DDNS Update Bug: 301

Hallo,

ich habe mit Interesse den Bug 301 verfolgt:

forge.univention.org/bugzilla/s … cgi?id=301

Hier wird beschrieben, dass ein DDNS von Windows aus gar nicht notwendig ist, weil es ja von UCS “out of the box” heraus geht.

Hier werden Split-DNS-Scenarien in der DMZ nur unzureichend mit beachtet.

Also: Mein führendes System ist das Microsoft AD. Ich möchte aber nicht, dass zwischen innerem LAN und DMZ so viele Port offen sind, als das als ausreichend angeführte Scenario des DHCP vom UCS ausreichend wäre.

Angenommen man hätte ein AD im Inneren des LANs und verwendet des UCS-System in der DMZ.

Jetzt wäre aus Gründen der “Port-Sparsamkeit” zweckmässig, wenn ein DDNS-Update vom Innneren des LANs in Richtung DMZ möglich wäre. (Port 53 - UDP ausgehend - das geht immer :slight_smile:

Klar könnte der DHCP aus der DMZ, die IP-Adressen im LAN vergeben und dann wäre das unnötig. Aber wollen wir das, dass aus der DMZ IP-Adressen vergebeben werden. Ausserdem müsste ich den UDP 67/68 über einen Helper rüber-hieven und das wäre in einer grossen Installation fehleranfällig.

Der Bind kann das recht leicht, bei einer speziellen Zone den DDNS-Update von Inneren aus zu erlauben. Das geht abgesichert über Keys usw. Ist also ein recht kleines Risko. (Hier zu beachten: Absicherung der Zugriffe auf den Key)

Die Behauptung: "Es gibt keinen Standard für DDNS " war glaube ich älter und nicht mehr aktuell.

Aus meiner Sicht war das gar nicht so kompliziert einzurichten (BIND) und eigentlich aus meiner Sicht (Sicherheit) gibt es eine ganze Menge Scenarien, in denen dies interessant sein könnte.

Bei meinem Bind war folgendes notwendig:

/etc/sb.named.keys //Rechte 600
key “ddns-update-key” {
algorithm hmac-md5;
secret “blablablablablabla”;
};

server 1.2.3.4 //das ist der MS-Server
transfer-format many-answers;
keys { ddns-update-key; };
};

/etc/named.conf
acl “update” { key “ddns-update-key”; } ;

include “/etc/sb.named.keys”;
include “/etc/sb.named.keys”;

zone dyn.domain.de {
type master;
file “data/dyn.domain.de.internal”;
allow-transfer { update; localhost; internal; nameserver_int ; };
allow-update { update; internal; };
allow-query { localhost ; internal ; update ; } ;

Was denkt Ihr?

Wenn wir schon sein ein schönes System über die Registry haben, können wir Sie ja auch verwenden. Bin derzeit nur noch nicht firm genug, das innerhalb des DNS umzusetzen ohne alles platt zu machen.

Danke

Mastodon