Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst BIND9 unter Debian Squeeze, Requests ans Internet forwarden, bzw. unterbinden

Mitglied: 43292

43292 (Level 1)

15.11.2011, aktualisiert 15:56 Uhr, 6529 Aufrufe, 4 Kommentare

Hallo liebe Forummitglieder,

ich bin gerade dabei einen DNS-Server (BIND9 version 9.7.3) unter einem frisch aufgesetzten Debian Squeeze OS (in Xen VM) zu installieren, bzw. ich habe es schon. Jetzt gehts um die Fehlerbeseitigung aus den Angaben der Logfiles. Und zwar stehe ich noch vor diesen Problemen, die ich bisher nicht beheben konnte und auf eure Hilfe hoffe. Mittlerweile habe ich IPv6 systemweit auf diesem Server deaktiviert. Dazu habe ich die Datei /etc/sysctl.d/disable-ipv6.conf angelegt mit dem Inhalt "net.ipv6.conf.all.disable_ipv6=1" und neu gebootet.

Nun zu meinen Fragen, hier Auszug aus der /var/log/daemon.log und syslog
01.
Nov 15 11:05:20 meinservername named[718]: client 127.0.0.1#38897: request has invalid signature: TSIG rndc-key: tsig verify failure (BADKEY)
02.
Nov 15 11:05:20 meinservername dhcpd: Unable to add forward map from PC3.dhcpguest.intranet.meinefirma.de to 192.168.0.122: bad DNS key
03.
Nov 15 11:32:05 meinservername named[718]: validating @0x7fcf9cf46480: aus2.acelb.sj.mozilla.com A: no valid signature found
04.
Nov 15 11:42:36 meinservername named[718]: error (network unreachable) resolving 'dns2.netcologne.de/A/IN': 2003:40:8000::100#53
05.
Nov 15 11:42:36 meinservername named[718]: error (network unreachable) resolving 'dns.techfak.net/AAAA/IN': 2a01:238:425c:5200:36e7:52bd:fc50:dd23#53
06.
Nov 15 11:42:36 meinservername named[718]: error (network unreachable) resolving 'dns.techfak.net/AAAA/IN': 2001:638:504:2000::f2#53
(1) Wieso der rndc-key Fehler, wie könnte ich diesen Fehler beheben?
(2) Was hat es mit dem "mozilla.com no valid signature" found auf sich?

(3) Teilweise stehen auch Website-Adressen dabei, die von Clients an ihren Browsern angegeben wurden. Ich nehme an, dass mein frisch aufgesetzter BIND-Server versucht, über IPv6-Anfragen die im Internet stehenden DNS-Anfragen rekursiv abzufragen. Oder warum können die nicht erreicht werden? Ich hab doch IPv6 ausgeschaltet auf dem Server. Ausserdem habe ich in Wie sage ich dem BIND9-Server dass er nur IPv4 verwenden soll? Ich habe gegoogelt aber nur Hinweise auf ältere BIND-Versionen gefunden mit der Option -4. Wie mache ich das bei meiner BIND9-Version 9.7.3 unter Debian Squeeze?

==> Punkt 3 ist gelöst! Ich habe in der /etc/bin/named.conf.options IPv6 Abhören deaktiviert, und das Wichtigste aber war folgendes --> man trägt bei Debian unter /etc/default/bind9 den Zusatz -4 in die Option ein. Also muss es heissen OPTIONS="-u bind -4" Gott!! Ich fand diese Datei nirgends, weil sie bei Debian anders heißt

(4) Der DHCP-Client PC3 wird nicht zur DNS-Liste hinzugefügt wie in dem Log zu sehen ist. Wieso aber? Weil ich den Präfix dhcpguest verwendet habe etwa??
(5) Wie kann ich meinem BIND-Server beibringen, dass er nur Namen auflösen soll, die auch für seine Zone gedacht sind, und alles andere was eben nicht in meinem Subnet liegt, soll direkt an den Router an die 192.168.0.1 weitergeleitet werden? Ausserdem soll der DNS-Server natürlich nicht offen sein, und versuchen Schreibzugriffe von fremden Domains hinzuzufügen.

Ich hoffe jemand kann mir mit ein paar guten Tips weiterhelfen und ich hoffe ich habe alle relevanten und wichtigen Daten zum Problem angegeben. Bin für jede Hilfestellung im Voraus sehr dankbar.

/etc/bind/named.conf:
01.
include "/etc/bind/named.conf.options";
02.
include "/etc/bind/named.conf.local";
03.
include "/etc/bind/named.conf.default-zones";
04.

05.
// zusaetzlich von mir hinzugefuegt, damit die DNSSEC-Validierung einwandfrei funktioniert.
06.
// und keine Fehlermeldungen im Log erscheinen. Es wurde wohl bei der Erstellung des Paketes vom Autor vergessen.
07.
include "/etc/bind/bind.keys";
08.

09.
controls {
10.
        inet 127.0.0.1 allow {localhost; };
11.
};
/etc/bind/named.conf.local:
01.
zone "intranet.meinefirma.de" {
02.
        type master;
03.
        file "/var/lib/bind/zone.intranet.meinefirma.de";
04.
        allow-update { localhost; };
05.
};
06.

07.
zone "0.168.192.in-addr.arpa" {
08.
        type master;
09.
        file "/var/lib/bind/zone.192.168.0";
10.
        allow-update { localhost; };
11.
};
/etc/bind/named.conf.options: (da habe ich IPv6 Abhören deaktiviert)
01.
        auth-nxdomain no;    # conform to RFC1035
02.
        listen-on-v6 { none; };
03.
};
In der /etc/bind/db.root habe ich ausserdem alle IPv6-Adresse mit einem Semikolon auskommentiert, damit diese nicht abgefragt werden. Es genügt mir IPv4.

In /var/lib/bind habe ich manuell zwei Zonenfiles angelegt, die heißen "zone.intranet.meinefirma.de" und "zone.192.168.0". Letztere ist für Reverse-Auflösungen. Hier der Auszug

/var/lib/bind/zone.intranet.meinefirma.de:
01.
$ORIGIN .
02.
$TTL 604800     ; 1 week
03.
intranet.meinefirma.de     IN SOA  meinservername.intranet.meinefirma.de. hostmaster.meinservername.intranet.meinefirma.de. (
04.
                                2011012101 ; serial
05.
                                28800      ; refresh (8 hours)
06.
                                7200       ; retry (2 hours)
07.
                                604800     ; expire (1 week)
08.
                                39600      ; minimum (11 hours)
09.
                                )
10.
                        NS      meinservername.intranet.meinefirma.de.
11.
$ORIGIN intranet.meinefirma.de.
12.
router         A      192.168.0.1
13.
blabla2      A      192.168.0.2
14.
blabla3      A      192.168.0.3
/var/lib/bind/zone.192.168.0:
01.
$ORIGIN .
02.
$TTL 604800     ; 1 week
03.
0.168.192.in-addr.arpa   IN SOA meinservername.intranet.meinefirma.de. hostmaster.meinservername.intranet.meinefirma.de. (
04.
                                2011012101 ; serial
05.
                                28800      ; refresh (8 hours)
06.
                                7200       ; retry (2 hours)
07.
                                604800     ; expire (1 week)
08.
                                39600      ; minimum (11 hours)
09.
                                )
10.
                        NS      meinservername.intranet.meinefirma.de.
11.
$ORIGIN 0.168.192.in-addr.arpa.
12.
1                       PTR     router
13.
2                       PTR     blabla2
14.
3                       PTR     blabla3
Die /etc/resolv.conf sieht wie folgt aus. Dabei ist 192.168.0.235 mein primärer DNS-Server, also der Server an welchem auch der DNS-Server BIND9 installiert ist. Der zweite Nameserver steht deshalb drin, weil es der Router fürs Internet ist.
01.
domain intranet.meinefirma.de
02.
search intranet.meinefirma.de
03.
nameserver 192.168.0.235
04.
nameserver 192.168.0.1
Die Kommandos hostname und hostname -f spucken mir beide aus "meinservername.intranet.meinefirma.de", also soweit alles korrekt denke ich, oder?

Meine /etc/dhcp/dhcpd.conf sieht wie folgt aus:
01.
server-name                meinservername;
02.
server-identifier           meinservername;
03.
ddns-updates                on;
04.
ddns-update-style           interim;
05.
ddns-domainname             "dhcpguest.intranet.meinefirma.de";
06.
ddns-rev-domainname         "in-addr.arpa.";
07.
ignore                      client-updates;
08.
include                     "/etc/bind/rndc.key";
09.
option domain-name              "intranet.meinefirma.de";
10.
option subnet-mask              255.255.255.0;
11.
option domain-name-servers      192.168.0.235, 192.168.0.1;
12.
option ntp-servers              192.168.0.235;
13.
option ip-forwarding            off;
14.
default-lease-time              86400;
15.
max-lease-time                  172800;
16.
authoritative;
17.
log-facility local7;
18.

19.
subnet 192.168.0.0 netmask 255.255.255.0 {
20.
    range                       192.168.0.101 192.168.0.199;
21.
    option broadcast-address    192.168.0.255;
22.
    option routers              192.168.0.1;
23.
    allow                       unknown-clients;
24.

25.
  zone intranet.meinefirma.de. {
26.
    primary 127.0.0.1;
27.
    key             "rndc-key";
28.
  }
29.

30.
  zone 0.168.192.in-addr.arpa. {
31.
    primary 127.0.0.1;
32.
    key             "rndc-key";
33.
  }
34.
}
Mitglied: mrtux
15.11.2011 um 16:17 Uhr
Hi !

Aus dem Stand heraus würde ich sagen, Du hast mind. noch einen weiteren Fehler in deiner Konfig, sonst würde der Key-Fehler nicht kommen. Hast Du denn überhaupt einen eigenen Key für die DHCP-Updates generiert?

Naja, vielleicht stolpert ein Kollege noch drüber, bin total neben der Spur und geh jetzt ins Bett....Erkältung mit Fieber und Kopfschmerzen...Das volle Programm ... Gut Nacht...

mrtux
Bitte warten ..
Mitglied: 43292
15.11.2011 um 17:30 Uhr
Mensch, ab ins Bett mit dir! gute und vor allem schnelle Genesung wünsche ich. Ja, eigener Key wurde generiert.

EDIT: Habe einige Fehler gefunden und bin gerade am Bearbeiten ...

EDIT2: Gott sei Dank! Habs gefunden und gelöst. Ich hatte Schönheitsfehler in meinen Configs hauptsache DDNS geht jetzt. Es lag sowohl am keyfile als auch am Syntax. Ich hab jetzt in der dhcpd.conf auch nicht mit "include"-Befehl mein keyfile geladen, sondern gleich mit
01.
"key <keyname> {
02.
    algorithm HMAC-MD5;
03.
    secret "<keydata>";
04.
};
Außerdem hatte ich auch Anführungszeichen genutzt, das war definitiv falsch. Falls es jemanden gibt, der ähnliche Probleme hat und auf diesen Thread gestolpert ist, dem kann ich wärmstens dieses Tutorial empfehlen
http://www.ops.ietf.org/dns/dynupd/secure-ddns-howto.html

Ich glaub genug für heute, mein Kopf raucht. Schönen Abend allerseits noch.
Bitte warten ..
Mitglied: 43292
16.11.2011 um 13:51 Uhr
Hallo nochmal,

ich habe den DNS-Server und DHCP-Server soweit im Griff, außer noch folgendem Problem.

in dem Log erscheinen ständig solche Nameserver-Auflösungen:

01.
Nov 16 13:38:12 meinserver named[9312]: success resolving 'geons2.kaspersky-labs.com/A' (in 'kaspersky-labs.com'?) after disabling EDNS
02.
Nov 16 13:38:12 meinserver named[9312]: success resolving 'geons4.kaspersky-labs.com/A' (in 'kaspersky-labs.com'?) after disabling EDNS
03.
Nov 16 13:38:12 meinserver named[9312]: success resolving 'geons1.kaspersky-labs.com/A' (in 'kaspersky-labs.com'?) after disabling EDNS
04.
Nov 16 13:38:12 meinserver named[9312]: success resolving 'geons6.kaspersky-labs.com/A' (in 'kaspersky-labs.com'?) after disabling EDNS
05.
Nov 16 13:38:12 meinserver named[9312]: success resolving 'geons5.kaspersky-labs.com/A' (in 'kaspersky-labs.com'?) after disabling EDNS
06.
Nov 16 13:38:13 meinserver named[9312]: success resolving 'geons3.kaspersky-labs.com/A' (in 'kaspersky-labs.com'?) after disabling EDNS
07.
Nov 16 13:40:37 meinserver named[9312]: success resolving 'ns-925.amazon.com/A' (in 'amazon.com'?) after disabling EDNS
08.
Nov 16 13:40:37 meinserver named[9312]: success resolving 'ns-947.amazon.com/A' (in 'amazon.com'?) after disabling EDNS
09.
Nov 16 13:40:37 meinserver named[9312]: success resolving 'ns-935.amazon.com/A' (in 'amazon.com'?) after disabling EDNS
10.
Nov 16 13:40:37 meinserver named[9312]: success resolving 'ns-916.amazon.com/A' (in 'amazon.com'?) after disabling EDNS
11.
Nov 16 13:40:37 meinserver named[9312]: success resolving 'ns-944.amazon.com/A' (in 'amazon.com'?) after disabling EDNS
12.
Nov 16 13:40:37 meinserver named[9312]: success resolving 'ns-927.amazon.com/A' (in 'amazon.com'?) after disabling EDNS
13.
Nov 16 13:40:37 meinserver named[9312]: success resolving 'ns-941.amazon.com/A' (in 'amazon.com'?) after reducing the advertised EDNS UDP packet size to 512 octets
14.
Nov 16 13:40:37 meinserver named[9312]: success resolving 'ns-934.amazon.com/A' (in 'amazon.com'?) after reducing the advertised EDNS UDP packet size to 512 octets
15.
Nov 16 13:45:58 meinserver named[9312]: success resolving 'dns.lyptt.fj.cn/A' (in 'lyptt.fj.cn'?) after disabling EDNS
16.
Nov 16 13:45:58 meinserver named[9312]: success resolving 'ns2.fjmaster.com/A' (in 'fjmaster.com'?) after disabling EDNS
17.
Nov 16 13:45:59 meinserver named[9312]: success resolving 'ns1.fjmaster.com/A' (in 'fjmaster.com'?) after disabling EDNS
Laut Google-Recherche wird ja EDNS von BIND standardmässig verwendet. Hier scheint wohl mein Router Probleme zu machen, da er nicht UDP-Packets größer als 512 durchlässt. Daraufhin verringert mein DNS-Server dies. Ich könnte ja die EDNS-Funktion in meiner BIND-Konfiguration ausschalten, aber das wäre ja nicht Sinn der Sache, oder doch? Wieso versuch eigentlich mein DNS-Server andere Name-Server zu kontaktieren? Eigentlich will ich es so haben, dass mein lokaler DNS-Server nur für lokale Adresse auflösen soll, sprich für mein Subnet. Alles andere soll unverzüglich an meinen Router gesendet werden, so dass sich mein BIND gar nicht damit abgeben und rumrechnen muss. Wie sag ich also meinem BIND, dass er das tun soll?

Bin für jede Hilfestellung dankbar.
Bitte warten ..
Mitglied: 43292
09.12.2011 um 10:33 Uhr
Problem gelöst. Mann Mann Mann, die Teilnahme hier im Forum ist ja echt enorm. Scheinen ja nicht viele Admins unterwegs zu sein, oder zumindest weniger wie in anderen Foren, die wirklich Hilfe leisten und Lösungsansätze bieten können. Ich für meinen Teil verabschiede mich wieder hier von der Community und wünsche allen weiterhin frohes Posten (und aufs Antworten warten )

Viele Grüße, frohe Festtage und allen einen guten Rutsch ins kommende Jahr.

Tschüss,
Michael.
Bitte warten ..
Ähnliche Inhalte
Windows Server
Port forward von internet zu vpn client
gelöst Frage von techscWindows Server9 Kommentare

Hallo, zu folgender Situation suche ich nach einer Lösung: Ein Windows 7 Rechner PC1 soll auf Port 8989 im ...

Samba

Debian 8.1 Jessie + Samba 4.1.17 + Bind9 Zusammenspiel DNS + ADS

Frage von backaraSamba4 Kommentare

Hallo Gemeinde, ich bin gerade an der Umsetzung eine Domäne aufzubauen als Ersatz für eine Windows-Domäne. Ich bin kein ...

Debian

Debian - Internet Verbindung herstellen

gelöst Frage von NyradosDebian19 Kommentare

Hallo, Nachdem ich auf einen alten Laptop (64Bit) Debian draufgeschmissen hab, wollte ich als erstes apt-get update machen. Da ...

DNS

Bind9 Konfig-Problem

gelöst Frage von TiTuxDNS11 Kommentare

Hallo, ich habe hier auf einer physischen Maschine ein CentOS 7.1 mit bind9 installiert, der Dienst läuft, der Check ...

Neue Wissensbeiträge
Windows 10

Windows 10 V1809: Rollout ist gestartet - kommt per Windows Update

Information von kgborn vor 7 StundenWindows 10

Eine kurze Information für die Admins, die Windows 10 im Programm haben. Microsoft hat die letzte Baustelle (die Inkompatibilität ...

Sicherheit

Heise Beitrag Passwort-Sammlung mit 773 Millionen Online-Konten im Netz aufgetaucht

Information von Penny.Cilin vor 9 StundenSicherheit1 Kommentar

Auf Heise Online ist folgender Beitrag veröffentlicht worden: Heise Beitrag passwörter geleakt Ich bin mir jetzt nicht ganz sicher, ...

Microsoft Office
TEAMS - Skype for business
Tipp von Nebellicht vor 9 StundenMicrosoft Office

Hallo, ms ersetzt Skype for business durch TEAMS. Also, nicht wundern wenn mit der OFFICE365 Umgebung kein Skype for ...

Windows 10

Windows 10: Cortana und die Suche gehen bald wieder eigene Wege

Information von Frank vor 13 StundenWindows 102 Kommentare

Microsoft hat einen neuen Insider Build von Windows 10 veröffentlicht (Fast Ring, Version 18317), wo die digitale Assistentin "Cortana" ...

Heiß diskutierte Inhalte
Windows Server
Uhren gehen immer wieder falsch
Frage von killtecWindows Server23 Kommentare

Hallo, ich habe folgende Konstellation: 1. Physischer DC Div. Virtuelle DC's auf Hyper-V Servern Die Hyper-V-Server, der Physische DC ...

Switche und Hubs
Medienkonverter mit 12 oder 24 Ports gesucht
Frage von wmuellerSwitche und Hubs20 Kommentare

Guten Morgen, ich bin auf der Suche nach einem größeren Medienkonverter, der "stumpf" 1:1 die Ports auf über ein ...

Windows Server
Client in die Domäne einbinden - Allgemeine Frage dazu
gelöst Frage von RalphTWindows Server18 Kommentare

Moin, ich habe 2 DCs in einer Hauptstelle und 2 DCs in einer Nebenstelle. Ich bringe in der Hauptstelle ...

Windows 10
VM wächst schnell von 14 auf 35 GB an - warum?
Frage von degudejungWindows 1018 Kommentare

Hallo, ich bin ein Freund schlanker VMs und setze daher gerne mit dem Erscheinen einer neuen Win10 Version - ...