[GELÖST] Bind9 Zonetransfer zu Slave funktioniert nicht

[Saxenpower]

Hallo,
ich habe zu einem bestehenden Master-DNS-Server (Debian 12) einen Slave-DNS-Server (Debian 12) aufgesetzt.
named.conf.local (Slave):

Code: Alles auswählen

zone "84.55.192.in-addr.arpa" {
        type slave;                             //Secondary Slave DNS
        file "db.192.55.84";
        masters {
                192.168.1.84;                  //Master Server IP
        };
};

zone "24.109.192.in-addr.arpa" {
        type slave;                             //Secondary Slave DNS
        file "db.192.109.24";
        masters {
                192.168.1.84;                  //Master Server IP
        };
};


//Forward Zone Cache files

zone "haug.eu" {
        type slave;                             //Secondary Slave DNS
        file "eu/db.haug.eu.txt";
        masters {
                192.168.1.84;                  //Master Server IP
        };
};
...

named.conf.local (Master):

Code: Alles auswählen

zone "24.109.192.in-addr.arpa" {
        type master;
        file "/var/lib/bind/db.192.109.24";
        allow-transfer {
                127.0.0.1;                      # localhost
                192.55.84.85;                  //Allow Transfer of zone from the master server
                zone-xfer-allowed-by-ip;
        };
        also-notify { 192.55.84.85; }; //Notify slave for zone changes;
};

zone "84.55.192.in-addr.arpa" {
        type master;
        file "/var/lib/bind/db.192.55.84";
        allow-transfer {
                127.0.0.1;                      # localhost
                192.55.84.85;                  //Allow Transfer of zone from the master server
                zone-xfer-allowed-by-ip;
        };
        also-notify { 192.55.84.85; }; //Notify slave for zone changes;
};


## On the Forward zones

zone "germany.com" {
        type master;
        file "com/db.germany.com.txt";
        allow-transfer {
                127.0.0.1;                      # localhost
                192.55.84.85;                  //Allow Transfer of zone from the master server
                zone-xfer-allowed-by-ip;
        };
        also-notify { 192.55.84.85; }; //Notify slave for zone changes;
};

zone "haug.eu" {
        type master;
        file "eu/db.haug.eu.txt";
        allow-transfer {
                127.0.0.1;                      # localhost
                192.55.84.85;                  //Allow Transfer of zone from the master server
                zone-xfer-allowed-by-ip;
        };
        also-notify { 192.55.84.85; }; //Notify slave for zone changes;
};

Auf dem Slave werden unterhalb /var/cache/bind keine Zonendateien angelegt.

Auf dem Master dieser Dig-Befehl führt zu

Code: Alles auswählen

 dig +noall +answer +onesoa +multiline @192.168.1.84 192.168.1.85 axfr
; Transfer failed.

Dagegen führt auf dem Slave

Code: Alles auswählen

rndc retransfer haug.eu

zu

Code: Alles auswählen

15-Feb-2024 19:04:10.831 queries: info: client @0x7f3e7f698568 216.218.133.2#17655 (haug.eu): query: haug.eu IN SOA -E(0)D (192.55.84.85)
15-Feb-2024 19:05:29.825 general: info: received control channel command 'retransfer haug.eu'
15-Feb-2024 19:05:29.825 xfer-in: info: zone haug.eu/IN: Transfer started.
15-Feb-2024 19:05:29.829 xfer-in: info: transfer of 'haug.eu/IN' from 192.168.1.84#53: connected using 192.168.1.84#53
15-Feb-2024 19:05:29.829 xfer-in: info: zone haug.eu/IN: transferred serial 2024021501
15-Feb-2024 19:05:29.829 xfer-in: info: transfer of 'haug.eu/IN' from 192.168.1.84#53: Transfer status: success
15-Feb-2024 19:05:29.829 xfer-in: info: transfer of 'haug.eu/IN' from 192.168.1.84#53: Transfer completed: 1 messages, 13 records, 757 bytes, 0.001 secs (757000 bytes/sec) (serial 2024021501)
15-Feb-2024 19:05:29.829 notify: info: zone haug.eu/IN: sending notifies (serial 2024021501)
15-Feb-2024 19:05:45.438 queries: info: client @0x7f3e783f5b68 216.218.133.2#11613 (haug.eu): query: haug.eu IN SOA -E(0)D (192.55.84.85)

Mich stören jetzt der "Transfer fail" und die fehlenden Zonendateien auf dem Slave-Server. Ich habe die Tests mit und ohne Firewall getestet - die Firewall wirkt nicht störend.

Jetzt fehlen mir weitere Ansätze, wo das Problem liegen könnte.

Viele Grüße
Saxenpower

[bluestar]

Auf dem Master dieser Dig-Befehl führt zu

Code: Alles auswählen

 dig +noall +answer +onesoa +multiline @192.168.1.84 192.168.1.85 axfr
; Transfer failed.

Irgendwie erscheint dein Dig-Befehl fehlerhaft, du gibst als Zone 192.168.1.85 an, versuch's mal mit dig +noall +answer +onesoa +multiline -t axfr @192.168.1.84 haug.eu

[Saxenpower]

Stimmt, ich hatte diese Syntax in einem anderem Forum gelesen.
Vom Slave (192.168.1.85) aus klappt es:

Code: Alles auswählen

 dig +noall +answer +onesoa +multiline -t axfr @192.168.1.84 haug.eu
haug.eu.                3600 IN SOA ns1.germany.com. hostmaster.germany.com. (
                                2024021501 ; serial
                                28800      ; refresh (8 hours)
                                9600       ; retry (2 hours 40 minutes)
                                604800     ; expire (1 week)
                                14400      ; minimum (4 hours)
                                )...

Code: Alles auswählen

root@ns2 ~ # dig +noall +answer +onesoa +multiline -t axfr @192.168.1.85 haug.eu
haug.eu.                3600 IN SOA ns1.germany.com. hostmaster.germany.com. (
                                2024021501 ; serial
                                28800      ; refresh (8 hours)
                                9600       ; retry (2 hours 40 minutes)
                                604800     ; expire (1 week)
                                14400      ; minimum (4 hours)
                                )...

Vom Master (192.168.1.84) aus scheitert es:

Code: Alles auswählen

root@ns1 /etc/bind #  dig +noall +answer +onesoa +multiline -t axfr @192.168.1.85 haug.eu
; Transfer failed.
root@ns1 /etc/bind #  dig +noall +answer +onesoa +multiline -t axfr @192.168.1.84 haug.eu
; Transfer failed.

Kann das an den Options auf dem Master liegen?

Code: Alles auswählen

options {
        directory "/var/cache/bind";
        
        dnssec-validation auto;
        
        auth-nxdomain no;    # conform to RFC1035
        
        allow-query {
                any;
        };

        listen-on {
                any;
        };
                
        listen-on-v6 {
                any; 
                };
        
        forwarders {
                8.8.8.8;
                9.9.9.9;
        };                 
        
        allow-transfer {
                192.168.1.85;
                216.218.133.2;
                };
                
        allow-recursion {
                none;
                };

        allow-notify {
                192.168.1.84;
                192.168.1.85;
                216.218.133.2;
                192.109.24.250;
#                slave.dns.he.net;
                };
                
};

[bluestar]

Die IP deines Masters steht nicht in allow-transfer

[Saxenpower]

Danke für die Aufmerksamkeit. Damit ändert sich aber noch nichts an der Fehlermeldung und den fehlenden Zonendateien auf dem Slave, wohl bemerkt nach erfolgten

Code: Alles auswählen

systemctl restart bind9

[bluestar]

Existiert auf dem Slave das Verzeichnis /var/cache/bind/eu und welche Berechtigungen hat es?

[Saxenpower]

Existiert auf dem Slave das Verzeichnis /var/cache/bind/eu und welche Berechtigungen hat es?

Nein, ich dachte, die entsprechenden Verzeichnisse werden angelegt. Na dann hole ich mal nach und teste erneut.

[Saxenpower]

Prima,
dann hatte die entsprechenden verzeichnisse mit dem Berechtigungen "bind:bind" gefehlt. Nach einem Service-Neustart werden die Zonendateien transferiert.
Vielen Dank für Deine Unterstützung!