbound.net/documentation/howto_itar.html
Модель: AST-PM-105/0044; Тип: Универсальный, ремонтный; Название: Терминус; Род повреждения: Распад функций; Выводы: Сдать на слом.

Аватара пользователя
razdrob
рядовой
Сообщения: 12
Зарегистрирован: 2008-06-23 14:10:24
Контактная информация:

Re: Готовится статья о DNS сервере NSD

Непрочитанное сообщение razdrob » 2009-03-12 7:35:33

ОК! Спасибо за оперативный ответ. Будем грызть... :st:

Аватара пользователя
m4rkell
мл. сержант
Сообщения: 136
Зарегистрирован: 2008-09-19 7:50:05
Откуда: Москва
Контактная информация:

Re: Готовится статья о DNS сервере NSD

Непрочитанное сообщение m4rkell » 2009-05-16 11:05:20

3 часа уже бьюсь над связкой...

все поднял по статье...

получилось сгенерировать ключ только командой:

Код: Выделить всё

dd if=/dev/urandom bs=16 count=1 | openssl base64
Прописал ключ в конфигах и master и slave сервака: И вот что в логах слейва выдает:

Код: Выделить всё

[1242445843] nsd[922]: error: xfrd: zone domain.su received error code REFUSED from 192.168.0.1
[1242445843] nsd[922]: error: xfrd: zone domain.su received error code REFUSED from 192.168.0.1
[1242445843] nsd[922]: error: xfrd: zone domain.su received error code REFUSED from 192.168.0.1
[1242445932] nsd[922]: error: xfrd: zone 0.168.192.in-addr.arpa received error code REFUSED from 192.168.0.1
[1242445934] nsd[922]: error: xfrd: zone 0.168.192.in-addr.arpa received error code REFUSED from 192.168.0.1
[1242445935] nsd[922]: error: xfrd: zone domain.su received error code REFUSED from 192.168.0.1
[1242445935] nsd[922]: error: xfrd: zone domain.su received error code REFUSED from 192.168.0.1
[1242445936] nsd[922]: error: xfrd: zone domain.su received error code REFUSED from 192.168.0.1
[1242445938] nsd[922]: error: xfrd: zone 0.168.192.in-addr.arpa received error code REFUSED from 192.168.0.1
[1242445969] nsd[926]: error: query tsig unknown key/algorithm
[1242445969] nsd[923]: error: query tsig unknown key/algorithm
[1242445973] nsd[924]: error: query tsig unknown key/algorithm
[1242445973] nsd[925]: error: query tsig unknown key/algorithm
[1242445978] nsd[926]: error: query tsig unknown key/algorithm
[1242445978] nsd[926]: error: query tsig unknown key/algorithm
Вот часть конфига slave сервера:

Код: Выделить всё

key:
        name: "ns1-ns2.domain.su"
        algorithm: hmac-md5
        secret: "t8Gm+8LyZQkPLHRCJ8Xkdw=="
соответственно такая же часть и на мастере...

А ошибка все же выдается...подскажите в чем трабла то?
Software is like a sex - its better when its free

Аватара пользователя
terminus
майор
Сообщения: 2305
Зарегистрирован: 2007-10-29 11:27:35
Откуда: Рига

Re: Готовится статья о DNS сервере NSD

Непрочитанное сообщение terminus » 2009-05-16 22:07:29

Проверьте - в настройках слейва, в параметрах слейв-зоны у вас указана директива AXFR?
zone:
name: "domain.su"
zonefile: "./slave/domain.su"
allow-notify: 192.168.0.1 ns1-ns2.domain.su
request-xfr: AXFR 192.168.0.1 ns1-ns2.domain.su
---

И еще вопрос - вы пока только "напоиграться" все это запустили? Настройки IP и имен зон (в том числе и реверс-зоны) реально взяты из статьи и так и используются, или вы используете свои имена, а в листингах их подменили?
Модель: AST-PM-105/0044; Тип: Универсальный, ремонтный; Название: Терминус; Род повреждения: Распад функций; Выводы: Сдать на слом.

Аватара пользователя
m4rkell
мл. сержант
Сообщения: 136
Зарегистрирован: 2008-09-19 7:50:05
Откуда: Москва
Контактная информация:

Re: Готовится статья о DNS сервере NSD

Непрочитанное сообщение m4rkell » 2009-05-16 22:24:04

terminus писал(а):Проверьте - в настройках слейва, в параметрах слейв-зоны у вас указана директива AXFR?
zone:
name: "domain.su"
zonefile: "./slave/domain.su"
allow-notify: 192.168.0.1 ns1-ns2.domain.su
request-xfr: AXFR 192.168.0.1 ns1-ns2.domain.su
---

И еще вопрос - вы пока только "напоиграться" все это запустили? Настройки IP и имен зон (в том числе и реверс-зоны) реально взяты из статьи и так и используются, или вы используете свои имена, а в листингах их подменили?
Само собой я для форума изменил все реальные данные. так все свое.
А AXFR указаны да...
Software is like a sex - its better when its free

Аватара пользователя
terminus
майор
Сообщения: 2305
Зарегистрирован: 2007-10-29 11:27:35
Откуда: Рига

Re: Готовится статья о DNS сервере NSD

Непрочитанное сообщение terminus » 2009-05-17 1:45:55

Нипанятна... :unknown:

Интереса ради взял и запустил на домашней машине джайл. В джайле запустил NSD (работает как слейв для зоны domain.su). На самой домашней машине тоже NSD запущен (работает как мастер для domain.su). Домашняя 192.168.1.1, джаил 192.168.1.2. Оба настроил по статье, шаг в шаг. Версии NSD 3.2.1.

У меня все завелось. Ищите ошибку в конфигурации... Да, и дежурный вопрос - фаервол на мастере/слейве не может мешать коннекциям на 53 UDP/TCP порты? Пробовали полностью перезапустить NSD на мастере, а потом на слейве (nsdc stop && /usr/local/etc/rc.d/nsd start)?

конфиг мастера:

Код: Выделить всё

server:
        chroot: "/usr/local/etc/nsd"
        ip-address: 192.168.1.1
        port: 53
        ip4-only: yes
        database: "/usr/local/etc/nsd/data/nsd.database"
        verbosity: 2
        logfile: "/var/log/nsd.log"
        server-count: 4
        pidfile: "/usr/local/etc/nsd/run/nsd.pid"
        zonesdir: "/usr/local/etc/nsd/zones"
        difffile: "/usr/local/etc/nsd/data/ixfr.db"
        xfrdfile: "/usr/local/etc/nsd/data/xfrd.state"

key:
        name: "ns1-ns2.domain.su"
        algorithm: hmac-md5
        secret: "t8Gm+8LyZQkPLHRCJ8Xkdw=="

zone:
        name: "domain.su"
        zonefile: "./master/domain.su"
        notify: 192.168.1.2  ns1-ns2.domain.su
        provide-xfr: 192.168.1.2  ns1-ns2.domain.su
конфиг слейва:

Код: Выделить всё

server:
        chroot: "/usr/local/etc/nsd"
        ip-address: 192.168.1.2
        port: 53
        ip4-only: yes
        database: "/usr/local/etc/nsd/data/nsd.database"
        verbosity: 2
        logfile: "/var/log/nsd.log"
        server-count: 4
        pidfile: "/usr/local/etc/nsd/run/nsd.pid"
        zonesdir: "/usr/local/etc/nsd/zones"
        difffile: "/usr/local/etc/nsd/data/ixfr.db"
        xfrdfile: "/usr/local/etc/nsd/data/xfrd.state"

key:
        name: "ns1-ns2.domain.su"
        algorithm: hmac-md5
        secret: "t8Gm+8LyZQkPLHRCJ8Xkdw=="

zone:
        name: "domain.su"
        zonefile: "./slave/domain.su"
        allow-notify: 192.168.1.1  ns1-ns2.domain.su
        request-xfr: AXFR 192.168.1.1  ns1-ns2.domain.su
зона на мастере:

Код: Выделить всё

$TTL 1800 ;minimum ttl
domain.su.      IN      SOA     ns1.domain.su. hostmaster.domain.su. (
                        2009051605      ;serial
                        3600            ;refresh
                        9600            ;retry
                        180000          ;expire
                        600             ;negative ttl
                        )

                NS              ns1.domain.su.
                NS              ns2.domain.su.
                MX      10      mail
                A               127.0.0.24

ns1             A               192.168.1.1
ns2             A               192.168.1.2
www             A               127.0.0.24
ftp             A               127.0.0.26
mail            A               127.0.0.27
test            A               1.2.3.79
зона на слейве (полученная в виде текста после выполнения nsdc patch):

Код: Выделить всё

; NSD version 3.2.1
; nsd-patch zone domain.su run at time Sat May 17 00:29:01 2009
; commit: xfrd: zone domain.su received update to serial 2009051605 at time 1242512908 from 192.168.1.1 in 1 parts TSIG verified with key ns1-ns2.domain.su
$ORIGIN su.
domain  1800    IN      SOA     ns1.domain.su. hostmaster.domain.su. (
                2009051605 3600 9600 180000 600 )
        1800    IN      NS      ns1.domain.su.
        1800    IN      NS      ns2.domain.su.
        1800    IN      MX      10 mail.domain.su.
        1800    IN      A       127.0.0.24
$ORIGIN domain.su.
ftp     1800    IN      A       127.0.0.26
mail    1800    IN      A       127.0.0.27
ns1     1800    IN      A       192.168.1.1
ns2     1800    IN      A       192.168.1.2
test    1800    IN      A       1.2.3.79
www     1800    IN      A       127.0.0.24
сообщения из лога на мастере при передаче данных на слейв (после nsdc rebuild && nsdc reload):

Код: Выделить всё

[1242512766] nsd[53423]: notice: nsd started (NSD 3.2.1), pid 53423
[1242512866] nsd[53423]: warning: signal received, reloading...
[1242512866] nsd[53629]: info: memory recyclebin holds 0 bytes
[1242512907] nsd[53629]: warning: signal received, reloading...
[1242512907] nsd[53771]: info: memory recyclebin holds 0 bytes
[1242512907] nsd[53630]: info: NSTATS 1242512907 1242512866 TYPE252=1
[1242512907] nsd[53632]: info: NSTATS 1242512907 1242512866 TYPE252=1
[1242512907] nsd[53631]: info: NSTATS 1242512907 1242512866 TYPE252=1
[1242512907] nsd[53630]: info: XSTATS 1242512907 1242512866 RR=0 RNXD=0 RFwdR=0 RDupR=0 RFail=0 RFErr=0 RErr=0 RAXFR=0 RLame=0 ROpts=0 SSysQ=0 SAns=0 SFwdQ=0 SDupQ=0 SErr=0 RQ=1 RIQ=0 RFwdQ=0 RDupQ=0 RTCP=1 SFwdR=0 SFail=0 SFErr=0 SNaAns=1 SNXD=0 RUQ=0 RURQ=0 RUXFR=0 RUUpd=0
[1242512907] nsd[53632]: info: XSTATS 1242512907 1242512866 RR=0 RNXD=0 RFwdR=0 RDupR=0 RFail=0 RFErr=0 RErr=0 RAXFR=0 RLame=0 ROpts=0 SSysQ=0 SAns=0 SFwdQ=0 SDupQ=0 SErr=0 RQ=1 RIQ=0 RFwdQ=0 RDupQ=0 RTCP=1 SFwdR=0 SFail=0 SFErr=0 SNaAns=1 SNXD=0 RUQ=0 RURQ=0 RUXFR=0 RUUpd=0
[1242512907] nsd[53631]: info: XSTATS 1242512907 1242512866 RR=0 RNXD=0 RFwdR=0 RDupR=0 RFail=0 RFErr=0 RErr=0 RAXFR=0 RLame=0 ROpts=0 SSysQ=0 SAns=0 SFwdQ=0 SDupQ=0 SErr=0 RQ=1 RIQ=0 RFwdQ=0 RDupQ=0 RTCP=1 SFwdR=0 SFail=0 SFErr=0 SNaAns=1 SNXD=0 RUQ=0 RURQ=0 RUXFR=0 RUUpd=0
[1242513007] nsd[53772]: info: NSTATS 1242513007 1242512907 TYPE252=1
[1242513007] nsd[53772]: info: XSTATS 1242513007 1242512907 RR=0 RNXD=0 RFwdR=0 RDupR=0 RFail=0 RFErr=0 RErr=0 RAXFR=0 RLame=0 ROpts=0 SSysQ=0 SAns=0 SFwdQ=0 SDupQ=0 SErr=0 RQ=1 RIQ=0 RFwdQ=0 RDupQ=0 RTCP=1 SFwdR=0 SFail=0 SFErr=0 SNaAns=1 SNXD=0 RUQ=0 RURQ=0 RUXFR=0 RUUpd=0
сообщения из лога на слейве при получении данных с мастера (идет автоматом, когда на мастере обновили данные):

Код: Выделить всё

[1242512725] nsd[53363]: notice: nsd started (NSD 3.2.1), pid 53363
[1242512876] nsd[53365]: info: Notify received and accepted, forward to xfrd
[1242512876] nsd[53364]: info: Handle incoming notify for zone domain.su
[1242512907] nsd[53367]: info: Notify received and accepted, forward to xfrd
[1242512907] nsd[53364]: info: Handle incoming notify for zone domain.su
[1242512908] nsd[53364]: info: xfrd: zone domain.su written received XFR from 192.168.1.1 with serial 2009051605 to disk
[1242512908] nsd[53364]: info: xfrd: zone domain.su committed "xfrd: zone domain.su received update to serial 2009051605 at time 1242512908 from 192.168.1.1 in 1 parts TSIG verified with key ns1-ns2.domain.su"
[1242512908] nsd[53363]: warning: signal received, reloading...
[1242512908] nsd[53777]: info: memory recyclebin holds 0 bytes
[1242512908] nsd[53368]: info: XSTATS 1242512908 1242512725 RR=0 RNXD=0 RFwdR=0 RDupR=0 RFail=0 RFErr=0 RErr=0 RAXFR=0 RLame=0 ROpts=0 SSysQ=0 SAns=1 SFwdQ=0 SDupQ=0 SErr=0 RQ=0 RIQ=0 RFwdQ=0 RDupQ=0 RTCP=0 SFwdR=0 SFail=0 SFErr=0 SNaAns=0 SNXD=0 RUQ=0 RURQ=0 RUXFR=0 RUUpd=0
[1242512908] nsd[53367]: info: NSTATS 1242512908 1242512725 SOA=1
[1242512908] nsd[53366]: info: XSTATS 1242512908 1242512725 RR=0 RNXD=0 RFwdR=0 RDupR=0 RFail=0 RFErr=0 RErr=0 RAXFR=0 RLame=0 ROpts=0 SSysQ=0 SAns=1 SFwdQ=0 SDupQ=0 SErr=0 RQ=0 RIQ=0 RFwdQ=0 RDupQ=0 RTCP=0 SFwdR=0 SFail=0 SFErr=0 SNaAns=0 SNXD=0 RUQ=0 RURQ=0 RUXFR=0 RUUpd=0
[1242512908] nsd[53367]: info: XSTATS 1242512908 1242512725 RR=0 RNXD=0 RFwdR=0 RDupR=0 RFail=0 RFErr=0 RErr=0 RAXFR=0 RLame=0 ROpts=0 SSysQ=0 SAns=1 SFwdQ=0 SDupQ=0 SErr=0 RQ=0 RIQ=0 RFwdQ=0 RDupQ=0 RTCP=0 SFwdR=0 SFail=0 SFErr=0 SNaAns=0 SNXD=0 RUQ=0 RURQ=0 RUXFR=0 RUUpd=0
[1242512908] nsd[53365]: info: NSTATS 1242512908 1242512725 SOA=1
[1242512908] nsd[53365]: info: XSTATS 1242512908 1242512725 RR=0 RNXD=0 RFwdR=0 RDupR=0 RFail=0 RFErr=0 RErr=0 RAXFR=0 RLame=0 ROpts=0 SSysQ=0 SAns=2 SFwdQ=0 SDupQ=0 SErr=0 RQ=0 RIQ=0 RFwdQ=0 RDupQ=0 RTCP=0 SFwdR=0 SFail=0 SFErr=0 SNaAns=0 SNXD=0 RUQ=0 RURQ=0 RUXFR=0 RUUpd=0
[1242512908] nsd[53364]: info: Zone domain.su serial 2009051604 is updated to 2009051605.
[1242512941] nsd[53777]: warning: signal received, reloading...
[1242512941] nsd[53847]: info: memory recyclebin holds 0 bytes
Модель: AST-PM-105/0044; Тип: Универсальный, ремонтный; Название: Терминус; Род повреждения: Распад функций; Выводы: Сдать на слом.

Аватара пользователя
m4rkell
мл. сержант
Сообщения: 136
Зарегистрирован: 2008-09-19 7:50:05
Откуда: Москва
Контактная информация:

Re: Готовится статья о DNS сервере NSD

Непрочитанное сообщение m4rkell » 2009-05-17 9:38:06

Засада именно с ключем. Говорит неизвестный алгоритм. в логах.
Поставил NOKEY в одной из зон, все прошло как по маслу....

Мож у меня че не стоит из алгоритмов этих? странно...


из логов слейва:

Код: Выделить всё

[1242528181] nsd[1575]: error: query tsig unknown key/algorithm
Software is like a sex - its better when its free

Аватара пользователя
terminus
майор
Сообщения: 2305
Зарегистрирован: 2007-10-29 11:27:35
Откуда: Рига

Re: Готовится статья о DNS сервере NSD

Непрочитанное сообщение terminus » 2009-05-17 11:29:47

Попробуйте использовать какой-нибудь другой алгоритм. NSD поддерживает hmac-sha1 hmac-sha256 hmac-md5
У меня ваш base64 ключ (t8Gm+8LyZQkPLHRCJ8Xkdw==) с hmac-md5 заработал без проблем.

---

Код: Выделить всё

$ pkg_info -R nsd*
Information for nsd-3.2.1:

$ pkg_info -r nsd*
Information for nsd-3.2.1:
Depends on:

Код: Выделить всё

$ ldd /usr/local/sbin/nsd
/usr/local/sbin/nsd:
        libcrypto.so.5 => /lib/libcrypto.so.5 (0x2809f000)
        libc.so.7 => /lib/libc.so.7 (0x281ed000)

$ ldd /usr/local/sbin/nsd-notify
/usr/local/sbin/nsd-notify:
        libcrypto.so.5 => /lib/libcrypto.so.5 (0x2808f000)
        libc.so.7 => /lib/libc.so.7 (0x281dd000)

$ ldd /usr/local/sbin/nsd-xfer
/usr/local/sbin/nsd-xfer:
        libcrypto.so.5 => /lib/libcrypto.so.5 (0x28090000)
        libc.so.7 => /lib/libc.so.7 (0x281de000)
Модель: AST-PM-105/0044; Тип: Универсальный, ремонтный; Название: Терминус; Род повреждения: Распад функций; Выводы: Сдать на слом.

Аватара пользователя
m4rkell
мл. сержант
Сообщения: 136
Зарегистрирован: 2008-09-19 7:50:05
Откуда: Москва
Контактная информация:

Re: Готовится статья о DNS сервере NSD

Непрочитанное сообщение m4rkell » 2009-05-17 11:57:20

Попробуйте использовать какой-нибудь другой алгоритм. NSD поддерживает hmac-sha1 hmac-sha256 hmac-md5
У меня ваш base64 ключ (t8Gm+8LyZQkPLHRCJ8Xkdw==) с hmac-md5 заработал без проблем.
Менял алгоритмы) тоже самое...
Где то засада...

Я уже и с кавычками игрался в конфиге...
То ставил то убирал кавычки с самого ключа, с названия ключа, с названия алгоритма...одно и тоже ) ругаецо гад...эксперемент продолжается...


а все команды которые ты писал, все выдает тоже самое...
Software is like a sex - its better when its free

opt1k
лейтенант
Сообщения: 966
Зарегистрирован: 2007-12-05 9:45:18
Откуда: Mytischi

Re: Готовится статья о DNS сервере NSD

Непрочитанное сообщение opt1k » 2009-06-20 0:30:40

засада. в конфиге:

Код: Выделить всё

 server-count: 1
в топе:

Код: Выделить всё

33601 bind        1  44    0  4508K  1792K select   0:00  0.00% nsd
33602 bind        1  96    0 11676K  1848K select   0:00  0.00% nsd
33603 bind        1  96    0  4508K  1836K select   0:00  0.00% nsd
не пойму почему вместо 1 процесса - 3.
Сервер для мини локалки, памяти на шлюзе совсем нету...

Аватара пользователя
terminus
майор
Сообщения: 2305
Зарегистрирован: 2007-10-29 11:27:35
Откуда: Рига

Re: Готовится статья о DNS сервере NSD

Непрочитанное сообщение terminus » 2009-06-20 20:10:59

Так и есть - он запускает два дополнительных процесса. Чем эти сервисные процессы занимаются я точно не знаю...
Модель: AST-PM-105/0044; Тип: Универсальный, ремонтный; Название: Терминус; Род повреждения: Распад функций; Выводы: Сдать на слом.

Аватара пользователя
razdrob
рядовой
Сообщения: 12
Зарегистрирован: 2008-06-23 14:10:24
Контактная информация:

Re: Готовится статья о DNS сервере NSD

Непрочитанное сообщение razdrob » 2009-08-13 13:42:35

Проблема та же, что и у m4rkell.
Прикол в том, что сначала всё работало - через 5 месяцев - кирдык :( Сейчас перебрал nsd.conf - менял ключи, все перепроверил результат как у m4rkell, но slave пашет- репликации нет :st:
По поводу
squid# dd if=/dev/urandom bs=16 count=1 2>/dev/null | openssl base64
Ambiguous output redirect.
Нужно установить OpenSSL и ОК!

Аватара пользователя
terminus
майор
Сообщения: 2305
Зарегистрирован: 2007-10-29 11:27:35
Откуда: Рига

Re: Готовится статья о DNS сервере NSD

Непрочитанное сообщение terminus » 2009-08-13 14:23:08

Фаерволы нигде не могут мешать случано?
Порты 53 TCP и 53 UDP между мастером и слейвом открыты?

у вас тоже в логах слейва сообщения о неправильных ключах?

----

Еще один вариант - попробовать удалить файлы с базама данных (nsd.database xfrd.state ixfr.db) на обоих и провести процедуру сбрпки баз заново (по шагам как в статье).

Я с таким еще не сталкивался. :unknown:
Последний раз редактировалось terminus 2009-08-13 14:38:09, всего редактировалось 2 раза.
Модель: AST-PM-105/0044; Тип: Универсальный, ремонтный; Название: Терминус; Род повреждения: Распад функций; Выводы: Сдать на слом.

Аватара пользователя
razdrob
рядовой
Сообщения: 12
Зарегистрирован: 2008-06-23 14:10:24
Контактная информация:

Re: Готовится статья о DNS сервере NSD

Непрочитанное сообщение razdrob » 2009-08-17 14:38:14

Если при первом запуске не создается /usr/local/etc/nsd/data/xfrd.state - что это может быть ?
xfrd.state создается при nsdc restart или nsdc stop
Перепробовал все - нет репликации по TSING
[1250505746] nsd[54211]: error: query tsig unknown key/algorithm
гонял iperf по разным портам - проверял стенку - все ОК!
Уже есть желание перебрать систему... :st:

Аватара пользователя
terminus
майор
Сообщения: 2305
Зарегистрирован: 2007-10-29 11:27:35
Откуда: Рига

Re: Готовится статья о DNS сервере NSD

Непрочитанное сообщение terminus » 2009-08-17 14:49:20

системное время на мастере и слейве не может быть разным? синхронизация с ntp есть?
Модель: AST-PM-105/0044; Тип: Универсальный, ремонтный; Название: Терминус; Род повреждения: Распад функций; Выводы: Сдать на слом.

Аватара пользователя
razdrob
рядовой
Сообщения: 12
Зарегистрирован: 2008-06-23 14:10:24
Контактная информация:

Re: Готовится статья о DNS сервере NSD

Непрочитанное сообщение razdrob » 2009-08-18 8:51:15

:oops: Блин, стыдно мне... Действительно, на slave не синхронизировалось время. Буду внимательней, честное пионерское! Большое спасибо за консультации!

Аватара пользователя
terminus
майор
Сообщения: 2305
Зарегистрирован: 2007-10-29 11:27:35
Откуда: Рига

Re: Готовится статья о DNS сервере NSD

Непрочитанное сообщение terminus » 2009-08-18 10:02:53

Проблема решилась?
Спасибо вам, что отписались - я забыл про это написать в статье :fool: (хотя сам, когда настраевал свои серваки, специально ntp запускал, помня о том, что TSIG подписи еще и по времени проверяются на валидность). Сейчас поправлю статью! :drinks:
Модель: AST-PM-105/0044; Тип: Универсальный, ремонтный; Название: Терминус; Род повреждения: Распад функций; Выводы: Сдать на слом.

Аватара пользователя
razdrob
рядовой
Сообщения: 12
Зарегистрирован: 2008-06-23 14:10:24
Контактная информация:

Re: Готовится статья о DNS сервере NSD

Непрочитанное сообщение razdrob » 2009-08-18 11:13:32

Вам спасибо за статью. Ждем-с свежих! :drinks:

buriburi
проходил мимо
Сообщения: 9
Зарегистрирован: 2009-09-03 8:55:33

Re: Готовится статья о DNS сервере NSD

Непрочитанное сообщение buriburi » 2009-09-03 8:59:51

Terminus, спасибо за статью. Но у меня почему то не получается выполнение команды nsd-checkconf /usr/local/etc/nsd/nsd.conf.
Пишет /usr/local/etc/nsd/nsd.conf:19: error: syntax error
В строке 19 файла nsd.conf вот что:

key:
name: "ns1.clover.local"
algorithm: hmac-md5
secret: "3bt0qx18jKS/KHKpUgqeXg=="
А вот результат выполнения команды
dd if=/dev/urandom bs=16 count=1 | openssl base64

1+0 records in
1+0 records out
16 bytes transferred in 0.000068 secs (235470 bytes/sec)
3bt0qx18jKS/KHKpUgqeXg=="

Не подскажите в чем возможна ошибка?
Хочу добавить, что я только вторую неделю юзаю FreeBSD и я не опытный пользователь :(

Аватара пользователя
terminus
майор
Сообщения: 2305
Зарегистрирован: 2007-10-29 11:27:35
Откуда: Рига

Re: Готовится статья о DNS сервере NSD

Непрочитанное сообщение terminus » 2009-09-03 9:39:59

buriburi писал(а): dd if=/dev/urandom bs=16 count=1 | openssl base64

1+0 records in
1+0 records out
16 bytes transferred in 0.000068 secs (235470 bytes/sec)
3bt0qx18jKS/KHKpUgqeXg=="
Ключ и в правду сгенерировался с кавычкой в конце?
3bt0qx18jKS/KHKpUgqeXg=="
попробуйте создать новый ключ через тот же dd и использовать его :unknown:
Модель: AST-PM-105/0044; Тип: Универсальный, ремонтный; Название: Терминус; Род повреждения: Распад функций; Выводы: Сдать на слом.

buriburi
проходил мимо
Сообщения: 9
Зарегистрирован: 2009-09-03 8:55:33

Re: Готовится статья о DNS сервере NSD

Непрочитанное сообщение buriburi » 2009-09-03 10:37:26

убрал кавычки и теперь после выполнения nsd-checkconf /usr/local/etc/nsd/nsd.conf ошибка вот какая
/usr/local/etc/nsd/nsd.conf:35: error: EOF inside quoted string fatal flex scaner internal error--end of buffer missed

Можете что-то подсказать?

Аватара пользователя
terminus
майор
Сообщения: 2305
Зарегистрирован: 2007-10-29 11:27:35
Откуда: Рига

Re: Готовится статья о DNS сервере NSD

Непрочитанное сообщение terminus » 2009-09-03 10:48:38

не используйте старый ключ. создайте новый и попробуйие с ним.

кавычки должны использоваться при указании ключа внутри nsd.conf.

в крайнем случае возьмите ключ приведенный в статье и протестируйте с ним.
Модель: AST-PM-105/0044; Тип: Универсальный, ремонтный; Название: Терминус; Род повреждения: Распад функций; Выводы: Сдать на слом.

buriburi
проходил мимо
Сообщения: 9
Зарегистрирован: 2009-09-03 8:55:33

Re: Готовится статья о DNS сервере NSD

Непрочитанное сообщение buriburi » 2009-09-03 15:27:56

Решилась проблема таким образом:
взял nsd.conf.cample, настроил еще раз по Вашему мануалу, закомменитовал не нужные опции и после этого, nsd-checkconf /usr/local/etc/nsd/nsd.conf без ошибок выполнился.
Теперь не могу понять, где nsd берет информацию о forwarders. Нужно ли указывать ему DNS провайдера? И как настроить resolf.conf при использовании NSD ??
У меня получается, что запросы внутри локальной зоны nsd отрабатывает, nslookup показывает все ОК! А вот nslookup ya.ru не отвечает.

Аватара пользователя
terminus
майор
Сообщения: 2305
Зарегистрирован: 2007-10-29 11:27:35
Откуда: Рига

Re: Готовится статья о DNS сервере NSD

Непрочитанное сообщение terminus » 2009-09-03 19:28:16

NSD не умеет работать как кеш - это чисто авторитарный сервер - он умеет обслуживать только те DNS зоны, что запущенны на нем.

Если вам нужен кеш-сервер который бы позволял пользователям разрешать любые имена, то устанавливайте Unbound http://www.lissyara.su/?id=1705 Unbound в свою очередь является уже только чисто кеширующим сервером - держать зоны он не умеет.

Если же вам нужно чтобы на одном сервере работали как авторитарный DNS так и кеширующий DNS то ставьте оба, но для каждого придется выделить отдельный IP адрес так как на одном IP и одном номере порта они вместе не уживуться.
Модель: AST-PM-105/0044; Тип: Универсальный, ремонтный; Название: Терминус; Род повреждения: Распад функций; Выводы: Сдать на слом.