| Libre de virus. www.avast.com |
Tenemos una VPN a Nivel Nacional, donde hay muchas empresas de todo el
ministerio y el Nodo Nacional, de momento no hace delegación de zona
internamiente hacia dentro de la VPN para nadie, por lo que actualmente
hoy ellos tienen tienen declarados en los DNS Nacionales, las zonas de
todos los que estamos dentro de la VPN, declarandose ellos mismos como
master en todas esas zonas y estableciendo nombres escogidos por ellos,
tanto para los registros de tipo NS como MX para todos los clientes que
están en dicha VPN, aun cuando en la mayoria de los casos, eso nombres
declarados nacionalmente, no coinciden con los nombres de los servidores
de correo de las empresas en algunos territorios, aunque la IP si concuerda.
Supongamos que el bloque IP 192.168.250.0/24 es del Nodo Nacional y que
los ip 192.168.250.2 y 192.18.250.3 son los DNS nacionales internos de
cara a dicha VPN, (Master y slave). Yo como administrador provincial,
monte para mi red (192.168.5.0/24) 2 DNS externos de cara a la VPN,
cuyas ip son: 192.168.5.2 y 192.168.5.3 respectivamente (master y slave).
Acorde con los administradores nacionales, que mi zona DNS
(pri.dominio.cu) ellos la cambiaran de master a slave, para yo ser el
master y entonces yo les transferiría una copia de las zonas DNS (esto
solo se está haciendo con la zona directa, no con la inversa)
Todo fue bien hasta ahi y así está funcionando desde algun tiempo sin
lio. Pero resulta que tengo muchas empresas en el territorio que no
tienen informaticos y ya hemos instalado una buena cantidad de
servidores en estas empresas, donde tenemos la posibilidad de
administración remota y he querido hacer en estas empresas lo mismo que
hice en mis DNS, es decir llamar a los de la habana, para que cambien la
zona de tipo master a tipo slave, yo les digo la ip del servidor master
y después les transfieron la copia de la zona a ellos para allá arriba.
Hasta ahi todo bien, pero resulta que son una pelota de empresas y al
parecer los de la habana se han cansado, de esas pinchitas y me han
pedido, que yo en mi servidor me encargue de la zona (pri.dominio.cu) y
todas aquellas empresas donde yo vaya a realizar cambios, que al final
van a ser siempre un subdominio de (pri.dominio.cu) que configure todo
dentro de mi zona, y asi cuando les transfiera a ellos para allá arriba,
ya no tengo que estar llamandolos para que hagan los cambios en los DNS
nacionales, al menos no en los internos, lo que estan de cara a internet
es otra historia...
Entonces, he realizado este configuración:
En /etc/bind/named.conf.local tengo esto:
zone "pri.dominio.cu" {
type master;
file "/var/cache/bind/pri.dominio.cu";
allow-transfer { 192.168.250.1; 192.168.250.2; 192.168.5.3; };
notify yes;
};
zone "5.168.192.in-addr.arpa" {
type master;
file "/var/cache/bind/5.168.192.in-addr.arpa";
allow-transfer { 192.168.250.1; 192.168.250.2; 192.168.5.3; };
notify yes;
};
Como ven hago transferencia de zonas a 3 IP, los 2 primeros los DNS
nacionales, y el 3ro es el DNS secundario mio (el externo)
En el fichero de la zona (la directa) he puesto algo como esto en:
/var/cache/bind/pri.dominio.cu
Aqui hay 2 ejemplos para 2 empresas, llamadas emp1 y emp2 para las
cuales tienen los bloques ip 192.168.1.0/24 y 192.168.2.0/24
respectivamente.
######################################################################################################################
$ORIGIN pri.dominio.cu.
$TTL 3600 ; 1 hour default TTL
@ IN SOA ns1.pri.dominio.cu.
postmaster.pri.dominio.cu. (
2019031810 ; Serial
10800 ; Refresh
3600 ; Retry
604800 ; Expire
300 ; Negative Response TTL
)
; DNS Servers
@ IN NS ns1.pri.dominio.cu.
@ IN NS ns2.pri.dominio.cu.
; MX Servers
@ IN MX 10
mx1.pri.dominio.cu.
; Machine Names
ns1 IN A 192.168.5.2
ns2 IN A 192.168.5.3
mx1 IN A 192.168.5.4
jabber IN A 192.168.5.5
; Aliases
$ORIGIN _tcp.pri.dominio.cu.
$TTL 3600 ; 1 hour
_jabber IN SRV 5 0 5269
jabber.pri.dominio.cu.
_xmpp-client IN SRV 5 0 5222
jabber.pri.dominio.cu.
_xmpp-client IN SRV 5 0 5223
jabber.pri.dominio.cu.
_xmpp-server IN SRV 5 0 5269
jabber.pri.dominio.cu.
; Subdominios de Empresas en el Territorio
;
; Empresa #1
$ORIGIN emp1.pri.dominio.cu.
;$TTL 3600 ; 1 hours
; NS Record
@ IN NS ns1.emp1.pri.dominio.cu.
@ IN NS ns2.emp1.pri.dominio.cu.
; MX Record
@ IN MX 10
mx1.emp1.pri.dominio.cu.
; A Record
ns1 IN A 192.168.1.2
ns2 IN A 192.168.1.3
mx1 IN A 192.168.1.4
jabber IN A 192.168.1.5
; Empresa #2
$ORIGIN emp2.pri.dominio.cu.
;$TTL 3600 ; 1 hours
; NS Record
@ IN NS ns1.emp2.pri.dominio.cu.
@ IN NS ns2.emp2.pri.dominio.cu.
; MX Record
@ IN MX 10
mx1.emp2.pri.dominio.cu.
; A Record
ns1 IN A 192.168.2.2
ns2 IN A 192.168.2.3
mx1 IN A 192.168.2.4
jabber IN A 192.168.2.5
##########################################################################################
Ahora bien, con esto,las cosas funcionan a medias, ya que cuando hago un
# dig @192.168.5.2 NS pri.dominio.cu
esta consulta me funciona bien, me dice hay 2 NS con sus nombres, etc...
Cuando pregunto usando
# dig @192.168.5.2 MX pri.dominio.cu
También responde bien y me dice quien es el MX para pri.dominio.cu
Cuando pregunto usando
# dig @192.168.5.2 NS emp1.pri.dominio.cu
También responde bien y me dice que hay 2 NS con sus nombres y sus IP
Pero cuando pregunto por el MX, aqui no funciona, ni para emp1 ni para
emp2, lo da en blanco, alguna idea de porque??
Saludos...