[HaBo]

Serow · 06.05.10, 21:55

Hi,

ich versuche ein bind9 zusammen mit dhcp3-server so aufzusetzen, dass der dhcpd A und PTR records in die DNS Datenbank schreibt. Wenn ich sich ein Client über DHCP eine IP holt siehts im syslog etwa so aus:

Code:

May  6 21:47:34 spiderman named[3422]: client 127.0.0.1#36321: RFC 1918 response from Internet for 254.1.0.10.in-addr.arpa
May  6 21:47:36 spiderman named[3422]: unexpected RCODE (SERVFAIL) resolving '42.48.175.192.in-addr.arpa/PTR/IN': 193.0.0.196#53
May  6 21:47:36 spiderman named[3422]: unexpected RCODE (SERVFAIL) resolving '42.48.175.192.in-addr.arpa/PTR/IN': 128.8.5.2#53
May  6 21:47:37 spiderman named[3422]: lame server resolving '10.230.203.192.in-addr.arpa' (in '230.203.192.in-addr.arpa'?): 198.116.4.181#53
May  6 21:47:37 spiderman named[3422]: lame server resolving '10.230.203.192.in-addr.arpa' (in '230.203.192.in-addr.arpa'?): 198.116.4.185#53
May  6 21:47:38 spiderman named[3422]: lame server resolving '10.230.203.192.in-addr.arpa' (in '230.203.192.in-addr.arpa'?): 198.116.4.189#53
May  6 21:47:43 spiderman named[3422]: unexpected RCODE (REFUSED) resolving '63.0.212.199.in-addr.arpa/PTR/IN': 193.0.0.196#53
May  6 21:47:50 spiderman dhcpd: DHCPDISCOVER from 00:1d:e0:52:c4:21 via eth0
May  6 21:47:51 spiderman dhcpd: DHCPOFFER on 10.0.0.240 to 00:1d:e0:52:c4:21 (x61t) via eth0
May  6 21:47:51 spiderman named[3422]: client 10.0.0.1#42561: updating zone 'mathias-ewald.invalid/IN': update unsuccessful: x61t.mathias-ewald.invalid: 'name not in use' prerequisite not satisfied (YXDOMAIN)
May  6 21:47:51 spiderman named[3422]: client 10.0.0.1#45907: signer "dhcp_updater" approved
May  6 21:47:51 spiderman named[3422]: client 10.0.0.1#45907: updating zone 'mathias-ewald.invalid/IN': deleting rrset at 'x61t.mathias-ewald.invalid' A
May  6 21:47:51 spiderman named[3422]: client 10.0.0.1#45907: updating zone 'mathias-ewald.invalid/IN': adding an RR at 'x61t.mathias-ewald.invalid' A
May  6 21:47:51 spiderman dhcpd: Added new forward map from x61t.mathias-ewald.invalid. to 10.0.0.240
May  6 21:47:51 spiderman dhcpd: unable to add reverse map from 240.0.0.10.in-addr.arpa. to x61t.mathias-ewald.invalid.: not a zone
May  6 21:47:51 spiderman dhcpd: DHCPREQUEST for 10.0.0.240 (10.0.0.1) from 00:1d:e0:52:c4:21 (x61t) via eth0
May  6 21:47:51 spiderman dhcpd: DHCPACK on 10.0.0.240 to 00:1d:e0:52:c4:21 (x61t) via eth0
May  6 21:47:53 spiderman named[3422]: unexpected RCODE (SERVFAIL) resolving '130.2.25.194.in-addr.arpa/PTR/IN': 195.244.245.24#53
May  6 21:47:57 spiderman kernel: [12152.597108] device eth0 left promiscuous mode
May  6 21:47:59 spiderman kernel: [12156.203172] device eth0 entered promiscuous mode
May  6 21:47:59 spiderman named[3422]: client 127.0.0.1#44972: RFC 1918 response from Internet for 254.1.0.10.in-addr.arpa
May  6 21:48:02 spiderman named[3422]: unexpected RCODE (SERVFAIL) resolving '22.0.0.224.in-addr.arpa/PTR/IN': 192.108.200.1#53
May  6 21:48:10 spiderman named[3422]: unexpected RCODE (SERVFAIL) resolving '243.145.171.83.in-addr.arpa/PTR/IN': 212.114.153.1#53
May  6 21:48:11 spiderman named[3422]: lame server resolving '3.200.30.24.in-addr.arpa' (in '200.30.24.in-addr.arpa'?): 65.24.0.172#53
May  6 21:48:12 spiderman named[3422]: lame server resolving '3.201.30.24.in-addr.arpa' (in '201.30.24.in-addr.arpa'?): 65.24.0.172#53
May  6 21:48:16 spiderman named[3422]: too many timeouts resolving '3.201.30.24.in-addr.arpa/PTR' (in '201.30.24.in-addr.arpa'?): reducing the advertised EDNS UDP packet size to 512 octets

Der Eintrag für den A record scheint zu funktionieren - der PTR geht nicht. Insgesamt gibts da recht viele Meldungen mit denn ich nichts anfangen kann.

Hier noch meine bind unc dhcp3-server configs:

named.conf

Code:

// This is the primary configuration file for the BIND DNS server named.
//
// Please read /usr/share/doc/bind9/README.Debian.gz for information on the 
// structure of BIND configuration files in Debian, *BEFORE* you customize 
// this configuration file.
//
// If you are just adding zones, please do that in /etc/bind/named.conf.local

include "/etc/bind/named.conf.options";

// prime the server with knowledge of the root servers
zone "." {
        type hint;
        file "/etc/bind/db.root";
};

// be authoritative for the localhost forward and reverse zones, and for
// broadcast zones as per RFC 1912

zone "localhost" {
        type master;
        file "/etc/bind/db.local";
};

zone "127.in-addr.arpa" {
        type master;
        file "/etc/bind/db.127";
};

zone "0.in-addr.arpa" {
        type master;
        file "/etc/bind/db.0";
};

zone "255.in-addr.arpa" {
        type master;
        file "/etc/bind/db.255";
};

include "/etc/bind/named.conf.local";

named.conf.options

Code:

options {
        directory "/var/cache/bind";

        // If there is a firewall between you and nameservers you want
        // to talk to, you may need to fix the firewall to allow multiple
        // ports to talk.  See http://www.kb.cert.org/vuls/id/800113

        // If your ISP provided one or more IP addresses for stable 
        // nameservers, you probably want to use them as forwarders.  
        // Uncomment the following block, and insert the addresses replacing 
        // the all-0's placeholder.

        // forwarders {
        //      0.0.0.0;
        // };

        allow-query { 
                127.0.0.1;
                10.0.0.0/24; 
                10.0.1.0/24;
        };
        auth-nxdomain no;    # conform to RFC1035
        listen-on-v6 { none; };
        listen-on { any; };
};

named.conf.local

Code:

//
// Do any local configuration here
//

// Consider adding the 1918 zones here, if they are not used in your
// organization
//include "/etc/bind/zones.rfc1918";


key "DHCP_UPDATER" {
        algorithm hmac-md5;
        secret "9RxEFe8yn+aSgRkgB+DD8g==";
};

zone "mathias-ewald.invalid" {
        type master;
        file "/etc/bind/mathias-ewald.invalid.db";
        notify yes;
        allow-update {
                key DHCP_UPDATER;
        };
};

zone "0.0.10.in-addr.arpa" {
        type master;
        file "/etc/bind/db.10.0.0";
        notify yes;
        allow-update {
                key DHCP_UPDATER;
        };
};

dhcpd.conf

Code:

ddns-update-style interim;
authoritative;
log-facility local7;

key "DHCP_UPDATER" {
        algorithm hmac-md5;
        secret "9RxEFe8yn+aSgRkgB+DD8g==";
};

zone mathias-ewald.invalid {
        key DHCP_UPDATER;
}

zone 0.0.10.in-addr.arpa {
        key DHCP_UPDATER;
}

subnet 10.0.0.0 netmask 255.255.255.0 {
        range 10.0.0.100 10.0.0.254;
        option routers 10.0.0.1;
        option broadcast-address 10.0.0.255;
        option domain-name "mathias-ewald.invalid.";
        option domain-name-servers 10.0.0.1;
        default-lease-time 600;
        max-lease-time 7200;
}

Kann jemand helfen?

cu
serow

**Chromatin** · 07.05.10, 11:35

Poste mal bitte das zonefile fuer mathias-ewald

Anzeige

- Anzeige -

Serow · 07.05.10, 11:53

Oh sry das hab ich verpennt:

mathias-ewald.invalid.db:

Code:

$ORIGIN .
$TTL 86400      ; 1 day
mathias-ewald.invalid   IN SOA  spiderman.mathias-ewald.invalid. hostmaster.mathias-ewald.invalid. (
                                2002021586 ; serial
                                28800      ; refresh (8 hours)
                                7200       ; retry (2 hours)
                                2419200    ; expire (4 weeks)
                                86400      ; minimum (1 day)
                                )
                        NS      spiderman.mathias-ewald.invalid.
                        MX      10 spiderman.mathias-ewald.invalid.
                        MX      20 spiderman.mathias-ewald.invalid.
$ORIGIN mathias-ewald.invalid.

ikarus                  A       10.0.0.2
ironman                 A       10.0.0.10
spiderman               A       10.0.0.1

gs108t                  A       10.0.1.2
esx-01                  A       10.0.1.20
esx-02                  A       10.0.1.22
vcenter                 A       10.0.1.30
gw1                     A       10.0.1.40
gw2                     A       10.0.1.41
gw3                     A       10.0.1.42

db.10.0.0:

Code:

$ORIGIN .
0.0.10.in-addr.arpa     IN SOA  spiderman.mathias-ewald.invalid. root.localhost. (
                                2004032763 ; serial
                                10800      ; refresh (3 hours)
                                3600       ; retry (1 hour)
                                604800     ; expire (1 week)
                                3600       ; minimum (1 hour)
                                )
                        NS      spiderman.mathias-ewald.invalid.0.0.10.in-addr.arpa.

$ORIGIN 0.0.10.in-addr.arpa.

1                       PTR     spiderman.mathias-ewald.invalid.
2                       PTR     ikarus.mathias-ewald.invalid.

10                      PTR     ironman.mathias-ewald.invalid.

cu
serow

**Chromatin** · 07.05.10, 12:00

Eine Aufloesung von 10.0.0.10 funktioniert aber?
Also die lookups generell meine ich?

EDIT: Auf den ersten Blick finde ich den NS Eintrag in deiner Reverse Zone etwas mystisch.

named/dhcp configs sind ok, afaik. Ich habe alles in einer Datei und die erlaubten Zonen fuer query und transfer in einer ACL.

Kannste dem dhcpd noch weiter auf den Zahl fuehlen, kann der noch mehr ausspucken?

EDIT2:

Lass mal die "" um die KEY Labels weg.
Und in der dhcpd.conf auch um den secret key weglassen.

Serow · 07.05.10, 14:39

Zitat:

Zitat von Chromatin

Eine Aufloesung von 10.0.0.10 funktioniert aber?
Also die lookups generell meine ich?

Jo läuft:

Code:

mathias@ironman:~$ nslookup 10.0.0.10
Server:         10.0.0.1
Address:        10.0.0.1#53

10.0.0.10.in-addr.arpa  name = ironman.mathias-ewald.invalid.

mathias@ironman:~$ nslookup ironman
Server:         10.0.0.1
Address:        10.0.0.1#53

Name:   ironman.mathias-ewald.invalid
Address: 10.0.0.10

mathias@ironman:~$

Zitat:

Zitat von Chromatin

EDIT: Auf den ersten Blick finde ich den NS Eintrag in deiner Reverse Zone etwas mystisch.

Was genau ist da "mystisch"?

Zitat:

Zitat von Chromatin

Kannste dem dhcpd noch weiter auf den Zahl fuehlen, kann der noch mehr ausspucken?

EDIT2:

Lass mal die "" um die KEY Labels weg.
Und in der dhcpd.conf auch um den secret key weglassen.

Nach ich jetzt die Änderungen gemacht habe, passiert das hier wenn sich mein Laptop ne IP holt:

Code:

May  7 14:36:43 spiderman dhcpd: DHCPDISCOVER from 00:1d:e0:52:c4:21 via eth0
May  7 14:36:44 spiderman dhcpd: DHCPOFFER on 10.0.0.240 to 00:1d:e0:52:c4:21 (x61t) via eth0
May  7 14:36:44 spiderman named[8830]: client 10.0.0.1#51550: signer "dhcp_updater" approved
May  7 14:36:44 spiderman named[8830]: client 10.0.0.1#51550: updating zone 'mathias-ewald.invalid/IN': adding an RR at 'x61t.mathias-ewald.invalid' A
May  7 14:36:44 spiderman named[8830]: client 10.0.0.1#51550: updating zone 'mathias-ewald.invalid/IN': adding an RR at 'x61t.mathias-ewald.invalid' TXT
May  7 14:36:44 spiderman dhcpd: Added new forward map from x61t.mathias-ewald.invalid. to 10.0.0.240
May  7 14:36:44 spiderman dhcpd: unable to add reverse map from 240.0.0.10.in-addr.arpa. to x61t.mathias-ewald.invalid.: not a zone
May  7 14:36:44 spiderman dhcpd: DHCPREQUEST for 10.0.0.240 (10.0.0.1) from 00:1d:e0:52:c4:21 (x61t) via eth0
May  7 14:36:44 spiderman dhcpd: DHCPACK on 10.0.0.240 to 00:1d:e0:52:c4:21 (x61t) via eth0

Der forward lookup funktioniert, der reverse lookup nicht:

Code:

mathias@ironman:~$ nslookup x61t
Server:         10.0.0.1
Address:        10.0.0.1#53

Name:   x61t.mathias-ewald.invalid
Address: 10.0.0.240

mathias@ironman:~$ nslookup 10.0.0.240
Server:         10.0.0.1
Address:        10.0.0.1#53

** server can't find 240.0.0.10.in-addr.arpa.: NXDOMAIN

mathias@ironman:~$

cu
serow

**Chromatin** · 07.05.10, 15:22

Zitat:

May 7 14:36:44 spiderman dhcpd: unable to add reverse map from 240.0.0.10.in-addr.arpa. to x61t.mathias-ewald.invalid.: not a zone

Insofern korrekt da die Zone mathias-ewald.invalid ist, ohne x61t

Warum er das so sieht, weiss ich gerade auch nicht.

Zitat:

Der forward lookup funktioniert, der reverse lookup nicht:

Klar, s.o.

Immerhin macht er wohl die Updates fuer A .. muss nochmal in Ruhe druebergucken

EDIT: Schreibt er denn x61t ins (1.)zonefile?

Anzeige

- Anzeige -

07.05.10, 11:35	#2 (permalink)
Chromatin Moderator Registriert seit: 30.06.08 Likes: 227	Poste mal bitte das zonefile fuer mathias-ewald __________________ Wenn ein Gesetz nicht gerecht ist, dann geht die Gerechtigkeit vor dem Gesetz! Habo Blog - http://blog.hackerboard.de/

07.05.10, 12:00	#4 (permalink)
Chromatin Moderator Registriert seit: 30.06.08 Likes: 227	Eine Aufloesung von 10.0.0.10 funktioniert aber? Also die lookups generell meine ich? EDIT: Auf den ersten Blick finde ich den NS Eintrag in deiner Reverse Zone etwas mystisch. named/dhcp configs sind ok, afaik. Ich habe alles in einer Datei und die erlaubten Zonen fuer query und transfer in einer ACL. Kannste dem dhcpd noch weiter auf den Zahl fuehlen, kann der noch mehr ausspucken? EDIT2: Lass mal die "" um die KEY Labels weg. Und in der dhcpd.conf auch um den secret key weglassen. __________________ Wenn ein Gesetz nicht gerecht ist, dann geht die Gerechtigkeit vor dem Gesetz! Habo Blog - http://blog.hackerboard.de/ Geändert von Chromatin (07.05.10 um 12:11 Uhr)

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Ansicht
Linear-Darstellung Zur Hybrid-Darstellung wechseln Zur Baum-Darstellung wechseln

[HaBo]

Bind9: