Oui c’est facultatif et rajoute une couche de complexité logicielle (son application peut même dépendre des FAI et/ou des boxs, histoire de limite de taille de paquets en UDP à 512 bytes, à reconfigurer en TCP). Je te conseille de prendre le temps de bien comprendre ce que tu as mis en place jusqu’à présent avant de pousser plus loin, histoire d’avoir des bases solides.
Par contre, tu sembles avoir quand même renseigné un enregistrement DS, tu peux le virer du coup.
Pourquoi dis tu que j’ai renseigné un enregistrement DS?
J’ai l’impression que Zonemaster est pas si master que ça…
Pourtant il a trouvé les tags, les RRSIG et même un NSEC3… Ça doit bien venir de quelque part.
Pour info, sur un site sans DNSSEC, Zonemaster renvoie ces messages :
- Il n’y a pas enregistrements de type “DS”, ni de type “DNSKEY” pour la zone.
- La zone n’est pas signée avec DNSSEC.
Plus d’infos sur DNSSEC : https://ensiwiki.ensimag.fr/index.php?title=Introduction_à_DNSSEC
C’est peut-être dans les fichiers inclus par les directives $INCLUDE.
Sauf erreur, tu n’as toujours pas dit quel changement était à l’origine de tout ceci. Changement de l’adresse IP ?
Peux-tu faire un test de résolution DNS depuis Android avec l’une de commandes habituelles (dig, host, nslookup…) ?
Kesako ?
j’ai modifié le nom des fichiers juste pour le forum. Sinon, il sont au format:
Knom de domainexxx.yyy
De ce côté là ca passe à la validation par named-checkzone (sauf s’il ne recherche pas les fichiers d’origine).
J’ai fais les modifications pour ajouter dmak/dkim, un nouveau sous domaine, et un changement de serveur (ça, ça a été le plus gros soucis). De fait, j’en ai profité pour changer le format du fichier named.conf -> fichier unique (depuis plusieurs années) en fichiers réparties named.conf, mamed.conf.options, …
Et le pire, c’est que je dis à mes enfants de faire des sauvegardes!!!
Quelqu’un peut essayer d’atteindre mon serveur https://www.suinot.org
svp, je commence à douter de mes tests sur mon smartphone
Tout marche bien de mon côté. Joli arrière-plan.
(Note hors sujet : il te manque le “s” de “https” dans ton lien Accueil, il ne renvoie donc nulle part.)
J’imagine que tu voulais dire dmarc/dkim. Par contre je ne vois pas les enregistrements correspondants. De quelles modifications parles-tu ?
Je ne peux pas tester actuellement d’où je suis, juste confirmer que la résolution DNS fonctionne et renvoie la bonne adresse IP.
Ok, merci, c’est déjà ça.
Je suis toujours en recherche de solution, mais je viens de tomber sur un os:
# nslookup suinot.org
;; Got recursion not available from 78.214.39.5, trying next server
Server: 192.168.3.1
Address: 192.168.3.1#53
*** Can't find suinot.org: No answer
Je suis côté interface interne, je tente un nslookup => pourquoi il me dit qu’il ne trouve pas mon propre nom de domaine?
La récursion sur l’adresse ip c’est normal, je l’ai désactivé.
Par contre, dig est bien d’accord:
# dig @192.168.3.1 suinot.org
; <<>> DiG 9.10.3-P4-Debian <<>> @192.168.3.1 suinot.org
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 17979
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 1
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;suinot.org. IN A
;; AUTHORITY SECTION:
suinot.org. 38400 IN SOA master.suinot.org. remi.suinot.org. 2018091731 10800 3600 604800 38400
;; Query time: 0 msec
;; SERVER: 192.168.3.1#53(192.168.3.1)
;; WHEN: Mon May 07 20:58:19 CEST 2018
;; MSG SIZE rcvd: 87
certe nslookup n’est plus le meilleur outil, mais pourquoi ne connait il pas mon nom ?
nslookup utilise un serveur de noms par défaut pour tester l’adresse, pas celui du domaine testé. C’est normal dans ton cas qu’il ne renvoie rien et ce n’est en soi pas important.
Par contre en relisant ton fichier de zone, je ne comprends pas pourquoi tu as mis
www IN A 78.214.39.5
[...]
* IN CNAME www
Pourquoi pas
* IN A 78.214.39.5
?
À savoir que ton domaine n’est apparemment pas accessible en url avec un simple suinot.org.
As-tu lié ton certificat TLS à ton domaine principal ou bien sur le sous-domaine www.suinot.org (qui n’est pas accessible chez moi non plus…) ?
EDIT : j’ai eu ma réponse, il est valable pour imap.suinot.org, mastodon.suinot.org, suinot.org, webssh.suinot.org et www.suinot.org. Y a un couac quelque part.
effectivement!
je viens de voir le
* IN CNAME www
Et je ne sais pas d’ou il vient! (ie: pourquoi il est la)
C’est trop formaté pour etre une coquille de transfert de fichier
Dis-donc, ton “@” ce serait pas www.suinot.org au lieu de suinot.org ?
Que dit ton fichier named.conf.local ?
Si je ne me trompe, le @ représente la racine de ma propre zone.
ce qui devrait etre mon named.conf.local:
zone "suinot.org" {
type master;
allow-transfer { interne; gandi-net; };
allow-query { any; };
notify yes;
file "/var/named/suinot.org.signed";
allow-update { none; };
};
Sauf qu’il est encore dans named.conf. Au fur et à mesure de mes difficulté, je n’ai pas migré toutes les partie de mon ancien fichier de base dans les différents autres.
C’est bien ça, et c’est bien suinot.org, au temps pour moi.
Ouhla, oui alors mets tout en place d’abord, sinon ça sert à rien qu’on s’acharne.
Voila, c’est fait 
include "/etc/bind/log.conf";
acl interne {
127.0.0.0/8;
192.168.3.0/24;
172.0.0.0/24;
};
acl gandi-net {
217.70.177.40;
};
# -- Charger les options
include "/etc/bind/named.conf.options";
include "/etc/bind/rndc.key";
controls {
inet 127.0.0.1 port 953 allow { 127.0.0.1; } keys { "rndc.key"; };
};
include "/etc/bind/named.conf.default-zones";
include "/etc/bind/named.conf.local";Bien ça m’a pas l’air mal tout ça. Relance Bind9 et teste à nouveau si ce n’est déjà fait.
1 J'aime
j’ai relancé, j’ai regardé si le serveur était reparti aussi (ça m’est arrivé une pair de fois, croire que tout fonctionne mais, ah non, une virgule ou autre mal placé et en fait bind n’est pas reparti!!! toujours vérifier…)
tests dans 5 minutes
Et non…
Je désespère… mais en même temps je suis sur que c’est une connerie
D’un autre côté, je me rend compte que même mes sms de 19h ne partent pas!!!
Tu n’as pas mis
@ IN A 78.214.39.5
dans ton fichier de zone.
Et pourtant, il y en a qui ont bien accès chez moi:
81.48.244.144 - - [07/May/2018:22:19:16 +0200] "GET / HTTP/1.1" 301 185 "-" "Mozilla/5.0 (X11; Linux x86_64; rv:52.0) Gecko/20100101 Firefox/52.0" "-"
Ils passent pas l’adresse ip uniquement?