[technique] VM ttnn - DNS

[Matthieu Herrb]

On Fri, Mar 17, 2023 at 05:36:56PM +0100, bita via technique wrote:
> salut Marc,
> 
> On Fri, 17 Mar 2023 15:07:40 +0100
> Marc_marc via technique <technique at lists.tetaneutral.net> wrote:
> 
> > Bonjour,
> > 
> > Le 16.03.23 à 17:44, bita via technique a écrit :
> > > Depuis SinDominio on a une VM chez ttnn que c'est notre DNS
> > > secondaire (sindominio.tetaneutral.net).
> > > 
> > > Quand on essaye de le rajouter dans notre register il nous dit que
> > > le "glue record" n'est pas activé.  
> > 
> > oui et non :)
> > 
> > tetaneutral.net a ns1.tetaneutral.net (idem ns2 ns3) comme ns
> > c'est un problème d'oeuf et la poule : pour connaitre l'ip de ns1
> > tu as besoin d'atteindre un dns du domaine et donc connaitre son ip.
> > donc tetaneutral.net a besoin de mettre ns1 ns2 ns3 en glue record
> > cad qu'un niveau au dessus dans le registre, en même temps que l'info
> > "les ns pour tetaneutral.net sont ns1 ns2 ns3, il y aura ces ip)
> > démonstration avec host -v ns1.tetaneutral.net a.gtld-servers.net.
> > tu as une section additionnelle
> > 
> > pour résoudre sindominio.tetaneutral.net, il n'y a pas besoin de glue
> > record supplémentaire (sindominio.tetaneutral.net -> demande de ns
> > pour tetaneutral.net -> info que c'est ns1 ns2 ns3 et leur ip
> >   -> demande à l'une de ces ip pour sindominio.tetaneutral.net -> ok  
> > c'est un grand mystère de savoir pq verisign impose un glue
> > qui n'est pas nécessaire.
> > 
> > mais en même temps ton domaine (sindominio.net ?) ne devrait pas
> > dépendre du glue record d'un *autre domaine* : si cet autre domaine
> > change sa config ou a un soucis, ton ns tombe même si la vm tourne
> > et est accessible.
> > tu ferrais mieux d'avoir ns-ttn.sindominio.net ou équivalent et
> > ajouter le glue record dans ton domaine, sous ta responsabilité.
> > ainsi ton ns fonctionnera même si le ttn change sa config.
> > 
> 
> en fait nous on a deux dns.
> Le principal configuré dans notre domain sindominio.net et registré
> correctement, et le deuxieme configuré dans le subdomain
> sindominio.tetaneutral.net
> 
> Alors, on a besoin de mettre dans le register cette deuxieme dns. Mais
> on peut pas car il manque l'activation du glue record.
> Et ça c'est suelement possible de le faire par l'organisation que
> gestionne le domain tetaneutral.net
> 
> Est-ce possible d'activer le glue record a ttnn ? 
> 

Bonjour,

Est-ce que tu aurais le message d'erreur exact du registrar lorsque tu
essaye de mettre le 2e nom ? En effet :


Si le domaine en question c'est bien  sindominio.net alors je vois
dans le DNS existant :

dig -t ns  sindominio.net

; <<>> DiG 9.16.1-Ubuntu <<>> -t ns sindominio.net
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 48047
;; flags: qr rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 65494
;; QUESTION SECTION:
;sindominio.net.                        IN      NS

;; ANSWER SECTION:
sindominio.net.         6302    IN      NS      ns.sindominio.net.
sindominio.net.         6302    IN      NS      ns2.sindominio.net.

et

ns.sindominio.net.      6182    IN      AAAA    2a01:4f8:10b:1e2f::10
ns.sindominio.net.      6243    IN      A       94.130.32.254
ns2.sindominio.net.     6175    IN      AAAA    2a03:7220:8080:e700::1
ns2.sindominio.net.     6262    IN      A       91.224.148.231

ns2 est bien chez tetaneutral.net mais ce n'est pas le DNS autoritaire
de tetaneutral.net qui est utilisé.

Avec cette configuration c'est à vous de mettre les glue records pour
ns.sindominio.net et ns2.sindominio.net auprès de votre registrar. Ça
ne changera rien qu'on ajoute sindominio.tetaneutral.net à nos glue
record, puisque ce nom n'apparait pas dans votre configuration.


Ce n'est pas tout à fait la même configuration que celle de ARN citée
par Guillaume :

arn-fai.net.            1039    IN      NS      alsace.tetaneutral.net.
arn-fai.net.            1039    IN      NS      ns0.arn-fai.net.

là c'est explicitement le nom en .tetaneutral.net qui apparait, et
même si je rejoint Marc pour dire qu'un glue record n'est pas
nécessaire pour ce cas, je veux bien croire ce que dit Guillaume
surtout si l'ajout de alsace.tetaneutral.net les a débloqués.

PS: si vous listez des enregistrements AAAA (IPv6) pour ns et ns2, il
faut que ces serveurs soient configurés pour répondre aux requètes DNS
en IPv6, ce qui n'a pas l'air d'être le cas. 
-- 
Matthieu Herrb