Aurich Lawson | Getty Images
Voici un bref résumé des 7 000 mots suivants pour les gens qui détestent ce que font les sites de recettes où les auteurs bavardent sur leur vie personnelle pendant des pages et des pages avant de se lancer dans la cuisine : Cet article explique comment installer bind, dhcpd et tie. rassemblez-les dans une configuration DNS dynamique et fonctionnelle pour votre réseau local afin que les clients DHCP s’auto-enregistrent auprès du DNS et que vous puissiez toujours travailler sur des recherches DNS avant et arrière. Cet article est destiné à faire partie d’une série en deux parties, et dans la deuxième partie, nous combinerons notre instance DNS de liaison avec une autorité de certification LAN compatible ACME et configurerons des certificats à renouvellement automatique de style LetsEncrypt pour les services LAN.
Si cela ressemble à quelques projets de week-end amusants, vous êtes au bon endroit ! Si vous souhaitez avancer rapidement jusqu’à l’endroit où nous commençons à installer des éléments, sautez quelques sous-titres jusqu’aux éléments du didacticiel. Maintenant, excusez-moi pendant que je bavarde sur ma vie personnelle.
Je m’appelle Lee et j’ai un problème
(Salut, Lee.)
Je suis un administrateur système de homelab bricoleur qui poursuit toujours le dragon de l’entreprise. Ma compréhension de ce que « normal » signifie, en termes de choses que je devrais être capable de faire dans n’importe quel environnement réseau fonctionnant de manière minimale, a été formée dans les jours juste avant et juste après le 11 septembre, lorsque j’étais un administrateur débutant fraîchement sorti de universitaire, travaillant dans une énorme entreprise qui fabriquait des avions commençant par le chiffre « 7 ». J’ai enseigné aux genoux de tout un groupe d’administrateurs système mentors différents, qui allaient sur l’échelle de barbe grise de « assez normal, écrit juste ses propres campagnes GURPS personnalisées » à « vit dans une cabane Unabomber dans les bois et ne communiquera que via GPG. » S’il y avait un refrain constant tout au long de mes années de formation mariné dans cette soupe informatique d’entreprise, c’était bien celui-ci : Le DNS direct et inversé devrait toujours fonctionner. Pourquoi? Parce que tout comme une salle de bain propre est généralement le signe d’un bon restaurant, avoir un bon DNS fonctionnel (forward et inverse) est un signe que votre équipe informatique sait ce qu’elle fait.
Il suffit de regarder ce à quoi les masses doivent faire face en dehors des centres de données, où règne la folie. Examinez l’état du réseau local de l’utilisateur moyen : existe-t-il au moins un domaine de recherche configuré ? Les requêtes inversées sur les hôtes dynamiques fonctionnent-elles ? Faire avant les requêtes sur les hôtes dynamiques fonctionnent-elles même ? Comment peut-on vivre ainsi ?!
J’ai décidé il y a longtemps que je Ce n’était pas nécessaire, j’ai donc maintenu une configuration de liaison liée et dhcpd sur mon réseau local pendant plus de dix ans. De plus, j’ai des problèmes de contrôle et j’aime que mon réseau local domestique fonctionne comme les réseaux locaux d’entreprise bien gérés que je passais mes journées à administrer. C’est un peu la façon de penser des automobilistes : si vous ne conduisez pas avec un levier de vitesses, vous ne conduisez pas vraiment. J’ai le même genre de blocage stupide, mais pour les services réseau.
Honnêtement, cependant, gérer votre réseau local avec bind et dhcpd ne représente même pas beaucoup de travail : ces deux applications sont à la base d’une grande partie de l’Internet moderne. Les versions packagées fournies avec la plupart des distributions Linux modernes sont prêtes à l’emploi. Ils ont certainement battu les services DNS/DHCP minimaux offerts par la plupart des routeurs SOHO NAT. Une fois que vous avez configuré bind et dhcpd, ils sont à l’épreuve des balles. La seule fois où j’interagis avec ma configuration, c’est si je dois ajouter un nouveau mappage DHCP statique pour un hôte, je souhaite toujours récupérer la même adresse IP.
Alors, si l’idée d’avoir des recherches DNS directes et inversées parfaites sur votre réseau local vous semble excitante, et, allez, qui n’a pas tu veux ça ?! – alors retire ton terminal et attache-toi parce que nous allons y arriver.
(Notez que je m’appuie un peu sur Past Lee et sur cet ancien article de blog pour certaines des explications de cet article, donc si l’une des trois personnes qui lisent mon blog remarque des similitudes dans certains textes, c’est parce que Past Lee je l’ai écrit en premier et je le vole absolument.)
Mais attendez, il y a plus !
Cette pièce est destinée à être la première partie de deux. Si l’idée d’avoir ses propres serveurs bind et dhcpd semble un peu idiote (et ce n’est pas le cas, c’est génial), c’est en fait une condition préalable à un futur projet supplémentaire avec de sérieuses implications pratiques : notre propre autorité de certification locale pleinement opérationnelle, compatible ACME, capable de répondre aux défis DNS-01 afin que nous puissions délivrer nos propres certificats aux services LAN et ne pas avoir à gérer TLS. des avertissements comme la plèbe.
(« Mais Lee », dites-vous, « pourquoi ne pas simplement utiliser LetsEncrypt réel avec un domaine réel sur mon réseau local ? » Parce que c’est considérablement plus compliqué à mettre en œuvre si l’on le fait correctement, et cela signifie potentiellement gérer DNS à horizon partagé et épingle à cheveux si vous devez également utiliser ce domaine pour tout élément accessible sur Internet. Le DNS à horizon partagé est pratique et utile si vous avez des exigences qui l’exigent, mais si vous êtes un utilisateur à domicile, vous ne le faites probablement pas. t. Nous garderons cela aussi simple que possible et utiliserons des zones DNS spécifiques au LAN plutôt que de véritables noms de domaine public.)
Nous aborderons toutes les questions liées aux certificats dans la deuxième partie, car nous avons encore du chemin à parcourir avant de pouvoir y arriver.