Discussion :

[erictomcat]

Bonjour à tous

Je tente de créer une délégation de zone DNS avec Bind9 et je rencontre un petit souci.
Mes 2 serveurs n'arrivent à dialoguer que si je met l'option dnssec-validation=no sur le second.
Je trouve pas ça top et je n'arrive pas à trouver comment sécurisez cette communication. Tout les tuto que j'ai tester plante.

je suis sur Debian 9 et la dernière version de bind9.
mon domaine parent est exemple.lan géré par dns1 (192.168.10.240/24) et mon sous-domaine sous.exemple.lan géré par dns2 (192.168.10.241/24)

DNS1:
named.conf.options

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
 
...
forwarders {
8.8.8.8;
}
....
dnssec-validation=auto;

named.conf.local

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
 
zone "exemple.lan" {
type master;
file "db.exemple.lan";
allow-update{none;};
};
 
zone "10.168.192.in-addr.arpa" {
....
};

db.exemple.lan

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
 
@ IN SOA exemple.lan. root.exemple.lan. (
...
);
@                                IN     NS    dns1.exemple.lan.
sous.exemple.lan.           IN     NS    dns2.sous.exemple.lan.
 
dns1                            IN      A     192.168.10.240
dns2.sous.exemple.lan     IN      A     192.168.10.241
 
www                            IN      CNAME  dns1

je vous montre pas la zone revers, elle a peu d’intérêt je pense.

DNS2:
named.conf.options

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
 
...
forwarders {
192.168.10.240;
};
....
dnssec-validation=auto;

named.conf.local

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
 
zone "sous.exemple.lan" {
type master;
file "db.sous.exemple.lan";
allow-update{none;};
};

db.sous.exemple.lan:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
 
...
 
@ IN NS dns2.sous.exemple.lan.
 
dns2 IN A 192.168.10.241

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
 
root@dns2:~# nslookup dns1.exemple.lan
** server can't find dns1.exemple.lan: NXDOMAIN

et le syslog:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
 
validating exemple.lan/SOA: got insecure response; parent indicates it should be secure
no valid RRSIG resolving 'dns1.exemple.lan/DS/IN': 192.168.10.240#53

je voie bien que c'est un problème de clés, mais j'arrive pas à trouver un tuto correcte.
Quelqu'un pourrait-il m'aiguiller ?

[becket]

Salut,

1 - Je n'ai pas trop compris pourquoi tu utilises un forwarder sur dns2
2 - Je n'ai pas trop compris tu veux utiliser dnnsec avant de faire fonctionner ta délégation
3 - Lorsque tu fais ton nslookup, tu dois demander dns2.sous.example.lan ( je ne sais pas ou tu vas chercher ton "formation" )

[erictomcat]

1/ le domaine sous.exemple.lan est un sous-domaine d'exemple.lan, donc quand dns2 ne sait pas résoudre, je veux qu'il transmette à dns1 qui lui, s'il ne connait pas, transmet à 8.8.8.8.
2/ Non, ma délégation fonctionne si je met dnssec-validation=no sur dns2. mais si je le laisse à auto, ça plante.
3/ erreur de copie, j'ai corrigé.
3bis: par contre mon "nslookup dns1.exemple.lan" effectué sur dns2(.sous/exemple.lan) est résolu si j'ai dnssec-validation=no et m'affiche une erreur si je laisse la valeur par défau dnssec-validation=auto

[becket]

Si tu veux utiliser dnssec, tu vas devoir passer par l'étape de création des clés, ... etc. J'ai un de mal à comprendre l’intérêt pour un domaine "local"

[erictomcat]

Je profite de mon "temps libre" pour améliorer mes connaissances en Linux/réseaux.
Clair pour un local, ça sert pas à grand chose.
La génération des clés, c'est bien la ou le bât blesse... je trouve pas un tuto que je comprenne de A à Z.

De mémoire, ce que j'ai compris:
Sur le serveur dns2 (sous-domaine):

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
 
cd /etc/bind/
dnssec-keygen -f KSK -a RSASHA1 -b 1024 -n ZONE sous
dnssec-keygen -a RSASHA1 -b 1024 -n ZONE sous

donne 4 fichier:
pour KSK:
Ksous....XXXX.key
Ksous....XXXX.private
Pour ZSK:
Ksous....YYYY.key
Ksous....YYYY.private
Bien entendu les noms de fichier ne sont pas les bons !!
db.sous.exemple.lan:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
 
...
$include "Ksous....XXXX.key";
$include "Ksous....YYYY.key";

Bon la je me retrouve avec un joli warning quand je relance bind.

on signe la zone:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
 
dnssec-signzone -t -k Ksous....XXXX.key db.sous.exemple.lan -o sous.exemple.lan Ksous....YYYY.key

named.options.local:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
 
zone "sous.exemple.lan" {
type master;
file "db.sous.exemple.lan.signed";
allow-update{none;};
};

Et à partir de la, je coince, que dois je configurer sur le serveur dns1 pour que cela fonctionne ???

[becket]

Ton dns-signzone ne précise pas de fichier de sortie.
Tu ne précises pas le warning ni éventuellement le message d'erreur dans les logs
Tu as lancé

dig DNSKEY .sous.exemple.lan. @localhost +multiline ?

[erictomcat]

Tout d'abord, merci pour ton temps.

Pour le warning, c'était de mémoire, je viens de refaire la manip.
Donc le message est:

Ksous....XXXX.key:5: ignoring out-of-zone data (sous)
Ksous....YYYY.key:5: ignoring out-of-zone data (sous)

pour dns-signzone, ça m’étonnait aussi, mais il était écrit comme ça sur le tuto.
Pour le dig.. bein vu que le dns-signzone est pas complet, je pense pas que cela serve à grand chose.

pour info, les liens avec lesquels je tente de faire quelque chose:
lien 1
lien 2
lien 3