Theodys.org - Windows

IPCOP : Configuration du vpn avec clients windows

mimi — Sun, 10 Jun 2007 13:22:00 +0200

Cela fait déjà quelques années que j'utilise ipcop comme routeur, une des fonctionnalités d'ipcop est la prise en charge des réseaux privés virtuels (vpn) .

Jusqu'ici, je n'avais pas trouvé de solution intéressante , la configuration d'un vpn avec des clients nomades (roadwarrior) n'était pas trés simple, mais là je viens de configurer ce type de connexion en 30 minutes et ça fonctionne !!

Voyons comment faire ...

Téléchargement des utilitaires

Tout d'abord, voici ma configuration :

Ipcop version 1.14.15 (ip : 192.168.1.1 / 255.255.255.0)

client 1 : Windows Vista Ultimate

Pour utiliser le vpn en mode roadwarrior il ca falloir installer openvpn sur ipcop, pour cela j'ai utilisé ZERINA, je vous conseille d'aller faire un tour sur le site pour récupérer la dernière version, j'ai personnellement utilisé la version 0.9.4i (compatible avec ma version de ipcop).
Pour les clients windows j'ai récupéré openVPN pour windows avec une interface graphique (openVPN GUI).

Voilà, bon si vous avez récupéré les logiciels nécessaires, commençons l'installation de ZERINA sur ipcop.

Installation de ZERINA

Une fois le fichier tar.gz téléchargé, il faut l'envoyer sur IpCOP, vous pouvez le faire soit via winSCP (si vous êtes sous Windows) soit via scp si vous êtes sur un environnement Linux.
Etant donné que je suis sous Linux, je ne détaillerais ici que la méthode SCP, je vous invite à regarder l'animation Flash de ZERINA pour l'installation via winSCP .

Activation de SSH sur IpCop

Dans les deux cas, vous devez avoir activer l'accés SSH sur votre IpCop : Il suffit d'aller sur l'interface d'administration d'ipcop, puis d'aller dans le menu Système / Accés SSH :

Puis vous cochez la case : Accès SSH, voici une capture de ma config :

Ceci etant fait, continuons ...

Installation via SCP :

J'ai d'abord crée un dossier sur mon ipCop afin d'y "ranger" les add-ons que j'ai prévu d'installé, le dossier est /home/addons (mais ce n'est pas une obligation).
Pour la copie proprement dite, j'ai lancé une fenetre de terminal, je me suis placé dans le dossier où j'ai téléchargé le tar.gz de ZERINA, puis j'ai simplement saisi la commande SCP :

#scp ./ZERINA.*.tar.gz root@192.168.1.1:/home/addins/ -P 222

Un mot de passe vous sera demandé, tapez le ...
Une fois la copie effectuée, ouvrez une session SSH sur ipcop, décompressez ZERINA, et lancez l'install de ZERINA

#~$ ssh root@192.168.1.1 -p 222
root@192.168.1.1's password:
Last login: Sun Jun 10 11:44:10 2007 from 192.168.1.5
root@ipcop:~ # cd /home/addons
root@ipcop:~ # ls -la
drwxr-xr-x 2 root root   4096 2007-06-10 12:12 .
drwxr-xr-x 3 root root   4096 2007-06-10 12:11 ..
-rw-r--r-- 1 root root 349254 2007-06-10 12:10 ZERINA-0.9.4i-Installer.tar.gz
root@ipcop:~ #tar zxvf ZERINA-0.9.4i-Installer.tar.gz
patch.tar.gz
_GPL
install
uninstall
_README
library.addons
updatefiles
root@ipcop:/home/remi/zerina # ./install

Welcome to the OpenVPN for IPCop (ZERINA 0.9.4i) Installer!
The Installer will perform the following steps :

1. Looking for older versions of ZERINA
2. Checking for valid IPCop-version
3. Backing up files for easy uninstall
4. Installing new files
5. Adding entrys to existing files

Starting installation process:

1. Looking for older versions of ZERINA .
2. Checking for valid IPCop-version .
OK!
openvpn.tar.gz
ZERINA-0.9.4e_Libs_Modules.tar.gz
langs/
langs/bz.zerina
langs/da.zerina
langs/de.zerina
langs/en.zerina
langs/es.zerina
langs/fr.zerina
langs/sv.zerina
misc/
misc/header
misc/header.old
misc/logdat.diff
misc/rc.firewall.local.start
misc/rc.firewall.local.stop
misc/rc.local
misc/rc.local.zerina
misc/status
OK!
3. Backing up files for easy uninstall ..OK!
4. Installing new files ....OK!
..OK!
5. Adding entrys .......Cannot read ENABLED

ZERINA Installer finished

   * You can now access OpenVPN via the IPCop web gui.
   * WARNING: This package is NOT an official IPCop addon. It hasn't been
     approved or reviewed by the IPCop development team. It comes with NO
     warranty or guarantee, so use it at your own risk.
   * WARNING: You have to create your own certificates for OpenVPN!
   * For Updates/Information/etc try: www.zerina.de
   * howto : http://www.zerina.de/?q=documantation
   * For support try: www.openvpn-forum.de

Voilà, ZERINA est installé, maintenant vous devriez avoir un menu OpenVPN dans L'interface graphique de ipCop :

Ceci étant fait, voyons maintenant la configuration du VPN sur le serveur.

Configuration du serveur VPN

Maintenant il faut aller dans le module open VPN : RPVs / OpenVPN

Génération des certificats racine

La première chose à faire est de générer le certicat racine, pour cela dans la section 'Autorités de certification:', il faut cliquez sur le bouton 'Générer le certificat racine' Un formulaire s'ouvre, renseignez les champs de formulaire selon votre environnement, avec au moins :

Nom de l'organisation : Votre nom ou le nom de votre société par exemple.
Nom d'hote (ou adresse IP) : l'adresse IP de votre ipCop (interface RED), ou nom d'hôte complet (chezmoi.domaine.com).
Pays : Votre pays ...

Enfin enregistrez en cliquant sur le bouton 'Générer le certificat', vous devriez avoir quelque chose comme ceci :

Paramètres du Serveur :

    Dans cette même page il faut, dans la section "Paramètres Généraux", remplir les champs de formulaires, puis cliquez sur enregistrer.

Ensuite, allez faire un tour dans les paramètres avancés pour voir s'il n'y en a pas qui vous intéressent ...


    Enregistrez les.
    Toujours sur la page openVPN, cliquez sur le bouton : 'Start OpnVPN Server' :

Le serveur est donc maintenant fonctionnel, il ne reste plus qu'à configurer les clients ...

Création des certificats client

    Pour chacun des postes clients qui aura le droit de se connecter au serveur VPN, il va falloir créer un certificat, je ne détaillerais que pour un client (la démarche étant la même pour chaque poste client ...)
Dans la zone : Client status and control, cliquez sur le bouton Ajouter, un formulaire s'ouvre :

Choisissez le typê de connexiopn (RoadWarrior), puis cliquez sur ajouter, le formulaire suivant s'ouvre :

    Renseignez les données selon votre environnement, et cliquez sur enregistrer.

    Répétez les deux dernières étapes pour tous vos clients ...

    Dans la zone : , maintenant vous avez quelque chose comme ceci :

Voilà votre serveur est maintenant prêt à recevoir des connexions ...

Configuration des postes Clients :

    Maintenant que le serveur est prét, on va configurer les postes clients.
    Avant de commencer il faut transmettre aux poste clients leur certificat, vous les trouverez sur la page OpenVPN d'ipcop, sur chaque ligne de client vous avez un bouton : , en cliquant dessus vous téléchargerez le fichier de configuration d'openVPN et le certificat dans un fichier ".zip" , transmettez ce fichier zip aux utilisateurs ...
    Configurons maintenant nos clients ...

Windows Vista

   Il faut commencer par téléchager openVPN pour windows et une interface graphique pour openVPN, j'utilise personnellement la version 2.0.9 de openVPN et la version 1.0.3 de openvpn-gui.
    L'installation des logiciels étant trés simple, je n'en parlerais pas, j'ai choisi à chaque fois toutes les options par défaut.
    Une fois openVPN et son interface graphique installés sur votre poste client, vous trouverez une icone dans la barre des tâches :
    En cliquant avec le bouton droit sur cet icône, vous obtiendrez ceci :

    Il n'y a pas grand chose, je vous l'accorde, mais en fait il faut d'abord "installer" les paramètres de connexion au VPN, pour cela, rien de plus simple, décompressez le fichier zip (précedemment récupéré sur ipcop) dans le dossier config de openVPN (chez moi : c:\programmes\openVPN\config\), une fois les fichiers copiés, refaite un clic-droit sur l'icône openVPN, et vous obtiendrez ceci :

    Cliquez sur "Connect" ... La fenetre suivante s'ouvre :

    Saisissez votre mot de passe, puis validez.

    La connexion se lance ...

    Une fois la connexion établie, l'icône de la barre des tâches vire au vert , et vous notifie de la connexion ...

    Personnellement, j'ai eu un petit problème, en effet lors de la connexion une commande n'est pas passée, l'ajout de la route à mon réseau distant :
    (en jaune dans l'image)

    Et du coup le ping de mon reseau local ne fonctionnait pas, j'ai donc, dans une fenetre d'invite de commande simplement tapé la ligne :

route ADD 192.168.1.0 MASK 255.255.255.0 10.225.74.5
(copier coller de la commande qui n'a pas fonctionné)

La route étant ajoutée, on teste avec un joli PING sur une adresse IP de mon réseau local

COOL ça fonctionne !!!

Voilà vous pouvez maintenant accéder à votre réseau interne d'où que vous soyez ... il suffit simplement d'avoir une connexion Internet.

Conclusion

Reste a faire le tuto pour XP et pour Linux.

Bon Vpn à tous

Mimiz

Changer la langue de Firefox et de Thunderbird

mimi — Wed, 01 Nov 2006 12:20:00 +0100

Il a pu vous arriver de télécharger une version de Firefox et/ou de Thunderbird en anglais par exemple, et plutôt que de re-télécharger une version française, pourquoi ne pas simplement changer la langue de votre navigateur ou de votre courrieleur préféré ?

Cela parait assez évident, cependant en cherchant dans les options, préférences, et autres outils, on s'aperçoit que ce n'est pas si simple, voici une (la ?) solution ...

Commençons par Firefox

Avant toutes choses, il faut connaître la version exacte de votre navigateur, pour cela rien de plus simple il suffit d'aller dans le menu Aide (Help puisque et théorie le navigateur est en Anglais) puis de cliquer sur "About Mozilla Firefox", là une fenêtre s'affiche et vous donne la version de votre navigateur :

Dans cet exemple, la version de Firefox est donc : 2.0.

Une fois que l'on connait la version du navigateur, il va falloir aller chercher le fichier de langue sur le serveur de Mozilla, à savoir : à cette adresse : http://releases.mozilla.org/pub/mozilla.org/firefox/releases/2.0/linux-i686/xpi/ (pour Linux) et http://releases.mozilla.org/pub/mozilla.org/firefox/releases/2.0/win32/xpi/ (pour Windows).

Vous aurez remarqué le numéro de ma version de Firefox dans l'URL, vous pouvez aussi aller à l'adresse, http://releases.mozilla.org/pub/mozilla.org/firefox/releases/ et choisir votre version de Firefox, puis votre système (Linux, Mac, Windows, ...) et enfin aller dans le dossier xpi, pour récupérer les fichiers de langue qui vous intéressent.

Une fois dans le répertoire des fichiers de langue, téléchargez la langue que vous souhaitez, je vous conseil un clic droit sur le fichier et "save as" (rappel pour le moment on est toujours en Anglais ...), donc, enregistrez les fichiers qui vous intéressent sur votre disque dur, et ensuite dans votre navigateur favori, faites "File>Open File ...". Sélectionnez "All Files" ("Tous les fichiers"), puis allez chercher le fichier xpi récemment téléhargé.

Le fichier s'installe ...

Une fois le fichier installé, dans la barre d'adresse de votre navigateur tapez l'adresse suivante : about:config, cette adresse vous permet d'acceder à l'ensemble de la configuration de Firefox :

Dans la zone "Filter" (Filtre) tapez : "general.useragent.locale" puis changer la valeur (double clic sur la ligne, ou bouton droit + Modifier), en mettant "fr" pour le fichier de langue "fr.xpi" ou en-GB pour le fichier en-GB.xpi.

ATTENTION !
Il faut absolument que la valeur renseignée corresponde au nom du fichier sans son extension ...

Voilà, la langue de Firefox est changée, relancez votre navigateur et appréciez ...

Continuons avec Thunderbird

Le fonctionnement est assez similaire ...
il faut donc récupérer la version de Thunderbird, par le menu Aide (Help), puis "A propos de ...", une fois la version récupérée il faut là aussi aller chercher le fichier de langue que vous souhaitez installer.

http://releases.mozilla.org/pub/mozilla.org/thunderbird/releases/ la vous cliquez sur le répertoire correspondant à votre version de Thunderbird, (1.5 .0.7 chez moi) puis vous choisissez votre architecture (Linux, Mac, Windows ...) puis vous entrez dans le répertoire xpi, et vous êtes dans le répertoire des fichiers de langue.
Vous téléchargez donc, le fichier de langue que vous souhaitez installer.

Ensuite, dans Thunderbird, vous allez dans le menu Outils (Utils), puis dans extensions, vous cliquez sur Install et allez chercher le fichier tout juste téléchargé, une fenêtre s'ouvre, patientez 5 secondes, puis cliquez à nouveau sur Install.

Le fichier de langue s'installe ...

Une fois le fichier de langue installé, il faut aller dire à Thunderbird de changer la langue ...
Pour cela, il faut aller dans le menu Edition (Edit) puis Préférences, et enfin sur l'onglet avancé (Advanced), Général .

Sur cet onglet, cliquez sur le bouton "Editeur de configuration" qui permet d'obtenir l'équivalent pour Thunderbird de l'adresse "about:config" de Firefox.

De la même manière que pour Firefox, on va chercher la chaîne de caractères : "general.useragent.locale" pour changer la valeur en fr (pour le fichier fr.xpi)

ATTENTION !
Il faut absolument que la valeur renseignée corresponde au nom du fichier sans son extension ...

Voilà, vous pouvez redémarrer Thunderbird et apprécier ...

N'hésitez pas à faire des commentaires ...

Mise en place d'un serveur DNS dynamique

mimi — Sun, 27 Aug 2006 17:49:00 +0200

Tutorial sur la mise en oeuvre d'un serveur DNS (BIND) Dynamique sous linux.

BIND (Berkeley Internet Name Domain) est surement un des serveurs les plus utilisés pour le bon fonctionnement d'Internet. C'est ce logiciel qui gère la plupart des noms de domaine sur Internet, il permet entre autre de gérer la correspondance entre adresses IP et nom de domaine.

Je ne reviendrais pas dans cet article sur le fonctionnement de DNS ni sur l'installation ni sur la configuration du systeme, je partirais donc du principe que vous avez déjà installé un serveur DNS, qu'au moins un nom de domaine est configuré, et que jusqu'ici tout fonctionne correctement.

Pourquoi un DNS dynamique ?

Si vous avez configuré un serveur DNS vous avez du remarqué que si l'adresse IP d'une machine change, il faudra aller modififier le fichier des enregistrements du domaine pour que la nouvelle adresse IP soit prise en compte. Souvent l'exemple donné est une machine qui reçoit une adresse IP via DHCP, et qui change à chaque redémarrage, par défaut DNS ne le sait pas, il faut donc faire la mise à jour à la main !

Vous me direz, pourquoi ne pas utilisé un service de type DynDNS ? Ben simplement parce que je souhaite utiliser mon propre nom de domaine, et que ce dernier est hébergé sur un serveur Dédié ...

Mettre en place un DNS dynamique permettra donc de s'affranchir de la mise à jour de DNS, elle se fera toute seule !
La mise à jour automatique via DHCP est possible, mais n'est pour le moment pas l'objet de ce guide. Voyons la configuration de test ainsi que les objectifs à atteindre

Configuration et Objectifs

Configuration :

Serveur DNS : NS.domaine.com
Zone : domaine.net
Logiciels : BIND ... et ... c'est tout

Objectifs :

J'ai une machine (monpc) connecté à Internet via mon FAI avec une adresse IP dynamique (a peu prés comme tout le mode quoi ...), j'aimerais mettre en place certains services sur cette machine et y acceder de n'importe où. Je pourrais utiliser un service de type DynDNS, mais j'ai envie d'utiliser mon propre nom de domaine, qui, comme je l'ai déjà dit, est hébergé sur un serveur Dédié.

L'objectif est donc d'arriver à mettre à jour un hôte de ma zone : domaine.net. De façon a pouvoir acceder à ma machine en utilisant l'URL suivante : monpc.mondomaine.net.

Je voudrais aussi que la transaction soit assez sécurisée (un peu plus qu'avec un login/password quoi !)

Je voudrais aussi que certains de mes amis puissent utiliser le système pour leurs machines

Enfin ma machine connectée à Internet tourne sous la distribution IPCOP, et donc je souhaiterais automatisée la mise a jour de ma zone à chaque changement d'IP

Etape 1 : Génération de la clé

Comme je l'ai précisé plus haut, je souhaiterais que la mise à jour de mla zone se fasse de manière sécurisée. Nous allons donc utilisée une clé de cryptage générée à l'aide de la commande dnssec-keygen fournie avec BIND, la clé générée sera au format TSIG on parle d'ailleur de clé TSIG.
Je me place donc dans le répertoire de mon choix et je génére la clé ... Comme les zones gérées par mon serveur sont stockées dans le répertoire /var/named/zones/, j'ai créé le dossier /var/named/keys/ dans lequel je sotckerais mes clés générées.
Voyons donc la génération des clés :

Création d'une clé de cryptage [root@monsrv ~]# cd /var/named/keys/ // Je me place dans le bon repertoire
[root@monsrv keys]# /usr/sbin/dnssec-keygen -a HMAC-MD5 -b 512 -n HOST macle1 // Je génére ma clé
Kmacle1.+157+30505 // La réponse : le nom de ma clé
[root@monsrv keys]# chown named.named ./Kmacle1.+157+30505.* // Je rend l'utilisateur named propriétaire de ma clé

Explications :

Vous l'aurez compris, c'est la deuxième ligne qui est la plus intéressante, en effet, c'est cette ligne qui permet de créer la clé ...
Une info, quand meme, chez moi l'utilitaire dnssec-keygen se trouve dans le répetoire /usr/sbin/, il pourra se trouver ailleurs sur votre machine en fonction de votre installation de BIND, uiliser find ou locate pour le trouver ...
Revenons sur la deuxième ligne de notre exemple, on comprendra aisément que -a HMAC-MD5 détermine le protocole de cryptage utilisé, le parametre -b 512 détermine la longueur de la clé, le parametre -n HOST détermine le type d'enregistrement, il peut avoir les valeurs : ZONE | HOST | ENTITY | USER, et enfin macle1 est le nom de ma clé.

Pour en savoir plus sur les paramètres de dnssec-keygen, utilsé l'argument -?

Si on regarde le contenu de notre répertoire /var/named/keys/ on verra 2 fichiers qui ont le même nom, et qui finissent par .private et .key soit : Kmacle1.+157+30505.private et Kmacle1.+157+30505.key

Voyons à quoi ressemble la clé générée :

Contenu du fichier .key vi Kmacle1.+157+30505.key

macle1. IN KEY 512 3 157 Zwc51Lxzt6ggjmrVRZuoBqKg/Y3S8ulAsrCNMRY+2dgQdwWwCaElBHnGYHoWdewF59w58YfEP/xUbgKDYPSUNg==
~
~
~
"./keys/Kmacle1.+157+30505.key" 1L, 115C

La clé macle1 est donc : Zwc51Lxzt6ggjmrVRZuoBqKg/Y3S8ulAsrCNMRY+2dgQdwWwCaElBHnGYHoWdewF59w58YfEP/xUbgKDYPSUNg==

Maintenant voyons comment configurer notre zone DNS

Etape 2 : Configuration de la zone

Création d'un fichier de clés

Maintenant que la clé est définie, nous allons créer un fichier qui contiendra toutes les clés définies, et ce pour faciliter l'administration de votre serveur et donc ne pas surcharger le fichier de configuratiion de BIND (/etc/named.conf chez moi ...).

On va donc créer un fichier : /var/named/theokeys.conf, bien sur le nom du fichier importe peu ...

/var/named/theokeys.conf vi /var/named/theokeys.conf

key macle1 {
algorithm HMAC-MD5;
secret "Zwc51Lxzt6ggjmrVRZuoBqKg/Y3S8ulAsrCNMRY+2dgQdwWwCaElBHnGYHoWdewF59w58YfEP/xUbgKDYPSUNg==";
};
~
~
~
"/var/named/theokeys.conf" 14L, 438C

On remarquera, que le nom de la clé "macle1" est celui chosi lors de la génération, de la même maniere, l'algorithme de cryptage HDMA-MD5, est l'algorithme choisi, et enfin la valeur de secret est la clé propement dite !

Modification du fichier de configuration

Donc on a créer un fichier de clé, maintenant il va falloir configurer named, pour qu'il le prenne en compte, et il faudra ensuite définir les "droits des clés", c'est-à-dire ce que le proprietaire de la clé à le droit de mettre à jour dans notre configuration

Dans un premier temps on va insérer le fichier de clés à la configuration de named

/etc/named.conf vi /etc/named.conf

options {
        directory "/var/named";
};
//
// a caching only nameserver config
//
controls {
        inet 127.0.0.1 allow { localhost; } keys { rndckey; };
};
zone "." IN {
        type hint;
        file "named.ca";
};

zone "localhost" IN {
        type master;
        file "localhost.zone";
        allow-update { none; };
};

zone "0.0.127.in-addr.arpa" IN {
        type master;
        file "named.local";
        allow-update { none; };
};

include "/etc/rndc.key";

/*
* Cles pour Dynamique DNS
*/
include "/var/named/theokeys.conf"; // Inclusion du fichier de clés
// Configuration des zones
zone "domaine.net" {
        type master;
        file "/var/named/domaine.net.hosts";
};

Si on redemarre named notre fichier de clés sera donc pris en compte, par contre pour le moment nous n'avons défini aucun droit pour notre clé

Dans mon exemple, je souhaiterais que l'hôte : mimi.domaine.net puisse être mis à jour à l'aide de la clé macle1, on va donc rajouter une ligne à configuration de la zone domaine.net

Modification de la zone domaine.net ---
zone "domaine.net" {
        type master;
        file "/var/named/domaine.net.hosts";
        update-policy {
                grant macle1. name mimi.domaine.net. A TXT;
        };
};
---

Dans cet exemple, j'ai donné l'autorisation à la clé macle1 de modifié l'enregistrement DNS de mimi.domaine.net, et ce uniquement pour les type d'enregistrement A et TXT
J'aurais aussi pu autoriser la clé macle1 a modifier la zone dans son intégralité en insérant (à la place de la section update-policy) la valeur suivante :

Exemple 2 : macle1 allow-update ---
zone "domaine.net" {
        type master;
        file "/var/named/domaine.net.hosts";
        allow-update {
                key macle1;
        };
};
---

Mais pour des raisons de sécurité et d'intégrité de ma zone, je préfere utilisé l'instruction update-policy.

La syntaxe des lignes de cette instruction est la suivante :

Exemple 2 : syntaxe de update-policy ...
        update-policy {
                grant <key> <type> <zone> <record-types>;
        };
...

Explications :

<key> : Doit correspondre à une clé du fichier /var/named/theokeys.conf
<type> : Correspond au type de l'autorisation, peut prendre name ou subdomain
<zone> : Indique la zone ou le sous-domaine à mettre à jour
<record-type> : Précise le type d'enregistrement qui peuvent être mis à jour

Maintenant que la mise à jour dynamique est mise en place voyons comment cela fonctionne coté client !

Etape 3 : Mise à jour des enregistrements (nsupdate)

Récupération des clés

Comme nous avons créer des clés pour autoriser les mises à jour, il faut que les clients les récupèrent pour pouvoir mettre à jour leurs enregistrements, je ne détaillerais pas ce point, car c'est assez facile, personnellement j'ai crée un fichier .tar.gz contenant les fichiers .key et .private de ma clé et que j'ai ensuite placé dans un répertoire accessible via FTP, j'ai récupéré ce fichier via FTP, puis je l'ai supprimé pour des raisons de sécurité.

Ce n'est certainement pas la meilleure solution, mais s'en ai une !

Aprés avoir décompressé le fichier dans un dossier de mon choix sur mon poste client, je me suis penché sur l'utilisation de nsupdate

Utilisation de nsupdate

L'utilitaire nsupdate est fourni avec BIND aussi bien pour Linux que pour Windows je vais donc expliquer comment mettre à jour l'enregistrement mimi.domaine.net à l'aide de cet utilitaire, pour avoir plus d'information sur nsupdate consultez l'aide en ligne ou utilisez man nsupdate

La syntaxe de nsupdate est identique sous Windows ou sous Linux, la seule différence réelle va résider dans les chemins d'accés aux fichiers de clé.

L'utilisation de nsupdate fonctionne à peu prés comme un shell (ou une invite de commande, pour les utilisateurs de Windows), voyons un exemple :

Utilisation de nsupdate nsupdate -k /chemin/de/la/clé/Kmacle1.+157+30505.key > _

Je préfére utilsé le paramètre -k , mais c'est un choisx personnel, reportez vous à la documentation de nsupdate pour en savoir plus

Une fois sur le prompt de nsupdate, vous pouvez envoyer des requetes au serveur pour qu'il fasse les mises à jour souhaitées :

Requêtes nsupdate 1 nsupdate -k /chemin/de/la/clé/Kmacle1.+157+30505.key >server NS.domaine.com // Je me place sur mon serveur DNS
>zone domaine.net // Je précise la zone
> update add mimi.domaine.net 86400 IN A www.xxx.yyy.zzz // Details plus bas
> // Appuyer encore sur [ENTREE] pour que nsupdate excute la commande

Explcations :

La ligne update add mimi.domaine.net 86400 IN A www.xxx.yyy.zzz, vous l'aurez compris est la requête à proprement parlé, en gros là je dis à named Ajoute l'hôte mimi.domaine.net pour une durée de 86400 secondes (soit 1 jour), le type d'enregistrement est A, et l'adresse IP est www.xxx.yyy.zzz.

On notera, que pour que le serveur prenne en compte les requêtes, il faut valider une ligne vide !

Vous remarquerez que c'est assez simple d'utilisation, une chose quand même, si vous aviez déjà ajouté l'hôte, il faudra le supprimer avant de le rajouter afin de le mettre à jour ! exemple :

Requêtes nsupdate 2 nsupdate -k /chemin/de/la/clé/Kmacle1.+157+30505.key > server NS.domaine.com // Je me place sur mon serveur DNS
> zone domaine.net // Je précise la zone
> update delete mimi.domaine.net A // On supprime l'enregistrement
> update add mimi.domaine.net 86400 IN A www.xxx.yyy.zzz // On ajoute l'enregistrement
> // Appuyer encore sur [ENTREE] pour que nsupdate excute la commande

Voilà maintenant vous pouvez tester la configuration, avec des utilisaires systèmes comme ping, dig ou encore nslookup, à vous de choisir !

Bon, la mise à jour de notre serveur DNS fonctionne, c'est bien, mais ce serait encore mieux si la mise à jour se faisait de façon automatique à chaque fois que l'adresse IP de ma machine change ...

Automatisation de la mise à jour

Sous Linux

J'ai crée un petit script bash permettant de mettre à jour le serveur DNS de façon automatique (à savoir sans interaction avec l'utilisateur). Vous pouvez utiliser ce script pour vos besoins ... Et si vous prenez l'envie de l'améliorer, j'espere que vous penserez à me le faire savoir ...

Voici le script :

Script : nsupdte.sh #!/bin/bash
#
# Auteur : Rémi Goyard
# version 1.0
# LICENCE : Faites en ce que vous voulez...

### Parametres à modifier
IPADDR=`cat /chemin/de/local-ipaddress`
KEY="/chemin/de/la/clé/Kmacle1.+157+30505.key"
SERVER="ns.domaine.com"
ZONE="domaine.net"
HOTE2="hote2.domaine.net"
MIMI="mimi.domaine.net"

LOGFILE="/var/log/nsupdate.log"

cat <<eof | nsupdate -k $KEY
server $SERVER
zone $ZONE
update delete $HOTE2
update delete $MIMI
update add $HOTE2 84600 IN A $IPADDR
update add $MIMI 84600 IN A $IPADDR
send
EOF
>>$LOGFILE 2>&1

Bientôt la suite ...

Sous Windows

Bientôt ...

Liens et autres documents utiles

nsupdate(8) - Linux man page
A DDNS Server Using BIND and Nsupdate
Painless DDNS part 2: configuring the server
Secure dynamic DNS howto
RFC 2136 - Dynamic Updates in the Domain Name System (DNS UPDATE)

Problemes et solutions

A venir ....