スキップしてメイン コンテンツに移動

kea-dhcp-ddns-serverにてipv4/ipv6アドレスとクライアント側で保存したホスト名をbind9に自動登録(正引きのみ)

表題が分かりにくくて申し訳ないのですが、要するにkeaとbind9でのddnsで、kea-dhcpが生成したホスト名ではなく、クライアントのインストール時またはインストール後に指定・登録したホスト名をbind9に正引きのみ登録するという事です。
例えば、Debian 12の場合、インストール時にdhcpでkeaからアドレスをもらうと、ホスト名については、初めはkeaから生成されたホスト名が入ります。これを上書きしてホスト名をクライアント側で登録しておくと、インストール終了後、再起動した後は、この上書き登録したホスト名でbindに登録されるという事です。
このため、クライアントがipv4/ipv6を取得・bindへホスト名・アドレスを登録するにあたり、今回は検証目的のため設定が楽なdhcpcdを使いました。(2024/06/28追記:クライアントがNeworkManagerの場合についてはこちらを参考にして下さい。)
なお環境はサーバ・クライアント共にDebian 12です。
まずは、クライアントの設定です。先に、dhcpcdをインストールしてisc-dhcp-clientは削除します。具体的には以下の様にします。 
apt-get install dhcpcd
dpkg -P isc-dhcp-client
つづいて/etc/dhcpcd.confの作成をします。インストール時のdefaultの/etc/dhcpcd.confを保存し、以下の様にします。(2024/06/28:/etc/resolv.confが暫くすると空になる為修正) 
cd /etc
cp -a dhcpcd.conf dhcpcd.conf.orig
cat <<EOF > dhcpcd.conf
hostname
noipv6rs
clientid
duid ll
persistent
option domain_name_servers, domain_name, domain_search
noipv4ll

interface eth0
  ipv6rs
  ipv6ra_noautoconf
  iaid 1
  ia_na 1 eth0
EOF
hostnameはクライアントのホスト名を"dhcp経由でクライアント側から送る"設定です。option host_nameとすると、"dhcpでホスト名を付けてもらう"設定になるので今回は入れていません。ipv6ra_noautoconfはraでIPv6アドレスを構成しない設定です。iaid 1とia_na 1 eth0 でdhcpv6経由にてeth0にアドレスを割り振るという設定です。その他の設定は特に難しいものはないので、dhcpcd.conf.origやマニュアルを参考にしてみてください。クライアントの設定は以上です。
続いてサーバです。凡そ以下の様になります。
1. bind9サーバ上でtsig keyの作成とパーミッションの変更および確認(後でコピペします。またalogorithmは任意に変えても構いません。) 
cd /etc/bind
tsig-keygen dom.myadomain.local > dom.myadomain.local.key
chown root:bind dom.myadomain.local.key
chmod 640 dom.myadomain.local.key
cat dom.myadomain.local.key

key "dom.myadomain.local" {
        algorithm hmac-sha256;
        secret "Waxd3wPTW8JUcre+7VkuxnPaPpXH2fLMmX813OhZEZk=";
};
2. bind9 サーバ上で生成したkeyをincludeさせ、bindを再起動 
$ sudo vi /etc/bind/dom.mydomain.local

include "/etc/bind/dom.mydomain.local.key";

zone "dom.myadomain.local" {
        type master;
        file "/var/lib/bind/dom.mydomain.local";
        allow-update {
                10.0.0.0/8;
                key "dom.mydomain.local";
        };
};

$ sudo systemctl restart bind9
3. keaサーバ上で tsig-keys.json を作成(先程のalgorithmとsecretをコピペ)およびパーミッションの変更 
cd /etc/kea
cat <<EOF > tsig-keys.json
"tsig-keys": [
    {
        "name": "dom.mydomain.local",
        "algorithm": "hmac-sha256",
        "secret": "Waxd3wPTW8JUcre+7VkuxnPaPpXH2fLMmX813OhZEZk="
    },
],
EOF

chown _kea:root tsig-keys.json
chmod 640 tsig-keys.json
4. keaサーバ上で /etc/kea-dhcp4.confを修正 
{
"Dhcp4": {

    "dhcp-ddns": {
        "enable-updates": true
    },

    "ddns-qualifying-suffix": "dom.mydomain.local.",
    "ddns-generated-prefix": "dynamic",
    "ddns-replace-client-name": "when-not-present",
    "ddns-send-updates": true,
    "ddns-update-on-renew": false,
    "ddns-override-client-update": true,
    "ddns-override-no-update": true,
// -- 以下省略
5. keaサーバ上で /etc/kea-dhcp6.confを修正 
"Dhcp6": {

    "dhcp-ddns": {
        "enable-updates": true
    },

    "ddns-qualifying-suffix": "dom.mydomain.local.",
    "ddns-generated-prefix": "dynamic",
    "ddns-replace-client-name": "when-not-present",
    "ddns-send-updates": true,
    "ddns-update-on-renew": false,
    "ddns-override-client-update": true,
    "ddns-override-no-update": true,
// -- 以下省略
6. keaサーバ上で /etc/kea/kea-dhcp-ddns.confの作成 
#/etc/kea/kea-dhcp-ddns.conf

{
"DhcpDdns":
{
  "ip-address": "127.0.0.1",
  "port": 53001,
  "control-socket": {
      "socket-type": "unix",
      "socket-name": "/run/kea/kea-ddns-ctrl-socket"
  },

  

  "forward-ddns" : {
      "ddns-domains" : [
          {
               "name": "dom.myadomain.local.",
               "key-name": "dom.myadomain.local",
               "dns-servers": [
                   { "ip-address": "fd98:1:1::66" }
               ]
          }
      ]
  },

  "loggers": [
    {
        "name": "kea-dhcp-ddns",
        "output_options": [
            {
                "output": "stdout",
                "pattern": "%-5p %m\n"
            }
        ],
        "severity": "DEBUG",
        "debuglevel": 99
    }
  ]
}
}
ここで指定するのは、ddns-domains []内ですが、nameはドメイン名に"."を付けたものにする必要がありました。
7. keaサーバ群の再起動 
systemctl restart kea-dhcp4-server
systemctl restart kea-dhcp6-server
systemctl restart kea-dhcp-ddns-server
正常に設定が出来ていると、クライアントの起動後に、以下の様にレコードが登録されます。 
$TTL 1200       ; 20 minutes
vm41-1                  A       10.1.40.120
$TTL 1333       ; 22 minutes 13 seconds
                        AAAA    fd98:1:1:40::2001
                        DHCID   ( AAIBZe2SYznOMYkZ5vQruNMvSJ4zLjkzqHjXi4TtSwLy
                                2ok= ) ; 2 1 32
なお、Debianクライアントのインストール時に、一時的にhost名が生成されるのですが、ゾーンファイル上に残ってしまうので、クリーンアップするとよいかもしれません。(例としてbind9上で実行し、ゾーンファイルが/var/lib/bind/dom.mydomain.localの場合) 
#!/bin/bash
cd /etc/bind

NL="
"
list=
DNS=sv66
ZONE=dom.mydomain.local
CL_PREFIX=dynamic

list="server $DNS
zone $ZONE."
for host in `grep -r $CL_PREFIX /var/lib/bind/$ZONE | awk '{print $1}'`; do
        list="${list}update delete $host.$ZONE.$NL"
done
list="${list}$NL"
echo "$list" | nsupdate -k $ZONE.key
今回は以上です。それでは。

コメント

コメントを投稿

このブログの人気の投稿

wsdd を使ってSamba サーバをネットワークに表示

Windows 10のアップデートで、セキュリティー対応のため、smbv1がデフォルトではインストールされなくなり、Samba serverがエクスプローラーのネットワークに表示されなくなってしまいました。そこで、いくつか方法を調べたのですが、linuxでwsdの実装がないか探したところ、 https://github.com/christgau/wsdd が、見つかりましたので、さっそくインストールしてみました。まだパッケージにはないようですが、インストール自身は簡単です。wsdd自体は以下のように取得し、linkを張っておきます。 cd /usr/local/bin/ sudo wget https://raw.githubusercontent.com/christgau/wsdd/master/src/wsdd.py sudo chmod 755 wsdd.py sudo ln -sf wsdd.py wsdd こちらのsambaサーバはDebianなので、/etc/systemd/system/wsdd.serviceは以下のようにしました。 [Unit] Description=Web Services Dynamic Discovery host daemon Requires=network-online.target After=network.target network-online.target multi-user.target [Service] Type=simple ExecStart=/usr/local/bin/wsdd -d MYDOMAIN [Install] WantedBy=multi-user.target wsdd -d MYDOMAINのところを、環境にあわせて書き換えてください。 次に、systemdに登録・起動テストを行います。 systemctl enable wsdd systemctl start wsdd 起動に成功すると、エクスプローラーのネットワークに表示されます。  なおこのwsddはpython3が必要です。一度試してみてください。SMBv1/CIFSを停止していても、大丈夫です。 cで書かれたほかのwsddの実装もあるようなので、いずれパッケージになるかも...
コメントを投稿
続きを読む

Windows デバイス暗号化 のサポートで "許可されていない dma 対応バス/デバイスが検出されました"の対処

Windows でセキュリティー関係を見ているのですが、とあるPCでmsinfo32で確認すると"デバイス暗号化のサポート"で"許可されていない dma 対応バス/デバイスが検出されました"と出ていました。このPCの場合、それ以外はOK(なにも表示されない)だったのですが、ネットでしらべるとMSのドキュメントではハードウェアベンダーに問い合わせるなどと敷居が高く具体的にどこが引っかかっているかわかりません。そこでほかに方法はないかとしらべやってみたところ、"前提条件をみたしています"まで持って行けたので、本稿を挙げた次第です。 具体的には、以下のようにします。 1-a. 許可するDMA対応バス・デバイスを指定するレジストリの所有権と書き込み設定をおこなう。 以下のレジストリキーの所有者を自分自身(管理ユーザ)のものにし、フルコントロール権を付与する。 HKLM\SYSTEM\CurrentControlSet\Control\DmaSecurity\AllowedBuses もしくは 1-b. MicrosoftよりPsExecをダウンロードし、System権限でRegeditを立ち上げ編集する。 Microsoftより、https://docs.microsoft.com/en-us/sysinternals/downloads/psexec にある こちら をダウンロードし、解凍する。解凍すると、x64の場合、PsExec64.exeがあるので、管理者権限で以下を実行し、システム権限でregeditを立ち上げることが出来るようになる。 cd Downloads\PSTools .\PsExec64.exe -sid C:\Windows\regedit.exe 2-a. パワーシェルスクリプトを実行し、PnPデバイスのうちインスタンスがPCIで始まるものを"AllowedBuses"に追加する。 以下のパワーシェルスクリプトを作成する。たとえばDocuments\allow-dma-bus-device.ps1として作成する。( こちらの記事のものを使用させていただきました: Thank you! ) $tmpfile = "$($env:T...
コメントを投稿
続きを読む

フレッツ光クロス:MAP-E ROUTER by Debian Box (iptables)

フレッツ光クロスがようやく開通したので、Debianにてrouterを構成し接続してみました。なお、プロバイダーを選ぶにあたっては、IPoE方式がそれぞれ異なるため検討したところ、IPoEでは、MAP-Eでもv6plusとocnバーチャルコネクトがあり、前者がポート数240なのに対し、後者は約4倍のポート数が使えるようなネットの情報をみて、OCNバーチャルコネクトを選択しました。(プロバイダーとしてはぷららです。なおDS-LiteはCE側でのNATではないので今回は見送りました。)そこで、OCN バーチャルコネクトをDebian(iptables)で実現するとどうなるかと思い、ネットの情報を頼りにしつつ、設定した次第です。 実際に試した結果、とりあえず通信できていますが、MAP-Eは本来マッピングルールをマップサーバから取得するはずなので、今回のやり方が正解とはいえませんし、仕様変更されると通信できなくなる可能性があります。あくまでも参考程度ですが、本稿をUPしてみました。 2023/03/16追記: こちら にゲームコンソールNAT越え(Nintendo Switch ナットタイプ A判定)対応版を投稿しました。 2023/03/28追記:※1の記述および3行無効化によりNAT越え(Nintendo Switch ナットタイプ B判定)できるようになりました。 構成は以下の通りです。 ルーターがDebianで回線がOCNバーチャルコネクトであること以外はなにも特別なところはない構成です。 さて、いきなり設定ですが、まず、割り当てられたプレフィックスを確認します。 確認は、 dhclient -6 -d -P enp2s0 とします。出力の中に 前略 RCV: | | X-- IAPREFIX 2400:4050:5c71:af00::/56 後略 このようにプレフィックスが表示されるので、その確認したプレフィックスを書き留めておきます。これを こちらで 入力します。すると、 CE: 2400:4050:5c71:af00:99:f171:c600:2f00 IPv4 アドレス: 153.241.113.198 ポート番号:(1776-1791 2800-2815 3824-3839) 4848-4863 5872-5887 6896-...
コメントを投稿
続きを読む