Tham gia Đăng nhập
Điểm:0
mt42 avatar Server

ISC-DHCP và BIND 9 DNS: Cập nhật DDNS không thành công cho /27 mạng con

lá cờ ph
mt42

Tôi gặp sự cố khi cập nhật DDNS với máy chủ ISC-DHCP.

Phần mạng con /etc/dhcp/dhcpd.conf của tôi không hoạt động là:

mạng con 193.198.186.192 mặt nạ mạng 255.255.255.224 {
  dãy 193.198.186.200 193.198.186.222; # MT 20211210
  tùy chọn mặt nạ mạng con 255.255.255.224;
  tùy chọn máy chủ tên miền 161.53.235.3, 161.53.2.70;
  tùy chọn tên miền "slava.alu.hr";
  tên miền ddns "slava.alu.hr";
  khu vực slava.alu.hr. {
   chính 127.0.0.1;
   khóa DDNS_UPDATE;
  }
  khu 192-27.186.198.193.in-addr.arpa. {
   chính 127.0.0.1;
   khóa DDNS_UPDATE;
  }
  tùy chọn địa chỉ quảng bá 193.198.186.223;
  tùy chọn bộ định tuyến 193.198.186.193;
  thời gian thuê mặc định 43200;
  thời gian thuê tối đa 86400;
}

Ủy quyền mạng của tôi cho 193.198.186.192/27 của tôi là 192/27.186.198.193.in-addr.arpa theo nghĩa đen. và họ dường như không sẵn sàng thay đổi nó.

Xem tại đây:

root@domac:~# máy chủ -t bất kỳ 193.198.186.195
195.186.198.193.in-addr.arpa là bí danh của 195.192/27.186.198.193.in-addr.arpa.
195.192/27.186.198.193.in-addr.arpa con trỏ tên miền test-record.slava.alu.hr.
root@domac:~#

Điều này bắt buộc mục /etc/bind/named.conf.local của tôi phải:

vùng "192/27.186.198.193.in-addr.arpa" trong {
        gõ chủ;
        tập tin "/var/cache/bind/192-27.186.198.193.in-addr.arpa.db";
        cho phép cập nhật { key DDNS_UPDATE; };
};

Tuy nhiên, ISC DHCPd coi dấu "/" trong tên vùng là lỗi cú pháp.

Có cách nào để yêu cầu BIND hoặc ISC DHCPd chấp nhận các tên khác nhau trong khai báo vùng /etc/bind/named.conf.local và /etc/dhcp/dhcpd.conf không?

Khi tôi thay đổi khai báo trong dhcpd.conf thành:

  vùng 186.198.193.in-addr.arpa. {
   chính 127.0.0.1;
   khóa DDNS_UPDATE;
  }

và /etc/bind/named.conf.local mục vào:

vùng "186.198.193.in-addr.arpa" trong {
        gõ chủ;
        tập tin "/var/cache/bind/192-27.186.198.193.in-addr.arpa.db";
        cho phép cập nhật { key DDNS_UPDATE; };
};

sau đó cập nhật DHCPd động hoạt động:

Ngày 10 tháng 12 15:42:59 domac dhcpd[11512]: DHCPREQUEST cho 193.198.186.211 từ e8:48:b8:5b:8c:46 (LAPTOP-MTODOROV) qua 193.198.186.193
Ngày 10 tháng 12 15:42:59 domac dhcpd[11512]: DHCPACK trên 193.198.186.211 đến e8:48:b8:5b:8c:46 (LAPTOP-MTODOROV) qua 193.198.186.193
Ngày 10 tháng 12 15:42:59 domac dhcpd[11512]: Đã thêm bản đồ chuyển tiếp mới từ LAPTOP-MTODOROV.slava.alu.hr thành 193.198.186.211
Ngày 10 tháng 12 15:42:59 domac dhcpd[11512]: Đã thêm bản đồ đảo ngược từ 211.186.198.193.in-addr.arpa. tới LAPTOP-MTODOROV.slava.alu.hr

và tôi có thể nhìn thấy nó từ lĩnh vực của máy chủ DNS của tôi:

root@domac:~# máy tính xách tay-mtodorov.slava.alu.hr
LAPTOP-MTODOROV.slava.alu.hr có địa chỉ 193.198.186.211
root@domac:~# máy chủ -t bất kỳ 193.198.186.211
Con trỏ tên miền 211.186.198.193.in-addr.arpa LAPTOP-MTODOROV.slava.alu.hr.
root@domac:~#

... nhưng bây giờ ủy quyền DNS bị hỏng. Tôi không thể có toàn bộ 186.198.193.in-addr.arpa. vùng cho mạng con của miền của chúng tôi và họ cũng sẽ không phê duyệt các bản cập nhật động trên máy chủ DNS trung tâm.

Tôi dường như không thể có cả hai, trừ khi có cách hướng dẫn DHCP hoặc BIND thêm vào vùng có tên khác trong BIND với tên trong DHCP.

Tôi dường như đang chạy ra khỏi lựa chọn.

Cảm ơn bạn rất nhiều nếu bạn biết một câu trả lời.

Trân trọng, Marvin

Tái bút

Tôi đã thử những cách sau và nó không hoạt động:

vùng "192-27.186.198.193.in-addr.arpa" trong {
        gõ chủ;
        tập tin "/var/cache/bind/192-27.186.198.193.in-addr.arpa.db";
};

vùng "186.198.193.in-addr.arpa" trong {
        gõ chủ;
        tập tin "/var/cache/bind/192-27.186.198.193.in-addr.arpa.db";
        cho phép cập nhật { key DDNS_UPDATE; };
};

(Hai vùng có cùng một tệp.)

Những gì tôi nhận được là:

root@domac:/etc/bind# tên-checkconf
/etc/bind/named.conf.local:49: tệp có thể ghi '/var/cache/bind/192-27.186.198.193.in-addr.arpa.db': đã được sử dụng: /etc/bind/named.conf .local:44
root@domac:/etc/bind#

Cố lên nhé :-( Các lập trình viên đã đủ thông minh để ngăn chặn vụ hack này!

Bất kỳ ý tưởng nào về cách tạo hai vùng tham chiếu đến cùng một cơ sở dữ liệu vùng, một vùng khớp với vùng ủy quyền được chỉ định và vùng kia khớp với 186.198.193.in-addr.arpa zone mà ISC DHCP chỉ biết cập nhật?

  1. Tôi thậm chí đã cố gắng đính kèm 192/27.186.198.193.in-addr.arpa trong dấu ngoặc kép để tránh lỗi cú pháp và tôi nhận được điều này:

    Ngày 10 tháng 12 23:17:45 domac dhcpd[26555]: /etc/dhcp/dhcpd.conf dòng 187: mong đợi tên máy chủ. Ngày 10 tháng 12 23:17:45 domac isc-dhcp-server[26545]: /etc/dhcp/dhcpd.conf dòng 187: mong đợi tên máy chủ. Ngày 10 tháng 12 23:17:45 domac isc-dhcp-server[26545]: vùng "192/27.186.198.193.in-addr.arpa." Ngày 10 tháng 12 23:17:45 domac isc-dhcp-server[26545]: ^ Ngày 10 tháng 12 23:17:45 domac isc-dhcp-server[26545]: Đã gặp lỗi tệp cấu hình -- đang thoát Ngày 10 tháng 12 23:17:45 domac isc-dhcp-server[26545]: đang thoát. Ngày 10 tháng 12 23:17:45 domac dhcpd[26555]: vùng "192/27.186.198.193.in-addr.arpa."

Vì vậy, điều này cũng không hoạt động. Hy vọng duy nhất là tìm cách sử dụng cùng một cơ sở dữ liệu vùng DNS với hai tên vùng. Tôi cho rằng trường hợp đó không phải là quá hiếm, nên có một điều khoản cho trường hợp như vậy?

Marvin

63
0 + 0
Patrick Mevzek avatar
lá cờ cn
Patrick Mevzek
Xem lại RFC2317 để biết ủy quyền không phân loại trong addr.arpa. Chỉ các bản ghi CNAME mới có các tên có `/` sau đó hợp lệ đối với CNAME, nhưng thực sự không hợp lệ đối với NS (ủy quyền). Nếu bạn có CNAME cho `129.128/26.2.0.192.in-addr.arpa.` thì vùng để ủy quyền là `2.0.192.in-addr.arpa.` Vì vậy, trong trường hợp của bạn, ủy quyền phải dành cho `186.198.193 .in-addr.arpa` chứ không phải `192/27.186.198.193.in-addr.arpa` và sau đó điều chỉnh các bản ghi tài nguyên trong đó.
0
Hồi đáp
mt42 avatar
lá cờ ph
mt42
Tôi hiểu rằng DHCP muốn cập nhật `186.198.193.in-addr.arpa` và DHCP không thể xử lý theo cú pháp `192/27.186.198.193.in-addr.arpa`. Nhưng tôi đã được ủy quyền `192/27.186.198.193.in-addr.arpa` từ quản trị viên cấp trên và tôi không thể thay đổi điều đó. Tôi cũng không thể tự động cập nhật vùng đó. Tôi đã nghĩ đến hai tên vùng chia sẻ cùng một cơ sở dữ liệu tệp... Một vùng được xác định cho ủy quyền và chỉ đọc, vùng còn lại dành cho các bản cập nhật DDNS từ DHCP với cùng một cơ sở dữ liệu. BIND 9.1.5 có cho phép hack như vậy không? Tôi đang đọc tài liệu tham khảo BIND, nhưng không có trường hợp nào như vậy xuất hiện ...
0
Hồi đáp
mt42 avatar
lá cờ ph
mt42
Tôi không thể cập nhật động hay nói cách khác là cập nhật `186.198.193.in-addr.arpa` vì tôi không phải là chủ sở hữu và tôi cũng không được phép cập nhật động cho vùng đó. Nó được chia sẻ bởi một số tổ chức. Tôi phải nghĩ ra một cách giải quyết. Đó là vấn đề vì các địa chỉ IP công khai, không phải NAT đang được gán qua NAT.
0
Hồi đáp
mt42 avatar
lá cờ ph
mt42
Tôi cũng được ủy quyền `192/27.186.198.193.in-addr.arpa` từ cấp trên và tôi cũng không thể thay đổi điều đó. Tôi phải nghĩ đến việc sử dụng cả hai tên cho cùng một dữ liệu vùng, một tên chỉ đọc và tên còn lại được ISC DHCP cập nhật động.
0
Hồi đáp
Patrick Mevzek avatar
lá cờ cn
Patrick Mevzek
"Tôi không thể cập nhật động hoặc cập nhật 186.198.193.in-addr.arpa vì tôi không phải là chủ sở hữu và tôi cũng không được phép cập nhật động cho vùng đó. Nó được chia sẻ bởi một số tổ chức." Đó chính xác là những gì RFC2317 giải quyết. Có một cái nhìn vào nó.
0
Hồi đáp
Patrick Mevzek avatar
lá cờ cn
Patrick Mevzek
Ngoài ra, bạn có thể sử dụng bất kỳ tên vùng nào trên thực tế và thay thế `/` bằng `-` nếu đơn giản hơn cho trường hợp sử dụng của bạn. Nó được đánh vần trong RFC: Các ví dụ ở đây sử dụng "/" vì nó có vẻ dễ thấy hơn và những người đánh giá khoa học cảm thấy rằng lập luận 'đây không phải là tên máy chủ' cần phải được lặp đi lặp lại. Chúng tôi khuyên bạn không nên khoa trương như vậy, và không sao chép chính xác các ví dụ trên, ví dụ: thay thế nhiều hơn ký tự bảo thủ, chẳng hạn như dấu gạch nối, cho "/". . Lưu ý "không phải tên máy chủ" để nó giải thích lý do tại sao bạn không thể sử dụng chúng làm tên máy chủ sau này, đó là mục đích.
0
Hồi đáp
Patrick Mevzek avatar
lá cờ cn
Patrick Mevzek
"Tôi đã nghĩ đến hai tên vùng chia sẻ cùng một cơ sở dữ liệu tệp..." Bạn có thể, nhưng không phải với các bản cập nhật động.
0
Hồi đáp
mt42 avatar
lá cờ ph
mt42
Cho đến khi giải pháp tốt hơn xuất hiện, tôi đã sử dụng giải pháp thay thế được mô tả tại đây: https://serverfault.com/questions/806875/how-to-tell-isc-dhcp-correct-zone-for-reverse-zone-ddns-update Dù sao cũng cảm ơn bạn, Patrick!
0
Hồi đáp
mt42 avatar
lá cờ ph
mt42
Tôi đã đọc toàn bộ RFC 2317, nhưng tôi không sở hữu vùng ủy quyền nên tôi không thể thay đổi hoặc thay thế `/` bằng `-`. Tôi buộc phải cập nhật động một vùng phụ trợ và ủy quyền các bản ghi CNAME từ vùng được ủy quyền sang vùng phụ trợ được cập nhật động. Nhưng đây là một cách giải quyết và một mẹo nhỏ. Trình giải quyết đôi khi bị nhầm lẫn với nhiều chuyển hướng CNAME. Một giải pháp thực tế là cập nhật nguồn DHCP để thêm chỉ thị bí danh vùng (trong dấu ngoặc kép, để nó có thể xử lý `/` theo cú pháp), để nó có thể cập nhật các vùng như `192/27.186.198.193.in-addr.arpa`.
0
Hồi đáp
mt42 avatar
lá cờ ph
mt42
Chỉ thị bí danh vùng chỉ là một suy nghĩ đã xảy ra, bất kỳ phương pháp cập nhật mạng con/24 mạng con nào cũng sẽ thực hiện :-)
0
Hồi đáp
lá cờ VietNam
Phan Văn Trường
Câu hỏi này là trong các ngôn ngữ khác:

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.