MYCSS

Показ дописів із міткою dns. Показати всі дописи
Показ дописів із міткою dns. Показати всі дописи

2022-02-03

Нотатка. Оновлення запису DNS для DHCP CLIENT FreeBSD з використанням nsupdate

Є сервер FreeBSD, з використанням dhclient для мережевого інтерфейсу.

Задача, оновити  запис в власному сервері DNS з отриманим IP від DHCP сервером.

Встановлюю додатковий компонент pkg install samba-nsupdate.

nsupdate


dhclient

Створюю скрипт dhclient-exit-hooks для dhclient.

/etc/dhclient-exit-hooks 
#!/bin/sh

/usr/bin/logger -t dhclient-exit-hooks REASON ${reason} IP: ${new_ip_address}
case "${reason}" in BOUND|RENEW|REBIND|REBOOT)
        echo ${new_ip_address} ${reason}
        /usr/local/etc/ddns/ddns.sh ${new_ip_address} ${reason}
;;
esac

 Створюю теку /usr/local/etc/ddns, там завантажую файл ключа ddns.key для оновлення DNS з RFC 2136 і також цей скрипт: 

 nsupdate

/usr/local/etc/ddns/ddns.sh

#!/usr/bin/env /bin/sh

IP=$1
KEY=/usr/local/etc/ddns/ddns.key
NSUPDATE=/usr/local/bin/samba-nsupdate
DNSSERVER=your_dns_server
DNSHOST=host.example.net

if [ ! -z ${IP} ];then
 echo updating:  ${IP} [ $2 ]  - ${USER}
 /usr/bin/logger -t dyndns updating:  ${IP} [ $2 ]  - ${USER}
 if [ -f ${KEY} ];then
  ${NSUPDATE} -4  -k ${KEY}  <<EOF
server ${DNSSERVER}  53
update delete ${DNSHOST}
update add ${DNSHOST} 300 A ${IP}
send
EOF
  else
   logger -t dyndns no key file ${KEY}
  fi
else
 echo IP missed
 logger -t dyndns IP missed
fi

BIND 

ddns-confgen -a hmac-sha512 -z host.example.net

# To activate this key, place the following in named.conf, and
# in a separate keyfile on the system or systems from which nsupdate
# will be run:
key "ddns-key.host.example.net" {
        algorithm hmac-sha512;
        secret "SdimvwKG5SDqeS7hD+C6ap89sRN4I2EuYrJKHFXtJ83CuUF6kbELxrv5OgVeVctzyqbafcQTGJgQh/svkv+/Yg==";
};

# Then, in the "zone" definition statement for "host.example.net",
# place an "update-policy" statement like this one, adjusted as
# needed for your preferred permissions:
update-policy {
          grant ddns-key.host.example.net zonesub ANY;
};

# After the keyfile has been placed, the following command will
# execute nsupdate using this key:
nsupdate -k
Немає коментарів:
Мітки: , , , , ,

2021-01-23

Proxmox ACME DNS NSUPDATE letsencrypt.org


Завдання отримання letsencrypt.org сертифікату в Proxmox за перевіркою  динамічного оновлення запису в DNS за допомогою ключа tsig і власно контрольованого BIND сервера.
Це потрібно в тих ситуаціях коли доступ до web сервера обмежений для зовнішньої перевірки серверами letsencrypt.org при застосуванні стандартного методу: http-01 challenge.

tsig

tsig-keygen -a HMAC-SHA512 ns240 > ns240.key

ns240.key:

key "ns240" 
{ algorithm hmac-sha512;
  secret "VLv54K+dqSSk9lF75GKREQI8BT0ZYBs9BraQY3D/6f5b1Aw41NN86BwxRNATu7iDoEAiqTCUOk7B6SfxG7Q30A==";
};

BIND

named.conf:

key "ns240.key" {
 algorithm hmac-sha512;
 secret "VLv54K+dqSSk9lF75GKREQI8BT0ZYBs9BraQY3D/6f5b1Aw41NN86BwxRNATu7iDoEAiqTCUOk7B6SfxG7Q30A==";
};
        
zone "lexxai.pp.ua"
{
  type  master;
  file  "/usr/local/etc/namedb/master/db.lexxai.pp.ua";
  allow-query { any; };
  update-policy {
   grant ns240.key. name _acme-challenge.ns240.lexxai.pp.ua. TXT;
   grant ns241.key. name _acme-challenge.ns241.lexxai.pp.ua. TXT;
  };
};

PROXMOX

Proxmox ACME DNS plugin
 
NSUPDATE_SERVER=ns1.lexxai.pp.ua
NSUPDATE_KEY=/home/nskey/ns240.key
NSUPDATE_ZONE=lexxai.pp.ua
key path: /home/nskey/ns240.key
chown nobody:nogroup /home/nskey/ns240.key

Немає коментарів:
Мітки: , , , ,

2019-03-13

OpenWRT додати виключення DNS для певних доменів

Для домашнього роутера (OpenWRT) я використовую додатковий захист мережі у вигляді використання DNS сервісу - opendns.com.
Але інколи треба швидко додати виключення у DNS запитах і наприклад використовувати open dns google сервери.
Так, сервіс медіа каталогу uafilm потребує доступ до доменів, на кшталт: mxase.clmbtech.com, а він у свою чергу блокується сервісом opendns.com, тому я додав виключення для домену і піддоменів "clmbtech.com" додавши перенаправлення запиту до іншого DNS серверу 8.8.8.8.
Реалізація додавання параметру DNS forwardings - /clmbtech.com/8.8.8.8

custom DNS forward, OpenWRT 18.06
Для постійних виключень також можна додати виключення і у налаштуваннях opendns.com.
dashboard.opendns.com/settings
Повний список що я додав для програвання у програмі HD VideoBOX ресурсів з uafilm:
/clmbtech.com/8.8.8.8, /crashlytics.com/8.8.8.8, /apollostream.xyz/8.8.8.8



Немає коментарів:
Мітки: , , ,

2019-01-21

pfSense overwrite DNS records on BIND DNS server.

Стала необхідність створити резервні - Secondary DNS zones інших DNS серверів котрі працюють у віртуальному середовищі. У випадку коли проводяться операції з віртуальним середовищами до DNS сервери не відповідають. Реалізував secondary DNS zones за допомогою BIND DNS server у pfSense.
Але для ефектного використання мережевих сервісів котрі працюють як на зовнішньому інтерфейсі так і у внутрішній мережі є необхідність перевизначати значення  DNS записів для різних локальних підмереж.
Так наприклад запис era.lexxai.pp.ua має IP адресу xxx.231.86.xxx, з глобальних DNS серверів, а потрібно щоб в локальній мережі для клієнтів підмережі 172.16.0.0/24, DNS запис era.lexxai.pp.ua мав IP адресу 10.250.10.15.
Згідно з публікацією: Overriding DNS for fun and profit.
Додаємо зону "rpz" де додаємо всі DNS записи які треба перевизначити.
Зона DNS "rpz" визначення зони "net172"
Детальніше »
1 коментар:
Мітки: , , ,

2017-11-22

Нотатка. pfsense. DNS views для різних локальних мереж

Так сталося що потрібно було для різних мереж видавати різну адресу для одного і того запису у DNS сервері.
Знаючи що у BIND це можливо робити за допомогою видів, почав шукати таку можливість у pfsense.
pfsense використовує один з варіантів як DNS resolver що є програмою unbound. Читаючи документацію до unbound, знайшов розділ  View Options.
В інтерфейсі GUI pfsense DNS resolver, такої функції не має, але є можливість додати свої значення до unbound.conf (Show Custom Options).
Так додавши такі налаштування: 
server:
access-control-view: 192.168.9.100/32 testview
view:
name: "testview"
local-zone: "local.lan" static
local-data: "test.local.lan. 90 IN A 10.10.10.10"
local-zone: "100.9.168.192.in-addr.arpa" typetransparent
Ми для клієнта локальної мережі 192.168.9.100 створили testview, і значенню імені "test.local.lan" перевизначили адресу на 10.10.10.10.
додавання View Options у DNS resolver pfsense
 Подяка за форуму за те що вказали необхідність додати рядок "server:" на початку, без нього видавало помилку конфігураційного файлу.
Немає коментарів:
Мітки: , , , ,

2012-08-20

DNS Round Robin Windows 7

DNS Round Robin and Destination IP address selection

Symptom

By default, Windows Vista and Windows Server 2008 follow RFC 3484 for destination IP address selection, which does not honor DNS round robin.

Solution

Add a new registry key with the following settings:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
DWORD = OverrideDefaultAddressSelection
Value data: = 1
Немає коментарів:
Мітки: , ,
Підписатися на: Коментарі (Atom)
Коли забув ти рідну мову, біднієш духом ти щодня...
When you forgot your native language you would become a poor at spirit every day ...

Д.Білоус / D.Bilous
Рабів до раю не пускають. Будь вільним!

ipv6 ready