[nsd-dnssec] Zone Inverse IPv6 Online
Rathorian opened this issue · 14 comments
Bonjour,
J'aurais aimé savoir comment gérer avec ton image une zone inverse IPv6 avec Online.
J'ai essayé mais je n'y parvient pas à cause d'une erreur dans les logs du serveur secondaire lors du "notify" :
[2017-06-28 15:19:34.937] nsd[8]: error: xfrd: zone reverse.online.ipv6 received error code SERVER NOT AUTHORITATIVE FOR ZONE from 164.132.XXX.XXX
[2017-06-28 15:19:34.937] nsd[8]: error: xfrd: zone reverse.online.ipv6, from 164.132.XXX.XXX: no tsig in first packet of reply
Aurais-tu une idée du problème ?
Merci
Il me semble que seul online.net peut gérer la zone inverse de leur plage d'IP, d'où l'erreur que tu rencontres.
Peux-tu me donner ton nsd.conf ?
Oui bien sur.
server:
server-count: 1
ip4-only: yes
hide-version: yes
identity: ""
zonesdir: "/zones"
remote-control:
control-enable: yes
key:
name: "sec_key"
algorithm: hmac-sha256
secret: "XXXXXXXXXXXXXXXXXXXXXXXXX"
pattern:
name: "toslave"
notify: 188.213.XXX.XXX sec_key
provide-xfr: 188.213.XXX.XXX sec_key
zone:
name: "xina.fr"
zonefile: "db.xina.fr.signed"
include-pattern: "toslave"
zone:
name: "rathorian.fr"
zonefile: "db.rathorian.fr.signed"
include-pattern: "toslave"
zone:
name: "reverse.online.ipv6"
zonefile: "reverse.online.ipv6"
include-pattern: "toslave"
Je vois pas le serveur esclave 164.132.XXX.XXX que tu as mentionné plus haut dans les logs, c'est normal ?
Désolé ;)
server:
server-count: 1
ip4-only: yes
hide-version: yes
identity: ""
zonesdir: "/zones"
remote-control:
control-enable: yes
key:
name: "sec_key"
algorithm: hmac-sha256
secret: "XXXXXXXXXXXXXXXXXXXX"
pattern:
name: "frommaster"
allow-notify: 164.132.1XXX.XXX sec_key
request-xfr: AXFR 164.132.XXX.XXX sec_key
zone:
name: "xina.fr"
zonefile: "db.xina.fr.signed"
include-pattern: "frommaster"
zone:
name: "rathorian.fr"
zonefile: "db.rathorian.fr.signed"
include-pattern: "frommaster"
zone:
name: "reverse.online.ipv6"
zonefile: "reverse.online.ipv6"
include-pattern: "frommaster"
Tu as cette erreur lors du notify de quelle zone ?
Tu as bien mis $ORIGIN dans chacune de tes zones ?
Je connais pas trop niveau DNS, c'est certainement une mauvaise configuration de ma part.
Ce qui merde lors du notify (comme tu peux le voir dans le premier message) c'est seulement le ficher "reverse.online.ipv6".
Mon fichier "reverse.online.ipv6" :
; ZONE : 2001:0bc8:2abe:: /48
; ------------------------------------------------------------------
$TTL 3600
e.b.a.2.8.c.b.0.1.0.0.2.ip6.arpa. IN SOA ns1.xina.fr. contact.rathorian.fr. (
2017062802 ; Serial
14400 ; Refresh
3600 ; Retry
604800 ; Expire
86400 ) ; Minimum
; NAMESERVERS
@ IN NS ns1.xina.fr.
@ IN NS ns2.xina.fr.
; PTR
1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.1.0.e.b.a.2.8.c.b.0.1.0.0.2.ip6.arpa. IN PTR web.rathorian.fr.
Après j'ai pas utilisé ton fichier "signzone" car j'avais un doute, du coup la zone n'est pas signé.
J'ai juste utilisé ces commandes :
docker exec -ti nsd nsd-control reconfig
docker exec -ti nsd nsd-control reload reverse.online.ipv6
docker exec -ti nsd nsd-control notify reverse.online.ipv6
Et du coup non, le seul fichier n'ayant pas de $ORIGIN est bien celui-ci
Je pense que le problème vient bien du nom de ta zone dns, "reverse.online.ipv6" n'est pas une valeur correcte, faut que tu ais un truc du genre :
zone:
name: "e.b.a.2.8.c.b.0.1.0.0.2.ip6.arpa"
zonefile: "reverse.online.ipv6"
$ORIGIN e.b.a.2.8.c.b.0.1.0.0.2.ip6.arpa.
$TTL ...
@ IN SOA ns1.xina.fr. contact.rathorian.fr. (
2017062802 ; Serial
14400 ; Refresh
3600 ; Retry
604800 ; Expire
86400 ) ; Minimum
; NAMESERVERS
@ IN NS ns1.xina.fr.
@ IN NS ns2.xina.fr.
; PTR
1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.1.0.e.b.a.2.8.c.b.0.1.0.0.2.ip6.arpa. IN PTR web.rathorian.fr.
Résolu.
Effectivement c'était une simple mauvaise configuration du nom de fichier.
Merci et désolé pour le dérangement :)
Du nom du fichier ou du nom de la zone ?
Nom de la zone, toutes mes excuses ^^
Ok, nickel si ça fonctionne :)
Oui c'est clair.
Première fois que j'arrive à donner un reverse IPv6 à un serveur de chez Online.
Ça se fête ;)