DNS / DHCP szerver páros.

Hálózatok általános

Sziasztok!

Kissé elavult (, és elhanyagolt) belső DNS és DHCP szervert kellene újrainstallálni.
A isc-kea és powerdns -re gondoltam Ubuntu szerver 18.04 alatt, postgresql backend-el.
A powerdns kiszolgálót sikerült feltelepíteni (némi kínlódás, és a megfelelő howto megtalálása után). De nem igazán világos, hogyan is kéne ezt adminisztrálni.
A powerdns doksijába erről nem igazán van szó néhány parancs ill. egy API-n kívül.
Az Ubuntu repójában a poweradmin persze nincs benne. Telepítettem a 2.1.7-es verzióz, de elakadtam, kéne a PHP-hez az mcrypt, csakhogy azt olvasom, hogy a PHP7-ben ez már nincs, a PHP5 pedig az Ubuntu 18.04-ben nincs.
Létezik a powerdns-hez más frontend? Vagy a poweradmin-nak valami fork-ja, ami PHP7-el is elmegy.
Aztán itt van az isc-kea, van azzal valakinek tapasztalata. Nem szeretnék azzal is ennyit szívni, cseszegetnek éppen elég másik feladattal.
Alapvetően egy olyan DHCP-DNS párost szeretnék, aminek rendes backend-je van, egy adatbázis, nem pedig egy kilométeres text. És az se lenne baj, ha a frontend is egy modernebb darab lenne.

  • 2530 megtekintés

Az, hogy install után by default, kérés nélkül eltéríti a készüléken átmenő DNS forgalmat, és faszságokat válaszolgat rá, én meg nézek ki a fejemből, hogy ha megmondtam, hogy ki a lokális hálón a DNS szerver, akkor mi a búbánatos pékfaszáért nem onnan és azt kapom a válaszként.

A konfigja persze semmivel se kompatibilis az égvilágon, látszik, hogy egy hatalmas céltákolás az egész. Nyilván akinek _pont_ erre van szüksége, az örül, mint majom a farkának, mindenki másnak meg nagyjából "a lufiárusnak a nyílzápor" szinten kell ez...

Én is így értem, de a dnsmasq ilyet hogy csinálna?
Ráül a routeren a 67-es portra. És...?
Nálam annyit csinál, hogy a dhcp-je elküldi a kliensnek, hogy ki a dns. A default, hogy ő, de ha beállítok neki mást, attól kezdve azt használja.
Majd utánaolvasok, de eddig eltérítésről még nem hallottam a dnsmasq kapcsán.

Szerintem is ennyit csinál (bár ebben az évszázadban már inkább az 53as porton ;) ). Azt még el tudom képzelni, hogy az openwrt alapból tol egy portforwardot a dns kérésekre localba, de akkor azt meg az openwrt csinálja, a dnsmasq tuti nem. Már eszközök híján.

Mondjuk a konfigja ennek is okádék, de szerintem van valami RFC valahol, hogy dns szerverhez kötelező a minimum 7/10-es hányásfaktorú konfig file.

szerk, korán van még.

Ez nem annyira soho környezet.
Az adatbázis backend-re pedig van Google találat, de csak kérdések (csak átfutottam).
Semmi előnye nem lenne az isc-dhcp-server/bind9 -hez képest, azokat jobban átlátom.
Egy VLAN-ban azt használom, ahova azok kerülnek akiknek a publikus net-en azonosítani kéne magukat, de nem sikerült, és csak egy help weblapot érnek el. Ott a dnsmasqu volt a legegyszerűbb választás.

Gondoltam, ha frissen installálok egy rendszert, akkor már ne legyen 2 éves, de legyen hosszan karbantartott, az pedig Ubutuból most éppen a 18.04.
A repóban a 18.04-ben nyoma sincs a php7.0-mcrypt csomagnak. Viszonylag egyszerűen telepíthető, ha valaki jól ismeri a PHP-t, vagy megtalálja a megfelelő howto-t. Megtaláltam, így a poweradmin működik. De én már öreg vagyok ahhoz, hogy napokig csomagokat, meg howto-kat vadásszak, és korrektül nem kezelt hibákból derítsem ki, hogy mi a gond. (Megjegyzem, minden programozót baseball ütővel tanácsolnák el a klaviatúra közeléből, aki nem képes rendes hibakezelést tenni a programjába. Jelen esetben különösen hasznos volt, az a javaslat, hogy konzultáljak a rendszergazdával, ja nem, ez a javaslat mindig is kibaszottul idegesítő tud lenni.)

Jó ötletnek tűnt, hogy a legfrissebbet rakom fel, mert kellett volna egy pár frissebb program, ami persze nem volt benne a 18.04-ben :(. Pl. kea-nak egy már nem támogatott verziója volt a repo-ban.
De sebaj, kicsit gyorsabban jutottam volna oda, hogy feladom, esetleg most jönne, hogy talán a 18.04.
Hajlok arra, hogy megy az összes VLAN DHCP-je a Windows-okra, azokkal nincs ennyi szívás (pontosabban: azokkal még nem szívtam, mert nem sokat foglalkoztam velük). Amit én gondoltam ezekről a szolgáltatásokról, az úgyis reménytelen, ill. ezek nem így működnek (lehet, hogy nem gondoltam végig).

( bennyh | 2018. 05. 08., k – 06:57 )

Windows server 2016 DC és DHCP szerepkörrel :D, szííívesen :D

Azért azt a kellő számú licencet sem adják ingyen, és a Microsoft esetén az engedélyek értelmezése nem tekinthető egyszerű problémának, ha valaki be is akarja tartani (vagy muszáj). Rákérdeztem a Windows rendszergazdánál, előszór nem értette miért kérdezek hülyeségeket, majd miután utánanézett, kiderült, hogy ez egy jó kérdés (nem a kliensek száma van meghatározva, amúgy több ezerről van szó). Szóval nem biztos, hogy megúsztam a DHCP/DNS telepítést.

Egy felől a windows-hoz nem igazán értek. Másfelől, ha már nem úgy működik mint ahogyan azt én szeretném, és ezt elfogadjuk, akkor már tényleg a Windows a jó választás. (Legalább a Rektorátuson is örülnek, mert ami Windows-on megoldható, azt Windows-on kell megoldani!)
Én valami olyat szeretnék, ami képes arra, hogy a reverz és forward név feloldásokat konzisztensen tartja, és eközben a dinamikus DNS címek is konzisztensek. Az első feltételt a Win DNS nem teljesíti, de legalább próbálkozik, a dinamikus DNS bejegyzések pedig nekem kaotikusnak tűnnek, rendszeresen tartalmaznak a DNS bejegyzések hülyeségeket (a Windows szervereknek nem én vagyok a rendszergaztája, bár a jogosultságaim megvannak, de igyekszem nem elcseszni semmit).
További problémám, hogy a (saját fejlesztésű) hálózat nyilvántartó és monitorozó programom ugyan elvileg le tudja kérdezni a Win. DHCP szervert a netsh-val. A jogosultságokkal rendszeresen problémáim vannak, és számomra teljesen kaotikus, hogy a netsh mikor mire hajlandó korrekt választ adni, így a lekérdezés csak off-line működik.
A nyilvántartó és monitorozó (lanview2) szempontjából egyszerű eset lenne, ha nem kéne a szolgáltatás API-jával vagy shelljével foglalkozni, hanem ott van az adatbázis. Ezért próbálkoztam a powerdns-el és a kea-val.

Nem kell netsh-val bajlódni, ott az RSAT, ami elvileg akkor is müxik kliensről, ha GUI nélkül telepíted a szervert (Server Core)

PS:
NetHServer viszonylag normális webes felülettel esetleg?
Egy jól összerakott cucc, nem rokkan bele folyton a frissítésekbe, mint a közösségi Zentyal.
Tudom, komplett cucc ez is saját OS-sel, de egy VM-ben jól el van.

Ez most arra volt válasz, amit nem értek?
Egy lekérdező programról volt szó. Olyan programot már írtam, ami szöveget fel tud dolgozni, olyat is ami adatbázisban turkál, sőt olyat is a mi web oldalban, Olyat ami egy GUI-ban böködik, és kérdez le, olyat viszont nem szeretnék (a trendektől teljesen függetlenül).
Az, hogy GUI, vagy CLI a feladattól függ, nem a trendtől. Van ami CLI-ben rémálom, és van ami a GUI-ban az.

OFF: Ha már szóba került a Win DHCP.
Egy monitorozó program (https://github.com/csikfer/lanview2) teszteli a DHCP szervereket: 5 percenként kér egy címet, és ellenőrzi a kapott adatokat. Hiba esetén újra kérdez 1 perc múlva. Egy módosított Nagios plugint használ (https://github.com/csikfer/dhtest), ami nem igazolja vissza a kapott címet. A DHCP DISCOVER kérés után max. 5 másodpercig vár a válaszra. Ha a válasz tartalma nem megfelelő, vagy nincs válasz akkor riaszt, a második hibára (mint a Nagios).
Két Windows szerver oszt címet 30 VLAN-ban, 9-ben Linux szerver. Kb. naponta jön egy riasztás, csak olyan VLAN-ból, amit Windows szolgál ki, hogy 5 másodperc alatt nincs válasz a DHCP kérésre. Mire a levelet kézbesíti a lekérdező rendszer (pár perc), a szolgáltatás állapota helyreáll.
Felhasználók nem reklamáltak, de ez VLAN-onként havonta egy eset, tehát elég ritka ahhoz, hogy észre sem vegyék, de a fals? riasztások elég bosszantóak.
Mi a fene lehet ez?

( Sixday v | 2018. 05. 08., k – 18:48 )

Ertem hogy db backendet szeretnel meg minden, de nem lenne egyszerubb betolni egy mikrotiket vagy pfsense/opnsense?

A powerdns egyebkent jo cucc, csak nincs hozza egy epkezlab frontend se :(

Bár nem írtam, de figyelmes olvasás esetén kiderülhetett volna, hogy ez egy egyetem.
Szóval itt betolni bármit ami pénzbe kerül, arra mindent lehet mondani, csak azt nem, hogy egyszerű. Főleg, ha csak egy alkesz beosztott áll elő az ötlettel.
Ettől függetlenül felesleges egy új fekete-doboz a rendszerbe, ami nem tud semmivel sem többet mint az eddigi isc-dhcp-server és a bind9. Egy hasonló vackom már van (tűzfal), csak éppen szarul implementálták az SNMP-t lekérdezni csak azt lehet, amit támogat, vagyis nem sokat (marketinges kipipálta az SNMP-t mint szolgáltatást, a többi meg nem számít, a döntést meghozó főnőknek úgysem fog feltűnni).

Az nem világos, hogy miért írtad, hogy érted, amit láthatóan nem értesz.

Azután, hogy működik a poweradmin, nekem sincs olyan érzésem, hogy kaptam egy igazán jó backend-et, de legalább nem nagyon fejlesztik :(.

pfsense/opnsense nem kerul penzbe, a mikrotik is 40 dollar, ha ennyi sincs akkor arra nem mondok semmit :)

Mivel nem vagy ISP es ez egy belso szolgaltatas, igy szerintem egy onjaro embedded cucc uzemeltetese nagysagrendekkel egyszerubb hosszu tavon, mas is bele tud tenni valamit aki nem feltetlenul ert hozza, fullos UI-od van, egyszeru updatelni, 1 kattintasbol van mentesed, stb.
Nekem amit most probalsz elerni az tunik inkabb agyuval verebre tortenetnek, de ahogy erzed, sok sikert hozza :)

Elképesztő, hogy a legtöbb embernek a leghalványabb fogalma sincs arról, hogy manapság mi folyik a közszférában. (Ennél már csak az elképesztőbb, ami a közszférában folyik.)
Ha egy pár dolláros cuccra van szükségem, és úgy érzem, hogy megkönnyíti az életem, akkor megveszem a saját adózott jövedelmemből. Ha drágább, vagy nem annyira az én életemet könnyítené meg, akkor várok a csodára, jó esetben egy-másfél év múlva beszerzik, kevésbé jó esetben tovább tart vagy soha. Egyetlen szoftvert kértem amióta itt dolgozom: az Ms. Visio-t, kb. 6 évet vártam rá. Kíváncsi lennék hányan vannak tisztában azzal, hogy 200eFt-nál drágább informatikai eszköz megvásárlásához a miniszterelnöki hivatal egyedi engedélye kell. És üzemeltess egy 2000 végpontos hálózatot, amiről sosem volt rendes dokumentáció, a kábelezés 20 éves, és alultervezett, van egy stóc elavult eszközöd, a beszerzések miatt az egész heterogén, fontos szolgáltatásokról kell lemondani az ár miatt, stb., stb.. Igények vannak, a lehetőségek nem érdekelnek senkit, a rendszergazdákat azért tartják hogy megoldják.

Figyelmes olvasással kiderülhetett volna, hogy mit szettnék: Egy olyan rendszert, amiben az adatok (forward-DNS, reverse-DNS, DHCP által kiosztott címek és a dinamikus DNS címek) konzisztensek. Ha mindehhez egy adatbázis backend tartozik, akkor az megkönnyítené a nyilvántartást, ill. a nyilvántartó rendszerhez való illesztést (https://github.com/csikfer/lanview2). GUI jó ha van, de nem ez a lényeg. Ha nincs adatbázis backend, akkor valamilyen egyszerű lekérdezési lehetőség kell, egy egyszerűen feldolgozható text állomány (a dhcpd.leases nem ilyen, bár nem reménytelen), vagy egy parancssoros interfész, könnyen feldolgozható text kimenettel, esetleg rendesen működő SNMP. A LAN-ok száma a WIN tartományokon kívül 10 körüli, két B, a többi C osztályú, néhány ezer cím (valószínűleg kevesebb mint 5 ezer).

A fentiek alapján nem tudom miért lenne jó egy 40$-os mikrotik? A pfsense/opensense -t nem tudom mit tud, eddig nem került szóba.

( _ventura_ v | 2018. 05. 08., k – 20:21 )

Szerintem, dhcp-hez radius passzol, a radiushoz meg olyan backendet tolsz amilyet akarsz :>

Fedora 27, Thinkpad x220