Forum général.général DynDNS, Oracle, nsupdate et le support inexistant

Posté par  (site web personnel, Mastodon) . Licence CC By‑SA.
1
11
fév.
2020

Hello,

Pour un besoin particulier, j'ai besoin de pouvoir obtenir un certificat Let's Encrypt sur un sous-domaine d'un sous-domaine géré par DynDNS (désormais Dyn.com, et propriété de ce cher Oracle, mais je m'égare) en passant par la validation "TXT record" au lieu de la traditionnelle HTTP.

Je pensais qu'avec un service de ce genre, point de salut, mais j'ai quand même regardé et lu tout ce que j'ai pu.

Et je suis tombé sur la mise à jour via nsupdate et l'authentification TSIG. Il se trouve justement que Dyn.com propose justement cette méthode, il n'y a qu'à créer sa paire de clés depuis son compte. On est ensuite théoriquement capable d'agir sur les sous-domaines d'un sous-domaine associé à son compte Dyn (ex : bar.foo.dyndns.org quand on a réservé foo.dyndns.org).

Malheureusement, impossible d'arriver à faire fonctionner le bouzin, je me prends constamment un statut de réponse NOTZONE, qui semblerait indiquer (si j'ai bien tout compris, ce qui n'est pas garanti) que je n'ai pas les droits sur la zone en question. Ce qui est normalement faux bien sûr puisque le domaine est bien assigné à mon compte.

La doc précise bien qu'il est nécessaire de préciser la zone cible en préambule de la requête via nsupdate, ce que je fais.

J'ai tenté de contacter le support mais il est bien évidemment aux abonnés absents, et aucune réponse non plus sur Twitter. Je m'en remets donc à vos coquilles, en espérant qu'elles soient bien pleines :)

Voilà les deux tests les plus significatifs effectués jusqu'ici avec les réponses associées :

Ajout TXT record

$ nsupdate -d <<EOF
server update.dyndns.com
zone foo.dyndns.com
key <clé publique> <clé privée>
update add test.foo.dyndns.com 60 TXT some-test-value
send
quit
EOF
Sending update to 162.88.175.16#53
Outgoing update query:
;; ->>HEADER<<- opcode: UPDATE, status: NOERROR, id:  55612
;; flags:; ZONE: 1, PREREQ: 0, UPDATE: 1, ADDITIONAL: 1
;; ZONE SECTION:
;foo.dyndns.com.        IN  SOA

;; UPDATE SECTION:
test.foo.dyndns.com. 60 IN  TXT "some-test-value"

;; TSIG PSEUDOSECTION:
<clé publique>.        0   ANY TSIG    hmac-md5.sig-alg.reg.int. 1581452809 300 16 sWHiDqX5WguiYEJtheae/A== 55612 NOERROR 0 


Reply from update query:
;; ->>HEADER<<- opcode: UPDATE, status: NOTZONE, id:  55612
;; flags: qr aa; ZONE: 1, PREREQ: 0, UPDATE: 0, ADDITIONAL: 1
;; ZONE SECTION:
;foo.dyndns.com.        IN  SOA

;; TSIG PSEUDOSECTION:
<clé publique>.        0   ANY TSIG    hmac-md5.sig-alg.reg.int. 1581452809 300 16 oRuORNj9O2JvTq97mv6prg== 55612 NOERROR 0

Ajout A record

$ nsupdate -d <<EOF
server update.dyndns.com
zone foo.dyndns.com
key <clé publique> <clé privée>
update add test.foo.dyndns.com 60 A 8.8.8.8
send
quit
EOF
Sending update to 162.88.175.16#53
Outgoing update query:
;; ->>HEADER<<- opcode: UPDATE, status: NOERROR, id:  44371
;; flags:; ZONE: 1, PREREQ: 0, UPDATE: 1, ADDITIONAL: 1
;; ZONE SECTION:
;foo.dyndns.com.        IN  SOA

;; UPDATE SECTION:
test.foo.dyndns.com. 60 IN  A   8.8.8.8

;; TSIG PSEUDOSECTION:
<clé publique>.        0   ANY TSIG    hmac-md5.sig-alg.reg.int. 1581452946 300 16 3q7VdZRneaEbvTfNqbQpjw== 44371 NOERROR 0 


Reply from update query:
;; ->>HEADER<<- opcode: UPDATE, status: NOTZONE, id:  44371
;; flags: qr aa; ZONE: 1, PREREQ: 0, UPDATE: 0, ADDITIONAL: 1
;; ZONE SECTION:
;foo.dyndns.com.        IN  SOA

;; TSIG PSEUDOSECTION:
<clé publique>.        0   ANY TSIG    hmac-md5.sig-alg.reg.int. 1581452946 300 16 RGy6ScHhEu/76Y2UiCRvxA== 44371 NOERROR 0

Un petit coup de pouce d'un pro du DNS ? (et éventuellement d'un habitué de Dyn.com ça aiderait je suppose)

Merci d'avance

  • # [HS] quand elles sont pleines...

    Posté par  . Évalué à 3.

    Mois, soit je moule, sois je seiche.

    Désolé, j'ai pas pu résister avec ça:

    Je m'en remets donc à vos coquilles

    Ce message est totalement impertinent, pour le coup, je vais encore me faire pourrir le karma :D (mais ça me fait rire)

  • # "Solved"

    Posté par  (site web personnel, Mastodon) . Évalué à 1.

    Bon, les réponses sont (enfin) tombées du support:

    Services that supported that dynamic update feature using tsig is not offered anymore. Sorry.

    et

    Subdomains of the host is not allowed on the platform. All 4th level hosts can't be created. The pro service has limitations on the use. If you have any questions feel free to contact us.

    Au moins c'est clair. Pas l'ombre d'un espoir.

    • [^] # Re: "Solved"

      Posté par  . Évalué à 2.

      faut tricher, tu fais des niveaux 3

      serveur1-foo.dyn.com
      serveur2-foo.dyn.com

      etc

      ensuite tu utilises ton vrai DNS pour faire
      www.nanawel.tld IN CNAME serveur1-foo.dyn.com
      ftp.nanawel.tld IN CNAME serveur2-foo.dyn.com

      etc

      • [^] # Re: "Solved"

        Posté par  (site web personnel, Mastodon) . Évalué à 1.

        ensuite tu utilises ton vrai DNS pour faire
        www.nanawel.tld IN CNAME serveur1-foo.dyn.com
        ftp.nanawel.tld IN CNAME serveur2-foo.dyn.com

        Hum, merci mais je ne suis pas sûr de comprendre "tu utilises ton vrai DNS".
        Je n'ai pas de serveur DNS propre si c'est la question. C'est Dyn qui me fournit ce service mais qui est donc apparemment bien bridé.

        • [^] # Re: "Solved"

          Posté par  . Évalué à 2.

          Je n'ai pas de serveur DNS propre si c'est la question. C'est Dyn qui me fournit ce service mais qui est donc apparemment bien bridé.

          alors si tu n'as pas de DNS à toi (enfin de nom de domaine à toi chez un registrar)
          oui, il te faudra faire avec les limitations de dyn.com et faire
          machine1.dyn.com
          machine2.dyn.com
          machine3.dyn.com

          ou changer de DNS dynamique pour un qui gere les sous, sous-domaine
          service1.machine1.xxxx.tld
          service2.machine1.xxxx.tld

          Sinon un nom de domaine avec un vrai DNS, chez un hébergeur français bien connu c'est par exemple :
          * 10euros/an pour un .com
          * 7euros/an pour un .fr

          c'est pas non plus la mort,
          et ca gere aussi le DDNS si ton IP change souvent.

          • [^] # Re: "Solved"

            Posté par  (site web personnel, Mastodon) . Évalué à 1.

            Sinon un nom de domaine avec un vrai DNS […]

            Alors pour être honnête j'en ai déjà, mais pas pour les mêmes services.
            J'utilise DynDNS pour toutes mes machines derrière des box (ADSL/fibre), parce que leurs IP sont dynamiques et que ddclient c'est bien pratique.

            Après j'ai ce compte chez Dyn depuis très longtemps (~15 ans je pense), et évidemment il se trouve que les domaines utilisés se retrouvent un peu partout dans mes configs sur diverses machines, donc j'espérais pouvoir me débrouiller sans changer de fournisseur…

            Mais oui dans l'absolu tu as tout à fait raison, le mieux serait de prendre un .com (ou autre) dédié, et reprendre la main sur mes noms de domaine plutôt que les confier à Oracle :)

            • [^] # Re: "Solved"

              Posté par  . Évalué à 2.

              J'utilise DynDNS pour toutes mes machines derrière des box (ADSL/fibre), parce que leurs IP sont dynamiques et que ddclient c'est bien pratique.

              alors fait ca chez dyn.com :

              machine1-site1.dyn.com
              machine2-site1.dyn.com

              machine1-site2.dyn.com
              machine2-site2.dyn.com

              et rien ne t'empêche ensuite d'avoir une seule creation "definitive" à faire pour avoir

              remotedesktop.site1.nanawel.tld IN CNAME machine1-site1.dyn.com
              cloud.site1.nanawel.tld IN CNAME machine2-site1.dyn.com

              ensuite tes applis tapent toujours remotedesktop.site1 ou cloud.site1
              mais ca ira bien sur ton site1 sur la machine qui va bien

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.