PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Frage zu DHCP-DNS



pixel
16.07.02, 12:44
Hi@all,

ich hoffe nur das ich euch mit den nicht endenden Fragen zu diesem Thema nicht zusehr auf die Nerven gehe....:rolleyes:

Nachdem ja auf ProLinux ein Artikel zu diesem Thema erschienen ist
http://www.pl-berichte.de/t_netzwerk/dhcpunddns.html
und ich den einleitenden Worten des Autors nur beiwohnen kann:

Viele haben es schon versucht, geschrieben wurde auch oft darüber, aber eine richtige Anleitung ist nirgens zu finden. Das Lesen der man-pages ist mühsam und so richtig schlau wird man auch nicht daraus.

Denn noch zu keinem Vorhabe habe ich so unterschiedliche, ja teilweise sogar wiedersprüchliche Aussagen gehört/gelesen wie zu diesem.

Und mangelndes Durchhaltevermögen bei diesem Problem habe ich glaube ich auch nicht. Ich habe dieses Problem erstmalig am

27th July 2001 21:03 in diesem Forum gestellt:
http://www.linuxforen.de/forums/showthread.php?s=&threadid=3599


Zu dem von ProLinux veröffentlichten Artikel habe ich noch, ich hffe für euch einfache, Fragen.

Ziemlich zu Anfang beschreibt der Autor wie man den Key erstellt, das habe ich kapiert und die zwei Dateien wurden auch angelegt. Wenn ich die Datei mit der Endung .privat öffne hat die auch den gleichen Aufbau wie das vom Autor aufgeführte Beispiel, natürlich ist das secret anders.

Private-key-format: v1.2
Algorithm: 157 (HMAC_MD5)
Key: H94JQHKbevJZwzd4OOTu5g==

Ein Stück weiter unten (in der dhcpd.conf) benutzt er folgenden Eintrag:

key DHCP_UPDATER {
algorithm HMAC-MD5.SIG-ALG.REG.INT;
secret H94JQHKbevJZwzd4OOTu5G==;
};

hier steht hienter dem Wort 'algorithm' ein anderer String als in der eigentlichen Datei. Ist das richtig?

in der Datei named.conf wird die Funktion:
...
...
notify yes;

also-notify {
164.133.170.222;
...
...
benutzt. Was genau bewirkt diese. Da der Autor bei der Einleitung nicht beschriebt was der Rechner mit dieser IP für eine Funktion hat ist mir das nicht klar.

Gruss Pixel

Thomas Mitzkat
16.07.02, 12:52
machs doch erstmal ohne den key, so wie ich es beschrieben habe und auch bei pro-linux kommentiert hab. wenn das dann funktioniert, dann kann man immer noch den key einsetzen und notfalls zu einer funktionieren lösungen zurückgehen.

motto: probleme minimieren, wenige features zu anfangs aktivieren!

pixel
16.07.02, 14:57
...ohne dir zu nahe zu treten zu wollen aber die Antort(en) eine Funktion dann einfach wegzulassen wenn ICH sie nicht vestehe bzw. einfach ein grafisches Konfigurationstool (webmin) zu nehmen wenn ICH den Aufbau der Konfigurationdateinen nicht richtig vestehe schein mir nicht gerade ein optimaler Lösungsansatz zu sein.

Ich weiß leider immernoch nicht was es mit der "notify-funktion" auf sich hat. Ausserdem habe ich noch eine Frage zum Thema.

Wenn man die Konfiguration von DHCP/DNS dynamisch vornimmt d.h. der DHCP dem DND "mitteilt" welchem Host er die IP ausgeliehen hat. Wie weit werden dann die Zonendateien manuell (vor der inbetribnahme) per Editor angelegt?

Ich vermute! mal bis zum incl. NS + MX Record, also:


$TTL 3H
komet.net. IN SOA tux.komet.net. (
10 ;serial
3H ;refresh
1H ;retry
1W ;expiry
1H ) ;minimum

IN NS tux
IN MX mailserver


und das wiederum würde bedeuten das alle anderen Hosts die nicht über den dhcp-server eingetragen werden (Router, Novell-Server o.ä.) über die Funktion "nsupdate" eingetragen wird. Liege ich da richtig?

Gruss Pixel

Sandal
17.07.02, 00:25
Tja, es ist wirklich schwierig, eine "einfache" Anleitung zu finden, in der unwichtige Optionen kommentiert oder weggelassen werden. Nur die Frage ist, was ist unwichtig für jemanden?

Die notify Option ist wichtig, wenn man einen "echten" Nameserver konfigurieren will, der seine Informationen in der Hierarchie weiterreicht. Für den Admin zuhause ist das unwichtig und sollte besser ausgeschaltet werden. Aber um die Neugier zu befriedigen: wenn "notify yes;" eingestellt ist, werden DNS NOTIFY Messages an die in den Zonefiles angegebenen Nameserver verschickt. Wenn man das an noch andere schicken will, nimmt man also-notify.

Der algorithm String ist wirklich merkwürdig. Laut Handbuch macht da bislang nur "hmac-md5" Sinn.

Gruß, Sandal

Bauchi
17.07.02, 00:37
mhhh letzte woche in der isc bind mailingliste war ne ähnliche frage:
die ernüchternde antwort: go and get THE book .. no ... don't go RUN !!!!!

gemeint war/ist damit "DNS & BIND" von O'Reilly ...
kostet zwar geld... aber in dem fall ist es nicht falsch angelegt ... vor allem wenn du wissen willst was jede direktive bedeutet und wie du bestimmte situationen richtig konfigurierst ...

http://www.amazon.de/exec/obidos/ASIN/3897212900/qid=1026859042/sr=8-1/ref=sr_aps_prod_1_1/028-2414196-9587700

Thomas Mitzkat
17.07.02, 01:03
>...ohne dir zu nahe zu treten zu wollen aber die Antort(en) eine Funktion dann einfach wegzulassen wenn ICH sie nicht vestehe bzw. einfach ein grafisches Konfigurationstool (webmin) zu nehmen wenn ICH den Aufbau der Konfigurationdateinen nicht richtig vestehe schein mir nicht gerade ein optimaler Lösungsansatz zu sein.

ein optimaler lösungsansatz ist es auch nicht etwas zu verstehen oder nicht zu verstehen und trotzdem keinen erfolg zu haben bzw. ein nicht funktionierendes ergebnis. insofern ist eine richtig erstellte konfigurationsdatei mit einem banalen grafischen tool wie webmin dennoch eine entscheidende hilfe zusammenhänge zu erkennen und wirklich mal voran zu kommen.

aber gut - eine medaille, zwei seiten - die frage ist was zählt: der weg oder das ergebnis?

Bauchi
17.07.02, 01:05
sagen wir mal so .. am ende zählt das ergebniss ... da ist der weg nur noch nebensache ...

*mal so zurückdenk an die letzten haaaaaaaarigen erlebnisse in der firma*

pixel
17.07.02, 12:57
Hi@all,

für mich ist der Weg genauso wichtig. Weil ich verstehen möchte was ich tue. Die die DNS theoretisch funktioniert weiss ich ja, was mir jedoch fehlte ist die Abbildung dieses Wissens auf ein conf-Datei.
Ob man dies nun mit oder ohne Tools macht ist schon fast eine Glaubensfrage. Aber ich finde ganz einfach wenn jemand eine Frage stellt sollte die Antort nicht sein: "..insatlliere Webmin" Das Teil mag noch so gut sein. Was mache ich z.B. wenn ich zu meinem Bruder komme und an dessen Linux-Router dhcp+dns einrichten möchte? Die Kiste bootet von einer Diskette! Da ist es dann schon mal gut die Sachen "manuell" zu können, oder? Wenn ich mal ein paar Jahre Erfahrung bei der Administration von Linux habe werde ich mit Sicherheit auch grafische Tools verwenden, evtl. spricht man ja bis dahin mit dem Kernel. Ich möchte einfach nicht so sein wie mein Kollege der sich Windowsadministrator nennt. Hat Null Grundlagenwissen, klickt einfach mal ein bischen im Windows herum bis es dann irgendwie plötzlich geht. Das ist dann auch ein Ergebnis, oder?

Ein Auto mit vier Platten Reifen fährt auch, nur wie?

Ja, da Problem ist dann nur wenn es dann mal nichtmehr geht und er dann nicht weiss warum Ha Ha, dann kommt immer: "Ich glaube wir mssen die Kiste mal Platt machen". Verstehst du worauf ich hinaus möchte?

Ich finde der Weg ist durchaus wichtig.

Gruss Pixel

Thomas Mitzkat
18.07.02, 12:03
@pixel:
ist schon richtig was du sagst, aber dennoch müsste es bei dir schon reibungslos laufen. das tut es nicht, also kann es eigentlich nur an banalen rechtschreibfehlern, falsch gesetzten klammern, semikolen oder anderen kleinigkeiten hängen. da tools wie webmin dahingehend gebugfixt sind, du aber mit deinem halbwissen noch nicht, ist es nicht verwerflich tools deswegen zu benutzen, damit man sich auch eine richtig geschriebene conf-datei mal anschauen kann. es geht hier lediglich um fehlerminimierung und nicht darum wissenslücken zu überspringen. ein auto mit vier platten reifen, welches doch irgendwie fährt, braucht zumindest mal räder wo platte reifen drauf sitzen können :D es ist auch keine schande, sich mal fertige konfigurationsdateien auszudrucken, um sie bei anderer gelegenheit wieder zu benutzen. ich kann mir das beispielsweise alles nicht immer genau merken und wenn ich konfiguarationen aus dem kopf heraus erstelle, habe ich jede menge fehler erstmal drin. wer sich bei linux alles auswendig merken kann, der ist ein genie und hier im forum sicherlich fehl am platz. der hat einen hochdotierten job irgendwo in der industrie verdient und keine zeit mehr. :cool:

pixel
18.07.02, 14:52
@thomas,

ich werde versuchen ein Genie zu werden mal sehen ob ich dann einen hochebzahlten Job in der Indusrie bekomme:p

Nein im ernst, ich finde man sollte das ganz jetzt nicht an einem GUI festmachen und weiterhin denke ich das ich ganz bestimt kein hochbezahltes Genie der Indusrie werde......[Schnitt]

zurück zu meinem DHCP-DNS:) . Ich denke ich bein grossen Schritt weitergekommen. Du hast recht, ich hatte noch so einige Fehler in den Konfigurationsdateien. Vorab habe ich noch eine prinzipielle Frage zum DNS, genauer gesagt zu den Zonendateien. Das es eine Zone für für die Zuordnung von Name in Adresse (Forward) und eine für Adresse in Name (Reverse) benötigt ist mir soweit klar. Das sind bei mir die Dateien komet.fw und komet.bw
Für was werden jetzt noch die zwei anderen benötigt (bei mir localhost.zone und 127.0.0.zone??

Weil, die beiden Zonendateien sind ja (über die named.conf) als dynamisch definiert d.h. der DHCP-Server kann dort die Zuordnung Host->IP eintragen welche er vergeben hat (natürlich vergibt er nur die IP). Für was werden nun noch die anderen beiden benötigt?

Also der Stand ist folgender (meine Dateien habe ich dann ganz unten gepostet):
Ich habe meine Zonendateien inc. der vorhanden Servern (Novell usw) bzw. den anderen IP-Geräten (Router u.ä) geschrieben und habe die Transaktionsdateien des DNS-Server gelöscht. Diese sind an der Endung .jnl zu erkennen. Das ganze muss man sich wie bei einem Journaling-Dateisystem vorstellen. Anschliessend habe ich den DNS und danach den DHCP gestartet und siehe da die Clients, oder besser gesagt der DHCP-Server, trägt die Vergaben in den DNS ein :)

Wenn ich an den Clients nslookup ausführe kann ich alle (fast) Namen bzw. Adressen auflösen lassen, selbst am Server direkt kann ich das tun *freu* lediglich zwei Clients bekomme ich nicht dazu sich dort einzutragen, die beiden Linux-Rechner. Hat jemand eine Idee an was das liegen könnte? Ich habe die Option "netbios-node-type 8" im Verdacht, keine Ahnung warum.

Hier meine Dateien:

/etc/dhcpd.conf
-----------------------------------------------------------------------
# Einträge zur Vergabe vorhandener WINS-Server
option netbios-node-type 8;
option netbios-name-servers 192.168.111.1;

# Domain definieren
option domain-name "komet.net";

# Dynamischer Update DNS, verwende sicheres Schema
ddns-update-style interim;

# Dynamischer Update DNS, Name der Domain
ddns-domainname "komet.net";

# Dynamischer Update DNS, statische Adressen auch im DNS updaten
update-static-leases true;

# Festlegen des KEY, secret = Schlüssel von dnssec-keygen
# Welche Zonen sollen mit in den Update des DNS

key DHCP_UPDATER {
algorithm HMAC-MD5.SIG-ALG.REG.INT;
secret [verrate ich ned];
};

zone komet.net. {
primary 192.168.111.1;
key DHCP_UPDATER;
}

zone 111.168.192.in-addr.arpa. {
primary 192.168.111.1;
key DHCP_UPDATER;
}

#this subnet is served by us
authoritative;

# Zeit nach welcher die Clients ihre leases erneuer mssen
# experimentell, später größere Werte eintragen
default-lease-time 600;
max-lease-time 7200;

# Das Netz geht bei mir von 192.168.111.1 bis 192.168.171.255
subnet 192.168.111.0 netmask 255.255.255.0 {
option domain-name-servers 192.168.111.1;
option broadcast-address 192.168.111.255;
option routers 192.168.111.20;
range 192.168.111.50 192.168.111.200;

# Ein paar feste IP-Adressen werden vergeben
host message {
hardware ethernet 00:05:5D:EF:4C:63;
fixed-address 192.168.111.2;
}

host bill {
hardware ethernet 00:05:5D:08:A7:9B;
fixed-address 192.168.111.3;
}

host xerox {
hardware ethernet 00:00:aa:75:30:12;
fixed-address 192.168.111.21;
}
----------------------------------------------------------------------
/etc/named.conf

----------------------------------------------------------------------
options {
auth-nxdomain yes;
directory "/var/named";
forwarders { 194.25.2.129; };
};

zone "." in {
type hint;
file "root.hint";
};

zone "localhost" in {
type master;
file "localhost.zone";
};

zone "0.0.127.in-addr.arpa" in {
type master;
file "127.0.0.zone";
};

key DHCP_UPDATER {
algorithm HMAC-MD5.SIG-ALG.REG.INT;
secret [verrate ich ned];
};

zone "komet.net" {
type master;
file "komet.fw";
allow-update { key DHCP_UPDATER; };
notify yes;
};

zone "111.168.192.in-addr.arpa" {
type master;
file "komet.bw";
allow-update { key DHCP_UPDATER; };
notify yes;
};

Die Zonendateien brauche ich (denk ich mal) nicht zu posten, wenn da was von meinen Linux-Rechner zu sehen wäre, wäre ja slles in Ordnung. Die beiden Linux-Clients stehen auch auf "autom. IP" also nicht fest eingestellt.

Gruss Pixel

pixel
18.07.02, 16:04
ach ja, an beiden Linux-Clients habe ich im Logfile (/var/log/messages) ähnliche Einträge vom dhcp-client. Vielleicht kann man daraus ja was schliessen.

Client-1

Jul 18 11:22:42 sws-nb-sven dhclient: DHCPREQUEST on eth0 to 192.168.111.1 port 67
Jul 18 11:22:42 sws-nb-sven dhclient: DHCPACK from 192.168.111.1
Jul 18 11:22:42 sws-nb-sven dhclient: bound to 192.168.111.194 -- renewal in 1658 seconds.
Jul 18 11:50:20 sws-nb-sven dhclient: DHCPREQUEST on eth0 to 192.168.111.1 port 67
Jul 18 11:50:20 sws-nb-sven dhclient: DHCPACK from 192.168.111.1
Jul 18 11:50:20 sws-nb-sven dhclient: bound to 192.168.111.194 -- renewal in 1355 seconds.

Client-2

Jul 18 00:20:03 darwin dhclient: DHCPREQUEST on eth0 to 192.168.111.1 port 67
Jul 18 00:20:03 darwin dhclient: DHCPACK from 192.168.111.1
Jul 18 00:20:03 darwin dhclient: bound to 192.168.111.200 -- renewal in 1403 seconds.
Jul 18 00:43:26 darwin dhclient: DHCPREQUEST on eth0 to 192.168.111.1 port 67
Jul 18 00:43:26 darwin dhclient: DHCPACK from 192.168.111.1
Jul 18 00:43:26 darwin dhclient: bound to 192.168.111.200 -- renewal in 1433 seconds.


Gruss Pixel

Doh!
12.07.03, 13:16
Thomas, wo steht denn Dein Tutorial dafür, wie es ohne die Key's funktioniert. Mein DHCP und mein DNS sind nämlcih auf derselben Kiste und ich brauch die Keys ja gar net. Was ich suche ist ein Tutorial mit der einfachst möglichen funktionierenden Konfig. Ich glaube, der Author des verlinkten Turotials hat das ganze nämlich auch nicht wirklich verstanden, er hat mehr oder weniger die Man-Page abgeschrieben.