DNS Hostnet instellen

[ITGuy1990]

Beste helpmij mensen,

Ik heb thuis een aantal servers lopen. Eentje is een webserver. De andere een telefoonserver en nog een andere een DNS server. Deze lost adressen op voor mijn domein.
Ik heb jaren lang alle records bij hostnet gehad. Nu ik mn eigen dns server heb wil ik dat hostnet dus alles gewoon naar mijn eigen dns server doorstuurt.
Je kunt bij hostnet kiezen om van hun nameservers gebruik te maken of je eigen. Helaas als je kiest voor je eigen moet je er 2 opgeven. Ik heb er dus maar 1.
die heeft als FQDN ns1.echt-middelpunt.nl.. Ik moest nog een 2de aanmaken dus heb ik een record gemaakt ns2.echt-middelpunt.nl.. Deze verwijst naar googles A dns severs (8.8.8.8)
Maar de vraag is. Zal het werken?

Mijn dns server krijgt het opgelost. Maar wat als queries naar die van google.nl word doorgestuurd. Ze komen dan bij google terecht die het weer doorstuurt naar root. vervolgens naar .nl. vervolgens weer bij echt-middelpunt.nl van hostnet? Krijgen we dan geen loop?

Hoe zit dit nu. Wat is de beste manier om dit aan te pakken?

ITGuy1990

 

[dnties]

Dit gaat niets worden: Per slot van rekening is de DNS server van Google geen DNS server van jouw domeinnaam, dus ook (al helemaal) niet een authoritieve DNS server.

Geeft ns2.echt-middelpunt.nl als A record gewoon hetzelfde (publieke) ip-adres als dat je als A record bij ns1.echt-middelpunt.nl hebt ingesteld.

Tijs.

 

[ITGuy1990]

Dankjwel

Ok. Ik heb de naam verhuist naar transip.
Daar kan ik wel de naamservers instellen zoals ik wil. Het is dus de bedoeling dat ik mn eigen nameserver ga gebruiken.

Om dit voor elkaar te krijgen denk en doe ik op deze manier:

.nl heb ik niet in beheer. Dat is van SIDN.
- echt-middelpunt.nl heb ik gekocht bij transip.nl
- transip heeft mijn domeinnaam geregistreerd bij SIDN. tevens hebben ze hun nameservers gekoppeld aan die naam.
- via de webinterface van transip kan ik records instellen.

Ik wil hun nameserver niet gebruiken maar die van mij dus:
- Geef ik via de webinterface van hun door dat ze niet meer hun nameservers moeten gebruiken. Mijn nameserver zit op IP 84.28.61.23.
- Ik realiseer me dat ik deze records niet kan aanmaken op de .nl servers:
echt-middelpunt IN NS ns1.echt-middelpunt.nl
ns1.echt-middelpunt.nl IN A 84.28.61.23

- Omdat ik dat niet kan moet ik bij transip de eerste nameserver veranderen naar 84.28.61.23
- dan is er wel een record op .nl: echt-middelpunt.nl IN NS 84.28.61.23

- Vervolgens kan ik op mijn eigen nameserver aangeven met een cname record dat hij ook www is.
www IN CNAME @

Kloppen deze beredeneringen? Of denk ik helemaal scheef.

#EDIT fout beredeneerd schijnbaar. Ik kan de eerste nameserver bij transip staat niet veranderen naar 84.28.61.23. Volgensmij moet dat persee een domeinnaam zijn. Nu ben ik helemaal in de war.

 

[dnties]

Stel die vraag aan Transip, zou ik zeggen. Er moet namelijk (zoals je correct constateert) in de .nl zone een glue record worden aangemaakt naar waar de authoritieve DNS is gehost (jouw ip-adres, dus).
Dat is inderdaad iets wat jij niet kunt/mag doen.

Tijs.

 

[andre@home]

Waarom wil je eigenlijk je eigen DNS server als er goede beschikbaar zijn, je kunt die van je provider gebruiker niet die van Google zodat zij niet al jouw verkeer monitoren... Dat laatste doet de NSA wel.. dus daarom hoef je het zelf niet te doen...

 

[dnties]

Ik ben het met andre eens: Als bij mijn hosting-/domeinpakket zou zitten het hosten van (publieke) DNS door een provider dan zou ik dat altijd doen.
O.a. omdat:
a. Je hebt maar 1 dns-server, en je niet wilt dat als die crasht/onbereikbaar is etc. dat er dan helemaal geen DNS meer is
b. Je dan geen firewall/portforwarding zaken hoeft te regelen m.b.t. toegang geven tot je DNS server
c. Er dan geen ddos aanval op je DNS poort kan plaatsvinden (wel het minste van de 3 problemen, maar toch maar even gemeld)

Tijs.

 

[ITGuy1990]

Hartelijk dank

Allereerst hartelijk dank voor jullie discussie.

Waarom dat ik dit doe? Ik ben ICTer en ik studeer daarbij ook nog. Ik heb een enorme behoefte om me veel dingen eigen te maken. Ik moet gewoon weten hoe het in elkaar zit. Zo voelt het.

Dan nog even een update. Bij transip kon ik wel het IP adres opgeven van mn nameserver. Eerst moest ik de fqdn opgeven naar mn dns server en dan het glue record naar de server. Dat is een A record met het ip naar de nameserver. Dus via transip kon ik toch mn glue record aanpassen bij de .nl nameservers.

De servers die ik heb zijn niet "mission critical". Meer of minder een experiment van langere duur met leuke features.

Jullie hebben alle goede argumenten. Ik heb het nu dusdanig geregeld dat mijn server de primary server is en dat ik nog 2 nameservers gebruik van transip als backup. Portforwarding / nat en basic security zit wel goed denk ik. Daar ga ik nog eens over denken en eventueel nog wat dingen aanpassen.

Momenteel is het wachten totdat de refreshes geweest zijn en hopen dat alles goed is ingesteld
Ik denk dat ik het nu wel geregeld krijgt. Dankjewel allemaal! Super!

 

[dnties]

Toch nog 3 tips/opmerkingen:
a. Je kunt gewoon met split dns werken, oftewel een lokale DNS server hebben voor eigen gebruik waar je (ook) een (in jouw geval) .nl DNS-zone hebt ingericht, maar dan met lokale adressen als A records (voor zover het lokale servers betreft die een ip-adres in de 192.168.x.x of 10.x.x.x reeks hebben), terwijl je publieke DNS buiten je eigen netwerk belegt.

Dat geeft ook meteen aan welk probleem ik voorzie met eigen publieke DNS hosting: Je lokale server(s) kunnen geen gebruik van maken van die DNS server, want er komen alleen publieke ip-adressen in voor.
[Dit probleem is er natuurlijk niet als je een blok publieke ip-adressen hebt en elke server (ook) zo'n publiek ip-adres uit het blok toegekend hebt.]

Ander wordt het tóch split dns, maar dan met 2 dns servers van jou: Eentje richting Internet met publieke DNS hosting en eentje voor puur lokaal gebruik (met lokale ip-adressen).

b. Mocht je (na de refresh periode) het resultaat bereikt hebben dat je wilde, dan graag nog je vraag als opgelost aangeven: Log in op het forum en klik dan (in deze discussiedraad) op "Zet status opgelost" op de donkerblauwe balk, bijna bovenaan deze webpagina [die met "Zet status opgelost", "Onderwerp opties" etc.]

c. Graag gedaan voor wat betreft de tips & discussie.

Tijs.

 

[ITGuy1990]

Ik zal de status op opgelost zetten wanneer het ook opgelost is. Ik beloof het

Ik begrijp je split dns met een lan dns en een publiek dns. Maar dat eerste voorbeeld niet echt.

Je lokale server(s) kunnen geen gebruik van maken van die DNS server, want er komen alleen publieke ip-adressen in voor.

Kun je een "flowchart achtige" uitleg geven hierover?

 

[dnties]

Ik schets je wat ik bedoel in een voorbeeld:
Stel:
Je hebt een NAT router, dus 1 publiek ip-adres
Je hebt enkele servers, waaronder een DNS server, een webserver én een SQL/MySql server
Je DNS server host een .nl domein
Je hebt portforwarding van poort 53 TCP+UDP (=DNS) en poort 80 (=webserver) geregeld in je router
Dan kan de webserver geen gebruik maken van de .nl entries voor jouw domein in de DNS server voor toegang tot de SQL server, want de DNS server bevat alleen publieke ip-adressen, terwijl (bij zo'n 80% van de 'simpele' thuisrouters het geval) je niet 'naar buiten en weer naar binnen' kunt (dus een publiek ip-adres gebruiken dat je hebt geforward naar hetzelfde LAN).
Dat is wat ik bedoelde.
Natuurlijk kun je (zéker in een simpel netwerk):
a. met 'harde' ip-adressen werken in je webserver om toegang te krijgen tot de SQL server (of foezelen met een hosts bestand waar de lokale ip-adressen aan een FQDN worden gehangen).
b. een private zone maken (bijv. met TLD .local of .lan of zoiets) en daar de lokale ip-adressen van je servers in onderbrengen en díe laten gebruiken.

Je hebt ook geen probleem als webserver en SQL server 1 en dezelfde server zijn, dus dat 127.0.0.1 / localhost voldoende is om te gebruiken.

Wél heb je een probleem om vanaf pc's/laptops op je webserver te komen, tenzij die met harde ip-adressen / hosts bestand werken óf (weer) gebruik maken van de private zone ipv. de .nl zone om erbij te komen.

Tijs.

 

[ITGuy1990]

Prachtig

Prachtige uitleg. Super. Begrijp het helemaal.
Wat ik niet wist is dat je niet van binnen naar buiten en dan weer terug kan.

Zeg je ook dat dat met sommige nat apparaten wel kan? Niet dat ik dat persee wil ofzo.

 

[dnties]

Gevonden. Vlgs. Laurens1 kan een Linksys E2000 wel via publiek/WAN ip-adres vanaf het LAN gebruikt worden als op dat zelfde LAN (via portforwarding) servers bereikbaar zijn op publieke/WAN ip-adres.
Zie Posting #7 op deze link

Toch is dat een ietwat vreemd verhaal van die Laurens1, want... De E2000 is geen ADSL routermodem maar een gewone breedband router. Dat betekent dat de (router-)modem van de provider die daar vóór staat blijkbaar in bridging mode staat, zodat de Linksys het publieke ip-adres krijgt.
Dus dit heeft voor jou alleen zin als bij jou ook een (router-)modem van de provider staat die alleen als bridge functioneert (of zodanig is in te stellen; ik geloof dat dat bij (bijv.) bij Ziggo Cisco EPC routermodems ingesteld kan worden) en daar dan achter zo'n Linksys E2000.

Tijs.

 

[ITGuy1990]

Het werkt!

Ok. Volgens mij staat ons ziggo ubee modem standaard al in bridging mode. Maar in principe moet ik hier nu niet meer teveel mee klooien want vandaag is ons glasvezel modem geïnstalleerd. Zeer binnenkort dus op glasvezel. Dan gaan we dan wel puzzelen. voor nu ga ik nog een 2de lan dns server maken denk ik.

De DNS server werkt nu prima. Ik had contact opgenomen met ziggo. De eerste normale particuliere helpdesk wist me geen antwoord te geven op de vraag welke poorten bij hun standaard gesloten waren. Ik vermoedde namelijk dat poort 53 dichtstond bij de provider. De 2de lijns helpdesk wist me ook geen duidelijk antwoord te geven. Ze wisten gewoon zelf niet welke poorten open en dicht stonden. Best wel erg hé .

Maar goed, ik had een foutje in de configuratie gemaakt. Ik gebruik BIND named als nameserver en er staat daar een optie "listen-on port". Direct daarachter stond poort 53 gevolgd door { 127.0.0.1 }
tussen die brackets heb ik het IP van de naamserver toegevoegd waarna hij naar alles luistert.
De regel is dus listen_on port 53 { 127.0.0.1; server_ip_hier}

De rest van de puzzeltjes kan ik denk ik zelf wel aan. Nogmaals hartelijk dank allemaal voor jullie bijdrage. :thumb:

Mocht iemand in de toekomst nog een probleem hebben met een BIND nameserver, er is nog een ding wat je zeker niet moet vergeten in te stellen. Namelijk de firewall.
Heb je bijvoorbeeld IPtables dan maak je met deze opdracht een uitzondering voor poort 53 op TCP en UDP. Dat kan op meerdere manieren. Deze vind ik de fijnste:

1. Ga naar /etc/sysconfig
2. voeg onderstaande regels toe boven de regels die met -A INPUT beginnen
3. -A INPUT -p udp -m udp --dport 53 -j ACCEPT
4. -A INPUT -p udp -m tcp --dport 53 -j ACCEPT
5. -Sla het bestand op. De regels zijn direct actief.

 

[ITGuy1990]

#EDIT

Verkeerd gepost bericht. Wou nieuw topic aanmaken maar poste perongeluk op deze plek.

Excuses.

 

[huijb]

@ Jawiweb Dit topic is gedateert. Reageren in een oud topic is niet relevant en ook niet gewenst. Topic gaat op slot. De regel luid: topics
ouder dan drie maanden mogen met rust gelaten mag worden.