Differences

This shows you the differences between two versions of the page.

--- project:dns-axfr-tsig [2016/11/09 19:34] – created 37.209.107.175
+++ project:dns-axfr-tsig [2016/11/16 10:52] (current) – 37.209.107.175
@@ Line 37: / Line 37: @@
 <code>
-	allow-transfer { !{ !10.0.0.1; any; }; key "key-name"; ;};
+	allow-transfer { !{ !10.0.0.1; any; }; key "key-name"; };
 </code>
 Das ist grob die syntaktisch etwas verbastelte Ansage:
-"Sperre (!), was die folgende Bedingung erfüllt:
-        NICHT (!) 10.0.0.1
+	Sperre (!), was die folgende Bedingung erfüllt:
-	oder
+			NICHT (!) 10.0.0.1
-		beliebig (any)
+		oder
-"
+			beliebig (any)
 Damit werden alle Requests abgewiesen, die NICHT 10.0.0.1 entsprechen,
 ohne fuer 10.0.0.1 eine Entscheidung getroffen zu haben.
 Anschließend kann der Request bei passendem Key verifiziert werden,
 womit die gewünschte AND-Verknüpfung erreicht ist.
+Für ausschliesslichen TSIG-Betrieb ist das ausreichend.
+=== Alternative Authorisierung mit TSIG oder IP-Adresse ===
+Soll parallel ebenfalls mit nur der IP-Adresse des Clients
+authorisiert werden koennen, ergeben sich zwei Moeglichkeiten:
+  * die zur Authorisierung hinreichenden IP-Adressen werden vorgenannt:
+<code>
+	allow-transfer {
+.0.1.1;
+:1:1::1;
+		!{ !10.0.0.1; any; }; key "key-name";
+	};
+</code>
+  * der Ausdruck fuer den Key wird gekapselt:
+<code>
+	allow-transfer {
+		{ !{ !10.0.0.1; any; }; key "key-name"; };
+.0.1.1;
+:1:1::1;
+	};
+</code>
+=== Authorisierung fuer mehrere IP-Adressen mit dem selben Key ===
+<code>
+	allow-transfer {
+		!{ !10.0.0.1; !10.0.0.2; any; }; key "key-name";
+	};
+</code>
 ==== Namen der Schlüssel ====
@@ Line 74: / Line 111: @@
 Ich habe mich schließlich entschieden für das Schema:
 <code>
-	k..<mydnsfqdn>..<remotednsfqdn>
+	k..<mydnsfqdn>--<remotednsfqdn>
+</code>
+für einzelne Secondary-DNS bzw. für multiple Secondaries:
+<code>
+	k.<mydnsfqdn>--<remotedomain>
 </code>
+Das Trennstring "<nowiki>--</nowiki>" ergab sich aus der Anforderung, die Domainnamen voneinander zu trennen.
 ===== Erzeugen und Ausrollen der TSIG Keys =====
+** Dies sind Notizen, die ich waehrend der Einrichtung gemacht habe, **
+** diese sind nicht unbedingt korrekt oder vollstaendig!  **
+Auf dem Primary DNS:
+<code>
+AXFRSERVER="ns.mydoma.in"
+AXFRSERVERIPS="10.0.0.1 fc00::6e73"
+AXFRCLIENT="provider.net"
+AXFRCLIENTIPS="10.1.0.1 10.2.0.1 10.3.0.1"
+KEYID="k.$AXFRSERVER--$AXFRCLIENT"
+echo $KEYID
+DIR=$( mktemp -d /tmp/tsig-XXXXXXXX )
+ls -ld $DIR
+cd $DIR
+KEYFILENAME=$(
+    dnssec-keygen -a HMAC-SHA512 -b 512 -n HOST -r /dev/urandom "$KEYID"
+)
+echo $KEYFILENAME
+KEY=$(
+    awk '$1 == "Key:" { print $2 }' $KEYFILENAME.private
+)
+echo $KEY
+cd -
+rm -rf "$DIR"
+touch /etc/bind/$KEYID
+vo -o /etc/bind/$KEYID
+cat << EOF > /etc/bind/$KEYID
+key "$KEYID" {
+ algorithm HMAC-SHA512;
+ secret "${KEY}";
+};
+// only the secondary needs those
+// but so we have one file generated for both roles
+EOF
+for i in $AXFRSERVERIPS ; do
+cat << EOF >> /etc/bind/$KEYID
+//#server $i {
+//# keys { "$KEYID"; };
+//#};
+EOF
+done
+cat /etc/bind/$KEYID
+vo -i /etc/bind/$KEYID
+vo /etc/bind/named.conf.local
+	+include "/etc/bind/k.ns.mydoma.in--provider.net";
+vo /etc/bind/named.conf.local
+	acl zone-xfer-allowed {
+		+{ !{
+		+		!10.1.0.1; // from $AXFRCLIENTIPS
+		+		!10.2.0.1; // from $AXFRCLIENTIPS
+		+		!10.3.0.1; // from $AXFRCLIENTIPS
+		+		any; // catchall
+		+}; key "k.ns.mydoma.in--provider.net"; };
+# load new config:
+rndc reconfig
+</code>
+Auf den Secondary DNS:
+  * Kopieren der Datei /etc/bind/k.ns.mydoma.in--provider.net vom Primary DNS
+<code>
+AXFRSERVER="ns.mydoma.in"
+AXFRCLIENT="provider.net"
+KEYID="k.$AXFRSERVER--$AXFRCLIENT"
+echo $KEYID
+vo -o /etc/bind/k.ns.mydoma.in--provider.net
+sed -i 's:^//#::' /etc/bind/k.ns.mydoma.in--provider.net
+vo -i /etc/bind/k.ns.mydoma.in--provider.net
+vo /etc/bind/named.conf.local
+	+include "/etc/bind/k.ns.mydoma.in--provider.net";
+# load new config:
+rndc reconfig
+</code>