Готовится статья о DNS сервере NSD
Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
- razdrob
- рядовой
- Сообщения: 12
- Зарегистрирован: 2008-06-23 14:10:24
- Контактная информация:
Re: Готовится статья о DNS сервере NSD
Спасибо за прошлый ответ! Проблема решена.
Сервера успешно запущены - полет нормальный %-) Огромное спасибо за статью!
Вопрос: Как правильно работать с DNSSEC ?
Сервера успешно запущены - полет нормальный %-) Огромное спасибо за статью!
Вопрос: Как правильно работать с DNSSEC ?
Услуги хостинговой компании Host-Food.ru
Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/
- terminus
- майор
- Сообщения: 2305
- Зарегистрирован: 2007-10-29 11:27:35
- Откуда: Рига
Re: Готовится статья о DNS сервере NSD
Я должен признаться, что не работал с DNSSEC на таком уровне чтобы мог сам что-либо советовать...
Когда пару лет назад я попробовал разобраться в вопросе, то выяснились некоторые вещи от которых стало чуть ли не смешно, в следствии чего мною на DNSSEC тогда было "положено накрест". Вещи были такие:
- На тот момент небыло разработаной глобальной структуры для внедрения DNSSEC. Корневые домены и домены второго уровня не имели цепочки доверия сертификатов (что с того, что я подпишу данные своей зоны своим сертификатом, если он не заверен никем? Что с того, что кто-то сделает то же самое со своими зонами, если его сертификаты это та же филькина грамота без подписи вышестоящего регистратора).
- Баг в дизайне реализации ответов DNSSEC сервера о несуществующих адресах в зоне - позволяло проводить энумерацию всех данных в зоне.
- отсутствие поддержки в djbdns
Переодически я интересуюсь как и что сейчас с этим DNSSEC, но времени на то чтобы досканально изучить эту штуку не хватает. Пока я ее не выучу так чтобы от зубов отскакивало, применять не буду / не могу.
Знаю, что в данный момент уже многие корневые домены имеют внедренную стректуру DNSSEC, а значит может быть построена корректная цепь доверия (пошли подвижки).
Еще знаю, что ISC начали внедрять альтернативный механизм для подписи публичных ключей, назывемый DLV - это сделано для того чтобы дать возможность подписывать зону тем чей регистратор вышестояшей зоны не имеет внедренного DNSSEC.
Так же пошло движение со стороны RIPE - они начали подписывать свои обратные зоны.
Багу протокола позволяющую перечитывать все записи в зоне разрешили введя механизм NSEC3.
Если интересует вопрос и захотите сами разобраться, то могу только ссылок накидать.
http://www.nlnetlabs.nl/publications/dnssec_howto/
https://dlv.isc.org/about/background
https://www.isc.org/solutions/dlv
http://www.unbound.net/documentation/howto_anchor.html
http://www.unbound.net/documentation/howto_itar.html
Когда пару лет назад я попробовал разобраться в вопросе, то выяснились некоторые вещи от которых стало чуть ли не смешно, в следствии чего мною на DNSSEC тогда было "положено накрест". Вещи были такие:
- На тот момент небыло разработаной глобальной структуры для внедрения DNSSEC. Корневые домены и домены второго уровня не имели цепочки доверия сертификатов (что с того, что я подпишу данные своей зоны своим сертификатом, если он не заверен никем? Что с того, что кто-то сделает то же самое со своими зонами, если его сертификаты это та же филькина грамота без подписи вышестоящего регистратора).
- Баг в дизайне реализации ответов DNSSEC сервера о несуществующих адресах в зоне - позволяло проводить энумерацию всех данных в зоне.
- отсутствие поддержки в djbdns
Переодически я интересуюсь как и что сейчас с этим DNSSEC, но времени на то чтобы досканально изучить эту штуку не хватает. Пока я ее не выучу так чтобы от зубов отскакивало, применять не буду / не могу.
Знаю, что в данный момент уже многие корневые домены имеют внедренную стректуру DNSSEC, а значит может быть построена корректная цепь доверия (пошли подвижки).
Еще знаю, что ISC начали внедрять альтернативный механизм для подписи публичных ключей, назывемый DLV - это сделано для того чтобы дать возможность подписывать зону тем чей регистратор вышестояшей зоны не имеет внедренного DNSSEC.
Так же пошло движение со стороны RIPE - они начали подписывать свои обратные зоны.
Багу протокола позволяющую перечитывать все записи в зоне разрешили введя механизм NSEC3.
Если интересует вопрос и захотите сами разобраться, то могу только ссылок накидать.
http://www.nlnetlabs.nl/publications/dnssec_howto/
https://dlv.isc.org/about/background
https://www.isc.org/solutions/dlv
http://www.unbound.net/documentation/howto_anchor.html
http://www.unbound.net/documentation/howto_itar.html
Модель: AST-PM-105/0044; Тип: Универсальный, ремонтный; Название: Терминус; Род повреждения: Распад функций; Выводы: Сдать на слом.
- razdrob
- рядовой
- Сообщения: 12
- Зарегистрирован: 2008-06-23 14:10:24
- Контактная информация:
Re: Готовится статья о DNS сервере NSD
ОК! Спасибо за оперативный ответ. Будем грызть...
- m4rkell
- мл. сержант
- Сообщения: 136
- Зарегистрирован: 2008-09-19 7:50:05
- Откуда: Москва
- Контактная информация:
Re: Готовится статья о DNS сервере NSD
3 часа уже бьюсь над связкой...
все поднял по статье...
получилось сгенерировать ключ только командой:
Прописал ключ в конфигах и master и slave сервака: И вот что в логах слейва выдает:
Вот часть конфига slave сервера:
соответственно такая же часть и на мастере...
А ошибка все же выдается...подскажите в чем трабла то?
все поднял по статье...
получилось сгенерировать ключ только командой:
Код: Выделить всё
dd if=/dev/urandom bs=16 count=1 | openssl base64
Код: Выделить всё
[1242445843] nsd[922]: error: xfrd: zone domain.su received error code REFUSED from 192.168.0.1
[1242445843] nsd[922]: error: xfrd: zone domain.su received error code REFUSED from 192.168.0.1
[1242445843] nsd[922]: error: xfrd: zone domain.su received error code REFUSED from 192.168.0.1
[1242445932] nsd[922]: error: xfrd: zone 0.168.192.in-addr.arpa received error code REFUSED from 192.168.0.1
[1242445934] nsd[922]: error: xfrd: zone 0.168.192.in-addr.arpa received error code REFUSED from 192.168.0.1
[1242445935] nsd[922]: error: xfrd: zone domain.su received error code REFUSED from 192.168.0.1
[1242445935] nsd[922]: error: xfrd: zone domain.su received error code REFUSED from 192.168.0.1
[1242445936] nsd[922]: error: xfrd: zone domain.su received error code REFUSED from 192.168.0.1
[1242445938] nsd[922]: error: xfrd: zone 0.168.192.in-addr.arpa received error code REFUSED from 192.168.0.1
[1242445969] nsd[926]: error: query tsig unknown key/algorithm
[1242445969] nsd[923]: error: query tsig unknown key/algorithm
[1242445973] nsd[924]: error: query tsig unknown key/algorithm
[1242445973] nsd[925]: error: query tsig unknown key/algorithm
[1242445978] nsd[926]: error: query tsig unknown key/algorithm
[1242445978] nsd[926]: error: query tsig unknown key/algorithm
Код: Выделить всё
key:
name: "ns1-ns2.domain.su"
algorithm: hmac-md5
secret: "t8Gm+8LyZQkPLHRCJ8Xkdw=="
А ошибка все же выдается...подскажите в чем трабла то?
Software is like a sex - its better when its free
- terminus
- майор
- Сообщения: 2305
- Зарегистрирован: 2007-10-29 11:27:35
- Откуда: Рига
Re: Готовится статья о DNS сервере NSD
Проверьте - в настройках слейва, в параметрах слейв-зоны у вас указана директива AXFR?
И еще вопрос - вы пока только "напоиграться" все это запустили? Настройки IP и имен зон (в том числе и реверс-зоны) реально взяты из статьи и так и используются, или вы используете свои имена, а в листингах их подменили?
---zone:
name: "domain.su"
zonefile: "./slave/domain.su"
allow-notify: 192.168.0.1 ns1-ns2.domain.su
request-xfr: AXFR 192.168.0.1 ns1-ns2.domain.su
И еще вопрос - вы пока только "напоиграться" все это запустили? Настройки IP и имен зон (в том числе и реверс-зоны) реально взяты из статьи и так и используются, или вы используете свои имена, а в листингах их подменили?
Модель: AST-PM-105/0044; Тип: Универсальный, ремонтный; Название: Терминус; Род повреждения: Распад функций; Выводы: Сдать на слом.
- m4rkell
- мл. сержант
- Сообщения: 136
- Зарегистрирован: 2008-09-19 7:50:05
- Откуда: Москва
- Контактная информация:
Re: Готовится статья о DNS сервере NSD
Само собой я для форума изменил все реальные данные. так все свое.terminus писал(а):Проверьте - в настройках слейва, в параметрах слейв-зоны у вас указана директива AXFR?---zone:
name: "domain.su"
zonefile: "./slave/domain.su"
allow-notify: 192.168.0.1 ns1-ns2.domain.su
request-xfr: AXFR 192.168.0.1 ns1-ns2.domain.su
И еще вопрос - вы пока только "напоиграться" все это запустили? Настройки IP и имен зон (в том числе и реверс-зоны) реально взяты из статьи и так и используются, или вы используете свои имена, а в листингах их подменили?
А AXFR указаны да...
Software is like a sex - its better when its free
- terminus
- майор
- Сообщения: 2305
- Зарегистрирован: 2007-10-29 11:27:35
- Откуда: Рига
Re: Готовится статья о DNS сервере NSD
Нипанятна...
Интереса ради взял и запустил на домашней машине джайл. В джайле запустил NSD (работает как слейв для зоны domain.su). На самой домашней машине тоже NSD запущен (работает как мастер для domain.su). Домашняя 192.168.1.1, джаил 192.168.1.2. Оба настроил по статье, шаг в шаг. Версии NSD 3.2.1.
У меня все завелось. Ищите ошибку в конфигурации... Да, и дежурный вопрос - фаервол на мастере/слейве не может мешать коннекциям на 53 UDP/TCP порты? Пробовали полностью перезапустить NSD на мастере, а потом на слейве (nsdc stop && /usr/local/etc/rc.d/nsd start)?
конфиг мастера:
конфиг слейва:
зона на мастере:
зона на слейве (полученная в виде текста после выполнения nsdc patch):
сообщения из лога на мастере при передаче данных на слейв (после nsdc rebuild && nsdc reload):
сообщения из лога на слейве при получении данных с мастера (идет автоматом, когда на мастере обновили данные):
Интереса ради взял и запустил на домашней машине джайл. В джайле запустил NSD (работает как слейв для зоны domain.su). На самой домашней машине тоже NSD запущен (работает как мастер для domain.su). Домашняя 192.168.1.1, джаил 192.168.1.2. Оба настроил по статье, шаг в шаг. Версии NSD 3.2.1.
У меня все завелось. Ищите ошибку в конфигурации... Да, и дежурный вопрос - фаервол на мастере/слейве не может мешать коннекциям на 53 UDP/TCP порты? Пробовали полностью перезапустить NSD на мастере, а потом на слейве (nsdc stop && /usr/local/etc/rc.d/nsd start)?
конфиг мастера:
Код: Выделить всё
server:
chroot: "/usr/local/etc/nsd"
ip-address: 192.168.1.1
port: 53
ip4-only: yes
database: "/usr/local/etc/nsd/data/nsd.database"
verbosity: 2
logfile: "/var/log/nsd.log"
server-count: 4
pidfile: "/usr/local/etc/nsd/run/nsd.pid"
zonesdir: "/usr/local/etc/nsd/zones"
difffile: "/usr/local/etc/nsd/data/ixfr.db"
xfrdfile: "/usr/local/etc/nsd/data/xfrd.state"
key:
name: "ns1-ns2.domain.su"
algorithm: hmac-md5
secret: "t8Gm+8LyZQkPLHRCJ8Xkdw=="
zone:
name: "domain.su"
zonefile: "./master/domain.su"
notify: 192.168.1.2 ns1-ns2.domain.su
provide-xfr: 192.168.1.2 ns1-ns2.domain.su
Код: Выделить всё
server:
chroot: "/usr/local/etc/nsd"
ip-address: 192.168.1.2
port: 53
ip4-only: yes
database: "/usr/local/etc/nsd/data/nsd.database"
verbosity: 2
logfile: "/var/log/nsd.log"
server-count: 4
pidfile: "/usr/local/etc/nsd/run/nsd.pid"
zonesdir: "/usr/local/etc/nsd/zones"
difffile: "/usr/local/etc/nsd/data/ixfr.db"
xfrdfile: "/usr/local/etc/nsd/data/xfrd.state"
key:
name: "ns1-ns2.domain.su"
algorithm: hmac-md5
secret: "t8Gm+8LyZQkPLHRCJ8Xkdw=="
zone:
name: "domain.su"
zonefile: "./slave/domain.su"
allow-notify: 192.168.1.1 ns1-ns2.domain.su
request-xfr: AXFR 192.168.1.1 ns1-ns2.domain.su
Код: Выделить всё
$TTL 1800 ;minimum ttl
domain.su. IN SOA ns1.domain.su. hostmaster.domain.su. (
2009051605 ;serial
3600 ;refresh
9600 ;retry
180000 ;expire
600 ;negative ttl
)
NS ns1.domain.su.
NS ns2.domain.su.
MX 10 mail
A 127.0.0.24
ns1 A 192.168.1.1
ns2 A 192.168.1.2
www A 127.0.0.24
ftp A 127.0.0.26
mail A 127.0.0.27
test A 1.2.3.79
Код: Выделить всё
; NSD version 3.2.1
; nsd-patch zone domain.su run at time Sat May 17 00:29:01 2009
; commit: xfrd: zone domain.su received update to serial 2009051605 at time 1242512908 from 192.168.1.1 in 1 parts TSIG verified with key ns1-ns2.domain.su
$ORIGIN su.
domain 1800 IN SOA ns1.domain.su. hostmaster.domain.su. (
2009051605 3600 9600 180000 600 )
1800 IN NS ns1.domain.su.
1800 IN NS ns2.domain.su.
1800 IN MX 10 mail.domain.su.
1800 IN A 127.0.0.24
$ORIGIN domain.su.
ftp 1800 IN A 127.0.0.26
mail 1800 IN A 127.0.0.27
ns1 1800 IN A 192.168.1.1
ns2 1800 IN A 192.168.1.2
test 1800 IN A 1.2.3.79
www 1800 IN A 127.0.0.24
Код: Выделить всё
[1242512766] nsd[53423]: notice: nsd started (NSD 3.2.1), pid 53423
[1242512866] nsd[53423]: warning: signal received, reloading...
[1242512866] nsd[53629]: info: memory recyclebin holds 0 bytes
[1242512907] nsd[53629]: warning: signal received, reloading...
[1242512907] nsd[53771]: info: memory recyclebin holds 0 bytes
[1242512907] nsd[53630]: info: NSTATS 1242512907 1242512866 TYPE252=1
[1242512907] nsd[53632]: info: NSTATS 1242512907 1242512866 TYPE252=1
[1242512907] nsd[53631]: info: NSTATS 1242512907 1242512866 TYPE252=1
[1242512907] nsd[53630]: info: XSTATS 1242512907 1242512866 RR=0 RNXD=0 RFwdR=0 RDupR=0 RFail=0 RFErr=0 RErr=0 RAXFR=0 RLame=0 ROpts=0 SSysQ=0 SAns=0 SFwdQ=0 SDupQ=0 SErr=0 RQ=1 RIQ=0 RFwdQ=0 RDupQ=0 RTCP=1 SFwdR=0 SFail=0 SFErr=0 SNaAns=1 SNXD=0 RUQ=0 RURQ=0 RUXFR=0 RUUpd=0
[1242512907] nsd[53632]: info: XSTATS 1242512907 1242512866 RR=0 RNXD=0 RFwdR=0 RDupR=0 RFail=0 RFErr=0 RErr=0 RAXFR=0 RLame=0 ROpts=0 SSysQ=0 SAns=0 SFwdQ=0 SDupQ=0 SErr=0 RQ=1 RIQ=0 RFwdQ=0 RDupQ=0 RTCP=1 SFwdR=0 SFail=0 SFErr=0 SNaAns=1 SNXD=0 RUQ=0 RURQ=0 RUXFR=0 RUUpd=0
[1242512907] nsd[53631]: info: XSTATS 1242512907 1242512866 RR=0 RNXD=0 RFwdR=0 RDupR=0 RFail=0 RFErr=0 RErr=0 RAXFR=0 RLame=0 ROpts=0 SSysQ=0 SAns=0 SFwdQ=0 SDupQ=0 SErr=0 RQ=1 RIQ=0 RFwdQ=0 RDupQ=0 RTCP=1 SFwdR=0 SFail=0 SFErr=0 SNaAns=1 SNXD=0 RUQ=0 RURQ=0 RUXFR=0 RUUpd=0
[1242513007] nsd[53772]: info: NSTATS 1242513007 1242512907 TYPE252=1
[1242513007] nsd[53772]: info: XSTATS 1242513007 1242512907 RR=0 RNXD=0 RFwdR=0 RDupR=0 RFail=0 RFErr=0 RErr=0 RAXFR=0 RLame=0 ROpts=0 SSysQ=0 SAns=0 SFwdQ=0 SDupQ=0 SErr=0 RQ=1 RIQ=0 RFwdQ=0 RDupQ=0 RTCP=1 SFwdR=0 SFail=0 SFErr=0 SNaAns=1 SNXD=0 RUQ=0 RURQ=0 RUXFR=0 RUUpd=0
Код: Выделить всё
[1242512725] nsd[53363]: notice: nsd started (NSD 3.2.1), pid 53363
[1242512876] nsd[53365]: info: Notify received and accepted, forward to xfrd
[1242512876] nsd[53364]: info: Handle incoming notify for zone domain.su
[1242512907] nsd[53367]: info: Notify received and accepted, forward to xfrd
[1242512907] nsd[53364]: info: Handle incoming notify for zone domain.su
[1242512908] nsd[53364]: info: xfrd: zone domain.su written received XFR from 192.168.1.1 with serial 2009051605 to disk
[1242512908] nsd[53364]: info: xfrd: zone domain.su committed "xfrd: zone domain.su received update to serial 2009051605 at time 1242512908 from 192.168.1.1 in 1 parts TSIG verified with key ns1-ns2.domain.su"
[1242512908] nsd[53363]: warning: signal received, reloading...
[1242512908] nsd[53777]: info: memory recyclebin holds 0 bytes
[1242512908] nsd[53368]: info: XSTATS 1242512908 1242512725 RR=0 RNXD=0 RFwdR=0 RDupR=0 RFail=0 RFErr=0 RErr=0 RAXFR=0 RLame=0 ROpts=0 SSysQ=0 SAns=1 SFwdQ=0 SDupQ=0 SErr=0 RQ=0 RIQ=0 RFwdQ=0 RDupQ=0 RTCP=0 SFwdR=0 SFail=0 SFErr=0 SNaAns=0 SNXD=0 RUQ=0 RURQ=0 RUXFR=0 RUUpd=0
[1242512908] nsd[53367]: info: NSTATS 1242512908 1242512725 SOA=1
[1242512908] nsd[53366]: info: XSTATS 1242512908 1242512725 RR=0 RNXD=0 RFwdR=0 RDupR=0 RFail=0 RFErr=0 RErr=0 RAXFR=0 RLame=0 ROpts=0 SSysQ=0 SAns=1 SFwdQ=0 SDupQ=0 SErr=0 RQ=0 RIQ=0 RFwdQ=0 RDupQ=0 RTCP=0 SFwdR=0 SFail=0 SFErr=0 SNaAns=0 SNXD=0 RUQ=0 RURQ=0 RUXFR=0 RUUpd=0
[1242512908] nsd[53367]: info: XSTATS 1242512908 1242512725 RR=0 RNXD=0 RFwdR=0 RDupR=0 RFail=0 RFErr=0 RErr=0 RAXFR=0 RLame=0 ROpts=0 SSysQ=0 SAns=1 SFwdQ=0 SDupQ=0 SErr=0 RQ=0 RIQ=0 RFwdQ=0 RDupQ=0 RTCP=0 SFwdR=0 SFail=0 SFErr=0 SNaAns=0 SNXD=0 RUQ=0 RURQ=0 RUXFR=0 RUUpd=0
[1242512908] nsd[53365]: info: NSTATS 1242512908 1242512725 SOA=1
[1242512908] nsd[53365]: info: XSTATS 1242512908 1242512725 RR=0 RNXD=0 RFwdR=0 RDupR=0 RFail=0 RFErr=0 RErr=0 RAXFR=0 RLame=0 ROpts=0 SSysQ=0 SAns=2 SFwdQ=0 SDupQ=0 SErr=0 RQ=0 RIQ=0 RFwdQ=0 RDupQ=0 RTCP=0 SFwdR=0 SFail=0 SFErr=0 SNaAns=0 SNXD=0 RUQ=0 RURQ=0 RUXFR=0 RUUpd=0
[1242512908] nsd[53364]: info: Zone domain.su serial 2009051604 is updated to 2009051605.
[1242512941] nsd[53777]: warning: signal received, reloading...
[1242512941] nsd[53847]: info: memory recyclebin holds 0 bytes
Модель: AST-PM-105/0044; Тип: Универсальный, ремонтный; Название: Терминус; Род повреждения: Распад функций; Выводы: Сдать на слом.
- m4rkell
- мл. сержант
- Сообщения: 136
- Зарегистрирован: 2008-09-19 7:50:05
- Откуда: Москва
- Контактная информация:
Re: Готовится статья о DNS сервере NSD
Засада именно с ключем. Говорит неизвестный алгоритм. в логах.
Поставил NOKEY в одной из зон, все прошло как по маслу....
Мож у меня че не стоит из алгоритмов этих? странно...
из логов слейва:
Поставил NOKEY в одной из зон, все прошло как по маслу....
Мож у меня че не стоит из алгоритмов этих? странно...
из логов слейва:
Код: Выделить всё
[1242528181] nsd[1575]: error: query tsig unknown key/algorithm
Software is like a sex - its better when its free
- terminus
- майор
- Сообщения: 2305
- Зарегистрирован: 2007-10-29 11:27:35
- Откуда: Рига
Re: Готовится статья о DNS сервере NSD
Попробуйте использовать какой-нибудь другой алгоритм. NSD поддерживает hmac-sha1 hmac-sha256 hmac-md5
У меня ваш base64 ключ (t8Gm+8LyZQkPLHRCJ8Xkdw==) с hmac-md5 заработал без проблем.
---
У меня ваш base64 ключ (t8Gm+8LyZQkPLHRCJ8Xkdw==) с hmac-md5 заработал без проблем.
---
Код: Выделить всё
$ pkg_info -R nsd*
Information for nsd-3.2.1:
$ pkg_info -r nsd*
Information for nsd-3.2.1:
Depends on:
Код: Выделить всё
$ ldd /usr/local/sbin/nsd
/usr/local/sbin/nsd:
libcrypto.so.5 => /lib/libcrypto.so.5 (0x2809f000)
libc.so.7 => /lib/libc.so.7 (0x281ed000)
$ ldd /usr/local/sbin/nsd-notify
/usr/local/sbin/nsd-notify:
libcrypto.so.5 => /lib/libcrypto.so.5 (0x2808f000)
libc.so.7 => /lib/libc.so.7 (0x281dd000)
$ ldd /usr/local/sbin/nsd-xfer
/usr/local/sbin/nsd-xfer:
libcrypto.so.5 => /lib/libcrypto.so.5 (0x28090000)
libc.so.7 => /lib/libc.so.7 (0x281de000)
Модель: AST-PM-105/0044; Тип: Универсальный, ремонтный; Название: Терминус; Род повреждения: Распад функций; Выводы: Сдать на слом.
- m4rkell
- мл. сержант
- Сообщения: 136
- Зарегистрирован: 2008-09-19 7:50:05
- Откуда: Москва
- Контактная информация:
Re: Готовится статья о DNS сервере NSD
Менял алгоритмы) тоже самое...Попробуйте использовать какой-нибудь другой алгоритм. NSD поддерживает hmac-sha1 hmac-sha256 hmac-md5
У меня ваш base64 ключ (t8Gm+8LyZQkPLHRCJ8Xkdw==) с hmac-md5 заработал без проблем.
Где то засада...
Я уже и с кавычками игрался в конфиге...
То ставил то убирал кавычки с самого ключа, с названия ключа, с названия алгоритма...одно и тоже ) ругаецо гад...эксперемент продолжается...
а все команды которые ты писал, все выдает тоже самое...
Software is like a sex - its better when its free
-
- лейтенант
- Сообщения: 966
- Зарегистрирован: 2007-12-05 9:45:18
- Откуда: Mytischi
Re: Готовится статья о DNS сервере NSD
засада. в конфиге:
в топе:
не пойму почему вместо 1 процесса - 3.
Сервер для мини локалки, памяти на шлюзе совсем нету...
Код: Выделить всё
server-count: 1
Код: Выделить всё
33601 bind 1 44 0 4508K 1792K select 0:00 0.00% nsd
33602 bind 1 96 0 11676K 1848K select 0:00 0.00% nsd
33603 bind 1 96 0 4508K 1836K select 0:00 0.00% nsd
Сервер для мини локалки, памяти на шлюзе совсем нету...
- terminus
- майор
- Сообщения: 2305
- Зарегистрирован: 2007-10-29 11:27:35
- Откуда: Рига
Re: Готовится статья о DNS сервере NSD
Так и есть - он запускает два дополнительных процесса. Чем эти сервисные процессы занимаются я точно не знаю...
Модель: AST-PM-105/0044; Тип: Универсальный, ремонтный; Название: Терминус; Род повреждения: Распад функций; Выводы: Сдать на слом.
- razdrob
- рядовой
- Сообщения: 12
- Зарегистрирован: 2008-06-23 14:10:24
- Контактная информация:
Re: Готовится статья о DNS сервере NSD
Проблема та же, что и у m4rkell.
Прикол в том, что сначала всё работало - через 5 месяцев - кирдык Сейчас перебрал nsd.conf - менял ключи, все перепроверил результат как у m4rkell, но slave пашет- репликации нет
По поводу
squid# dd if=/dev/urandom bs=16 count=1 2>/dev/null | openssl base64
Ambiguous output redirect.
Нужно установить OpenSSL и ОК!
Прикол в том, что сначала всё работало - через 5 месяцев - кирдык Сейчас перебрал nsd.conf - менял ключи, все перепроверил результат как у m4rkell, но slave пашет- репликации нет
По поводу
squid# dd if=/dev/urandom bs=16 count=1 2>/dev/null | openssl base64
Ambiguous output redirect.
Нужно установить OpenSSL и ОК!
- terminus
- майор
- Сообщения: 2305
- Зарегистрирован: 2007-10-29 11:27:35
- Откуда: Рига
Re: Готовится статья о DNS сервере NSD
Фаерволы нигде не могут мешать случано?
Порты 53 TCP и 53 UDP между мастером и слейвом открыты?
у вас тоже в логах слейва сообщения о неправильных ключах?
----
Еще один вариант - попробовать удалить файлы с базама данных (nsd.database xfrd.state ixfr.db) на обоих и провести процедуру сбрпки баз заново (по шагам как в статье).
Я с таким еще не сталкивался.
Порты 53 TCP и 53 UDP между мастером и слейвом открыты?
у вас тоже в логах слейва сообщения о неправильных ключах?
----
Еще один вариант - попробовать удалить файлы с базама данных (nsd.database xfrd.state ixfr.db) на обоих и провести процедуру сбрпки баз заново (по шагам как в статье).
Я с таким еще не сталкивался.
Последний раз редактировалось terminus 2009-08-13 14:38:09, всего редактировалось 2 раза.
Модель: AST-PM-105/0044; Тип: Универсальный, ремонтный; Название: Терминус; Род повреждения: Распад функций; Выводы: Сдать на слом.
- razdrob
- рядовой
- Сообщения: 12
- Зарегистрирован: 2008-06-23 14:10:24
- Контактная информация:
Re: Готовится статья о DNS сервере NSD
Если при первом запуске не создается /usr/local/etc/nsd/data/xfrd.state - что это может быть ?
xfrd.state создается при nsdc restart или nsdc stop
Перепробовал все - нет репликации по TSING
[1250505746] nsd[54211]: error: query tsig unknown key/algorithm
гонял iperf по разным портам - проверял стенку - все ОК!
Уже есть желание перебрать систему...
xfrd.state создается при nsdc restart или nsdc stop
Перепробовал все - нет репликации по TSING
[1250505746] nsd[54211]: error: query tsig unknown key/algorithm
гонял iperf по разным портам - проверял стенку - все ОК!
Уже есть желание перебрать систему...
- terminus
- майор
- Сообщения: 2305
- Зарегистрирован: 2007-10-29 11:27:35
- Откуда: Рига
Re: Готовится статья о DNS сервере NSD
системное время на мастере и слейве не может быть разным? синхронизация с ntp есть?
Модель: AST-PM-105/0044; Тип: Универсальный, ремонтный; Название: Терминус; Род повреждения: Распад функций; Выводы: Сдать на слом.
- razdrob
- рядовой
- Сообщения: 12
- Зарегистрирован: 2008-06-23 14:10:24
- Контактная информация:
Re: Готовится статья о DNS сервере NSD
Блин, стыдно мне... Действительно, на slave не синхронизировалось время. Буду внимательней, честное пионерское! Большое спасибо за консультации!
- terminus
- майор
- Сообщения: 2305
- Зарегистрирован: 2007-10-29 11:27:35
- Откуда: Рига
Re: Готовится статья о DNS сервере NSD
Проблема решилась?
Спасибо вам, что отписались - я забыл про это написать в статье (хотя сам, когда настраевал свои серваки, специально ntp запускал, помня о том, что TSIG подписи еще и по времени проверяются на валидность). Сейчас поправлю статью!
Спасибо вам, что отписались - я забыл про это написать в статье (хотя сам, когда настраевал свои серваки, специально ntp запускал, помня о том, что TSIG подписи еще и по времени проверяются на валидность). Сейчас поправлю статью!
Модель: AST-PM-105/0044; Тип: Универсальный, ремонтный; Название: Терминус; Род повреждения: Распад функций; Выводы: Сдать на слом.
- razdrob
- рядовой
- Сообщения: 12
- Зарегистрирован: 2008-06-23 14:10:24
- Контактная информация:
Re: Готовится статья о DNS сервере NSD
Вам спасибо за статью. Ждем-с свежих!
-
- проходил мимо
- Сообщения: 9
- Зарегистрирован: 2009-09-03 8:55:33
Re: Готовится статья о DNS сервере NSD
Terminus, спасибо за статью. Но у меня почему то не получается выполнение команды nsd-checkconf /usr/local/etc/nsd/nsd.conf.
Пишет /usr/local/etc/nsd/nsd.conf:19: error: syntax error
В строке 19 файла nsd.conf вот что:
key:
name: "ns1.clover.local"
algorithm: hmac-md5
secret: "3bt0qx18jKS/KHKpUgqeXg=="
А вот результат выполнения команды
dd if=/dev/urandom bs=16 count=1 | openssl base64
1+0 records in
1+0 records out
16 bytes transferred in 0.000068 secs (235470 bytes/sec)
3bt0qx18jKS/KHKpUgqeXg=="
Не подскажите в чем возможна ошибка?
Хочу добавить, что я только вторую неделю юзаю FreeBSD и я не опытный пользователь
Пишет /usr/local/etc/nsd/nsd.conf:19: error: syntax error
В строке 19 файла nsd.conf вот что:
key:
name: "ns1.clover.local"
algorithm: hmac-md5
secret: "3bt0qx18jKS/KHKpUgqeXg=="
А вот результат выполнения команды
dd if=/dev/urandom bs=16 count=1 | openssl base64
1+0 records in
1+0 records out
16 bytes transferred in 0.000068 secs (235470 bytes/sec)
3bt0qx18jKS/KHKpUgqeXg=="
Не подскажите в чем возможна ошибка?
Хочу добавить, что я только вторую неделю юзаю FreeBSD и я не опытный пользователь
- terminus
- майор
- Сообщения: 2305
- Зарегистрирован: 2007-10-29 11:27:35
- Откуда: Рига
Re: Готовится статья о DNS сервере NSD
Ключ и в правду сгенерировался с кавычкой в конце?buriburi писал(а): dd if=/dev/urandom bs=16 count=1 | openssl base64
1+0 records in
1+0 records out
16 bytes transferred in 0.000068 secs (235470 bytes/sec)
3bt0qx18jKS/KHKpUgqeXg=="
попробуйте создать новый ключ через тот же dd и использовать его3bt0qx18jKS/KHKpUgqeXg=="
Модель: AST-PM-105/0044; Тип: Универсальный, ремонтный; Название: Терминус; Род повреждения: Распад функций; Выводы: Сдать на слом.
-
- проходил мимо
- Сообщения: 9
- Зарегистрирован: 2009-09-03 8:55:33
Re: Готовится статья о DNS сервере NSD
убрал кавычки и теперь после выполнения nsd-checkconf /usr/local/etc/nsd/nsd.conf ошибка вот какая
/usr/local/etc/nsd/nsd.conf:35: error: EOF inside quoted string fatal flex scaner internal error--end of buffer missed
Можете что-то подсказать?
/usr/local/etc/nsd/nsd.conf:35: error: EOF inside quoted string fatal flex scaner internal error--end of buffer missed
Можете что-то подсказать?
- terminus
- майор
- Сообщения: 2305
- Зарегистрирован: 2007-10-29 11:27:35
- Откуда: Рига
Re: Готовится статья о DNS сервере NSD
не используйте старый ключ. создайте новый и попробуйие с ним.
кавычки должны использоваться при указании ключа внутри nsd.conf.
в крайнем случае возьмите ключ приведенный в статье и протестируйте с ним.
кавычки должны использоваться при указании ключа внутри nsd.conf.
в крайнем случае возьмите ключ приведенный в статье и протестируйте с ним.
Модель: AST-PM-105/0044; Тип: Универсальный, ремонтный; Название: Терминус; Род повреждения: Распад функций; Выводы: Сдать на слом.
-
- проходил мимо
- Сообщения: 9
- Зарегистрирован: 2009-09-03 8:55:33
Re: Готовится статья о DNS сервере NSD
Решилась проблема таким образом:
взял nsd.conf.cample, настроил еще раз по Вашему мануалу, закомменитовал не нужные опции и после этого, nsd-checkconf /usr/local/etc/nsd/nsd.conf без ошибок выполнился.
Теперь не могу понять, где nsd берет информацию о forwarders. Нужно ли указывать ему DNS провайдера? И как настроить resolf.conf при использовании NSD ??
У меня получается, что запросы внутри локальной зоны nsd отрабатывает, nslookup показывает все ОК! А вот nslookup ya.ru не отвечает.
взял nsd.conf.cample, настроил еще раз по Вашему мануалу, закомменитовал не нужные опции и после этого, nsd-checkconf /usr/local/etc/nsd/nsd.conf без ошибок выполнился.
Теперь не могу понять, где nsd берет информацию о forwarders. Нужно ли указывать ему DNS провайдера? И как настроить resolf.conf при использовании NSD ??
У меня получается, что запросы внутри локальной зоны nsd отрабатывает, nslookup показывает все ОК! А вот nslookup ya.ru не отвечает.
- terminus
- майор
- Сообщения: 2305
- Зарегистрирован: 2007-10-29 11:27:35
- Откуда: Рига
Re: Готовится статья о DNS сервере NSD
NSD не умеет работать как кеш - это чисто авторитарный сервер - он умеет обслуживать только те DNS зоны, что запущенны на нем.
Если вам нужен кеш-сервер который бы позволял пользователям разрешать любые имена, то устанавливайте Unbound http://www.lissyara.su/?id=1705 Unbound в свою очередь является уже только чисто кеширующим сервером - держать зоны он не умеет.
Если же вам нужно чтобы на одном сервере работали как авторитарный DNS так и кеширующий DNS то ставьте оба, но для каждого придется выделить отдельный IP адрес так как на одном IP и одном номере порта они вместе не уживуться.
Если вам нужен кеш-сервер который бы позволял пользователям разрешать любые имена, то устанавливайте Unbound http://www.lissyara.su/?id=1705 Unbound в свою очередь является уже только чисто кеширующим сервером - держать зоны он не умеет.
Если же вам нужно чтобы на одном сервере работали как авторитарный DNS так и кеширующий DNS то ставьте оба, но для каждого придется выделить отдельный IP адрес так как на одном IP и одном номере порта они вместе не уживуться.
Модель: AST-PM-105/0044; Тип: Универсальный, ремонтный; Название: Терминус; Род повреждения: Распад функций; Выводы: Сдать на слом.