Archives par mot-clé : dns

Juillet 2010 : Quand les root-servers auront fini la migration vers DNSSEC

« En juillet 2010, tous les serveurs de noms de la racine diffuseront des réponses cinq à dix fois plus grandes qu’aujourd’hui. Dans certains cas, cela pourra entrainer une coupure quasi-complète de votre accès à l’Internet. »

Han ! Si ca c’est pas de l’accroche. C’est ce qu’annonce Stephane Bortzmeyer Ingénieur réseau chez l’AFNIC. Je continue de citer son mail sur FRNOG :

La racine du DNS sera signée avec la technologie DNSSEC et la diffusion des signatures s’étalera de janvier à juillet 2010. En juillet, tous les treize serveurs DNS de la racine enverront les informations DNSSEC. Celles-ci, des signatures cryptographiques, sont de taille bien plus importante que les réponses DNS classiques. Elles dépasseront l’ancienne limite de 512 octets du DNS et même la limite des 1500 octets de la MTU Ethernet (la plus répandue sur l’Internet).

Continuer la lecture de Juillet 2010 : Quand les root-servers auront fini la migration vers DNSSEC

Gestion avec BIND et nssec.dedibox.fr de nom de domaine en .fr

Déclaration du nom de domaine sur nssec.dedibox.fr

Pour commencer, comme cela prend 24h pour que nssec.dedibox.fr se mette à jour, vous devez ajouter votre domaine en .fr dans l’interface dedibox le plus tôt possible.

Note du relecteur : L’installation initiale du domaine secondaire prends 24 heures environs (toutes les nuits à 2h45 du matin), ensuite les mises à jour sont effectuées dans le délais “refresh” indiqué dans la SOA du DNS primaire de votre nom de domaine.

Aprés avoir sélectionne votre serveur, dans l’onglet “Dns secondaire”.

A présent, cliquez sur Gestion DNS secondaire. Vérifiez que le serveur DNS primaire est bien celui qui doit gérer les DNS. Rajouter votre nom de domaine (sans http ni www).

Configuration de BIND

Le fichier de configuration général

Si vous utilisez un panel de gestion, commencez par installer le domaine avec le panel de gestion. Pour configurer BIND vous devez vous logger en root en ssh sur votre dedibox et éditer 2 fichiers.

Editez le fichier de configuration général de bind /etc/bind/named.conf. Placez-vous à la suite (ou sur la configuration faite par le panel) pour que la configuration de votre domaine ressemble à ceci (remplacer domaine.fr par votre domaine) :

zone "domaine.fr" {
       type master;
       notify yes;
       allow-transfer { 88.191.254.7; };
       file "/var/cache/bind/domaine.fr.db";
};

Comme vous l’avez surement remarqué le allow-transfer n’est pas configuré sur 88.191.254.71, l’ip de nssec.dedibox.fr, mais sur 88.191.254.7 car c’est ce serveur qui s’occupe de gerer les AXFR. Dans cet exemple le fichier de zone sera contenu dans /var/cache/bind/domaine.fr.db

Le fichier de zone

A présent il faut éditer le fichier pointé par le file. Dans cet exemple ce sera donc /var/cache/bind/domaine.fr.db Editer votre fichier pour qu’il ressemble à ceci :

$TTL 86400
@       IN      SOA     sd-xxxx.dedibox.fr. root.domaine.fr. (
                        2006081720
                        8H
                        2H
                        4W
                        1D )
        IN      NS      sd-xxxx.dedibox.fr.
        IN      NS      nssec.dedibox.fr.
        IN      MX      10 mail.domaine.fr.

domaine.fr.    A       88.191.xx.xx
ns             IN      A       88.191.xx.xx
mail           IN      A       88.191.xx.xx
www            CNAME   domaine.fr.
ftp            CNAME   domaine.fr.

Remplacer domaine.fr par votre propre nom de domaine. Remplacer sd-xxxx.dedibox.fr par le nom de votre dedibox. Remplacer 88.191.xx.xx par l’ip de votre dedibox. Faite bien attention de laisser les ”.” comme ils sont indiqués. Metter à jour le numero de serie.

A présent il vous reste à relancer BIND pour prendre en compte les modifications.

# /etc/init.d/bind9 reload

L’Afnic arg…

Avant de vous rendre sur le site de l’afnic pour tester votre domaine, pensez à créer un mail en postmaster (faite un catch-all) sur le domaine en .fr.

Après avoir attendu les 24h réglementaires, il vous reste l’étape si redoutée du passage du test zonecheck de l’afnic ici http://www.afnic.fr/outils/zonecheck/form

* Dans « zone » rentrer votre domaine sans www, ni http.
* Dans « primaire » rentrer le reverse (sd-xxxx.dedibox.fr) de votre dedibox et son IP.
* Dans « secondaire » rentrer nssec.dedibox.fr et 88.191.254.71 pour IP.

Si le test provoque des erreurs lisez les messages d’erreur générés par le zonecheck et corrigez les problèmes.

Sinon, si le test affiche SUCCES c’est que tout est bon, vous pouvez vous rendre chez votre registrar pour modifier vos serveurs de nom. Votre registrar enverra la demande à l’afnic qui procédera à la mise à jour du lundi au vendredi 9h-12h et 14h-17h…

Bref pour ce qui concerne la migration des DNS d’un nom de domaine en .fr, la meilleure des qualités c’est d’être patient. 😀

Merci à Mickael Moreira, Raphael Clerc, et achtungbaby pour leurs conseils.

Celui que j’avais écris pour le support ce trouve ici : http://documentation.dedibox.fr/doku.php?id=admin:dns