MYCSS

Показ дописів із міткою BIND. Показати всі дописи
Показ дописів із міткою BIND. Показати всі дописи

2021-01-23

Proxmox ACME DNS NSUPDATE letsencrypt.org


Завдання отримання letsencrypt.org сертифікату в Proxmox за перевіркою  динамічного оновлення запису в DNS за допомогою ключа tsig і власно контрольованого BIND сервера.
Це потрібно в тих ситуаціях коли доступ до web сервера обмежений для зовнішньої перевірки серверами letsencrypt.org при застосуванні стандартного методу: http-01 challenge.

tsig

tsig-keygen -a HMAC-SHA512 ns240 > ns240.key

ns240.key:

key "ns240" 
{ algorithm hmac-sha512;
  secret "VLv54K+dqSSk9lF75GKREQI8BT0ZYBs9BraQY3D/6f5b1Aw41NN86BwxRNATu7iDoEAiqTCUOk7B6SfxG7Q30A==";
};

BIND

named.conf:

key "ns240.key" {
 algorithm hmac-sha512;
 secret "VLv54K+dqSSk9lF75GKREQI8BT0ZYBs9BraQY3D/6f5b1Aw41NN86BwxRNATu7iDoEAiqTCUOk7B6SfxG7Q30A==";
};
        
zone "lexxai.pp.ua"
{
  type  master;
  file  "/usr/local/etc/namedb/master/db.lexxai.pp.ua";
  allow-query { any; };
  update-policy {
   grant ns240.key. name _acme-challenge.ns240.lexxai.pp.ua. TXT;
   grant ns241.key. name _acme-challenge.ns241.lexxai.pp.ua. TXT;
  };
};

PROXMOX

Proxmox ACME DNS plugin
 
NSUPDATE_SERVER=ns1.lexxai.pp.ua
NSUPDATE_KEY=/home/nskey/ns240.key
NSUPDATE_ZONE=lexxai.pp.ua
key path: /home/nskey/ns240.key
chown nobody:nogroup /home/nskey/ns240.key

Немає коментарів:
Мітки: , , , ,

2019-01-21

pfSense overwrite DNS records on BIND DNS server.

Стала необхідність створити резервні - Secondary DNS zones інших DNS серверів котрі працюють у віртуальному середовищі. У випадку коли проводяться операції з віртуальним середовищами до DNS сервери не відповідають. Реалізував secondary DNS zones за допомогою BIND DNS server у pfSense.
Але для ефектного використання мережевих сервісів котрі працюють як на зовнішньому інтерфейсі так і у внутрішній мережі є необхідність перевизначати значення  DNS записів для різних локальних підмереж.
Так наприклад запис era.lexxai.pp.ua має IP адресу xxx.231.86.xxx, з глобальних DNS серверів, а потрібно щоб в локальній мережі для клієнтів підмережі 172.16.0.0/24, DNS запис era.lexxai.pp.ua мав IP адресу 10.250.10.15.
Згідно з публікацією: Overriding DNS for fun and profit.
Додаємо зону "rpz" де додаємо всі DNS записи які треба перевизначити.
Зона DNS "rpz" визначення зони "net172"
Детальніше »
1 коментар:
Мітки: , , ,
Підписатися на: Коментарі (Atom)
Коли забув ти рідну мову, біднієш духом ти щодня...
When you forgot your native language you would become a poor at spirit every day ...

Д.Білоус / D.Bilous
Рабів до раю не пускають. Будь вільним!

ipv6 ready