Utiliser dnsmasq comme serveur DNS faisant autorité

Ma démarche initiale était d’utiliser un nom de domaine gratuit grâce au registrar EU.org. EU.org propose uniquement de déléguer la zone demander, c’est à dire la création d’un champs NS, et d’un grue-record si besoin, soit :

ns.example.eu.org       A    1.2.3.4
example.eu.org           NS    ns.example.eu.org

C’est ce que j’ai fait, mais dnsmasq refusait de répondre aux requetes provenant d’un “non-local network” :rage:

En fait il lui manquait juste deux lignes dans /etc/dnsmasq.d/example.eu.org pour lui demander de faire autorité :

auth-server=ns.example.eu.org,eth0
auth-zone=example.eu.org,1.2.3.4/24

Et hop, ça fonctionne !!!

Je pensais donc faire un PR histoire de le rajouter au template de yunohost, mais en ajoutant un second domaine, cela ne fontionne plus. En fait, auth-server ne peux etre déclaré qu’une seule fois. J’ai donc créé un fichier /etc/dnsmasq.d/domaineprincipal contenant

auth-server=ns.example.eu.org,eth0

et ajouté seulement à /etc/dnsmasq.d/example.eu.org

auth-zone=example.eu.org,1.2.3.4/24

Je peut alors ajouter un domaine supplémentaire, genre mondomaine.com et ajouter à /etc/dnsmasq.d/mondomaine.com :

auth-zone=mondomaine.com,1.2.3.4/24

Je configure alors seulement un enregistrement NS du coté du registrar chez lequel j’ai enregistré mondomaine.com en précisant le nom de serveur qu’on a spécifié dans /ets/dnsmasq.d/domaineprincipal, soit :

domaine.com           NS    ns.example.eu.org

Le petit soucis, c’est qu’en changeant le domaine principal avec yunohost, il faut aussi modifier /etc/dnsmasq.d/domaineprincipal, /etc/hosts et l’enregistrement NS pour chaque domaine afin qu’ils soient toujours en cohérance et qu’on ne supprime pas le domaine utilisé par auth-server, sinon dnsmasq ne repond plus.

J’espère que j’ai été clair, et sinon je peux essayer d’eclaircir les points sombre, mais comme ca, dnsmasq gère les zones et on n’a qu’un champs NS à specifier chez le registrar (et un glue record pour le domaine principal). On peut alors utiliser des registrar alternatifs ne proposant qu’une délégation de zone, tel que EU.org.

2 Likes

Trés interessant.
Ce serait cool de faire une PR avec ça.

Par contre, dans un cas comme ça on a aucune redondance sur le serveur DNS. Ceci dit, avoir accès au DNS mais pas au serveur HTTP (ou autre) parce qu’il est en panne ça ne sert pas à grand chose non plus !

Salut,

Je suis un peu sur les mêmes problématiques, ce qui me chagrine par contre c’est que la configuration dans le fichier /etc/dnsmasq.d/domaine n’est pas complete (par rapport à la configuration conseillé par l’api) l’as tu modifié à la mano? (pour avoir la clef dkim par example)

1 Like

Salut,
Ça a l’air de marcher pour moi, merci pour le post c’est cool.
Est-ce que 3 ans après ça reste la solution ou il y a plus élégant maintenant ?
Est-ce que tu as des problèmes de conf effacée quand tu fais une mise à jour ?