dns-scripts/README.md

# fff-scripts
Dieses Git enthält eine Sammlung an Scripten zur Aktualisierung der Zonen für fff.community.
Dabei werden aus der Forward-Zone und optional eigener Subdomain (durch community-Zonefile gesteuert) auch passende Reverse-Zonen für unsere internen RFC 1918 und RFC 4193 Adressen erzeugen.

Weiterhin werden bei eigener Subdomain die momentan vergebenen Adressen von dnsmasq und odhcpd (alles unter /tmp/hosts/) inkludiert.
Das ermöglicht eine Namensauflösung für Freifunk-Teilnehmer ohne manuelle Konfiguration.
Damit kann jeder Freifunk-Teilnehmer ein gültiges TLS-Zertifikat bekommen, sofern DHCPv6 am Gateway aktiviert ist.

DNSSEC wird für jede Zone unterstützt, allerdings nur für die Hauptzone mit mehreren Servern. Für Subdomainserver darf mit DNSSEC nur jeweils ein Server authorativ sein.

## Installation

#### Systemanforderungen

curl

bind9 

named-checkzone (z.B. bei bind oder bind-tools enthalten)

für DNSSEC: delv; bind9 >= 9.16.18


#### dns-scripts klonen
Die Scripte müssen geklont werden, oder anderweitig in einem Ordner auf dem Server abgelegt werden. Dabei ist aktuell noch die Position wichtig, da das Skript derzeit absolute Pfade verwendet (oder den Pfad in update-dns.sh anpassen)
```
git clone https://git.freifunk-franken.de/freifunk-franken/dns-scripts.git /usr/lib/ffdns
```

#### konfigurieren
In der Datei update-dns.sh die Konfigurationsparameter setzen.


#### Cron anlegen
Schließlich muss noch ein Cron angelegt werden, der regelmäßig das Skript aufruft:
```
1-59/5 *   * * *   /usr/lib/ffdns/update-dns.sh
```

#### DNS-Server konfigurieren
Dann muss nur noch der DNS Server, z.B. `bind`, eingerichtet werden.

Für bind werden durch die Scripte für jeden view include-Dateien angelegt (z.B. icvpn-internal-view.conf) und zusätzlich eine icvpn-acl.conf:

Konfiguration:

```
$ cat named.conf.local 
[..]

acl icvpnlocal {
	10.0.0.0/8;
	172.16.0.0/12;
	fc00::/7;
};
include "/etc/bind/icvpn-acl.conf"; # auto-generated

[..]

options {
	[..] # eigene Optionen

	check-names master warn; # Wichtig, da sonst Hostnamen mit _ (z.B.: HUAWEI_P30_lite ) bind nicht laden lassen
};

[..]

view "icvpn-internal-view" {    
	match-clients { icvpnrange; localhost; };
	allow-query-cache { any; }

    [..] # eigene Optionen


	include "/etc/bind/icvpn-internal-view.conf"; # auto-generated

	include "/etc/bind/icvpn-zones.conf"; # Nicht vergessen ;)

    [..]	
};

view "external-view" {
	match-clients { any; };
    [..] # eigene Optionen
	
	include "/etc/bind/external-view.conf"; # auto-generated
    
    [..]	
};


[..]
```

Beispielkonfiguration mit DNSSEC:

```
[..]

options {
	[..] # eigene Optionen
};

dnssec-policy <Name frei wählbar> { # Name muss in der config gesetzt werden
	keys {
		ksk key-directory lifetime unlimited algorithm ECDSAP384SHA384; # Alle Server einer Domain müssen den gleichen Algorithmus für ksk wählen
		zsk key-directory lifetime P30D algorithm ECDSAP384SHA384; # Alle Server einer Domain  müssen den gleichen Algorithmus für zsk wählen
	};
	max-zone-ttl 3600;
	nsec3param;
};

[..]
```