Bind9 -> rndc konfigurieren

[schwiz]

Aus einem Nachbarthread:
http://netalyzr.icsi.berkeley.edu/index.html
mal ausprobieren.

Danke den Tip mit dem Netalyzr der Server unterstützt blöderweise kein Java ist halt ohne GUI. Vermute mal, dass es daran liegt das nur NAT und nicht PAT zur Anwendung kommt eventuell ist das schon das Problem deswegen wird für den DNS-Server keine UDP-Verbindung unterstützt.

Man kann auch einzelen iPs einer Reversezone nach unten (also zu Dir) delegieren und nicht die komplette Reversezone mit den 256 Einträgen (nehme mal an, Du benutzt nicht das komplette Class-C-Band des Providers
denke aber nicht, dass er - Dein Provider - da mitspielt.

Was heisst das? Es ist einfach nicht möglich mein ISP besitzt diese Zone und fertig? Wenn ich eine eigene Zone will müsste ich mir einen eigenen IP-Range mieten. Was wiederrum als Einzelperson weder möglich noch verhältnismässig ist? Weiter heisst das mein DNS-Server läuft und kann nur IP-Adressen in Namenauflösen jedoch nicht in Umgekehrter Reihenfolge.

Wo ist eigentlich die Weiterleitung der dynamischen IP zum internen DNS Server konfiguriert ?
Ich würde den "Fehler" mal dort suchen. Solltest Du mehr als einen Rechner hinter dem Router haben, dann lautet das Zauberwort PAT -> http://de.wikipedia.org/wiki/Port_Address_Translation

Danke für deinen Tip ich studier das mal und melde mich dann wieder.

[schwiz]

Wo ist eigentlich die Weiterleitung der dynamischen IP zum internen DNS Server konfiguriert ?
Ich würde den "Fehler" mal dort suchen. Solltest Du mehr als einen Rechner hinter dem Router haben, dann lautet das Zauberwort PAT -> http://de.wikipedia.org/wiki/Port_Address_Translation

Ja das ist auch so, ich habe mehrere Server hinter meinem Router und ich verwende momentan nur NAT. Aber was ist die Erklärung dazu das nur über UDP keine Requests bearbeitet werden können jedoch mit TCP gehts? Kann das ein Problem von NAT sein?

Verstehe nicht so ganz wofür dieses PAT eingesetzt wird. Wenn ich "89.219.111.111:53" eingebe will ich doch errreichen, dass der Router weiss, dass der Server gemeint ist welcher den Dienst "DNS" bedient, also schicke ich die Anfrage dorthin. Wofür benötigt ich also noch zusätzliche Angeben? Sehr kompliziert die Sache... Was ich mal verstehe ich, dass wenn ich den eine Verbindung zu 83.123.123.123 (beispiel) und dem Port 80 herstellen will. Öffnet mein Router auf WAN-Seite irgendeinen freien Port z.B 6001 danach wird auf Seite von LAN ebenfalls irgend einen freien Port ausgesucht und eine Verbindung herzustellen. Ich vermute jetzt mal das in diesem Datenpaket bereits die Quell und Ziel IP definiert sind.

Habe ich das soweit mal richtig verstanden?

Es wird doch immer PAT eingesetzt sonst kann ja pro Verbindung auf z.B diese IP-Adresse 83.1211.22.22 mit Port 80 nur eine Verbindung aufgebaut werden da der Port bereits blockiert wird durch eine andere Anfrage eines anderen anfrangenen Clients?
http://de.wikipedia.org/wiki/Network_Ad ... Source_NAT wird dort doch auch PAT benutzt. In diesem Beispiel werden ja auch nicht nur IP-Adresse sondern Ports umgeschrieben also werden in NAT auch immer Ports umgeschriben?

Als nächstes würde ich kontrollieren auf welchen Ports der bind lauscht:

Code: Alles auswählen

netstat -tulpen | grep named

Hier das Ergebnis:

Code: Alles auswählen

root@webserver2:~# netstat -tulpen | grep named
tcp        0      0 192.168.1.39:53         0.0.0.0:*               LISTEN      102        3741        968/named
tcp        0      0 127.0.0.1:53            0.0.0.0:*               LISTEN      102        3551        968/named
tcp        0      0 127.0.0.1:953           0.0.0.0:*               LISTEN      102        3562        968/named
tcp6       0      0 :::53                   :::*                    LISTEN      102        3546        968/named
udp        0      0 192.168.1.39:53         0.0.0.0:*                           102        3740        968/named
udp        0      0 127.0.0.1:53            0.0.0.0:*                           102        3550        968/named
udp6       0      0 :::53                   :::*                                102        3545        968/named

Und poste mal deine named.conf.local sowie named.conf.options

Config von named.conf.local:

Code: Alles auswählen

//
// Do any local configuration here
//

// Consider adding the 1918 zones here, if they are not used in your
// organization
//include "/etc/bind/zones.rfc1918";

zone "nicichat.tk." {
type master;
file "/etc/bind/db.nicichat.tk";
};

zone "1.168.192.in-addr.arpa" {
type master;
file "/etc/bind/db.tk.nicichat";
};

Config von named.conf.options:

Code: Alles auswählen

options {
	directory "/var/cache/bind";

	// If there is a firewall between you and nameservers you want
	// to talk to, you may need to fix the firewall to allow multiple
	// ports to talk.  See http://www.kb.cert.org/vuls/id/800113

	// If your ISP provided one or more IP addresses for stable 
	// nameservers, you probably want to use them as forwarders.  
	// Uncomment the following block, and insert the addresses replacing 
	// the all-0's placeholder.

	// forwarders {
	// 	0.0.0.0;
	// };

	auth-nxdomain no;    # conform to RFC1035
	listen-on-v6 { any; };
};

Gruss
Nicolas

[schwiz]

Hallo dufty

Kannst du mir bitte weiterhelfen?

Danke.

[HZB]

Du musst auf dem Router/Firewall folgendes einstellen:

externe IP Port 53 TCP und UPD wird weitergeleitet an Deinen internen DNS Server. z.B:

Code: Alles auswählen

83.219.113.136 -> 192.168.1.10

Dann könntest Du auch noch einen Webserver haben mit der gleichen externen IP aber intern wird es an einen anderen Server weitergeleitet. z.B:

Code: Alles auswählen

83.219.113.136 -> 192.168.1.12

Somit öffnest Du extern nur die Ports auf der gleichen IP und intern verteilst Du sie an verschiedene Server.

Dann sollte der DNS erreichbar sein. Die Einträge müssen allerdings noch korrigiert werden. Gleiche IP und unterschiedliche namen wird wohl nicht gehen:

http://www.dollardns.net/cgi-bin/dnscra ... ery#report

Und poste mal die zonendatei von nicichat.tk

[schwiz]

Du musst auf dem Router/Firewall folgendes einstellen:

externe IP Port 53 TCP und UPD wird weitergeleitet an Deinen internen DNS Server. z.B:

Code: Alles auswählen

83.219.113.136 -> 192.168.1.10

Dann könntest Du auch noch einen Webserver haben mit der gleichen externen IP aber intern wird es an einen anderen Server weitergeleitet. z.B:

Code: Alles auswählen

83.219.113.136 -> 192.168.1.12

Somit öffnest Du extern nur die Ports auf der gleichen IP und intern verteilst Du sie an verschiedene Server.

Die Frage ist nur wo ich das so eingeben soll. Bei NAT kann ich nur eine IP-Adresse anngeben diese muss ja aus dem LAN stammen und anschliessend einen Port. So wie du mir sagst kann ich das ja nirgends eingeben. Kleine Info habe eine neue IP-Adresse: 83.219.118.174 habe sie bereits unter nicichat.tk geändert.

Dann sollte der DNS erreichbar sein. Die Einträge müssen allerdings noch korrigiert werden. Gleiche IP und unterschiedliche namen wird wohl nicht gehen:
http://www.dollardns.net/cgi-bin/dnscra ... ery#report

Meinst du die IP-Adresse vom ns02.nicichat.tk darf nicht auch die gleiche IP-Adresse sein wie beim ns01?

Und poste mal die zonendatei von nicichat.tk

Code: Alles auswählen

;; db.nicichat.tk
;; Forwardlookupzone für nicichat.tk
;;
$TTL 3600
@       IN      SOA     ns01.nicichat.tk. hostmaster.nicichat.tk. (
    2014122601 ; serial
    3600       ; refresh
    1800       ; retry
    604800     ; expire
    600  )      ; ttl

@ 1800 IN NS ns01
;@ IN NS ns02

ns01 1800 IN A 83.219.118.174
ns02 IN A 83.219.118.174
nicichat.tk. 1800 IN A 83.219.118.174
www.nicichat.tk. 1800 IN A 83.219.118.174

Im Beitrag http://debianforum.de/forum/viewtopic.p ... 4#p1025846 hatte ich noch einen lange Frage bezüglich PAT kannst du mir diese bitte noch beantworten:

HZB hat geschrieben:
Wo ist eigentlich die Weiterleitung der dynamischen IP zum internen DNS Server konfiguriert ?
Ich würde den "Fehler" mal dort suchen. Solltest Du mehr als einen Rechner hinter dem Router haben, dann lautet das Zauberwort PAT -> http://de.wikipedia.org/wiki/Port_Address_Translation

Ja das ist auch so, ich habe mehrere Server hinter meinem Router und ich verwende momentan nur NAT. Aber was ist die Erklärung dazu das nur über UDP keine Requests bearbeitet werden können jedoch mit TCP gehts? Kann das ein Problem von NAT sein?

Verstehe nicht so ganz wofür dieses PAT eingesetzt wird. Wenn ich "89.219.111.111:53" eingebe will ich doch errreichen, dass der Router weiss, dass der Server gemeint ist welcher den Dienst "DNS" bedient, also schicke ich die Anfrage dorthin. Wofür benötigt ich also noch zusätzliche Angeben? Sehr kompliziert die Sache... Was ich mal verstehe ich, dass wenn ich den eine Verbindung zu 83.123.123.123 (beispiel) und dem Port 80 herstellen will. Öffnet mein Router auf WAN-Seite irgendeinen freien Port z.B 6001 danach wird auf Seite von LAN ebenfalls irgend einen freien Port ausgesucht und eine Verbindung herzustellen. Ich vermute jetzt mal das in diesem Datenpaket bereits die Quell und Ziel IP definiert sind.

Habe ich das soweit mal richtig verstanden?

Es wird doch immer PAT eingesetzt sonst kann ja pro Verbindung auf z.B diese IP-Adresse 83.1211.22.22 mit Port 80 nur eine Verbindung aufgebaut werden da der Port bereits blockiert wird durch eine andere Anfrage eines anderen anfrangenen Clients?
http://de.wikipedia.org/wiki/Network_Ad ... Source_NAT wird dort doch auch PAT benutzt. In diesem Beispiel werden ja auch nicht nur IP-Adresse sondern Ports umgeschrieben also werden in NAT auch immer Ports umgeschriben?


Vielen Dank und liebe Grüsse
Nicolas

[schwiz]

dufty2 oder HZB? Jemand eine Idee?

Danke.

[dufty2]

Nope, keine Idee.
Momentan scheint weder TCP noch UDP zu gehen:

Code: Alles auswählen

$ dig +tcp ns nicichat.tk @83.219.118.174
;; connection timed out; no servers could be reached

$ dig +notcp ns nicichat.tk @83.219.118.174
;; connection timed out; no servers could be reached

[HZB]

Die Frage ist nur wo ich das so eingeben soll. Bei NAT kann ich nur eine IP-Adresse anngeben diese muss ja aus dem LAN stammen und anschliessend einen Port. So wie du mir sagst kann ich das ja nirgends eingeben. Kleine Info habe eine neue IP-Adresse: 83.219.118.174 habe sie bereits unter nicichat.tk geändert.

Das Ganze stellt sich eher als Router Problem heraus als ein DNS Problem.
Was ist das für ein Router den Du verwendest ?
Und was ist jetzt konfiguriert ?

[schwiz]

Die Frage ist nur wo ich das so eingeben soll. Bei NAT kann ich nur eine IP-Adresse anngeben diese muss ja aus dem LAN stammen und anschliessend einen Port. So wie du mir sagst kann ich das ja nirgends eingeben. Kleine Info habe eine neue IP-Adresse: 83.219.118.174 habe sie bereits unter nicichat.tk geändert.

Das Ganze stellt sich eher als Router Problem heraus als ein DNS Problem.
Was ist das für ein Router den Du verwendest ?
Und was ist jetzt konfiguriert ?

1. ZYXEL NBG460N

2. NAT | PAT

Wenn du mehr Infos brauchst meld dich bitte.

p.s Was genau meinst du den mit PAT wie funktioniert das den nun verstehe nicht die unterschiede von PAT und NAT. (http://debianforum.de/forum/viewtopic.p ... 4#p1025846). Leider ist es auf Wikipedia so geschrieben, dass ich es als Laie mit wenig Erfahrung in diesem Bereich sehr wenig verstehe. Kannst du mir das eventuell kurz erklären was diese Unterschiede zwischen PAT und NAT sind. Das Thema an sich scheint komplizierter zu sein als von mir erwartet.


Danke.

[HZB]

Die Regeln würden eigentlich so passen.

Kann es sein, dass Du am Zyxel eine Firewall laufen hast und die Dienste nicht freigegeben sind ?

ftp://ftp2.zyxel.com/NBG-460N/user_guid ... 60_Ed4.pdf Seite 164ff.

Sieht aus dem Internet zumindest so aus:

Code: Alles auswählen

Starting Nmap 5.00 ( http://nmap.org ) at 2015-07-10 15:33 CEST
All 1000 scanned ports on 174-118-219-83.dyn.cable.fcom.ch (83.219.118.174) are filtered

Nmap done: 1 IP address (1 host up) scanned in 201.80 seconds

[schwiz]

Sorry für die späte Antwort. War noch im Urlaub und hatte noch sonstige Abwesenheiten.

Die Regeln würden eigentlich so passen.

Kann es sein, dass Du am Zyxel eine Firewall laufen hast und die Dienste nicht freigegeben sind ?

ftp://ftp2.zyxel.com/NBG-460N/user_guid ... 60_Ed4.pdf Seite 164ff.

Also die Router eigene Firewall läuft. Dienste sind keine spezifisch blockiert oder zugelassen. Siehe Screenshot: Soll ich mal versuchen UDP und TCP Port 53 zuzulassen? Welche Ports müssen sonst noch zugelasen werden?

In deinem Link (manuel Seite 164) geht es um DynDNS damit hat es ja nichts zu tun?

Code: Alles auswählen

Starting Nmap 5.00 ( http://nmap.org ) at 2015-07-10 15:33 CEST
All 1000 scanned ports on 174-118-219-83.dyn.cable.fcom.ch (83.219.118.174) are filtered

Nmap done: 1 IP address (1 host up) scanned in 201.80 seconds

Hast du dazu ein Tool installieren müssen von der Website nmpa.org oder woher hast du die zitierten Infos?

[HZB]

Also die Router eigene Firewall läuft. Dienste sind keine spezifisch blockiert oder zugelassen. Siehe Screenshot: Soll ich mal versuchen UDP und TCP Port 53 zuzulassen? Welche Ports müssen sonst noch zugelasen werden?

Was nicht erlaubt ist, wird auch nicht zugelassen.
Schalte mal UDP/TCP Port 53 frei.

[schwiz]

Also die Router eigene Firewall läuft. Dienste sind keine spezifisch blockiert oder zugelassen. Siehe Screenshot: Soll ich mal versuchen UDP und TCP Port 53 zuzulassen? Welche Ports müssen sonst noch zugelasen werden?

Was nicht erlaubt ist, wird auch nicht zugelassen.
Schalte mal UDP/TCP Port 53 frei.

Aha. Ich habe bemerkt, dass ich nur Dienste blockieren aber keine speziell zulassen kann. Ein totaler Blödsinn diese Firewall.

Wenn ich die Firewall deaktiviere sollte es ja auch gehen oder? Also muss ich die Firewall deaktivieren und danach bei intodns.com nachschauen ob der DNS-Server nun richtig funktioniert oder nicht.

Starting Nmap 5.00 ( http://nmap.org ) at 2015-07-10 15:33 CEST
All 1000 scanned ports on 174-118-219-83.dyn.cable.fcom.ch (83.219.118.174) are filtered

Nmap done: 1 IP address (1 host up) scanned in 201.80 seconds

Woher hast du diese Infos gefunden?