Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

BIND9 unter Debian Squeeze, Requests ans Internet forwarden, bzw. unterbinden

Frage Linux Debian

Mitglied: 43292

43292 (Level 1)

15.11.2011, aktualisiert 15:56 Uhr, 6218 Aufrufe, 4 Kommentare

Hallo liebe Forummitglieder,

ich bin gerade dabei einen DNS-Server (BIND9 version 9.7.3) unter einem frisch aufgesetzten Debian Squeeze OS (in Xen VM) zu installieren, bzw. ich habe es schon. Jetzt gehts um die Fehlerbeseitigung aus den Angaben der Logfiles. Und zwar stehe ich noch vor diesen Problemen, die ich bisher nicht beheben konnte und auf eure Hilfe hoffe. Mittlerweile habe ich IPv6 systemweit auf diesem Server deaktiviert. Dazu habe ich die Datei /etc/sysctl.d/disable-ipv6.conf angelegt mit dem Inhalt "net.ipv6.conf.all.disable_ipv6=1" und neu gebootet.

Nun zu meinen Fragen, hier Auszug aus der /var/log/daemon.log und syslog
01.
Nov 15 11:05:20 meinservername named[718]: client 127.0.0.1#38897: request has invalid signature: TSIG rndc-key: tsig verify failure (BADKEY) 
02.
Nov 15 11:05:20 meinservername dhcpd: Unable to add forward map from PC3.dhcpguest.intranet.meinefirma.de to 192.168.0.122: bad DNS key 
03.
Nov 15 11:32:05 meinservername named[718]: validating @0x7fcf9cf46480: aus2.acelb.sj.mozilla.com A: no valid signature found 
04.
Nov 15 11:42:36 meinservername named[718]: error (network unreachable) resolving 'dns2.netcologne.de/A/IN': 2003:40:8000::100#53 
05.
Nov 15 11:42:36 meinservername named[718]: error (network unreachable) resolving 'dns.techfak.net/AAAA/IN': 2a01:238:425c:5200:36e7:52bd:fc50:dd23#53 
06.
Nov 15 11:42:36 meinservername named[718]: error (network unreachable) resolving 'dns.techfak.net/AAAA/IN': 2001:638:504:2000::f2#53
(1) Wieso der rndc-key Fehler, wie könnte ich diesen Fehler beheben?
(2) Was hat es mit dem "mozilla.com no valid signature" found auf sich?

(3) Teilweise stehen auch Website-Adressen dabei, die von Clients an ihren Browsern angegeben wurden. Ich nehme an, dass mein frisch aufgesetzter BIND-Server versucht, über IPv6-Anfragen die im Internet stehenden DNS-Anfragen rekursiv abzufragen. Oder warum können die nicht erreicht werden? Ich hab doch IPv6 ausgeschaltet auf dem Server. Ausserdem habe ich in Wie sage ich dem BIND9-Server dass er nur IPv4 verwenden soll? Ich habe gegoogelt aber nur Hinweise auf ältere BIND-Versionen gefunden mit der Option -4. Wie mache ich das bei meiner BIND9-Version 9.7.3 unter Debian Squeeze?

==> Punkt 3 ist gelöst! Ich habe in der /etc/bin/named.conf.options IPv6 Abhören deaktiviert, und das Wichtigste aber war folgendes --> man trägt bei Debian unter /etc/default/bind9 den Zusatz -4 in die Option ein. Also muss es heissen OPTIONS="-u bind -4" Gott!! Ich fand diese Datei nirgends, weil sie bei Debian anders heißt

(4) Der DHCP-Client PC3 wird nicht zur DNS-Liste hinzugefügt wie in dem Log zu sehen ist. Wieso aber? Weil ich den Präfix dhcpguest verwendet habe etwa??
(5) Wie kann ich meinem BIND-Server beibringen, dass er nur Namen auflösen soll, die auch für seine Zone gedacht sind, und alles andere was eben nicht in meinem Subnet liegt, soll direkt an den Router an die 192.168.0.1 weitergeleitet werden? Ausserdem soll der DNS-Server natürlich nicht offen sein, und versuchen Schreibzugriffe von fremden Domains hinzuzufügen.

Ich hoffe jemand kann mir mit ein paar guten Tips weiterhelfen und ich hoffe ich habe alle relevanten und wichtigen Daten zum Problem angegeben. Bin für jede Hilfestellung im Voraus sehr dankbar.

/etc/bind/named.conf:
01.
include "/etc/bind/named.conf.options"; 
02.
include "/etc/bind/named.conf.local"; 
03.
include "/etc/bind/named.conf.default-zones"; 
04.
 
05.
// zusaetzlich von mir hinzugefuegt, damit die DNSSEC-Validierung einwandfrei funktioniert. 
06.
// und keine Fehlermeldungen im Log erscheinen. Es wurde wohl bei der Erstellung des Paketes vom Autor vergessen. 
07.
include "/etc/bind/bind.keys"; 
08.
 
09.
controls { 
10.
        inet 127.0.0.1 allow {localhost; }; 
11.
};
/etc/bind/named.conf.local:
01.
zone "intranet.meinefirma.de" { 
02.
        type master; 
03.
        file "/var/lib/bind/zone.intranet.meinefirma.de"; 
04.
        allow-update { localhost; }; 
05.
}; 
06.
 
07.
zone "0.168.192.in-addr.arpa" { 
08.
        type master; 
09.
        file "/var/lib/bind/zone.192.168.0"; 
10.
        allow-update { localhost; }; 
11.
};
/etc/bind/named.conf.options: (da habe ich IPv6 Abhören deaktiviert)
01.
        auth-nxdomain no;    # conform to RFC1035 
02.
        listen-on-v6 { none; }; 
03.
};
In der /etc/bind/db.root habe ich ausserdem alle IPv6-Adresse mit einem Semikolon auskommentiert, damit diese nicht abgefragt werden. Es genügt mir IPv4.

In /var/lib/bind habe ich manuell zwei Zonenfiles angelegt, die heißen "zone.intranet.meinefirma.de" und "zone.192.168.0". Letztere ist für Reverse-Auflösungen. Hier der Auszug

/var/lib/bind/zone.intranet.meinefirma.de:
01.
$ORIGIN . 
02.
$TTL 604800     ; 1 week 
03.
intranet.meinefirma.de     IN SOA  meinservername.intranet.meinefirma.de. hostmaster.meinservername.intranet.meinefirma.de. ( 
04.
                                2011012101 ; serial 
05.
                                28800      ; refresh (8 hours) 
06.
                                7200       ; retry (2 hours) 
07.
                                604800     ; expire (1 week) 
08.
                                39600      ; minimum (11 hours) 
09.
10.
                        NS      meinservername.intranet.meinefirma.de. 
11.
$ORIGIN intranet.meinefirma.de. 
12.
router         A      192.168.0.1 
13.
blabla2      A      192.168.0.2 
14.
blabla3      A      192.168.0.3
/var/lib/bind/zone.192.168.0:
01.
$ORIGIN . 
02.
$TTL 604800     ; 1 week 
03.
0.168.192.in-addr.arpa   IN SOA meinservername.intranet.meinefirma.de. hostmaster.meinservername.intranet.meinefirma.de. ( 
04.
                                2011012101 ; serial 
05.
                                28800      ; refresh (8 hours) 
06.
                                7200       ; retry (2 hours) 
07.
                                604800     ; expire (1 week) 
08.
                                39600      ; minimum (11 hours) 
09.
10.
                        NS      meinservername.intranet.meinefirma.de. 
11.
$ORIGIN 0.168.192.in-addr.arpa. 
12.
1                       PTR     router 
13.
2                       PTR     blabla2 
14.
3                       PTR     blabla3
Die /etc/resolv.conf sieht wie folgt aus. Dabei ist 192.168.0.235 mein primärer DNS-Server, also der Server an welchem auch der DNS-Server BIND9 installiert ist. Der zweite Nameserver steht deshalb drin, weil es der Router fürs Internet ist.
01.
domain intranet.meinefirma.de 
02.
search intranet.meinefirma.de 
03.
nameserver 192.168.0.235 
04.
nameserver 192.168.0.1
Die Kommandos hostname und hostname -f spucken mir beide aus "meinservername.intranet.meinefirma.de", also soweit alles korrekt denke ich, oder?

Meine /etc/dhcp/dhcpd.conf sieht wie folgt aus:
01.
server-name                meinservername; 
02.
server-identifier           meinservername; 
03.
ddns-updates                on; 
04.
ddns-update-style           interim; 
05.
ddns-domainname             "dhcpguest.intranet.meinefirma.de"; 
06.
ddns-rev-domainname         "in-addr.arpa."; 
07.
ignore                      client-updates; 
08.
include                     "/etc/bind/rndc.key"; 
09.
option domain-name              "intranet.meinefirma.de"; 
10.
option subnet-mask              255.255.255.0; 
11.
option domain-name-servers      192.168.0.235, 192.168.0.1; 
12.
option ntp-servers              192.168.0.235; 
13.
option ip-forwarding            off; 
14.
default-lease-time              86400; 
15.
max-lease-time                  172800; 
16.
authoritative; 
17.
log-facility local7; 
18.
 
19.
subnet 192.168.0.0 netmask 255.255.255.0 { 
20.
    range                       192.168.0.101 192.168.0.199; 
21.
    option broadcast-address    192.168.0.255; 
22.
    option routers              192.168.0.1; 
23.
    allow                       unknown-clients; 
24.
 
25.
  zone intranet.meinefirma.de. { 
26.
    primary 127.0.0.1; 
27.
    key             "rndc-key"; 
28.
29.
 
30.
  zone 0.168.192.in-addr.arpa. { 
31.
    primary 127.0.0.1; 
32.
    key             "rndc-key"; 
33.
34.
}
Mitglied: mrtux
15.11.2011 um 16:17 Uhr
Hi !

Aus dem Stand heraus würde ich sagen, Du hast mind. noch einen weiteren Fehler in deiner Konfig, sonst würde der Key-Fehler nicht kommen. Hast Du denn überhaupt einen eigenen Key für die DHCP-Updates generiert?

Naja, vielleicht stolpert ein Kollege noch drüber, bin total neben der Spur und geh jetzt ins Bett....Erkältung mit Fieber und Kopfschmerzen...Das volle Programm ... Gut Nacht...

mrtux
Bitte warten ..
Mitglied: 43292
15.11.2011 um 17:30 Uhr
Mensch, ab ins Bett mit dir! gute und vor allem schnelle Genesung wünsche ich. Ja, eigener Key wurde generiert.

EDIT: Habe einige Fehler gefunden und bin gerade am Bearbeiten ...

EDIT2: Gott sei Dank! Habs gefunden und gelöst. Ich hatte Schönheitsfehler in meinen Configs hauptsache DDNS geht jetzt. Es lag sowohl am keyfile als auch am Syntax. Ich hab jetzt in der dhcpd.conf auch nicht mit "include"-Befehl mein keyfile geladen, sondern gleich mit
01.
"key <keyname> { 
02.
    algorithm HMAC-MD5; 
03.
    secret "<keydata>"; 
04.
};
Außerdem hatte ich auch Anführungszeichen genutzt, das war definitiv falsch. Falls es jemanden gibt, der ähnliche Probleme hat und auf diesen Thread gestolpert ist, dem kann ich wärmstens dieses Tutorial empfehlen
http://www.ops.ietf.org/dns/dynupd/secure-ddns-howto.html

Ich glaub genug für heute, mein Kopf raucht. Schönen Abend allerseits noch.
Bitte warten ..
Mitglied: 43292
16.11.2011 um 13:51 Uhr
Hallo nochmal,

ich habe den DNS-Server und DHCP-Server soweit im Griff, außer noch folgendem Problem.

in dem Log erscheinen ständig solche Nameserver-Auflösungen:

01.
Nov 16 13:38:12 meinserver named[9312]: success resolving 'geons2.kaspersky-labs.com/A' (in 'kaspersky-labs.com'?) after disabling EDNS 
02.
Nov 16 13:38:12 meinserver named[9312]: success resolving 'geons4.kaspersky-labs.com/A' (in 'kaspersky-labs.com'?) after disabling EDNS 
03.
Nov 16 13:38:12 meinserver named[9312]: success resolving 'geons1.kaspersky-labs.com/A' (in 'kaspersky-labs.com'?) after disabling EDNS 
04.
Nov 16 13:38:12 meinserver named[9312]: success resolving 'geons6.kaspersky-labs.com/A' (in 'kaspersky-labs.com'?) after disabling EDNS 
05.
Nov 16 13:38:12 meinserver named[9312]: success resolving 'geons5.kaspersky-labs.com/A' (in 'kaspersky-labs.com'?) after disabling EDNS 
06.
Nov 16 13:38:13 meinserver named[9312]: success resolving 'geons3.kaspersky-labs.com/A' (in 'kaspersky-labs.com'?) after disabling EDNS 
07.
Nov 16 13:40:37 meinserver named[9312]: success resolving 'ns-925.amazon.com/A' (in 'amazon.com'?) after disabling EDNS 
08.
Nov 16 13:40:37 meinserver named[9312]: success resolving 'ns-947.amazon.com/A' (in 'amazon.com'?) after disabling EDNS 
09.
Nov 16 13:40:37 meinserver named[9312]: success resolving 'ns-935.amazon.com/A' (in 'amazon.com'?) after disabling EDNS 
10.
Nov 16 13:40:37 meinserver named[9312]: success resolving 'ns-916.amazon.com/A' (in 'amazon.com'?) after disabling EDNS 
11.
Nov 16 13:40:37 meinserver named[9312]: success resolving 'ns-944.amazon.com/A' (in 'amazon.com'?) after disabling EDNS 
12.
Nov 16 13:40:37 meinserver named[9312]: success resolving 'ns-927.amazon.com/A' (in 'amazon.com'?) after disabling EDNS 
13.
Nov 16 13:40:37 meinserver named[9312]: success resolving 'ns-941.amazon.com/A' (in 'amazon.com'?) after reducing the advertised EDNS UDP packet size to 512 octets 
14.
Nov 16 13:40:37 meinserver named[9312]: success resolving 'ns-934.amazon.com/A' (in 'amazon.com'?) after reducing the advertised EDNS UDP packet size to 512 octets 
15.
Nov 16 13:45:58 meinserver named[9312]: success resolving 'dns.lyptt.fj.cn/A' (in 'lyptt.fj.cn'?) after disabling EDNS 
16.
Nov 16 13:45:58 meinserver named[9312]: success resolving 'ns2.fjmaster.com/A' (in 'fjmaster.com'?) after disabling EDNS 
17.
Nov 16 13:45:59 meinserver named[9312]: success resolving 'ns1.fjmaster.com/A' (in 'fjmaster.com'?) after disabling EDNS
Laut Google-Recherche wird ja EDNS von BIND standardmässig verwendet. Hier scheint wohl mein Router Probleme zu machen, da er nicht UDP-Packets größer als 512 durchlässt. Daraufhin verringert mein DNS-Server dies. Ich könnte ja die EDNS-Funktion in meiner BIND-Konfiguration ausschalten, aber das wäre ja nicht Sinn der Sache, oder doch? Wieso versuch eigentlich mein DNS-Server andere Name-Server zu kontaktieren? Eigentlich will ich es so haben, dass mein lokaler DNS-Server nur für lokale Adresse auflösen soll, sprich für mein Subnet. Alles andere soll unverzüglich an meinen Router gesendet werden, so dass sich mein BIND gar nicht damit abgeben und rumrechnen muss. Wie sag ich also meinem BIND, dass er das tun soll?

Bin für jede Hilfestellung dankbar.
Bitte warten ..
Mitglied: 43292
09.12.2011 um 10:33 Uhr
Problem gelöst. Mann Mann Mann, die Teilnahme hier im Forum ist ja echt enorm. Scheinen ja nicht viele Admins unterwegs zu sein, oder zumindest weniger wie in anderen Foren, die wirklich Hilfe leisten und Lösungsansätze bieten können. Ich für meinen Teil verabschiede mich wieder hier von der Community und wünsche allen weiterhin frohes Posten (und aufs Antworten warten )

Viele Grüße, frohe Festtage und allen einen guten Rutsch ins kommende Jahr.

Tschüss,
Michael.
Bitte warten ..
Neuester Wissensbeitrag
Microsoft

Lizenzwiederverkauf und seine Tücken

(5)

Erfahrungsbericht von DerWoWusste zum Thema Microsoft ...

Ähnliche Inhalte
Webbrowser
gelöst Firefox 50 downloads stocken ohne Internet Verbindung (2)

Frage von LordXearo zum Thema Webbrowser ...

Heiß diskutierte Inhalte
LAN, WAN, Wireless
FritzBox, zwei Server, verschiedene Netze (18)

Frage von DavidGl zum Thema LAN, WAN, Wireless ...

Windows Netzwerk
Windows 10 RDP geht nicht (16)

Frage von Fiasko zum Thema Windows Netzwerk ...

Windows Server
Outlook Verbindungsversuch mit Exchange (15)

Frage von xbast1x zum Thema Windows Server ...