tachtler:dns_unbound_archlinux
Unterschiede
Hier werden die Unterschiede zwischen zwei Versionen angezeigt.
Beide Seiten der vorigen RevisionVorhergehende ÜberarbeitungNächste Überarbeitung | Vorhergehende Überarbeitung | ||
tachtler:dns_unbound_archlinux [2021/11/28 17:56] – [/etc/unbound/unbound.conf] klaus | tachtler:dns_unbound_archlinux [2022/03/31 05:32] (aktuell) – [Installation] klaus | ||
---|---|---|---|
Zeile 47: | Zeile 47: | ||
(**__Siehe nachfolgendes Beispiel__**) | (**__Siehe nachfolgendes Beispiel__**) | ||
< | < | ||
- | # dig @127.0.0.2 rechner10.intra.tachtler.net +dnssec +multi | + | # dig @192.168.0.20 rechner10.intra.tachtler.net +dnssec +multi |
+ | |||
+ | ; <<>> | ||
+ | ; (1 server found) | ||
+ | ;; global options: +cmd | ||
+ | ;; Got answer: | ||
+ | ;; ->> | ||
+ | ;; flags: qr rd ra ad; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 1 | ||
+ | |||
+ | ;; OPT PSEUDOSECTION: | ||
+ | ; EDNS: version: 0, flags: do; udp: 1232 | ||
+ | ;; QUESTION SECTION: | ||
+ | ; | ||
+ | |||
+ | ;; ANSWER SECTION: | ||
+ | rechner10.intra.tachtler.net. 10505 IN A 192.168.0.10 | ||
+ | rechner10.intra.tachtler.net. 10505 IN RRSIG A 15 4 10800 ( | ||
+ | 20211217203021 20211130133211 10887 intra.tachtler.net. | ||
+ | Ds49XZOZ1p87ygjVtBYPk5qZED3MmbVybLoKIc8o4KPW | ||
+ | P4xhS3R1Z9rAWBjHMi2XGxqIn7BB403SUh1quM03CA== ) | ||
+ | |||
+ | ;; Query time: 0 msec | ||
+ | ;; SERVER: 192.168.0.20# | ||
+ | ;; WHEN: Tue Nov 30 15:38:06 CET 2021 | ||
+ | ;; MSG SIZE rcvd: 187 | ||
</ | </ | ||
:!: **HINWEIS** - **Nachfolgend muss das '' | :!: **HINWEIS** - **Nachfolgend muss das '' | ||
- | FIXME | + | |
===== Überblick ===== | ===== Überblick ===== | ||
Zeile 71: | Zeile 95: | ||
Mit nachfolgendem Befehl, wird das Pakete **'' | Mit nachfolgendem Befehl, wird das Pakete **'' | ||
+ | < | ||
+ | # pacman --noconfirm -S unbound | ||
+ | </ | ||
+ | ++++ Installationsverlauf | | ||
< | < | ||
# pacman --noconfirm -S unbound | # pacman --noconfirm -S unbound | ||
Zeile 131: | Zeile 159: | ||
==> root: 11 | ==> root: 11 | ||
</ | </ | ||
+ | ++++ | ||
Mit nachfolgendem Befehl kann überprüft werden, welche Inhalte mit den Paket **'' | Mit nachfolgendem Befehl kann überprüft werden, welche Inhalte mit den Paket **'' | ||
+ | < | ||
+ | # pacman -Qil unbound | ||
+ | </ | ||
+ | ++++ Installierte Dateien | | ||
< | < | ||
# pacman -Qil unbound | # pacman -Qil unbound | ||
Zeile 242: | Zeile 275: | ||
unbound / | unbound / | ||
</ | </ | ||
+ | ++++ | ||
===== Dienst/ | ===== Dienst/ | ||
Zeile 643: | Zeile 677: | ||
</ | </ | ||
+ | |||
+ | ==== remote-control ==== | ||
+ | |||
+ | Es kann eine Kontrolle über den [[http:// | ||
+ | * '' | ||
+ | die erforderlichen TLS-Schlüsseldateien automatisch im Standardinstallationsverzeichnis | ||
+ | * ''/ | ||
+ | zu erzeugen, wie nachfolgend dargestellt: | ||
+ | < | ||
+ | # unbound-control-setup | ||
+ | setup in directory / | ||
+ | Generating RSA private key, 3072 bit long modulus (2 primes) | ||
+ | ..........................++++ | ||
+ | ........++++ | ||
+ | e is 65537 (0x010001) | ||
+ | Generating RSA private key, 3072 bit long modulus (2 primes) | ||
+ | .....................................................................................................++++ | ||
+ | ....................++++ | ||
+ | e is 65537 (0x010001) | ||
+ | Signature ok | ||
+ | subject=CN = unbound-control | ||
+ | Getting CA Private Key | ||
+ | removing artifacts | ||
+ | Setup success. Certificates created. Enable in unbound.conf file to use | ||
+ | </ | ||
+ | |||
+ | Eine Überprüfung, | ||
+ | < | ||
+ | # ls -l / | ||
+ | -rw------- 1 root root 2455 Dec 11 08:33 / | ||
+ | -rw-r----- 1 root root 1411 Dec 11 08:33 / | ||
+ | -rw------- 1 root root 2459 Dec 11 08:33 / | ||
+ | -rw-r----- 1 root root 1549 Dec 11 08:33 / | ||
+ | </ | ||
+ | |||
+ | Eine Beschreibung der möglichen Aktionen, welche mittels dem Befehl '' | ||
+ | |||
+ | Nachfolgend eine Beispiel, wenn die Konfiguration in ''/ | ||
+ | < | ||
+ | # unbound-control status | ||
+ | version: 1.13.2 | ||
+ | verbosity: 1 | ||
+ | threads: 1 | ||
+ | modules: 3 [ subnetcache validator iterator ] | ||
+ | uptime: 6 seconds | ||
+ | options: reuseport control(ssl) | ||
+ | unbound (pid 36998) is running... | ||
+ | </ | ||
+ | |||
+ | :!: **HINWEIS** - **Standardmäßig ist der '' | ||
==== / | ==== / | ||
Zeile 708: | Zeile 792: | ||
auto-trust-anchor-file: | auto-trust-anchor-file: | ||
auto-trust-anchor-file: | auto-trust-anchor-file: | ||
- | auto-trust-anchor-file: | + | auto-trust-anchor-file: |
- | auto-trust-anchor-file: | + | auto-trust-anchor-file: |
auto-trust-anchor-file: | auto-trust-anchor-file: | ||
auto-trust-anchor-file: | auto-trust-anchor-file: | ||
Zeile 796: | Zeile 880: | ||
;; MSG SIZE rcvd: 113 | ;; MSG SIZE rcvd: 113 | ||
</ | </ | ||
+ | |||
+ | * <code ini> | ||
+ | control-enable: | ||
+ | server-key-file: | ||
+ | server-cert-file: | ||
+ | control-key-file: | ||
+ | control-cert-file: | ||
+ | |||
+ | Eine Kontrolle über den Befehl '' | ||
* <code ini> | * <code ini> | ||
Zeile 810: | Zeile 903: | ||
forward-addr: | forward-addr: | ||
forward-zone: | forward-zone: | ||
- | name: " | + | name: "167.171.217.88.in-addr.arpa" |
forward-addr: | forward-addr: | ||
Zeile 834: | Zeile 927: | ||
auto-trust-anchor-file: | auto-trust-anchor-file: | ||
auto-trust-anchor-file: | auto-trust-anchor-file: | ||
- | auto-trust-anchor-file: | + | auto-trust-anchor-file: |
- | auto-trust-anchor-file: | + | auto-trust-anchor-file: |
auto-trust-anchor-file: | auto-trust-anchor-file: | ||
auto-trust-anchor-file: | auto-trust-anchor-file: | ||
Zeile 853: | Zeile 946: | ||
dynlib: | dynlib: | ||
remote-control: | remote-control: | ||
+ | control-enable: | ||
+ | server-key-file: | ||
+ | server-cert-file: | ||
+ | control-key-file: | ||
+ | control-cert-file: | ||
forward-zone: | forward-zone: | ||
name: " | name: " | ||
Zeile 866: | Zeile 964: | ||
forward-addr: | forward-addr: | ||
forward-zone: | forward-zone: | ||
- | name: " | + | name: "167.171.217.88.in-addr.arpa" |
forward-addr: | forward-addr: | ||
</ | </ | ||
+ | |||
+ | ===== Konfigurationsdatei Überprüfung ===== | ||
+ | |||
+ | Mit nachfolgendem Befehl kann die **syntaktische Richtigkeit** der Konfigurationsdatei: | ||
+ | * ''/ | ||
+ | durchgeführt werden und sollte keine Meldungen ausgeben, wenn die Konfigurationsdatei **syntaktische richtig** ist: | ||
+ | < | ||
+ | # / | ||
+ | unbound-checkconf: | ||
+ | </ | ||
+ | |||
+ | ===== Erster Start ===== | ||
+ | |||
+ | Falls alle voranstehenden Schritte wie beschrieben durchgeführt wurden, **Installation, | ||
+ | < | ||
+ | # systemctl start unbound.service | ||
+ | </ | ||
+ | |||
+ | Mit nachfolgendem Befehl kann überprüft werden, ob der erste Start erfolgreich durchgeführt wurde: | ||
+ | < | ||
+ | # systemctl status unbound.service | ||
+ | ● unbound.service - Validating, recursive, and caching DNS resolver | ||
+ | | ||
+ | | ||
+ | Docs: man: | ||
+ | Main PID: 44109 (unbound) | ||
+ | Tasks: 1 (limit: 2346) | ||
+ | | ||
+ | CPU: 96ms | ||
+ | | ||
+ | | ||
+ | |||
+ | Nov 30 16:08:17 vml020 systemd[1]: Starting Validating, recursive, and caching DNS resolver... | ||
+ | Nov 30 16:08:17 vml020 unbound[44109]: | ||
+ | Nov 30 16:08:17 vml020 unbound[44109]: | ||
+ | Nov 30 16:08:17 vml020 unbound[44109]: | ||
+ | Nov 30 16:08:17 vml020 unbound[44109]: | ||
+ | Nov 30 16:08:17 vml020 unbound[44109]: | ||
+ | Nov 30 16:08:17 vml020 systemd[1]: Started Validating, recursive, and caching DNS resolver. | ||
+ | </ | ||
+ | |||
+ | ===== Überprüfung ===== | ||
+ | |||
+ | Ziel ist es eine **lokale Antwort --> | ||
+ | * **'' | ||
+ | zu erhalten, welche via | ||
+ | - **DNSSec** abgesichert ist **__und__** | ||
+ | - bei der die **(DNS) Chain-of-Trust (Vertrauenskette)** | ||
+ | im **lokalen Netzwerk** überprüfbar ist, was durch | ||
+ | * das **'' | ||
+ | in der Antwort bestätigt wird. | ||
+ | |||
+ | (**__Siehe nachfolgendes Beispiel__**) | ||
+ | < | ||
+ | # dig @192.168.0.20 rechner10.intra.tachtler.net +dnssec +multi | ||
+ | |||
+ | ; <<>> | ||
+ | ; (1 server found) | ||
+ | ;; global options: +cmd | ||
+ | ;; Got answer: | ||
+ | ;; ->> | ||
+ | ;; flags: qr rd ra ad; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 1 | ||
+ | |||
+ | ;; OPT PSEUDOSECTION: | ||
+ | ; EDNS: version: 0, flags: do; udp: 1232 | ||
+ | ;; QUESTION SECTION: | ||
+ | ; | ||
+ | |||
+ | ;; ANSWER SECTION: | ||
+ | rechner10.intra.tachtler.net. 10800 IN A 192.168.0.10 | ||
+ | rechner10.intra.tachtler.net. 10800 IN RRSIG A 15 4 10800 ( | ||
+ | 20211217203021 20211130133211 10887 intra.tachtler.net. | ||
+ | Ds49XZOZ1p87ygjVtBYPk5qZED3MmbVybLoKIc8o4KPW | ||
+ | P4xhS3R1Z9rAWBjHMi2XGxqIn7BB403SUh1quM03CA== ) | ||
+ | |||
+ | ;; Query time: 20 msec | ||
+ | ;; SERVER: 192.168.0.20# | ||
+ | ;; WHEN: Tue Nov 30 16:11:49 CET 2021 | ||
+ | ;; MSG SIZE rcvd: 187 | ||
+ | </ | ||
+ | |||
+ | :!: **HINWEIS** - **Nachfolgend muss das '' | ||
+ | * '';; | ||
tachtler/dns_unbound_archlinux.1638118571.txt.gz · Zuletzt geändert: 2021/11/28 17:56 von klaus