Ispconfig dns trouble

Dieses Thema im Forum "Installation und Konfiguration" wurde erstellt von funroli, 15. Mai 2013.

  1. funroli

    funroli New Member

    Hallo liebe Community,

    Ich habe mir einen Testserver nach diesem Howto aufgesetzt. Nun möchte ich auf diesem einen
    öffentlicher DNS für ein paar eigene Domains erstellen.
    Ich habe eine Zone (SOA) per ispconfig erstellt.

    Irgendwie scheint es nicht zu Funtzen.
    Auf einem älteren Server auch mit Ispconfig 3 und MyDSN hat es auf anhieb
    nach Konfiguration per ispconfig Webinterface funktioniert.

    Nun meine Fragen:
    Ein Start/Stop von Bind funktioniert einwandfrei und der Dienst wird in der Weboberfläche Grün angezeigt (allerdings auch wenn ich den BIND Stope ;.))

    Wie kann ich mit dig lokal die einträge abfragen?

    Wie soll ich vorgehen um der sache auf den Grund zu kommen?


    NACHTRAG:
    Mittlerweile habe ich herausgefunden das Anfragen nicht beantwortet werden weil beim erstellen der zone via ispConfig Zonen Assistent
    Ein Zone File mit .err am Schluss erzeugt wird. Warum?

    Müssen noch entsprechende Einträge nachträglich in die /etc/bind/named.conf.options oder
    Ist das bei ispConfig anderst gelöst. (allow-query recursion etc.) ?

    Wie bringe ich den DNS dazu Anfragen zu beantworten für die Zonen die in ISPconfig eingerichtet sind?

    Ich bin langsam am ende vom latein.

    Bin für jede hilfe dankbar!

    grüsse
    funroli
     
  2. Till

    Till Administrator

    Schau ins syslog, dort solle drin stehen warum Bind die Datei nicht akzeptiert hat.
     
  3. funroli

    funroli New Member

    Hallo Till Danke für den Tip, auf die einfachsten Dinge kommt man nicht. :)

    Habe folgende Meldungen im Syslog:

    Wie gesagt habe alles nach Tut gemacht.
    Irgenwelche Schlüsel-key habe ich nicht aktiviert oder eingtragen.
    Der sinn von ispconfig ist es ja eigentlich eben genau zu vermeiden das man hardcore änderungen am System durchführen muss.

    Was läuft hier und wie kann es behoben werden?

    Bitte um hilfe.

    grüsse
    funroli
     
    Zuletzt bearbeitet: 17. Mai 2013
  4. Brainfood

    Brainfood Member

    Nach dem Perfect Server Setup findest du Log-Infos von BIND unter:

    Code:
    /var/log/syslog
    Die allgemeine Konfigurationsüberprüfung checkst du mit:

    Code:
    named-checkconf
    Domainspezifische Checks machst du mit:

    Code:
    named-checkzone meinedomain.tld /etc/bind/pri.meinedomain.tld
    Bei kritischen Konfigurationsfehlern entsteht eine err Datei:

    Code:
    /etc/bind/pri.meinedomain.tld.err
    Wenn du neben den allgemeinen Domaintypischen Abfragen auch deinen BIND als "public" / recursiven DNS Server verwenden möchtest, kannst du ja per direkte Loggin-Einträge den Verlauf anschauen, z.B.:

    Code:
    /etc/bind/named.conf.options
    Code:
    // ### ### ### PLITC ### ### ###
    logging {
            channel query_log {
                    file "/var/log/bind/named_query.log" size 25m;
                    severity debug 3;
                    print-time yes;
                    print-severity yes;
                    print-category yes;
            };
            channel default_log {
                    file "/var/log/bind/named.log" size 25m;
                    severity info;
                    print-time yes;
            };
    # channel dnssec_log {
    # file "/var/log/bind/named_dnssec.log" size 25m;
    # severity debug 3;
    # print-time yes;
    # print-severity yes;
    # print-category yes;
    # };
            channel security_log {
                    file "/var/log/bind/named_security.log" versions 3 size 25m;
                    severity dynamic;
                    print-time yes;
            };
    
            category "security" {
                    "security_log";
            };
    # category "dnssec" {
    # "dnssec_log";
    # };
            category "default" {
                    "default_log";
            };
            category "queries" {
                    "query_log";
            };
    };
    
    // ### ### ### PLITC ### ### ###
    // EOF
    deine allow-query {} kannste ja für vertrauenswürdige Kisten beschränken, ab und an klopfen halt "dns amplification attacks" an die tür

    PS: verwendest du DNSSEC ?
     
    Zuletzt bearbeitet: 15. Mai 2013
  5. Brainfood

    Brainfood Member

    die normale /etc/bind/named.conf.options hat folgenden Inhalt:

    Code:
    options {
        directory "/var/cache/bind";
    
        // If there is a firewall between you and nameservers you want
        // to talk to, you may need to fix the firewall to allow multiple
        // ports to talk.  See http://www.kb.cert.org/vuls/id/800113
    
        // If your ISP provided one or more IP addresses for stable 
        // nameservers, you probably want to use them as forwarders.  
        // Uncomment the following block, and insert the addresses replacing 
        // the all-0's placeholder.
    
        // forwarders {
        //     0.0.0.0;
        // };
    
        auth-nxdomain no;    # conform to RFC1035
        listen-on-v6 { any; };
    };
    Wenn du sauber deine SOA/DNS Einträge eingefügt hast und die BIND Configs nicht zerspielt, sollte ein direkter dig check funktionieren:

    Code:
    dig @deine_dns_server_ip domain.tld
     
  6. funroli

    funroli New Member

    Hallo Brainfood,

    Herzlichen Dank für Deine hilfe und die Ausführlichen Infos,
    werde ich mir alles anschauen.

    Nichts desto trotz bin ich einfach der Meinung das es ohne Hand config Funktionieren sollte.
    Den genau für das ist ja ispconfig gemacht, und sinn der sache das man diese einträge mit der ispconfig oberfläche tätigt.
    Das ging früher auch zu 100%, heute anscheinend nicht mehr.
    Und Nein ich verwende kein DNSSEC, darum wundern mich auch die Fehlermeldungen, und wie gesagt alles genau nach howto hier ausgeführt.

    Und genau solche entstehhen beim Automatischen Konfig Wizard sowie händischen SOA von ispconfig!
    Und das wird auch der grund sein warum nichts funtzt , die Frage ist hier nur warum??
    Warum erstellt ispconfig falsche Zonen?


    Wenn das ispconfig nicht mehr Ordentlich oder gar nicht mehr kann wie erstelle ich dann das ganze händisch wia ssh??
    Sprich erstelle diese Zone FIles, wie seheh diese aus?

    grüsse
    funroli
     
    Zuletzt bearbeitet: 15. Mai 2013
  7. Brainfood

    Brainfood Member

    Out of the Box funktioniert auch das DNS per ISPConfig Einträge ...

    Wie Till an anderer Stelle schon sagte, gefühlte 90% einer "kritisch" nichtfunktionierenden Domain liegen einfach am fehlerhaften setzen der NS (Nameserver) Einträge ...



    Noch einmal zum Verständnis:

    ISPConfig3 (Interface) -> DNS -> Neue DNS Zone per Assistent hinzufügen

    Domain: wunschname.tld
    IP Adresse: 000.111.222.333
    NS 1: ns1.hauptdomain.tld
    NS 2: ns2.hauptdomain.tld
    E-Mail Adresse: xyz@example.com

    Nach dem anlegen müssen dann auch unter "NS" diese 2 Nameserver aufgelistet werden

    Bedingung 1: NameServer sind immer FQDNs, keine IPs!

    Bedingung 2: Wenn die Name-Server einer anderen Domain zugehörig sind, muss deine Delegation erfolgen. Logischerweise willst du ja auch über die ISPConfig Kiste die Domain selbst verwalten, ergo müssen die NS Einträge der Fremddomain auf die eigene ISPConfig Kiste zeigen. (siehe Bedingung 3)

    z.B. deine Domain: meinefirma.tld, jedoch die NS stammen aus ns.meinprovider.tld

    Bedingung 3: beziehen sich die NS Einträge auf gesetzte Namen innerhalb (quasi Subdomain) der domain.tld, musst du beim .tld Provider (DENIC/EURid etc.) bzw. über deinen Registrar -> das setzen der "Glue Records" beantragen!

    z.B.: deine Domain: meinefirma.tld,
    autoritative Nameserver sollen sein: ns1.meinefirme.tld sowie ns2.meinefirma.tld

    neben direken BIND checks mit den oben aufgelisteten Befehlen helfen dir auch:

    http://www.denic.de/hintergrund/nast.html

    http://dns-health.com
     
    Zuletzt bearbeitet: 16. Mai 2013
  8. Brainfood

    Brainfood Member

    lass ISPConfig im Debug Modus laufen
     
  9. funroli

    funroli New Member

    Hallo Brainfood,

    Genau so und nicht anderst habe ich es auch gemacht!!
    Ich bin ja nicht von vorgestern ;-)
    (Zumal es ja mit älter aufgesetzten kisten auch schon zwei Jahre ohne einwände funktioniert)

    Und trotzdem wirft ispconfig3 anscheinend Fehler.

    Glue-Records kann ich bei uns selber setzten (in der Schweiz)
    Das heisst ich habe natürlich beim Registrar der für die .ch Domains die Autorität hat, mein nameserver sprich eben den GLue-Record
    zb. ns1.xy.tlc = IP xyx.xxy.xxy.xxy ns2 etc.... eingetragen.

    Bei der Automatischen Prüfung geht dan nix(klar weil zone file fehlt, somit ist BIND damit dann ja auch praktisch dicht)


    Wie lass ich ispconfig im Debug mode laufen?
     
    Zuletzt bearbeitet: 16. Mai 2013
  10. Brainfood

    Brainfood Member

    Zuletzt bearbeitet: 16. Mai 2013

Diese Seite empfehlen