freifunk-franken
/
dns-scripts
6
1
Fork 0
Code Issues Pull Requests Releases 2 Wiki Activity
52 Commits 2 Branches 2 Tags 131 KiB
Shell 100%
Go to file
Blackyfff 44dfd87e58 Update Readme 
Signed-off-by: Blackyfff <blackyfff@noreply.git.freifunk-franken.de>
 		2021-07-13 20:30:15 +02:00
etc/ffdns Re-add Support for subsequent subdomain 2021-07-10 01:20:50 +02:00
usr/lib/ffdns Re-add Support for subsequent subdomain 2021-07-10 01:20:50 +02:00
LICENSE.txt change file extension license 2021-07-08 21:08:18 +02:00
README.md Update Readme 2021-07-13 20:30:15 +02:00

README.md

dns-scripts

Dieses Git enthält eine Sammlung an Scripten zur Aktualisierung der Zonen für fff.community. Dabei werden aus der Forward-Zone und optional eigener Subdomain (durch community-Zonefile gesteuert) auch passende Reverse-Zonen für unsere internen RFC 1918 und RFC 4193 Adressen erzeugen.

Es werden bei eigener Subdomain die momentan vergebenen Adressen von dnsmasq und odhcpd (alles unter /tmp/hosts/) inkludiert. Das ermöglicht eine Namensauflösung für Freifunk-Teilnehmer ohne manuelle Konfiguration. Damit kann jeder Freifunk-Teilnehmer ein gültiges TLS-Zertifikat bekommen, sofern DHCPv6 am Gateway aktiviert ist.

Unterstützt wird Split-DNS für Freifunk-interne und -externe Anfragen, dabei kann auch eine Subdomain angelegt werden unter welcher nur extern erreichbare IPs herausgegeben werden.

DNSSEC wird für jede Zone unterstützt, allerdings nur für die Hauptzone mit mehreren Servern. Für Subdomainserver darf mit DNSSEC nur jeweils ein Server authorativ sein.

Installation

Systemanforderungen

curl

bind9

named-checkzone (z.B. bei bind oder bind-tools enthalten)

für DNSSEC: delv; bind9 >= 9.16.18

dns-scripts klonen

Die Scripte müssen geklont werden, oder anderweitig auf dem Server abgelegt werden. Die Ordner sind im Git vorgegeben. /usr/lib/ffdns für die Scripte und /etc/ffdns für die Konfigurationsdateien.

git clone https://git.freifunk-franken.de/freifunk-franken/dns-scripts.git

konfigurieren

Die Datei /etc/ffdns/community.conf wird für eine Community konfiguriert(vorzugsweise im Git), und sollte nicht lokal geändert werden.

Die Datei /etc/ffdns/local.conf muss serverspezifisch konfiguriert werden.

Für die Konfiguration der Zonendatei siehe https://git.freifunk-franken/freifunk-franken/dns

Cron anlegen

Schließlich muss noch ein Cron angelegt werden, der regelmäßig das Skript aufruft:

1-59/5 *   * * *   /usr/lib/ffdns/update-dns.sh

DNS-Server konfigurieren

Dann muss noch der DNS Server bind eingerichtet werden. Andere Distributionen sind auch möglich, aber DNSSEC und automatische Konfiguration der verschiedenen Zonen müssen dann selbst gelöst werden.

Für bind werden durch die Scripte für jeden view include-Dateien angelegt (z.B. icvpn-internal-view.conf) und zusätzlich eine icvpn-acl.conf:

Konfiguration:

$ cat named.conf.local 
[..]

acl icvpnlocal {
	10.0.0.0/8;
	172.16.0.0/12;
	fc00::/7;
};
include "/etc/bind/icvpn-acl.conf"; # auto-generated

[..]

options {
	[..] # eigene Optionen

	check-names master warn; # Wichtig, da sonst Hostnamen mit _ (z.B.: HUAWEI_P30_lite ) bind nicht laden lassen
};

[..]

view "icvpn-internal-view" {    
	match-clients { icvpnrange; localhost; };
	allow-query-cache { any; }

    [..] # eigene Optionen


	include "/etc/bind/icvpn-internal-view.conf"; # auto-generated

	include "/etc/bind/icvpn-zones.conf"; # Nicht vergessen ;)

    [..]	
};

view "external-view" {
	match-clients { any; };
    [..] # eigene Optionen
	
	include "/etc/bind/external-view.conf"; # auto-generated
    
    [..]	
};


[..]

Beispielkonfiguration mit DNSSEC:

[..]

options {
	[..] # eigene Optionen
};

dnssec-policy <Name frei wählbar> { # Name muss in der config gesetzt werden
	keys {
		ksk key-directory lifetime unlimited algorithm ECDSAP384SHA384; # Alle Server einer Domain müssen den gleichen Algorithmus für ksk wählen
		zsk key-directory lifetime P30D algorithm ECDSAP384SHA384; # Alle Server einer Domain  müssen den gleichen Algorithmus für zsk wählen
	};
	max-zone-ttl 3600;
	nsec3param;
};

[..]

Konfiguration der Zonendatei

Einträge generell

Alle Einträge sollten im relativen Schema vorliegen, also ohne die Rootdomain und ohne abschließenden Punkt.

Subdomains

Subdomains der Rootzone können von Root-Servern selbst oder auch von jedem anderen Server gehostet werden.

Subdomains sollten im folgenden Format angelegt werden

<Subdomain> IN NS <Serverhostname>[ ; Subnets:[ <SubnetzIPv4>/<Subnetzmaske>| <SubnetzIPv6>/<Subnetzmaske>]+]?

z.B.:

herpf                       IN NS     dns.herpf.fff.community. ; Subnets: 10.50.250.0/24 fd43:5602:29bd:62::/64

Serverhostname muss mit der Konfiguration in local.conf übereinstimmen und muss absolut sein (mit abschließendem Punkt).

Die Subnetzparameter sind für die Delegierung und Erstellung der Reversezonen notwendig.

Sofern noch nicht vorhanden wird dann eine neue Zonendatei für diese Subdomain erstellt. Diese darf dann auch oberhalb der Zeile

;### Leases ###

wie die Rootzonendatei editiert werden.

Subsubdomains

Auch unterhalb von bereits delegierten Subdomains können beliebig viele weitere Subdomains bedient werden.

Dazu muss in local.conf angegeben werden wo die Zonendatei der nächst höheren Zone zu erreichen ist.