LINUX.ORG.RU
решено ФорумAdmin

dnsmasq как авторитативный ДНС или что-то в этом духе

 


0

1

Хочу странного: есть тачка с кучей виртуалок. И есть ipv6 по которому виртуалки управляются. Вот надоело с ручным прописыванием параметров париться. Хочу чтобы виртуалка тупо сообщала dhcp6-серверу свой хостнейм, а мастер-машина делала следующее:

1) выдавала айпишник с бесконечным лизом (гусары, молчать) и днс-сервера для резолвинга

2) сообщала роуты (radvd?)

3) прописывала тачку в днс в виде <hostname>.domain.org

4) по возможности куда-то складывала выданные айпишники для учёта (это не обязательно)

Как осуществить задуманное?

Я пока вижу два варианта:

1) dnsmasq + radvd + текущий ДНС-сервер на bind9 в котором можно было бы делегировать зону типа v6.domain.org на dnsmasq

2) Поставить bind10, (там, вроде, dhcp-сервер интегрирован) но как-то не хочется

★★★★★

Кажись, придумал. Ипы и роутинг настраивает dnsmasq, а ДНС-запросы форвардит сам bind через * IN NS ... . Щас попробую....

true_admin ★★★★★
() автор топика
Ответ на: комментарий от true_admin

Хрен: *.domain.com: invalid NS owner name (wildcard) . Видимо, придётся создавать отдельную зону.

true_admin ★★★★★
() автор топика

Вот надоело с ручным прописыванием параметров париться.

Оффтопик, но для прописывания параметров на куче ВМ есть cfengine / puppet / chef

router ★★★★★
()
Ответ на: комментарий от router

Мде, похоже что с ipv6 вообще труба. Даже такие вещи как dnsmasq, nginx (в директиве proxy_pass) итп толком не поддерживают его, поэтому затея обернулась фейлом.

true_admin ★★★★★
() автор топика
Ответ на: комментарий от true_admin

Мде, похоже что с ipv6 вообще труба.

Это только верхушка айсберга же. Я и удивлён, что вы приняли решение делать всё на ип6 (да еще и будучи из Р, если не ошибаюсь), и даже восхищаться такому самоотверженному труду, на этой базе.

Spirit_of_Stallman ★★★
()
Ответ на: комментарий от Spirit_of_Stallman

Т.к. нативного ipv6 почти нигде нет то доступ к сервакам ipv6 я хотел сделать через openvpn, но, вот незадача, openvpn тоже поддерживает v6 кривовато. Т.е. вот так я написать не могу:

# hostname.domain.com резолвится в ipv4 и в ipv6
ifconfig-push hostname.domain.com
ifconfig6-push hostname.domain.com

Оно не хочет работать. А ещё оно отказалось работать с сетями отличного от /64 размера.

Жаль, так хотелось всё сделать «по уму».

true_admin ★★★★★
() автор топика
Ответ на: комментарий от true_admin

Я задвинул идею, на работе, мол давайте делать внутрях ип6.
Мне предложили провести аудит того, что от этого решения отпадёт.
Через неделю откраснелся, подав отчёт (подать нужно было однозначно), и решил подождать еще лет 5ть, минимум, и потом только начать думать, о том, что бы начать думать проверить это всё снова :)

Spirit_of_Stallman ★★★
()
Ответ на: комментарий от true_admin

ipv6 = ССЗБ. Ко всему прочему тут нужно смотреть на поведение dhcp-клиента. Дело в том, что ему совершенно никто не мешает слать в пень то, что о его хостнейме думает dhcp-сервер.

Аааа. Я не так тебя понял. А зачем тачке сообщаться свой хостнейм? У тебя будут проблемы с localhost и user на линуксовых тачках и кириллические имена на оффтопике. Лучше делать ручками, либо можно делать 2001-0db8-11a3-09d7-1f34-8a2e-07a0-765d.domain.com . Но я бы предпочел вариант ручками. Если тут вопрос про саморазворачивающуюся инфраструктуру, то тебе вверху уже сказать, что есть кукла и шеф, потому что это машине нужно навязывать нужный хостнейм, а не под неё подстраиваться.

ktulhu666 ☆☆☆
()
Последнее исправление: ktulhu666 (всего исправлений: 1)
Ответ на: комментарий от Spirit_of_Stallman

Вообще то, если говорить про нативный (без всяких туннелей, которые в последнее время винда и многие другие устройства сами на себе без спроса поднимают) ipv6 в LAN + ipv6 NAT на пограничных маршрутизаторах + ipv6tables/иной v6 фаерволл, то всё будет ок. Другой вопрос, что многие люди считают, что v6 клиентов нужно голой жопой в Сеть выставлять. Если Вы v4 клиентам в компании дадите реальные статические ip, то будет даже хуже. Вопрос в дебилизме создателей ipv6, которые решили, что NAT - зло, и что всем нужно сидеть в Сети, открыв все порты, и которые пиарят это на право и на лево, забывая про оффтоп и криворуких юзеров/админов/интеграторов/производителей говнодевайсов.

ktulhu666 ☆☆☆
()
Ответ на: комментарий от ktulhu666

машине нужно навязывать нужный хостнейм

Я его и навязываю при установке :). Можно было бы подготовить образов и внутри прописать скрипты, но это оверкилл.

Да, тред об автоматизации. Я никогда этим не занимался серьёзно. Поэтому пробую различные варианты. Хотелось обойтись без кукловода, но пока это фантастика. Пока есть пять виртуалок и я уже с ними проблемы: выделить адрес, прописать ДНС, для некоторых требуется настройка фаервола, для других требуется ещё что-нить указать. Плюс постоянно создаю новые для различных тестов (посмотреть новое ядро, софт протестировать). Причём ОС различные, поэтому не всегда можно склонировать уже существующую виртуалку и перебить в ней адреса и хостнейм.

true_admin ★★★★★
() автор топика
Ответ на: комментарий от ktulhu666

NAT - зло, и что всем нужно сидеть в Сети, открыв все порты, и которые пиарят это на право и на лево, забывая про оффтоп и криворуких юзеров/админов/интеграторов/производителей говнодевайсов.

Ну, nat, судя по lwn, будет т.к. многие этого хотят. Вне зависимости от того нат это хорошо или плохо.

Честно говоря, я и сам бы им воспользовался потому что это может местами упростить конфигурацию. Например, сейчас я не могу сделать ip -6 neigh proxy SUBNET/96 via eth0 потому что комманда proxy работает только с индивидуальными хостами (!). Гениальное решение от разработчиков ядра.

true_admin ★★★★★
() автор топика
Ответ на: комментарий от Spirit_of_Stallman

Через неделю откраснелся, подав отчёт (подать нужно было однозначно), и решил подождать еще лет 5ть, минимум, и потом только начать думать, о том, что бы начать думать проверить это всё снова :)

Если не для связности с интернетом, а для внутренней коммуникации - то почему бы и нет.

tazhate ★★★★★
()
Ответ на: комментарий от tazhate

Наших админов надо закопать за такое :(.

true_admin ★★★★★
() автор топика
Ответ на: комментарий от true_admin

Да, тред об автоматизации.
Пока есть пять виртуалок

http://copypast.ru/foto5/0214/hands_005.jpg

Ещё есть разнообразные parallel ssh, pssh, cluster ssh и т.д. При объёмах менее 30 виртуалок (если ты с ними ничего не делаешь: поставил и забыл) проще и стабильнее сделать руками. Мало того, не забывай, что в некоторых случаях (LDAP, dhcp, загрузка по сети, NFS с образами виртуалок на хостовой машине к другому хосту и т.д.) у тебя образуется единая точка отказа, которая может убить всю инфраструктуру. Тут нужно также думать о HA, а также проводить более серьезный аудит безопасности.

Вообще подобные действия делаются либо через куклу (или иного агета, который может быть зашит в эталонном образе (зачем тебе установщик?), либо через кикстарт-файлы к анаконде и бездисковую установку (зачем? это же для физических серверов и то не всегда надо).

В случае паравиртуальных контейнеров всё намного проще и более интегрировано. Также (если тебе нужно именно инфраструктура) можно посмотреть в сторону oVirt.

Но мой совет: не будет ССЗБ. Тебе никто не мешает экспериментировать на виртуалках (можно включить эмуляция vtx для вложенной виртуализации), но не тяни рученки к энтерпрайзу (беря во внимание также твой тред про ipv6). Но это не значит, что данные технологии вообще не нужны и их надо выкинуть. Просто у тебя масштабы не те и персонала маловато.

ktulhu666 ☆☆☆
()
Ответ на: комментарий от tazhate

Если не для связности с интернетом, а для внутренней коммуникации - то почему бы и нет.

Если делать то всё, а у нас работа поверх интерета, вся почти, и, к примеру, over 10000 хостов за проксями. А там и онтопы и оффтопы и брэндовое сетевое и нонеймовое сетевое, и транспорты разных уровней от разных провайдеров, и тунели итд итп. И зная этих криворуких бокопоров, я бы просто не рискнул.

Spirit_of_Stallman ★★★
()
Ответ на: комментарий от true_admin

Ну, nat, судя по lwn, будет т.к. многие этого хотят. Вне зависимости от того нат это хорошо или плохо.

Вы серьёзно считаете, что мои первым действием после прочтения http://book.itep.ru/4/44/ip6_4411.htm было не поиск «iptables ipv6 nat», а что-то другое? Я этот модуль ещё в виде патча застал, только мне оно не надо, из-за того, что я не ССЗБ.

Честно говоря, я и сам бы им воспользовался потому что это может местами упростить конфигурацию.

Местами NAT вообще может сделать сеть работоспособной, т.к. не все имеют BGP на резервных линках или не совершают смену провайдера.

ktulhu666 ☆☆☆
()
Ответ на: комментарий от tazhate

Если не для связности с интернетом, а для внутренней коммуникации - то почему бы и нет.

Учитывая, что в это «почему бы и нет» скрытно входит «оплатя время сотрудников, перепрошив кучу роутеров, сделав прокси/nat к only ipv4 сервисам, потрахав мозги не одной тех поддержке, заплатив за аудит ИБ, а также за глюки и время простоя», то скорее «почему бы не исключить его использование на ближайшие 5 лет». Тем более, сколько ж Вам хостов нужно иметь, чтобы засрать 10.X ?

ktulhu666 ☆☆☆
()
Последнее исправление: ktulhu666 (всего исправлений: 1)
Ответ на: комментарий от ktulhu666

Ох, а я было дело подумал, по привычке, что тут претензия к реальности таких требований.
Да, вы точно всё подметили. И, кстате, учли что я не озвучил - время простоя. То, сколько мы потеряем на этом (работа с деньгами, тем более) - мне останется только прятаться в лесу, после этого, и, думаю, делать я это буду на глубине ~1 м под шаром сырой земли :)

Spirit_of_Stallman ★★★
()
Ответ на: комментарий от ktulhu666

Учитывая, что в это «почему бы и нет» скрытно входит «оплатя время сотрудников, перепрошив кучу роутеров, сделав прокси/nat к only ipv4 сервисам, потрахав мозги не одной тех поддержке, заплатив за аудит ИБ, а также за глюки и время простоя», то скорее «почему бы не исключить его использование на ближайшие 5 лет». Тем более, сколько ж Вам хостов нужно иметь, чтобы засрать 10.X ?

Я с удовольствием пожертвую всеми этими пунктами, ибо я настоящий ipv6 фанбой.

tazhate ★★★★★
()
Ответ на: комментарий от ktulhu666

только мне оно не надо, из-за того, что я не ССЗБ.

CCЗБ говоришь, да? А что прикажешь делать провайдеру, клиенты которого хотят белые IP-адреса, а их уже не выдают? Застрелиться?

Pinkbyte ★★★★★
()
Ответ на: комментарий от true_admin

а твои клиенты? :)

А я не про хостинг, а про backbone.

tazhate ★★★★★
()
Ответ на: комментарий от ktulhu666

Вопрос в дебилизме создателей ipv6, которые решили, что NAT - зло, и что всем нужно сидеть в Сети, открыв все порты

Нет, вопрос только в твоем личном дебилизме, под названием «я не осилил фаерволл». Такого рода задачи должны решаться именно им, а не костылем по имени нат.

tazhate ★★★★★
()

По теме, я полгода назад подымал ради эксперимента виртуалку с гентой на чистом IPv6(то есть совсем, IPv4 из ядра был выпилен). Геморроя было много, но вовсе не по тем причинам, о которых ты говоришь(я до них не добрался, да). Проблемы начались как минимум с NFS, который не мог тогда нормально в IPv6(хз как оно там сейчас)

Pinkbyte ★★★★★
()
Ответ на: комментарий от tazhate

Такого рода задачи должны решаться именно им, а не костылем по имени нат.

+много

Pinkbyte ★★★★★
()
Ответ на: комментарий от tazhate

С обоими(я предпочитаю v4). Грабли с rpcbind, который надо было патчить для работы, а патч не накладывался, потому что на древнюю версию был(новый не нашел). Как-то так. Может сейчас уже поправили, не в курсе, всё что читал до этого: «rpcbind ПОКА не поддерживает IPv6». А мне для полноценного тестирования без NFS ну никак...

Pinkbyte ★★★★★
()
Последнее исправление: Pinkbyte (всего исправлений: 1)
Ответ на: комментарий от ktulhu666

Тем более, сколько ж Вам хостов нужно иметь, чтобы засрать 10.X ?

Всё банальнее. Местные товарищи из компетентных органов требуют БЕЛЫЕ адреса у клиентов, иначе просто грозятся отобрать лицензию. Не, есть вариант поставить их чудо СОРМ у нас(сейчас он физически у наших аплинков). Но цена за эту коробочку мягко говоря не радует...

Pinkbyte ★★★★★
()
Ответ на: комментарий от true_admin

Ай-ай-ай, как не хорошо переходить на личности. Считай что я с тебя скор снял :).

Это не личности, это крайняя форма донесения того, что он не прав :) Я готов принести извинения и вычести себя скора, если обидел нашего милого ктулху666.

tazhate ★★★★★
()
Ответ на: комментарий от tazhate

Нет, вопрос только в твоем личном дебилизме, под названием «я не осилил фаерволл». Такого рода задачи должны решаться именно им, а не костылем по имени нат.

Вопрос в фанбоизме и не понимании того, что дыра (даже одна и маленькая) в файерволле = угроза безопасности, а также возможность у внешнего наблюдателя точно знать кто куда подключается внутри компании. Мало того, любые изменения в фаере будут требовать последующего обязательного аудита, т.к. нельзя на 100% гарантировать, что они не были (с точки зрения безопасности) регрессивными. В вопросах безопасности (особенно, когда речь идет о финансовых и корпоративных данных, а не о домашнем порно тазхейта) будет использоваться та технология, которая работает более «пассивно» и не может иметь кучи мелких и внезапных проколов по своему периметру. Мало того, в корпоративной локалке в 99,9% случаев ipv6 то не нужен, не то что белые ipv6 адреса. А когда он нужен, это обычно какой-нибудь говнософт, который NAT пробить не может.
Я ни один срач прочитал уже на тему «ipv6 круто vs ipv6 безопасность» и про ipv6tables файерволл в режиме роутинга, а не маскарадинга прекрасно знаю. Но в плане безопасности мой выбор непреклонен.

ktulhu666 ☆☆☆
()
Ответ на: комментарий от Pinkbyte

По теме, я полгода назад подымал ради эксперимента виртуалку с гентой на чистом IPv6(то есть совсем, IPv4 из ядра был выпилен). Геморроя было много, но вовсе не по тем причинам, о которых ты говоришь(я до них не добрался, да). Проблемы начались как минимум с NFS, который не мог тогда нормально в IPv6(хз как оно там сейчас)

Это весьма ССЗБ, т.к. ipv4 кусок стека нужен для ipv6-to-ipv4 трансляции для ipv6-only софта (либо тебе шлюз нужен), а также куча софта хочет 127.0.0.1. Да и софт, поддерживающий ipv6 может без ipv4 не завестись из-за legacy-проверок. NFS является чисто локальным (а не через Сеть) транспортом, поэтому ipv6 там не особо нужен.

ktulhu666 ☆☆☆
()
Ответ на: комментарий от ktulhu666

Мне кажется одно тянет другое. Я не очень понимаю что можно делать в корпоративной локалочке если ни nginx, ни какой-нить monit, ни dnsmasq, ни прочий софт толком не поддерживают ipv6. Да даже на уровне ядра много веселухи.

true_admin ★★★★★
() автор топика
Ответ на: комментарий от Pinkbyte

С обоими(я предпочитаю v4). Грабли с rpcbind, который надо было патчить для работы, а патч не накладывался, потому что на древнюю версию был(новый не нашел). Как-то так. Может сейчас уже поправили, не в курсе, всё что читал до этого: «rpcbind ПОКА не поддерживает IPv6». А мне для полноценного тестирования без NFS ну никак...

Учитывая, что в NFS много фирм заинтересованно, думаю, что сделали. В любом случае ipv6 в локалке - это обычно ССЗБ и вопиющее ненужно.

ktulhu666 ☆☆☆
()
Ответ на: комментарий от Pinkbyte

Всё банальнее. Местные товарищи из компетентных органов требуют БЕЛЫЕ адреса у клиентов, иначе просто грозятся отобрать лицензию. Не, есть вариант поставить их чудо СОРМ у нас(сейчас он физически у наших аплинков). Но цена за эту коробочку мягко говоря не радует...

Мы говорим про корпоративную локалку. Мало того, даже в Вашем вопросе, как видите, проблема совершенно не техническая, а связанная с дебильными законами и желанием власти лезть в личную жизнь. Мало того, Вы ещё раз показали, что ipv6 - отличный помощник для злоумышленников.

И каким образом им помогут белые ipv6, если большая часть роутеров и удаленных серверов ipv6 не юзают?

Кстати, сколько оно стоит то?

ktulhu666 ☆☆☆
()
Ответ на: комментарий от ktulhu666

любые изменения в фаере будут требовать последующего обязательного аудита, т.к. нельзя на 100% гарантировать, что они не были (с точки зрения безопасности) регрессивными.

я уже про аудит не первый раз слышу. Вы какие-то ужасы рассказываете. Но даже если нужен аудит то кто его проводит? Свои же сотрудники? Тогда нет проблем с ними это обсудить. И задокументировать, хотя я никогда не понимал принципа «давайте добавим 100500 правил на фаервол» и всегда держал только простые конфигурации потому что в противном случае головная боль у себя и сотрудников обеспечена.

А вот если для изменений настроек фаервола нужно заполнять документы, получать роспись трёх начальников то... вы что-то делаете неправильно.

true_admin ★★★★★
() автор топика
Ответ на: комментарий от true_admin

я уже про аудит не первый раз слышу. Вы какие-то ужасы рассказываете. Но даже если нужен аудит то кто его проводит? Свои же сотрудники? Тогда нет проблем с ними это обсудить. И задокументировать, хотя я никогда не понимал принципа «давайте добавим 100500 правил на фаервол» и всегда держал только простые конфигурации потому что в противном случае головная боль у себя и сотрудников обеспечена.

Выполнить аудит не так просто, особенно, если в сети есть сенсоры, ханипуты и часть машин не всегда включены. Но основную мысль Вы не поняли. Мысль была в том, что зачем делать небезопасности вещи и проводить аудит, если можно сделать априори безопасные вещи и не проводить аудит так часто?

ktulhu666 ☆☆☆
()
Ответ на: комментарий от true_admin

Мне кажется одно тянет другое. Я не очень понимаю что можно делать в корпоративной локалочке если ни nginx, ни какой-нить monit, ни dnsmasq, ни прочий софт толком не поддерживают ipv6. Да даже на уровне ядра много веселухи.

Вот ты и сам ответил, почему ipv6 ненужно :)

Мне кажется, что мы несколько ушли от основной темы треда.

ktulhu666 ☆☆☆
()
Ответ на: комментарий от ktulhu666

Кстати, сколько оно стоит то?

Обычно я слышал про такой порядок цен: http://www.oc.ru/price/ats/sorm/ . Внутри какой-нить селерон и общая пропускная способность где-то в 100мбит (по крайней мере так было раньше когда я работал в ДЦ). Причём это коробочка может ещё и трафик уродовать, см. темы на форуме. Теперь представим сколько их нужно на один ряд стоек в ДЦ... Правда, в этом случае предложат коробочку побольше...

если большая часть роутеров и удаленных серверов ipv6 не юзают?

Магистральные операторы ipv6 давно поддерживают.В европах предоставление ipv6 становится трендом. Ну а сервера... сервера потихоньку переходят на dual stack.

true_admin ★★★★★
() автор топика
Ответ на: комментарий от ktulhu666

почему ipv6 ненужно :)

Ну, не то что бы оно не нужно, мир к нему не готов. Я вот сейчас сижу и думаю - заниматься пинанием софтописателей на тему портирования софта или нет. Наверно займусь как только эпопея с systemd в чруте закончится.

мы несколько ушли от основной темы треда.

ну и что, я узнаю новое :).

true_admin ★★★★★
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.