Forum Turris
Fórum Turris Nápověda

Milí majitelé routerů Turris,

toto fórum bylo 9. 12. 2016 zmrazeno a nahrazeno naším novým Turris fórem. Ještě chvíli bude dostupné k prohlížení, ale již zde není možné přispívat. Více informací naleznete v oznámení o uzavření fóra.

Dear Turris routers users,

this forum has been frozen on Dec 9th, 2016 and replaced by our new Turris forum. It will be read-only accessible for some time after. For more information, read the announcement about closing the forum.

Nahoru Téma Majitelé routerů / Technická podpora / Podpora lokálních domén (.local) v DNS
- - Od Jakub Bouček Dne 2014-03-18 13:53
Psal jsem to na mail podpory, ale ještě jednou pro ostatní uživatele:

Dobrý den,

dnes jsem dočasně připojil Turris router jako podřízený bod v kanceláři, kde jej s kolegy zkoušíme provozem otestovat v zátěži a narazili jsme na to, že nepřekládá naše lokální doménová jména, která máme provozovaná pod lokální doménou .ccl

Zkusil jsem vypnout forwardvání, zadat ccl do místní sitě, ale stále neodpovídá. Tedy přesněji:
Burns:~$ nslookup
$ gitlab.ccl
Server:    192.168.1.1
Address:  192.168.1.1#53

** server can't find gitlab.ccl: NXDOMAIN

Uměli byste mi poradit, jak nejlépe to nastavit? Ideálně bych si představoval, že mi bude router pomáhat bezpečně fungovat s DNSSEC vůči vnějšímu světu a pro všechny .ccl domény použite místní resolver získaný z DHCP.

Díky.

PS: Chtělo by to nějaký tag pro zobrazení výstupu v terminálu, tt nebere víceřádkové texty :-(
Nadřazený - - Od Michal Vaner (>>) Dne 2014-03-18 15:18 Hlasů 2
Dobré ráno

Napřed vysvětlení, co se děje. V případě, že je forwardování vypnuté router (unbound na něm běžící) posílá dotazy přímo na veřejné nameservery. Od nich samozřejmě informace o té lokální doméně nedostane.

Pokud je forwardování zapnuté, router posílá dotazy přes DNS server, který dostal od DHCP. A ten mu (předpokládám) předá i informace o doméně .ccl. Ale, protože ověřuje DNSSEC, tak se pokusí doptat v kořenové zóně na podpis na .ccl. A ten neexistuje (tedy, neexistuje ani podpis co ho potvrzuje, ani podepsaná informace, která říká, že existuje taková doména, ale je nepodepsaná, jediné co existuje, je podepsaná informace, že žádné .ccl neexistuje). Unbound tedy detekuje pokus o podstrčení neplatných informací a ty ignoruje.

Co je potřeba je unboundu říct, že informace v této doméně ověřovat nemá, pomocí domain-insecure. Tohle nastavení již, bohužel, vyžaduje přístup přímo přes příkazovou řádku: https://www.turris.cz/doc/navody:ssh. V souboru /etc/config/unbound přidejte do sekce includes řádek list include_path "/etc/unbound/lan.conf". Do souboru /etc/unbound/lan.conf uložte přiloženou sekci server. Mohlo by to takto nějak fungovat, ale nemám to teď na čem vyzkoušet.

Jinak, pro ten terminál ‒ chcete funkci „Neformátovaný text“. 
server:
        domain-insecure: "ccl." # Neověřovat
        private-domain: "ccl." # Povolit, aby obsahovala privátní adresy
Nadřazený - Od Jakub Bouček Dne 2014-03-19 12:39
Dorbý den,

nastavení jsem zkusil, ale nefunguje, na privátní domény .ccl stále odmítá odpovědět.

Nevadí, nebudu to dále řešit, umístění routeru v kanceláři je pouze dočasné (mimo to odporuje smlouvě) jen pro potřeby oveření funkčnosti a doma privátní domény nepoužívám. Ale i tak díky za pomoc.
Nadřazený - - Od Matej Svoboda Dne 2014-03-28 08:16
Dobry den,
tento postup opravdu nefunguje - zkousel jsem to i ja.

V mem pripade bych rad pozadal o radu jak zprovoznit preklad lokalni domeny (TLD), protoze jsem doma pripojen pres jednu z CZFree siti. Ta poskytuje svym clenum sluzby v lokalni domene *.czf na IP adresach v siti 10.0.0.0/8.

Predem dekuji.
Nadřazený - Od Bedřich Košata Dne 2014-03-28 09:05
Přidal jsem ověřený postup pro .czf. Není problém v kroku 3, tedy nutnosti restartovat resolver? Matoucí také může být uvedení adresy "czf." v konfiguračním souboru, nikoli ".czf".
Nadřazený - - Od Bedřich Košata Dne 2014-03-28 09:02 Hlasů 1
Právě jsem v rámci sítě, kde se resolvují .czf domény ověřil, že následující postup funguje:

1. Do /etc/config/unbound přidat následující tučně vyznačnou řádku:

config unbound includes
    #list include_path "/etc/unbound/unbound-part.conf"
    list include_path "/etc/unbound/user.conf"


2. vytvořit soubor /etc/unbound/user.conf s obsahem:

server:
        domain-insecure: "czf."
        private-domain: "czf."


3. restartovat resolver unbound:

/etc/init.d/unbound restart

Výsledkem je funkční resolving:

root@turris:/etc/config# nslookup www.klfree.czf
Server:    127.0.0.1
Address 1: 127.0.0.1 localhost

Name:      www.klfree.czf
Address 1: 81.201.48.2 cygnus.klfree.net
Nadřazený - Od Quantim Dne 2014-04-02 20:57
druhá možnost je zapnout podporu pro validovaní DNSSECu pro zónu czf a ručně přidat jejich klíč

server:
        trusted-keys-file: /etc/unbound/keys.czf

a obsah serveru keys.czf je:

trusted-keys {
   "10.in-addr.arpa."   257 3 8 "AwEAAeVA9HtvWdG96GO7FPZMaDNH3mt+rtc40mpCH1k2nLGzmumq/1a3lmwqR+HgYHr7aLWxqbzJzMt5tMVgHONQZPe0970hntfARCPHNfy4ex7rWE47eNlxN8A/X3nLbeM/XLoz+ppGBMYqI5TlaLALh2UyHjMn+9POq1SEUY3CSxWVvbmeOqjHA+WRV40egvjo+6aGxDkUx0dBriM8ylW0YIGzGcRrrQPKb9ycUDwc0sJYVMwGVCp3WmqMj49e86WeuZYNA2qYFOxFs4dSUJrcTLicAMEygmBQew8BK/QlTj6hh+sIgo6Mys9thBc9C7vE5yPg4dKmYnB6taBsTVbKfW8=";
      "czf."            257 3 8 "AwEAAa4yaNLcWIm19dHN+uaQT8QfWNKwrs2KqCLGBfUBC+DkyU38dip8E3vUTFyWLSkpDmEWf9sX7CdgqwsIRnh+jiAZojS3dGNcsLzdB8Zm62440KVTeNQ/EQ7l7qjQN19AxHkIovK1zN03rzqa7YxoLO7ONyU2k1fByMAcze2mOM/GGaGrYQthWVZO8sPy9T4wouy8ZBUN57YAnFdEtrsA5sxb6wP8TDBmSdKbwcFU2uWfb2Hq47r1zpdc90R2sMXxrz1UNwqRgcK1kLMNcTKqUvSAGEbIBvo7Si6LvWLZPJN4Y6RjlFTSJ8ZnShX3DXe+uMpUiwy23ZeyIWVol2KKxaM=";
      };


zdroj: http://nic.czfree.net/

Pokud nastane problém s resolverem poskytovatele v kombinaci s DNSSECem, je možno vypnout forwardování. I v tomto případě je možno zprovoznit zónu czf pomocí řádků:

forward-zone:
        name: "czf."
        forward-addr: 10.253.33.170
        forward-addr:  10.15.0.1
        ...


do položky forward-addr se doplní adresy z výše zmíněného odkazu, nebo serverů poskytovatele, které jsou k nalezení v souboru

/var/resolv.conf.auto
Nadřazený - Od MilanMr Dne 2014-04-28 08:59
Tohle jsem zkoušel, výsledek: na žádné domény jsem se nedostal.
Nadřazený - - Od vasam Dne 2014-05-01 17:45
Jak by se to konkrétně řešilo s tím, že by Turris měl být částečně sám resolverem? Chci, aby určitá TLD (třeba local) byla směrovaná na nějakou vnitřní IP, přičemž na vše ostatní se použije DNS od ISP. Je toto možné jen s dnsmasq nebo bude nutné nainstalovat nějaký DNS server (třeba MaraDNS)?
Nadřazený - - Od hybner Dne 2014-05-01 18:11
Resilo se to zde: https://www.turris.cz/forum/topic_show.pl?pid=533
Nadřazený - Od vasam Dne 2014-05-02 18:09
Díky moc. Už i mně to funguje.
Nahoru Téma Majitelé routerů / Technická podpora / Podpora lokálních domén (.local) v DNS

Powered by mwForum 2.29.3 © 1999-2013 Markus Wichitill