// If there is a firewall between you and nameservers you want
// to talk to, you might need to uncomment the query-source
// directive below. Previous versions of BIND always asked
// questions using port 53, but BIND 8.1 and later use an unprivileged
// port by default.
// query-source address * port 53;
// If your ISP provided one or more IP addresses for stable
// nameservers, you probably want to use them as forwarders.
// Uncomment the following block, and insert the addresses replacing
// the all-0's placeholder.
zone "systella.fr" {
type master;
notify yes;
allow-transfer { "slaves"; };
allow-update { "lans"; };
file "/etc/bind/systella.fr.external";
};
};
Je n'ai pas de vue active car il y a un second problème que
j'évoquerai lorsque le premier sera réglé.
Je simplifie, bind sert plusieurs domaines et des reverses (j'ai une
délégation pour cela). Le fichier /etc/bind/systella.fr.external
est correct, il s'agissait du fichier que j'utilisais auparavant.
Il y a un slave sur noemie.nerim.net.
En local, tout fonctionne :
Root rayleigh:[/var/lib/iptables] > dig @127.0.0.1 rayleigh.systella.fr
; <<>> DiG 9.11.5-P4-5.1-Debian <<>> @127.0.0.1 rayleigh.systella.fr
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 33292
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 3, ADDITIONAL: 3
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
; COOKIE: d7e17772ca44a43b7b4ca9085d2b4a27dbdc4eca0fb5a4e1 (good)
;; QUESTION SECTION:
;rayleigh.systella.fr. IN A
;; ANSWER SECTION:
rayleigh.systella.fr. 86400 IN A 213.41.150.218
;; AUTHORITY SECTION:
systella.fr. 86400 IN NS newton.systella.fr.
systella.fr. 86400 IN NS rayleigh.systella.fr.
systella.fr. 86400 IN NS noemie.nerim.net.
;; ADDITIONAL SECTION:
newton.systella.fr. 86400 IN A 213.41.149.211
noemie.nerim.net. 86071 IN A 178.132.17.109
Je ne comprends pas d'où provient le "recursion requested but not
available". Un tcpdump semble envoyer la notifisation vers
noemie.nerim.net mais s'arrête là. Naturellement, j'ai incrémenté
le compteur, rien n'y fait, noemie ne prend pas la zone.
Je suis preneur de toute idée pour remettre la chose d'équerre.
Bien cordialement,
JKB
--
Si votre demande me parvient sur carte perforée, je titiouaillerai très
volontiers une réponse...
=> http://grincheux.de-charybde-en-scylla.fr
=> http://loubardes.de-charybde-en-scylla.fr
Le Mon, 5 Aug 2019 08:23:50 +0000 (UTC), JKB écrivait :
Le Fri, 2 Aug 2019 23:01:44 +0200, Pascal Hambourg écrivait :
Le 02/08/2019 à 17:58, JKB a écrit :
J'ai _enfin_ les bons DNS sur la zone. Visiblement, l'AFNIC merdoie un peu. Je n'ose citer ici le mail reçu de sa part... L'AFNIC me signale que les deux nouveaux DNS ne sont pas inscrits dans la base Verisign, ce qui a provoqué un rejet sans notification. Je ne vois pas le rapport avec Verisign. Enfin, problème résolu.
Moi non plus. Il reste encore à configurer les deux serveurs de Nerim : noemie doit être esclave de ton NS primaire (et non de maridia), et maridia ne doit plus faire autorité pour la zone.
Bon, ça avance. Reste un truc qui m'échappe. Dans la configuration de bind, j'ai créé des vues en fonction de l'adresse source : acl "lans" { 127.0.0.1; ::1; 192.168.0.0/16; 2001:7a8:a8ed::/48; key "letsencrypts"; }; view "internal" { match-clients { "lans"; }; recursion yes; ... view "external" { match-clients { ! { "lans"; }; any; }; ... Problème. Lorsque j'utilise nsupdate depuis localhost, bind essaie de mettre à jour la vue "internal" et je me prends un : Aug 5 10:22:57 rayleigh named[4097]: client @0x7fb0f811fae0 127.0.0.1#35985: view internal: request has invalid signature: TSIG letsencrypt: tsig verify failure (BADKEY) ce qui est assez logique. La question est de savoir comment autoriser localhost à modifier la vue "external". Je viens de lire la doc de bind, je n'ai rien trouvé qui réponde à la question... Bien cordialement, JKB
Trouvé. Debianerie et apparmor inside. apparmor passe au-dessus des droits du système et empêche les mises à jour via nsupade si le fichier zone n'est pas dans /var/lib/bind. JKB -- Si votre demande me parvient sur carte perforée, je titiouaillerai très volontiers une réponse... => http://grincheux.de-charybde-en-scylla.fr => http://loubardes.de-charybde-en-scylla.fr
Le Mon, 5 Aug 2019 08:23:50 +0000 (UTC),
JKB <jkb@koenigsberg.invalid> écrivait :
Le Fri, 2 Aug 2019 23:01:44 +0200,
Pascal Hambourg <pascal@plouf.fr.eu.org> écrivait :
Le 02/08/2019 à 17:58, JKB a écrit :
J'ai _enfin_ les bons DNS sur la zone. Visiblement, l'AFNIC merdoie
un peu. Je n'ose citer ici le mail reçu de sa part... L'AFNIC me
signale que les deux nouveaux DNS ne sont pas inscrits dans la base
Verisign, ce qui a provoqué un rejet sans notification. Je ne vois
pas le rapport avec Verisign. Enfin, problème résolu.
Moi non plus.
Il reste encore à configurer les deux serveurs de Nerim : noemie doit
être esclave de ton NS primaire (et non de maridia), et maridia ne doit
plus faire autorité pour la zone.
Bon, ça avance.
Reste un truc qui m'échappe.
Dans la configuration de bind, j'ai créé des vues en fonction de
l'adresse source :
Problème. Lorsque j'utilise nsupdate depuis localhost, bind
essaie de mettre à jour la vue "internal" et je me prends un :
Aug 5 10:22:57 rayleigh named[4097]: client @0x7fb0f811fae0 127.0.0.1#35985: view internal: request has invalid signature: TSIG letsencrypt: tsig verify failure (BADKEY)
ce qui est assez logique. La question est de savoir comment
autoriser localhost à modifier la vue "external". Je viens de lire
la doc de bind, je n'ai rien trouvé qui réponde à la question...
Bien cordialement,
JKB
Trouvé. Debianerie et apparmor inside.
apparmor passe au-dessus des droits du système et empêche les mises
à jour via nsupade si le fichier zone n'est pas dans /var/lib/bind.
JKB
--
Si votre demande me parvient sur carte perforée, je titiouaillerai très
volontiers une réponse...
=> http://grincheux.de-charybde-en-scylla.fr
=> http://loubardes.de-charybde-en-scylla.fr
Le Mon, 5 Aug 2019 08:23:50 +0000 (UTC), JKB écrivait :
Le Fri, 2 Aug 2019 23:01:44 +0200, Pascal Hambourg écrivait :
Le 02/08/2019 à 17:58, JKB a écrit :
J'ai _enfin_ les bons DNS sur la zone. Visiblement, l'AFNIC merdoie un peu. Je n'ose citer ici le mail reçu de sa part... L'AFNIC me signale que les deux nouveaux DNS ne sont pas inscrits dans la base Verisign, ce qui a provoqué un rejet sans notification. Je ne vois pas le rapport avec Verisign. Enfin, problème résolu.
Moi non plus. Il reste encore à configurer les deux serveurs de Nerim : noemie doit être esclave de ton NS primaire (et non de maridia), et maridia ne doit plus faire autorité pour la zone.
Bon, ça avance. Reste un truc qui m'échappe. Dans la configuration de bind, j'ai créé des vues en fonction de l'adresse source : acl "lans" { 127.0.0.1; ::1; 192.168.0.0/16; 2001:7a8:a8ed::/48; key "letsencrypts"; }; view "internal" { match-clients { "lans"; }; recursion yes; ... view "external" { match-clients { ! { "lans"; }; any; }; ... Problème. Lorsque j'utilise nsupdate depuis localhost, bind essaie de mettre à jour la vue "internal" et je me prends un : Aug 5 10:22:57 rayleigh named[4097]: client @0x7fb0f811fae0 127.0.0.1#35985: view internal: request has invalid signature: TSIG letsencrypt: tsig verify failure (BADKEY) ce qui est assez logique. La question est de savoir comment autoriser localhost à modifier la vue "external". Je viens de lire la doc de bind, je n'ai rien trouvé qui réponde à la question... Bien cordialement, JKB
Trouvé. Debianerie et apparmor inside. apparmor passe au-dessus des droits du système et empêche les mises à jour via nsupade si le fichier zone n'est pas dans /var/lib/bind. JKB -- Si votre demande me parvient sur carte perforée, je titiouaillerai très volontiers une réponse... => http://grincheux.de-charybde-en-scylla.fr => http://loubardes.de-charybde-en-scylla.fr