DNS: Difference between revisions
From Elch-Wiki
Jump to navigationJump to search
No edit summary |
No edit summary |
||
| (18 intermediate revisions by the same user not shown) | |||
| Line 11: | Line 11: | ||
* Beim Registrar ggf. DNSSEC aktivieren (Schlüssel muss akzeptiert werden) | * Beim Registrar ggf. DNSSEC aktivieren (Schlüssel muss akzeptiert werden) | ||
* Zusätzliche DNS Records (z.b. für einen zus. Host oder eine zus. IP): /var/named/mybabey.ch/zone.db editieren | |||
= Sample Zone-File = | |||
<pre> | <pre> | ||
$TTL 3600 | $TTL 3600 | ||
| Line 47: | Line 32: | ||
$include dnskey.db | $include dnskey.db | ||
</pre> | </pre> | ||
= Offenen DNS-Resolver von trash.net nutzen = | |||
Siehe Artikel auf trash.net | |||
= Key Rollover: Step by Step Anleitung = | |||
Siehe Artiekl auf trash.net | |||
= [https://unbound.net/ unbound] auf fish-serv = | |||
* Installation via yast (unbound zieht ldns, libldns1, libunbound2 und unbound-anchor nach) | |||
* /etc/unbound/unbound.conf und etc/unbound/conf.d/01_CacheForwarder.conf anpassen | |||
* service unbound start | |||
* Service im yast enablen | |||
* [https://www.trash.net/wissen/dnssec/dns-over-tls-einrichten/ Anleitung auf trash.net] | |||
* [https://unbound.docs.nlnetlabs.nl/en/latest/manpages/unbound.conf.html Unbound Config Optionen] | |||
= Troubleshooting = | |||
* Ab dig Version 9.17 ganz einfach: dig @resolv1.trash.net +https www.swisssign.com (Frank B.) | |||
* Testen ob der TLS Listener antwortet: openssl s_client -connect resolv1.trash.net:853 (Othmar) | |||
* DNS over HTTP: curl mit --doh-url (Thomas) | |||
* DNS over TLS: kdig vom Knot DNS (Thomas) | |||
* 20240611: Fehler "error: error opening file /etc/unbound/keys.d/example.com.key: Permission denied" -> chmod -R 777 /etc/unbound/keys.d => Läuft wieder | |||
= EU Resolver = | |||
* [https://www.joindns4.eu/for-public Join DNS 4 EU] | |||
Latest revision as of 11:48, 15 June 2025
DNS auf trash.net hosten
- Es gibt zwei unterschiedliche DNS-Server auf trash.net: DJBDNS und BIND
- Falls DNSSEC gewünscht wird, dann muss BIND verwendet werden
- Je nach gewähltem DNS-Server muss ein Zone-File erstellt werden
- Falls ein dynamischer Update der IP-Adresse im Stil von dyndns gewünscht wird: Dynamic DNS
- Kontakt mit techstaff@trash.net aufnehmen und Hosting der Domain beantragen. Dazu das Zone-File mitgeben
- Beim Registrar (switch.ch für alle .ch Domains) die DNS-Server auf dnssec1.trash.net und dnssec2.trash.net einstellen
- Beim Registrar ggf. DNSSEC aktivieren (Schlüssel muss akzeptiert werden)
- Zusätzliche DNS Records (z.b. für einen zus. Host oder eine zus. IP): /var/named/mybabey.ch/zone.db editieren
Sample Zone-File
$TTL 3600 mybabey.ch. 2560 IN SOA dnssec1.trash.net. hostmaster.mybabey.ch. ( 2011050301 ; serial 16384 2048 1048576 2560 ) mybabey.ch. 259200 IN NS dnssec1.trash.net. mybabey.ch. 259200 IN NS dnssec2.trash.net. mybabey.ch. 86400 IN MX 10 mybabey.ch. mybabey.ch. 300 IN A 217.162.73.239 ftp.mybabey.ch. 86400 IN CNAME mybabey.ch. www.mybabey.ch. 86400 IN CNAME mybabey.ch. $include dnskey.db
Offenen DNS-Resolver von trash.net nutzen
Siehe Artikel auf trash.net
Key Rollover: Step by Step Anleitung
Siehe Artiekl auf trash.net
unbound auf fish-serv
- Installation via yast (unbound zieht ldns, libldns1, libunbound2 und unbound-anchor nach)
- /etc/unbound/unbound.conf und etc/unbound/conf.d/01_CacheForwarder.conf anpassen
- service unbound start
- Service im yast enablen
- Anleitung auf trash.net
- Unbound Config Optionen
Troubleshooting
- Ab dig Version 9.17 ganz einfach: dig @resolv1.trash.net +https www.swisssign.com (Frank B.)
- Testen ob der TLS Listener antwortet: openssl s_client -connect resolv1.trash.net:853 (Othmar)
- DNS over HTTP: curl mit --doh-url (Thomas)
- DNS over TLS: kdig vom Knot DNS (Thomas)
- 20240611: Fehler "error: error opening file /etc/unbound/keys.d/example.com.key: Permission denied" -> chmod -R 777 /etc/unbound/keys.d => Läuft wieder
