# Ispconfig dns trouble



## funroli (15. Mai 2013)

Hallo liebe Community,

Ich habe mir einen Testserver nach diesem Howto aufgesetzt. Nun möchte ich auf diesem einen
öffentlicher DNS für ein paar eigene Domains erstellen.
Ich habe eine Zone (SOA) per ispconfig erstellt.

Irgendwie scheint es nicht zu Funtzen.
Auf einem älteren Server auch mit Ispconfig 3 und MyDSN hat es auf anhieb
nach Konfiguration per ispconfig Webinterface funktioniert.

Nun meine Fragen:
Ein Start/Stop von Bind funktioniert einwandfrei und der Dienst wird in der Weboberfläche Grün angezeigt (allerdings auch wenn ich den BIND Stope ;.))

Wie kann ich mit dig lokal die einträge abfragen?

Wie soll ich vorgehen um der sache auf den Grund zu kommen?


NACHTRAG:
Mittlerweile habe ich herausgefunden das Anfragen nicht beantwortet werden weil beim erstellen der zone via ispConfig Zonen Assistent
Ein Zone File mit .err am Schluss erzeugt wird. Warum?

Müssen noch entsprechende Einträge nachträglich in die  /etc/bind/named.conf.options oder
Ist das bei ispConfig anderst gelöst. (allow-query recursion etc.) ?

Wie bringe ich den DNS dazu Anfragen zu beantworten für die Zonen die in ISPconfig eingerichtet sind?

Ich bin langsam am ende vom latein.

Bin für jede hilfe dankbar!

grüsse
funroli


----------



## Till (15. Mai 2013)

Schau ins syslog, dort solle drin stehen warum Bind die Datei nicht akzeptiert hat.


----------



## funroli (15. Mai 2013)

Zitat von Till:


> Schau ins syslog, dort solle drin stehen warum Bind die Datei nicht akzeptiert hat.


Hallo Till Danke für den Tip, auf die einfachsten Dinge kommt man nicht. 

Habe folgende Meldungen im Syslog:

Wie gesagt habe alles nach Tut gemacht.
Irgenwelche Schlüsel-key habe ich nicht aktiviert oder eingtragen.
Der sinn von ispconfig ist es ja eigentlich eben genau zu vermeiden das man hardcore änderungen am System durchführen muss.

Was läuft hier und wie kann es behoben werden?

Bitte um hilfe.

grüsse
funroli


----------



## Brainfood (15. Mai 2013)

Nach dem Perfect Server Setup findest du Log-Infos von BIND unter:


```
/var/log/syslog
```
Die allgemeine Konfigurationsüberprüfung checkst du mit:


```
named-checkconf
```
Domainspezifische Checks machst du mit:


```
named-checkzone meinedomain.tld /etc/bind/pri.meinedomain.tld
```
Bei kritischen Konfigurationsfehlern entsteht eine err Datei:


```
/etc/bind/pri.meinedomain.tld.err
```
Wenn  du neben den allgemeinen Domaintypischen Abfragen auch deinen BIND als  "public" / recursiven DNS Server verwenden möchtest, kannst du ja per  direkte Loggin-Einträge den Verlauf anschauen, z.B.:


```
/etc/bind/named.conf.options
```


```
// ### ### ### PLITC ### ### ###
logging {
        channel query_log {
                file "/var/log/bind/named_query.log" size 25m;
                severity debug 3;
                print-time yes;
                print-severity yes;
                print-category yes;
        };
        channel default_log {
                file "/var/log/bind/named.log" size 25m;
                severity info;
                print-time yes;
        };
# channel dnssec_log {
# file "/var/log/bind/named_dnssec.log" size 25m;
# severity debug 3;
# print-time yes;
# print-severity yes;
# print-category yes;
# };
        channel security_log {
                file "/var/log/bind/named_security.log" versions 3 size 25m;
                severity dynamic;
                print-time yes;
        };

        category "security" {
                "security_log";
        };
# category "dnssec" {
# "dnssec_log";
# };
        category "default" {
                "default_log";
        };
        category "queries" {
                "query_log";
        };
};

// ### ### ### PLITC ### ### ###
// EOF
```
deine  allow-query {} kannste ja für vertrauenswürdige Kisten beschränken, ab  und an klopfen halt "dns amplification attacks" an die tür

PS: verwendest du DNSSEC ?


----------



## Brainfood (15. Mai 2013)

die normale /etc/bind/named.conf.options hat folgenden Inhalt:


```
options {
    directory "/var/cache/bind";

    // If there is a firewall between you and nameservers you want
    // to talk to, you may need to fix the firewall to allow multiple
    // ports to talk.  See http://www.kb.cert.org/vuls/id/800113

    // If your ISP provided one or more IP addresses for stable 
    // nameservers, you probably want to use them as forwarders.  
    // Uncomment the following block, and insert the addresses replacing 
    // the all-0's placeholder.

    // forwarders {
    //     0.0.0.0;
    // };

    auth-nxdomain no;    # conform to RFC1035
    listen-on-v6 { any; };
};
```
Wenn du sauber deine SOA/DNS Einträge eingefügt hast und die BIND Configs nicht zerspielt, sollte ein direkter *dig* check funktionieren:


```
dig @deine_dns_server_ip domain.tld
```


----------



## funroli (15. Mai 2013)

Hallo Brainfood,

Herzlichen Dank für Deine hilfe und die Ausführlichen Infos,
werde ich mir alles anschauen.

Nichts desto trotz bin ich einfach der Meinung das es ohne Hand config Funktionieren sollte.
Den genau für das ist ja ispconfig gemacht, und sinn der sache das man diese einträge mit der ispconfig oberfläche tätigt.
Das ging früher auch zu 100%, heute anscheinend nicht mehr.
Und Nein ich verwende kein DNSSEC, darum wundern mich auch die Fehlermeldungen, und wie gesagt alles genau nach howto hier ausgeführt.



> Bei kritischen Konfigurationsfehlern entsteht eine err Datei:


Und genau solche entstehhen beim Automatischen Konfig Wizard sowie händischen SOA von ispconfig!
Und das wird auch der grund sein warum nichts funtzt , die Frage ist hier nur warum??
Warum erstellt ispconfig falsche Zonen?


Wenn das ispconfig nicht mehr Ordentlich oder gar nicht mehr kann wie erstelle ich dann das ganze händisch wia ssh??
Sprich erstelle diese Zone FIles, wie seheh diese aus?

grüsse
funroli


----------



## Brainfood (15. Mai 2013)

Out of the Box funktioniert auch das DNS per ISPConfig Einträge ...

Wie Till an anderer Stelle schon sagte, gefühlte 90% einer "kritisch" nichtfunktionierenden Domain liegen einfach am fehlerhaften setzen der NS (Nameserver) Einträge ...



Noch einmal zum Verständnis:

ISPConfig3 (Interface) -> DNS -> *Neue DNS Zone per Assistent hinzufügen*

Domain: *wunschname.tld*
IP Adresse: *000.111.222.333*
NS 1: *ns1.hauptdomain.tld*
NS 2: *ns2.hauptdomain.tld*
E-Mail Adresse: *xyz@example.com*

Nach dem anlegen müssen dann auch unter "NS" diese 2 Nameserver aufgelistet werden

*Bedingung 1*: NameServer sind immer FQDNs, keine IPs!

*Bedingung 2*: Wenn die Name-Server einer anderen Domain zugehörig sind, muss deine Delegation erfolgen. Logischerweise willst du ja auch über die ISPConfig Kiste die Domain selbst verwalten, ergo müssen die NS Einträge der Fremddomain auf die eigene ISPConfig Kiste zeigen. (siehe Bedingung 3)

z.B. deine Domain: meinefirma.tld, jedoch die NS stammen aus ns.meinprovider.tld

*Bedingung 3*: beziehen sich die NS Einträge auf gesetzte Namen innerhalb (quasi Subdomain) der domain.tld, musst du beim .tld Provider (DENIC/EURid etc.) bzw. über deinen Registrar -> das setzen der "Glue Records" beantragen!

z.B.: deine Domain: *meinefirma.tld*,
autoritative Nameserver sollen sein: _ns1._*meinefirme.tld* sowie _ns2._*meinefirma.tld*

neben direken BIND checks mit den oben aufgelisteten Befehlen helfen dir auch:

http://www.denic.de/hintergrund/nast.html

http://dns-health.com


----------



## Brainfood (15. Mai 2013)

> Bei kritischen Konfigurationsfehlern entsteht eine err Datei


lass ISPConfig im Debug Modus laufen


----------



## funroli (16. Mai 2013)

Hallo Brainfood,

Genau so und nicht anderst habe ich es auch gemacht!!
Ich bin ja nicht von vorgestern ;-)
(Zumal es ja mit älter aufgesetzten kisten auch schon zwei Jahre ohne einwände funktioniert)

Und trotzdem wirft ispconfig3 anscheinend Fehler.

Glue-Records kann ich bei uns selber setzten (in der Schweiz)
Das heisst ich habe natürlich beim Registrar der für die .ch Domains die Autorität hat, mein nameserver sprich eben den GLue-Record
zb. ns1.xy.tlc = IP xyx.xxy.xxy.xxy ns2 etc.... eingetragen.

Bei der Automatischen Prüfung geht dan nix(klar weil zone file fehlt, somit ist BIND damit dann ja auch praktisch dicht)


Wie lass ich ispconfig im Debug mode laufen?


----------



## Brainfood (16. Mai 2013)

auch so ein Nachtaktiver 

Hast du Jabber?
Ansonsten schick mir per PM deine eMail Adresse, dann schau ich mir das mal an ... der Film gerade, langweilt mich etwas 

Debug:
http://www.faqforge.com/linux/controlpanels/ispconfig3/how-to-enable-debugging-in-ispconfig-3/


----------

