Příspěvky

16

Server / Re:DNS server pro intranet

« kdy: 10. 03. 2020, 00:21:22 »

Diky za potvrzeni pochopeni.

Nevím, co myslíte vlastní implementací forwardování, používám SubReg jen pro domény, ale poskytují i další služby.

Joker v cene domeny nabizi to, ze teba neco-jineho.cz presmeruje na moje-hlavni-domena.cz/cesta-k-neco-jineho. Obdobne u emailu se pri pouziti FWD nastavi MX na jejich server a je mozne zadat MAILFW "zaznamy" (tak je nazyvaji) napr. postmaster@neco-jineho.cz -> postmaster@moje-hlavni-domena.cz Samozrejme neni nic sloziteho mit treba na VPS vlastni nginx a postfix, ktery tohle bude resit, ale zvykli jsme si mit tohle na jednom miste se skutecnymi DNS zaznamy. Delam tohle pro dva nekomercni subjekty a obcas zaskoci kolega, ktery se jinak stara spise o grafiku, takze jednoduchost spravy oceni.

17

Server / Re:DNS server pro intranet

« kdy: 09. 03. 2020, 22:02:32 »

Je otázka jestli chcete vůbec ta lokální data podepisovat, pokud potečou jen po LAN a málokdo přímo na klientech (znovu) validuje.  Pokud ne, nevidím ani potřebu extra autoritativního serveru.

To je ale nepochopení DNSSEC. Jakmile je v nadřazené zóně DS záznam, je pro validující resolver podpis povinný – bez podpisu adresu nepřeloží. Takže vůbec nejde o to, zda je to v LAN, nebo zda je validujících klientů málo – jakmile máte alespoň jednoho validujícího klienta, buď podepisujete, nebo mu překlad přestane fungovat. A upřímně řečeno, pokud spoléháte na to, že se DNSSEC nevaliduje, proč pak chcete mít zónu podepsanou?

Měl jsem na mysli použití nepodepsané zóny, to je čistší.  Například kancl.mojedomena.cz může být hranice nové nepodepsané zóny (tedy bez existence DS na tom jméně).

Ano, je-li toto mozne, bylo by to zrejme dostacujici. Primarne DNSSEC pozaduji pro "vnejsi svet", pro verejne dostupne sluzby, vcetne napr. www.mojedomena.cz a pripadne moznost vyuziti DANE. Na vlastnich strojich jsem schopen zajistit, ze pro celou mojedomena.cz bude dotazovan jen lokalni DNS server s vlastnim zonefile, kteremu duveruji. Presto, pokud by bylo mozne pouzivat DNSSEC pro vlastni domenu i v lokalni siti, byl bych radeji. V takovem pripade mi slo o to, jak zajistit, ze budou validni zaznamy podepsane jak klici na NS registratora, tak klici na lokalnim NS. Moznemu riziku s vice klici v nadrazene zone bych se rad vyhl. Tedy chapu-li to spravne, musim ted u jokera zajistit, aby mojedomena.cz obsahovala DS pro kancl.mojedomena.cz s hashem klice, ktery pouziji na loklanim NS a joker si zajistuje, ze .cz ma v DS jeho klice pro mojedomena.cz. Chapu to spravne? Nebude-li joker schopen toto zajistit, budu rad za tip na registratora, ktery toto umoznuje na vlastnich NS (nejen pro .cz domenu, ale zejmena pro .at - napr. WEDOS uvadi moznost DNSSEC jen pro .cz a .eu), poskytuje API vyuzitelne napr. s acme.sh (pro jokera jsem si napsal jednoduchy script s cURLem), umoznuje spravu s uzitim vice uzivatelskych uctu a idealne s vlastni implementaci forwardovani, vcetne mailu.

U "road warriors" mi není jasné jak se k těm datům dostávají.  Tipoval bych VPN, tedy tam by už zabezpečení bylo.  Celkově jsem vycházel z toho předpokladu, že ta data "volně po internetu" téct nemají.

U road warriors jsem mel na mysli to, ze by bylo vhodne, aby na nich byl vlastni lokalni validujici resolver, protoze ne vzdy jsou jen ve VPN a v takovem pripade by byl resolving zavisly napr. na DNS serveru ziskanem pres DHCP od mobilniho operatora.

18

Server / Re:DNS server pro intranet

« kdy: 09. 03. 2020, 19:00:32 »

Je otázka jestli chcete vůbec ta lokální data podepisovat

Ta "potreba" podepisovani i internich pramenila z obavy, aby nyni ci v budoucnu nebyl problem s tim, ze cast domeny podepisuje, cast nikoliv. Jestli napr. nebude zavedena obdoba HSTS, kdy napr. browser si "postavi hlavu" a rekne "mojedomena.cz ma zaznamy podepsane, ale kancl.mojedomena.cz nikoliv, tak smula". Ano, vim, ze chovani HSTS si ovlivnuji sam a nemusim jej zapinat pro celou domenu, a stejne tak ze browser nyni sam nic neresolvuje a minimalne na "nasich" systemech jde o obsah nsswitch. Jen se snazim delat veci co nejcisteji a vyvarovat se pripadnych problemu v budoucnu a dalsi praci. Ale diky za tip, neuvedomil jsem si, ze validaci uz nikdo za mnou pravdepodobne delat nebude. I kdyz je pravda, ze minimalne u road warriors by asi lokalni validace byla na miste.

Celkově nevím o žádném existujícím řešení pro ta LDAP data, ale nikdy jsem se nesnažil hledat.  Pokud to umíte vytáhnout skriptem, přijde mi že řešení se (samotným) Knot Resolverem půjde dobře (celý seznam požadavků).  Ale ani v plánu s autoritativním serverem navíc nevidím problém, jen je to trochu složitější.

OpenLDAP nove pouzivam pro overovani uzivatelu pro vice sluzeb (NextCloud, OpenProject, ...) a protoze nemam rad veci na mnoha mistech, chtel jsem jej vyuzit i pro spravu zarizeni, kde je lze snadno propojit s uzivateli (Franta ma sveren ThinkPad12) a zaroven i jako uloziste pro souvisejici sitova data (DHCP prideli pro ThinkPad12 IP x, DNS umozni ssh admin@franta.mojedomena.cz, at bude mit IP z LAN, WLAN nebo VPN subnetu a ruzne logy budou obsahovat info, ze pristupoval Franta, protoze PTR zaznam. Ano, slo by to resit i jinak, napr. nejaky agent na user systemech. Pro bind byl napr. bind-dyndb-ldap, ale asi nebude problem pouzit pripadne hooks a spachat nejaky script, v hrosim pripade dotazovani na novinky pres cron.

DNSSEC funguje tak, že (...)
(...) musí tedy správce nadřazené domény umožňovat editaci DS záznamů pro vaši doménu (buď přímo, nebo přes KEYSETy, jak to dělá CZ.NIC pro doménu cz).

Diky za upresneni, nebyl jsem si jist, zda je nutne pouzit DS nebo zda je mozne pouzit i TXT (podpora "nepuvodnich features" byla u nekterych veci resena pres TXT).

Žádná speciální podpora ze strany registrátora není potřeba (...)

Tou "specialni" podporou jsem myslel prave napr. umoznit editaci DS. Joker.com DS nenabizi, minimalne ne na urovni zaznamu typy CAA, zkusim jejich support. Umoznuje samozrejme nastavit si vlastni NS, ale tou cestou bych sel nerad.

19

Server / Re:DNS server pro intranet

« kdy: 09. 03. 2020, 16:32:16 »

buď mít jednu zónu (veřejnou) a v ní všechny záznamy

To bych videl az jako jednu z poslednich moznosti - slo by o nekolik desitek zaznamu z nekolika privatnich subnetu a velmi nerad bych poskytoval pripadnym utocnikum takove informace "zcela zdarma".

budete mít jinou veřejnou a interní zónu, pak musíte podepisovat každou zvlášť

Chapu-li to spravne, pak je treba, aby nadrazena zona obsahovala informaci o klicich. Tedy v mem pripade by slo napr. o zony mojedomena.cz (NS registratora) a zonu napr. kancl.mojedomena.cz (interni NS). Je pro zasjisteni validniho podepisovani kancl.mojedomena.cz dostatecne nastaveni podepisovani (vygenerovani klicu, zonefile, podepsani) a umistetni nejakych TXT zaznamu do NS mojedomena.cz (mohu zautomatizovat pres API registratora) nebo je nutna nejaka specialni podpora na jeho strane? Konkretne jde o joker.com, kde jedine moznosti k DNSSEC jsem nalezl na urovni ON/OFF.

20

Server / DNS server pro intranet

« kdy: 08. 03. 2020, 05:24:12 »

Prosim o "nakopnuti" spravnym smerem pri volbe implementace lokalniho DNS serveru.

Co by mel umet:
 - "doplnek" k verejnym autoritativnim DNS pro vlastni domenu
 - resolving vsech ostatnich domen
 - podpora DNSSEC
 - podpora IPv6
 - idealne podpora dynamic DNS z LDAPu, ale neni nutne, mohu vytvorit nejaky script pro aktualizaci

K cemu by mel slouzit: pro zarizeni na LAN / WLAN / VPN by mel poskytovat cache + pro vlastni domenu poskytovat intranetove adresy, napr. pro lokalni sluzby (staticke zaznamy) a idealne i dynamicke z LDAPu (frantuv-notebook.moje-domena.cz), vcetne PTR.

Dosud jsem pouzival bind9, ale zvazuji Knot. Lze uvedene dosahnout napr. pomoci Knot DNS poslouchajiciho na localhostu + Knot Resolver poslouchajiciho na eth, ktery by pro vlastni domenu dotazoval lokalni Knot DNS a zbytek predaval napr. na DNS server providera? Nebo napr. Knot DNS + tinydns proxy modul? Nemam prilis zkusenosti s DNSSEC - je toto realizovatelne, nebo musi byt i intranet zaznamy v hlavni sade nameserveru?

Predem diky za jakekoli relevantni informace.

21

Distribuce / Re:Synchronizace OS - jde to vůbec ?

« kdy: 29. 02. 2020, 02:49:58 »

Vcelku mne prekvapuje, ze zrovna zde jsou jako mozna reseni uvadeny Windows domeny, MS Live apod.
Osobne sync vice stroju resim pres vlastni NextCloud (konkretni bezici v samostatnem jailu pod FreeNASem, ale to neni podstatne). O samotnou synchronizaci dat a user settings se stara NextCloud desktop client. V mem pripade jde o home s nekterymi soubory / adresari v exclude u linux / *BSD stroju, pro nektere cleny sirsi rodiny i user data win systemu (napr. jeden komp na koleji, druhy v rodnem hnizde). O "synchronizaci" systemu se stara Ansible. Kdo zna Ansible, tak vi, ze nejde o synchronizaci v pravem slova smyslu, ale napr. dosazeni identickych sad nainstalovanych balicku na jejich nastaveni (jiz ne nutne plne identicke) zajistuje. Do budoucna planuji rozsirit na PXE instalaci pressed Debianu a po vyzkouseni v homelabu na clenech rodiny chci nasadit i v kanclu. Cilem by mela byt prave synchronizace desktop / notebook + backup na serveru s moznosti pracovat i offline (tedy jen pripojeny sitovy disk je mimo hru) a relativne rychla "nahrada" pri nutnosti vymeny notebooku ci pridani notebooku uzivali, ktery mel do te doby jen desktop (pridat MAC noveho stroje do DB, priradit profil, boot PXE nainstaluje preseed Debian, ansible se postara o instalaci a nastaveni aplikaci, NextCloud doda zalohovana user data).