konfigurace dns serveru
Dobrý den,
Mám u vás v nájmu domenu richtermoc.cz
Na úrovní svojí internetové brány mi běží, která plní funkci DNS serveru.
Na vašem DNS mám nastavené A+AAAA záznamy, které směrují doménu na mojí statickou IP – to je ok.
Co všechno musím tedy udělat, aby mi fungovalo následující??
Chtěl bych, pokud je to tedy možné,aby můj DNS, vůči vašemu DNS autoritativní. Nevím totiž jestli je to vůbec možné, pokud vy jsme „majitelem domény“ – na to jsem bohužel nepřišel.
Každopádně někde dělám chybu.
Mám nastavenou master zónu se svým doménovým jménem a statickou adresou svojí veřejné adresy IP routeru. V podřízené zóně mám vaše doménové jméno a odkazuji se k vašemu DNS, abych získával rekurzivní dotazy, pakliže se někdo dotazuje na mojí doménu prostřednictvím webu.
V podřízené zóně je samozřejmě možnost vložení bezp.klíče TSIG, ten jestli to chápu správně slouží právě k tomu, aby se určilo, který DNS je vůči kterému autoritativní ?? Nebo je to jen zajištění bezpečné komunikace a vzájemnému potvrzování??
Jaký používáte formát ser.čísla? RRRRMMDDČČ??
Co bude v tuto chvíli nejlepší cesta?? Změnit DNS servery, které mám od ISP a používat Vaše DNS – popř jak se potom změní práva a vazby jednotlivých DNS na sebe navázaných – pokud tedy vůbec k něčemu takovému dojde.
Nevím jaký je další postup a nebo jestli už tohle není ve vaší režii a podléhá to až službám hostingu fakt netuším…
Potom tedy moje výchozí DNS bude stejné jako moje veřejná IP adresa??
Já vím, je to hodně otázek, a v dnešní době internetu je hodně zdrojů informací, ale k vyřešení této situace jsem nenašel odpověď nikde.
Děkuji JR
3 Answers
Dobrý den,
Vaši otázku předávám na doménové oddělení. Vzhledem k povaze dotazu bohužel nedokážu říct, v jakém čase Vám kolegové odpoví.
Nepracuji pro Wedos, ale občas na fórum zavítám, abych se mrknul, co se děje a tak. Ale přiznám se, že Váš dotaz moc nechápu – v některých větách vám vypadla důležitá slova a pouze se domnívám, jaká to asi byla, aby mi to dávalo smysl. 🙂
Doporučuji používat robustní DNS infrastrukturu Wedosu a nezkoušet nic v domácím prostředí. Ale pokud přeci, tak pokud máte vlastní DNS server, který je dostupný z Internetu a ten má být autoritativní pro doménu, tak ve vlastnostech domény v administraci Wedosu zvolíte Změnu DNS serverů, a tam nastavíte vlastní NSSET, který si vytvoříte. Že by to měly být alespoň 2 DNS servery geograficky odděleny, robustní a na dobré lince, správně nakonfigurované, s veřejnýma IP adresama, to je bez debat. Nedoporučuji to. DNS systém je tak komplexní a složitý, a to nemluvím třeba o DNSSECu…
Děkuji tedy alespoň Vám, byl jste totiž jediný, kdo na to vůbec nějak reagoval. Po pravdě, když si to teď zpětně čtu,, nedává to smysl ani mně a to jsem toho ve skutečnosti autor 🙂
Měl jsem se na to pořádně vyspat, ale už jsem tomu věnoval několik týdnů zkoušení a určitě s Vámi souhlasím, že tato problematika je jen jedna z tisíce dalších a už teď vím, že v tom až tak moc orientovat nemusím, protože to je opravdu dlouhá trať a při mé profesi bych se nedokázal soustředit na obě věci současně. Takže moje strategie je jasná, rychlé řešení a nějak extrémně do toho nezabředávat 🙂
Zkusím to tedy ještě jednou a je mi úplně jasné, že by bylo „pohodlnější“ a hlavně komplexnější řešení celou záležitost přesunout do wedosu, ale už jsem za pomyslnou hranicí toho, že bych to chtěl vzdát 🙂
Celé to začalo tím, že při spouštění mail serveru jsem se nemohl domluvit s DNS záznamy (DKIM,DMARC,TLSA,SPF), netušil jsem v té době jestli pro správnou funkci těchto záznamů potřebuji nějakou jinou úroveň přístupu (dnes už vím, že ne) a v konečném výsledku všechna pošta končila zpět u providerů ve spamu a jelikož jsem nechtěl skončit na public black listu, hledal jsem řešení jiné tak, abych mohl spravovat DNS záznamy u sebe na serveru, nikoliv u wedosu, protože tam drobné odchylky v záznamech mezi zřizovateli jsou, a tím že nemám hosting, tak si v podstatě ani nemůžu zkontrolovat, v jakém stavu zprávy dojdou a co se vlastně děje.
Potom jsem zjistil, že přes jejich servery neprojde taková délka bezpečnostního klíče, kterou jsem zase já potřeboval pro bezpečné doručování zpráv. Po přesměrování domény jinou cestou to prošlo o dorazilo ke mně na server v pořádku, ale přišlo mě to složité, a tak jsem se pustil co jiné cesty, a kdybych jen tušil, že bude ještě složitější asi bych zůstal u původného řešení 🙂
Změnu DNS a nastavení NSSET se zdál jako dobrý nápad a neviděl jsem jediný problém, proč by to nemělo fungovat,ale opak byl pravdou,ale to byl spíše problém na mojí straně.Nešlo totiž v DNS serveru rozdělit interní a externí překlady přes router tak,aby se nepropisovaly z rozhraní LAN do WAN a ven chodili v podstatě informace o mé vnitřní síti. Potom mě napadlo spustit DNS v serveru a DNS službu v routeru zvlášť, a aby mezi s sebou tyto servery vzájemně komunikovali a vyměňovali informace s DNS wedosu,a tím bych vlastně zajistil, aby moje doména byla směrována na moje DNS se správou záznamů, tentokrát ale na mém serveru.To se podařilo a část toho problému jsem vyřešil,ale když jsem pochopil kolik je to výpočtů a kolik informací o energiích raději nemluvím, tak to byl ten okamžik, kdy jsem pochopil, že bude asi nejlepší si říci o pomoc odborníkům na slovo vzaté.No a výsledek je ten, že na to zareagoval někdo, kdo za to v podstatě ani není placený 🙂 Takže máte moje poděkování 🙂
Nakonec jsem svoje požadavky vyřešil reverzním proxy serverem a DNS vyřešil v rámci lokální sítě ručně, co mi ovšem stále nefunguje je doručování poštovních zpráv, takže by se dalo říci, že plán jsem si splnil alespoň na 50%.
Kdybych přesměroval veškerý provoz na můj web? Myslím si, že to ani není možné směrovat doménu na doménu stejného jména, nebo to jde ještě jiným způsobem?
Napadá Vás k tomu ještě nějaké řešení??