dns dinamico

[james]

Da quel che so BIND è un server DNS statico, io vorrei un DNS invece che riesca a rispondere con ip diversi a seconda del fatto che la linea in questione sia funzionante.

Spiego meglio

Prendo due linee dati diverse, di operatori diversi, con ip diversi

Collego il serverino web ad entrambi i router (metto due schede di rete)

Metto come dns autoritativo primario l'ip della prima linea dati, come dns secondario l'ip della seconda linea

A questo punto se mi cade la prima linea, le richieste dns vengono cmq processate attraverso la seconda linea dati

Il problema sorge ora, in questa situazione, con bind non posso specificare l'ip di risposta in base al fatto che funzioni o meno la linea 1 o 2, se nei file di configurazione inserisco la riga

www in a 151.99.0.100

nessuno potrà cambiarla, a prescindere da dove proviene la richiesta dns, la risposta sarà sempre 151.99.0.100 che magari è l'ip della linea 1. C'è un pacchetto server dns in cui posso impostare una condizione, controllando che la linea 1 o linea 2 sia funzionante e rispondere con ip diversi in base alla risposta?

Se poi si potesse equidistribuire le richieste dns su una linea o l'altra sarebbe il massimo, sarebbe come duplicare la banda e sfruttare appieno entrambe le linee, anzichè lasciarne una solo a modi backup.

Grazie

[dAb]

Ti propongo una cosa un po' diversa:

codice:

webserver
|
|
firewall 
|        \
|         \
router1  router2  
|            \
|             \
adsl ISP1      adsl ISP2

1 scheda di rete per il webserver, 3 per il firewall, sul quale girera` iptables con load balancing. Il DNS a cui puntera` il webserver sara` sempre l'ip della eth0 del firewall ed esso inoltrera` le richieste attraverso le restanti eth1 e eth2 a seconda del link in piedi. Di suo, il load balancing e` anche fatto apposta per bilanciare equamente le richieste su entrambi i link insieme. Cerca qualche howto sul load balancing in linux. Finora ne ho messi in piedi solo con firewall cisco e non saprei guidarti passo per passo in linux, ma a spanne direi sia la strada giusta.

[james]

Originariamente inviato da dAb
Ti propongo una cosa un po' diversa:

codice:

webserver
|
|
firewall 
|        \
|         \
router1  router2  
|            \
|             \
adsl ISP1      adsl ISP2

1 scheda di rete per il webserver, 3 per il firewall, sul quale girera` iptables con load balancing. Il DNS a cui puntera` il webserver sara` sempre l'ip della eth0 del firewall ed esso inoltrera` le richieste attraverso le restanti eth1 e eth2 a seconda del link in piedi. Di suo, il load balancing e` anche fatto apposta per bilanciare equamente le richieste su entrambi i link insieme. Cerca qualche howto sul load balancing in linux. Finora ne ho messi in piedi solo con firewall cisco e non saprei guidarti passo per passo in linux, ma a spanne direi sia la strada giusta.

...intanto grazie...poi però...mi sono perso!

eth0 del webserver è su una rete lan privata, come posso impostare un ip privato sul dns?! Non sarebbe mai raggiungibile dall'esterno sbaglio?! L'ip del dns deve sempre puntare ad un ip pubblico, se no come fa a funzionare?! Ho detto una castroneria???

[dAb]

'speeetta, non avevo capito un caxxo

Avevo inteso che il dns era esterno alla lan, da raggiungere tramite una o l'altra adsl.. invece e` l'opposto. Bind gira sul webserver o e` su una macchina a se` stante?

[james]

Originariamente inviato da dAb
'speeetta, non avevo capito un caxxo

Avevo inteso che il dns era esterno alla lan, da raggiungere tramite una o l'altra adsl.. invece e` l'opposto. Bind gira sul webserver o e` su una macchina a se` stante?

Attualmente gira sulla stessa macchina del webserver, ma nessuno mi vieta di separarlo

[dAb]

Dunque, la soluzione piu` semplice, ma anche la piu` costosa, direi sia questa:

codice:

webserver + bind
|
|
router con supporto per redundant link
|         |
|         |
adsl1    adsl2

Nel router vi saranno due adsl affasciate che fanno capo allo stesso ip, con la porta 53 [servizio dns] nattata sul webserver. Dall'esterno punteranno non all'ip del tuo dns [che a questo punto in bind potra` essere uno solo come richiedi] ma all'ip lato wan del router. Il problema e` che l'r-link, la funzionalita` che permette di avere un unico ip wan per tot flussi adsl, e` supportata solo dai router piu` blasonati stile cisco. Non ho la piu` pallida idea se possa essere sostituito da una ben piu` economica macchina linux.

[james]

Originariamente inviato da dAb
Dunque, la soluzione piu` semplice, ma anche la piu` costosa, direi sia questa:

codice:

webserver + bind
|
|
router con supporto per redundant link
|         |
|         |
adsl1    adsl2

Nel router vi saranno due adsl affasciate che fanno capo allo stesso ip, con la porta 53 [servizio dns] nattata sul webserver. Dall'esterno punteranno non all'ip del tuo dns [che a questo punto in bind potra` essere uno solo come richiedi] ma all'ip lato wan del router. Il problema e` che l'r-link, la funzionalita` che permette di avere un unico ip wan per tot flussi adsl, e` supportata solo dai router piu` blasonati stile cisco. Non ho la piu` pallida idea se possa essere sostituito da una ben piu` economica macchina linux.

Ma questo comporta anche un contratto particolare con il provider...di norma non si possono avere n adsl con unico ip dalla parte wan....giusto? Sicuramente è una soluzione valida, ma forse non è proprio quello che cerco...

[dAb]

Si`, l'r-link dev'essere anche abilitato dal prv. Ci rimugino su e vedo di escogitare una soluzione piu` elegante. Una cosa che non mi e` chiara: perche` hai bisogno di un tuo dns accessibile dall'esterno?

[james]

Originariamente inviato da dAb
Si`, l'r-link dev'essere anche abilitato dal prv. Ci rimugino su e vedo di escogitare una soluzione piu` elegante. Una cosa che non mi e` chiara: perche` hai bisogno di un tuo dns accessibile dall'esterno?

Perchè ci sono un paio di siti, e mi fa comodo avere il dns interno, così posso cambiare le zone, aggiungere o togliere all'occorrenza.

[dAb]

Ci ho riflettuto un po'. Secondo me l'unico modo per fare quello che chiedi senza aiuto da parte dell'isp e senza hardware aggiuntivo e` avere a disposizione DUE file di cfg di bind, ognuno contenente il record corrispondente a uno dei due indirizzi ip, e utilizzare un file di cfg o l'altro a seconda dei risultati di uno script che ti pinghi costantemente l'ip lato wan dell'adsl relativa al record "di esercizio" e scambi i due file di cfg [e riavvii bind] in modo da far leggere a bind quello corrispondente al record "di backup", per poi pingare l'ip di quello e cosi` via. C'e` pero` un problema: per evitare richieste erronee dall'esterno nella transizione tra un record e l'altro dovresti disabilitare il dns caching o impostare il timeout a livelli bassissimi, e si tratta di una tecnica che a lungo andare rischia di porti il dns in blacklist.

Tutto cio` ovviamente se hai intenzione di uscire dagli standard limitandoti a lavorare con una macchina sola, in caso contrario per restare sul classico dovresti mettere in piedi una seconda macchina dove impostare un secondary dns afferente all'altro indirizzo. A questo proposito tieni presente, sempre restando nell'ipotesi che tu scelga questa strada, che in realta` il concetto di primary e secondary dns non esiste: sono entrambi identici e l'uso di uno o l'altro dipende solo dalle richieste degli altri dns e host in giro per la rete. La distribuzione del carico di lavoro alla quale aspiri viene eseguita automaticamente da chi dall'esterno sceglie se lanciare richieste a uno o all'altro dei tuoi server a seconda di quale dei due sembra aver mediamente risposto in tempi piu` brevi nelle query precedenti [sto semplificando parecchio, eh].