Netzwerk: Unterschied zwischen den Versionen
(→DNS) |
Keine Bearbeitungszusammenfassung |
||
| Zeile 32: | Zeile 32: | ||
Das zonefile für nerdberg.de liegt unter ''/etc/nsd/zones/nerdberg.de.zone''. | Das zonefile für nerdberg.de liegt unter ''/etc/nsd/zones/nerdberg.de.zone''. | ||
Nach anpassen der zone die serial inkrementieren und ''systemctl restart nsd unbound'' ausführen. | Nach anpassen der zone die serial inkrementieren und ''systemctl restart nsd unbound'' ausführen. | ||
=== Lets Encrypt == | |||
Damit Dienste wie der Türserver ein gültiges Zertifikat bekommen, gibt es auf dem dhcp ein Dienst auf Port 8080 eine API, die ein ACME Key im DNS hinterlegen kann. | |||
Aufruf: | |||
http://dhcp.nerdberg.de:8080?token=$PASS&challenge=$CERTBOT_VALIDATION&domain=$SUBDOMAIN | |||
Das ganze deployen und verteilen auf allen Nameservern dauert ca. 10 Sekunden. Danach kann mit Certbot eine Abfrage gemacht werden. | |||
Für Apache hat sich folgender Befehl bewährt: | |||
certbot certonly --manual -d door.nerdberg.de --preferred-challenges dns --agree-tos --manual-auth-hook /opt/certbotdns.sh --manual-public-ip-logging-ok -i apache | |||
Version vom 11. Februar 2023, 10:42 Uhr
Netzwerkeinstellungen
DHCP regelt die IPs.
IP Netze:
- 10.73.36.0/23 dynamisch
- 10.73.37.0/24 für statische IPs, werden auch vom DHCP vergeben
- DHCP range 10.73.36.10-10.73.37.254
Geräte wie der Laser, die kein DHCP sprechen, werden statisch in das 36er Netz zugeteilt und der Start der DHCP range entsprechend angepasst.
Statische IPs
- 10.73.36.1 Gateway/Modem/FritzBox
- 10.73.36.2 DHCP / DNS
- 10.73.36.3 TFTP Server
- 10.73.36.4 Proxmox Hypervisor
- 10.73.36.5 Laser!
- 10.73.36.6 Laser VM
- 10.73.37.14 freepbx
- 10.73.37.3 door server
DNS
Es gibt drei DNS-Server, die alle auf dem dhcp.nerdberg.de laufen.
- dnsmasq lauscht auf Port 53531, macht dhcp und ist authoritativ für die zone "dhcp.nerdberg.de". Diese zone wird via cronjob (nsd-control force_transfer dhcp.nerdberg.de && nsd-control write dhcp.nerdberg.de) 1x/minute per AXFR zone transfer an NSD übermittelt.
- unbound lauscht auf Port 53, ist der rekursive resolver. Er verweist auf nsd für die nerdberg.de zone und auf dnsmasq für die dhcp.nerdberg.de zone, sowie für die internen reverse dns zonen. Ansonsten verweist er auf den DNS server von Bisping für upstream.
- nsd lauscht auf Port 53530 und ist der authoritative DNS Server für die nerdberg.de zone. Die dhcp.nerdberg.de zone ist als secondary ebenfalls vorhanden. Er ist von extern auf port 53 erreichbar.
Das zonefile für nerdberg.de liegt unter /etc/nsd/zones/nerdberg.de.zone. Nach anpassen der zone die serial inkrementieren und systemctl restart nsd unbound ausführen.
= Lets Encrypt
Damit Dienste wie der Türserver ein gültiges Zertifikat bekommen, gibt es auf dem dhcp ein Dienst auf Port 8080 eine API, die ein ACME Key im DNS hinterlegen kann.
Aufruf: http://dhcp.nerdberg.de:8080?token=$PASS&challenge=$CERTBOT_VALIDATION&domain=$SUBDOMAIN
Das ganze deployen und verteilen auf allen Nameservern dauert ca. 10 Sekunden. Danach kann mit Certbot eine Abfrage gemacht werden.
Für Apache hat sich folgender Befehl bewährt:
certbot certonly --manual -d door.nerdberg.de --preferred-challenges dns --agree-tos --manual-auth-hook /opt/certbotdns.sh --manual-public-ip-logging-ok -i apache
