Ein bisschen Technik und mehr

Kategorie: Technik Seite 1 von 4

DNSSEC mit Cloudflare und INWX

Bereite DNSSEC mit Cloudflare vor

Um den Prozess der Aktivierung von DNSSEC mit Cloudflare zu starten, wählst Du die Registerkarte DNS Deiner Domain und scrollst Sie nach unten. Klicke dann auf „DNSSEC aktivieren“.
Dann wirst Du viele Details über die zu konfigurierende Aktualisierung sehen und Cloudflare bittet Dich, die Einträge Dein Domain bei Deinem Registrar zu aktualisieren. Lass die aktuelle Seite am besten geöffnet und melden Dich jetzt bei INWX an.

DNSSEC einrichten bei INWX

Nach dem Einloggen in INWX suchst Du nun in der Seitenleiste die Registerkarte „DNSSEC“ und klickst auf „DNSSEC hinzufügen“ – dann wird ein Popup Fenster geöffnet. Deaktiviere dort in diesem Popup zunächst das Kontrollkästchen „automatischer Modus“, wodurch zwei zusätzliche Felder angezeigt werden. Sie benötigen nur das erste Feld.

Leider fordert INWX hier den DNSKEY RR-Eintrag an, der nicht als copy & paste verfügbar ist. Das müssen wir nun selbst erledigen. Die offizielle Spezifikation für DNSSEC hat dabei sehr geholfen.
Ein DNSKEY RR-Eintrag sieht wie folgt aus (die zweite Zeile dient hier als Referenz, um die Teile zu erklären):

example.com. 86400 IN DNSKEY 256  3   5  AQPSKmynfzW4kyB[...]aNvv4w==
 [1]          [2]             [3] [4] [5] [6]
  • [1] = The domain written as a domain host which appends a dot to the end.
  • [2] = The TTL, or expiration timeframe.
  • [3] = Specifies a Zone Key bit in the Flags field.
  • [4] = A fixed protocol value.
  • [5] = Specifies the used public key algorithm.
  • [6] = The public key for the domain DNSSEC entry.

Oder um es ein wenig zu vereinfachen:

{beispiel.de}. IN DNSKEY 257 3 {ALG} {PUBKEY}

Wie man den DNSKEY RR bildet, anhand der Daten von Cloudflare

Wie gesagt, Cloudflare liefert eine Menge Werte, aber nicht den kopierfertigen DNSKEY RR-Eintrag. Aber es ist recht einfach, ihn selbst zu erstellen. Öffne Deinen Lieblings-Texteditor und fange an.

  1. Als erstes kopieren wir den DS Record von Cloudflare.
  2. Ersetze IN DS durch IN DNSKEY.
  3. Dann ersetzen wir die Nummer welche den Key Tag darstellt (z.B. 2345) mit dem Wert der bei Flags steht (z.B. 257).
  4. Ersetze die letzten beiden Zahlen, z.B. 13 2, durch 3 13, da die 3 ein fester Wert im DNSKEY-Eintrag ist und die 13 der offizielle Algorithmus ist, der von Cloudflare verwendet wird.
  5. Ersetze die lange, letzte Zeichenfolge durch den Wert des Felds Public Key.

Nun sollte der Eintrag in etwa so aussehen:

yourdomain.com. 3600 IN DNSKEY 257 3 13 oJB1W6WNGv+ldv[...]eDQfsS3Ap3o=

Und das ist nun unser frisch gebauter DNSKEY RR Wert, den wir nun bei INWX einfügen können.

Nun “Save” klicken und wir sind fertig. Es dauert nun ein wenig bis Cloudflare die Bearbeitung der Domain aber dann hast Du DNSSEC aktiviert. Fein, fein.

OMV Backup wieder einspielen

Here is a basic restore procedure using fsarchiver for the same hard drive but a change went bad:

  • Boot systemrescuecd – if you installed the iso from omv-extras, it will be in your grub menu.
  • Mount your data drive – example: mount /dev/sde1 /mnt/backup
  • Figure out where your backup file is. fsarchiver uses the .fsa extension – example: /mnt/backup/omvbackup/backup-omv-07-May-2018_10-36-31.fsa
  • Figure out what your OS drive root partiton is. Don’t get this wrong! – example: /dev/sda1
  • Restore the files – example fsarchiver restfs /mnt/backup/omvbackup/backup-omv-07-May-2018_10-36-31.fsa dest=/dev/sda1
  • reboot

Here is a basic restore procedure using dd for the same hard drive but a change went bad:

  • Boot systemrescuecd – if you installed the iso from omv-extras, it will be in your grub menu.
  • Mount your data drive – example: mount /dev/sde1 /mnt/backup
  • Figure out where your backup file is. dd uses the .dd.gz extension – example: /mnt/backup/omvbackup/backup-omv-07-May-2018_10-36-31.dd.gz
  • Figure out what your OS drive root partiton is. Don’t get this wrong! – example: /dev/sda1
  • Restore the files – example gunzip -c /mnt/backup/omvbackup/backup-omv-07-May-2018_10-36-31.dd.gz | dd of=/dev/sda1 bs=1M status=progress
  • reboot

Edgerouter – Einzelnen IPs einen eigenen DNS zuweisen

Wenn ich einer speziellen IP im Netzwerk einen speziellen DNS zuweisen möchte, dann muss ich folgendes erledigen.

Feste IP per Static DHCP im Webinterface zuweisen.
Dann per SSH auf den Router verbinden und nach folgendem Schema anlegen.

configure 
edit service dhcp-server shared-network-name LAN subnet 192.168.10.0/24
set static-mapping MEDIAPC static-mapping-parameters "option domain-name-servers 208.67.222.222, 208.67.220.220;"  
commit
save
exit

Um den ganzen Quatsch rückgängig zu machen, brauchen wir folgendes:

configure 
edit service dhcp-server shared-network-name LAN subnet 192.168.10.0/24
delete static-mapping MEDIAPC static-mapping-parameters "option domain-name-servers 208.67.222.222, 208.67.220.220;"  
commit
save
exit

Fertig! <3

Quelle: https://community.ubnt.com/t5/EdgeRouter/Alternate-DNS-Server-for-DHCP-Static-Mapping/m-p/1042995#M44141

Seite 1 von 4

Präsentiert von WordPress & Theme erstellt von Anders Norén