MK-AUTH

Boa noite pessoal, estou com o seguinte problema, instalei o unbound no mk-auth, deu tudo certo, porem quando dou o comando de unbound-control stats aparece esse erro:

unbound-control stats
error: SSL handshake failed
3073910936:error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed:s3_clnt.c:1168:

alguem ja passou por isso e sabe como resolver ?

Exibições: 804

Responder agora

Respostas a este tópico

boa noite tb estava  com esse erro amigão  entao desinstalei  e instalei bind 9 resolveu meu problema rs 

tem algum tutorial ?

Rodrigo Hº Souza disse:

boa noite tb estava  com esse erro amigão  entao desinstalei  e instalei bind 9 resolveu meu problema rs 

Bom dia,Boa Tarde,Boa Noite Galera

Galera é o seguinte de vez enquanto vejo o pessoal aqui idolatrando o unbound,já utilizei e não gostei alem de ser trabalhoso pra colocar pra funcionar,muitos dizem que é mais rápido balela pura não muda nada,vamos lá primeiramente pra quem nao sabe como funciona o dns deixo este vídeo do nosso amigo Rafael do nic.br,galera os passos que vou deixar aqui são tão simples que vocês vão colocar seu server dns funcionando em apenas 5 minutos,lembrando que vamos utilizar o bind,por que escolhi o bind por que a vantagem sobre o unbound é simples de instalar e possui a opção de configurar dns reveso (reveso deixo pra depois) coisa que o unbound não tem,vamos lá

primeiramente vamos atualizar o sistema com

apt-get update

em seguida vamos instalar o bind com o comando

apt-get install bind

depois de instalado vamos instalar o dnsutils que servira para fazermos testes no noss servidor dns

apt-get install dnsutils

agora vamos colocar nosso mkauth está como servidor dns mas nao 100%,vamos agora colocar nosso sistema para buscar por ele mesmo os dns para isso editamos o arquivo resolv.conf

nano /etc/resolv.conf

vai abrir uma tela onde você digitará o servidor que deseja melhor colocar assim

nameserver 127.0.0.1

se sua maquina está conectada na internet é só digitar o comando para ver seu server esta respodendo a requisição de dns

ex dig globo.com

se der tudo certo vai aprecer isso/;

;; ANSWER SECTION:
globo.com. 129276 IN A 186.192.90.5

;; AUTHORITY SECTION:
globo.com. 172472 IN NS ns02.globo.com.
globo.com. 172472 IN NS ns03.globo.com.
globo.com. 172472 IN NS ns04.globo.com.
globo.com. 172472 IN NS ns01.globo.com.

;; ADDITIONAL SECTION:
ns01.globo.com. 172472 IN A 201.7.180.171
ns01.globo.com. 172472 IN AAAA 2804:294:0:800::5
ns02.globo.com. 172472 IN A 64.151.87.25
ns03.globo.com. 172472 IN A 186.192.89.5
ns03.globo.com. 172472 IN AAAA 2804:294:4000:8001::5
ns04.globo.com. 172472 IN A 177.53.95.213
ns04.globo.com. 129272 IN AAAA 2804:294:8000:200::5

este passo é somente se seu mkauth possui ippublico e esta aberto na internet,se ele estiver com o ip 172.31.255.2 pule esta parte.

Agora vem a parte chata se o seu mkauth possui um ip publico e esta aberto a internet você terá que configurar alguns parâmetros de segurança definido quem pode utiliza lo,que no caso é sua rede basta editar o seguinte arquivo

nano /etc/bind/named.conf.options

e deixar assim

options {
directory "/var/cache/bind";

// If there is a firewall between you and nameservers you want
// to talk to, you may need to fix the firewall to allow multiple
// ports to talk. See http://www.kb.cert.org/vuls/id/800113

// If your ISP provided one or more IP addresses for stable
// nameservers, you probably want to use them as forwarders.
// Uncomment the following block, and insert the addresses replacing
// the all-0's placeholder.

// forwarders {
// 0.0.0.0; //
//};

//Opções de Segurança
listen-on port 53 { any; };
allow-query { 127.0.0.0/8 ; 172.16.0.0/12 ; 10.0.0.0/8 ; 192.168.0.0/16 ; }; //Rede Habilitada
allow-recursion { 127.0.0.0/8 ; 172.16.0.0/12 ; 10.0.0.0/8 ; 192.168.0.0/16; };
allow-transfer { none; };//pode se colocar o servidor dns secundario

//========================================================================
// If BIND logs error messages about the root key being expired,
// you will need to update your keys. See https://www.isc.org/bind-keys
//========================================================================
dnssec-validation auto;

auth-nxdomain no; # conform to RFC1035
listen-on-v6 { any; };
};

lembrando que se você possui um bloco de ip publico você pode colocar junto aos ip privados que la se encontra

terminando esta etapa é so mandar o comando

service bind9 restart

pronto seu serve está pronto

Agora vamos a uma etapa muito importante para que seu server dns funcione bem que é o ntp funcionando adequadamente,algumas paginas hoje só resolve dns se o horario do sistema do bind estiver correto,então vamos a instalação do ntp

apt-get install ntp

depois de instalado vamos criar o arquivo drift com o seguinte comando

touch /etc/ntp.drift

agora vamos editar o arquivo ntp.conf

nano /etc/ntp.conf

deixando assim

# /etc/ntp.conf, configuration for ntpd; see ntp.conf(5) for help

driftfile /etc/ntp.drift


# Enable this if you want statistics to be logged.
#statsdir /var/log/ntpstats/

statistics loopstats peerstats clockstats
filegen loopstats file loopstats type day enable
filegen peerstats file peerstats type day enable
filegen clockstats file clockstats type day enable


# You do need to talk to an NTP server or two (or three).
#server ntp.your-provider.example

# pool.ntp.org maps to about 1000 low-stratum NTP servers. Your server will
# pick a different set every time it starts up. Please consider joining the
# pool: a href="http://www.pool.ntp.org/join.html>">http://www.pool.ntp.org/join.html>;;
#server 0.debian.pool.ntp.org iburst
#server 1.debian.pool.ntp.org iburst
#server 2.debian.pool.ntp.org iburst
#server 3.debian.pool.ntp.org iburst

# estatisticas do ntp que permitem verificar o histórico
# de funcionamento e gerar graficos
statsdir /var/log/ntpstats/
statistics loopstats peerstats clockstats
filegen loopstats file loopstats type day enable
filegen peerstats file peerstats type day enable
filegen clockstats file clockstats type day enable

# servidores publicos do projeto ntp.br
server a.st1.ntp.br iburst
server b.st1.ntp.br iburst
server c.st1.ntp.br iburst
server d.st1.ntp.br iburst
server gps.ntp.br iburst
server a.ntp.br iburst
server b.ntp.br iburst
server c.ntp.br iburst

# Access control configuration; see /usr/share/doc/ntp-doc/html/accopt.html for
# details. The web page a href="http://support.ntp.org/bin/view/Support/AccessRestrictions>">http://support.ntp.org/bin/view/Support/AccessRestrictions>;;
# might also be helpful.
#
# Note that "restrict" applies to both servers and clients, so a configuration
# that might be intended to block requests from certain clients could also end
# up blocking replies from your own upstream servers.

# By default, exchange time with everybody, but don't allow configuration.
restrict -4 default kod notrap nomodify nopeer noquery
restrict -6 default kod notrap nomodify nopeer noquery

# Local users may interrogate the ntp server more closely.
restrict 127.0.0.1
restrict ::1

# Clients from this (example!) subnet have unlimited access, but only if
# cryptographically authenticated.
#restrict 192.168.123.0 mask 255.255.255.0 notrust


# If you want to provide time to your local subnet, change the next line.
# (Again, the address is an example only.)
#broadcast 192.168.123.255

# If you want to listen to time broadcasts on your local subnet, de-comment the
# next lines. Please do this only if you trust everybody on the network!
#disable auth
#broadcastclient

salve

e em seguida

service ntp start

E como faço para ver os stats. pelo bind para ver se o mesmo esta funcionando ??

Rodrigo Hº Souza disse:

Bom dia,Boa Tarde,Boa Noite Galera

Galera é o seguinte de vez enquanto vejo o pessoal aqui idolatrando o unbound,já utilizei e não gostei alem de ser trabalhoso pra colocar pra funcionar,muitos dizem que é mais rápido balela pura não muda nada,vamos lá primeiramente pra quem nao sabe como funciona o dns deixo este vídeo do nosso amigo Rafael do nic.br,galera os passos que vou deixar aqui são tão simples que vocês vão colocar seu server dns funcionando em apenas 5 minutos,lembrando que vamos utilizar o bind,por que escolhi o bind por que a vantagem sobre o unbound é simples de instalar e possui a opção de configurar dns reveso (reveso deixo pra depois) coisa que o unbound não tem,vamos lá

primeiramente vamos atualizar o sistema com

apt-get update

em seguida vamos instalar o bind com o comando

apt-get install bind

depois de instalado vamos instalar o dnsutils que servira para fazermos testes no noss servidor dns

apt-get install dnsutils

agora vamos colocar nosso mkauth está como servidor dns mas nao 100%,vamos agora colocar nosso sistema para buscar por ele mesmo os dns para isso editamos o arquivo resolv.conf

nano /etc/resolv.conf

vai abrir uma tela onde você digitará o servidor que deseja melhor colocar assim

nameserver 127.0.0.1

se sua maquina está conectada na internet é só digitar o comando para ver seu server esta respodendo a requisição de dns

ex dig globo.com

se der tudo certo vai aprecer isso/;

;; ANSWER SECTION:
globo.com. 129276 IN A 186.192.90.5

;; AUTHORITY SECTION:
globo.com. 172472 IN NS ns02.globo.com.
globo.com. 172472 IN NS ns03.globo.com.
globo.com. 172472 IN NS ns04.globo.com.
globo.com. 172472 IN NS ns01.globo.com.

;; ADDITIONAL SECTION:
ns01.globo.com. 172472 IN A 201.7.180.171
ns01.globo.com. 172472 IN AAAA 2804:294:0:800::5
ns02.globo.com. 172472 IN A 64.151.87.25
ns03.globo.com. 172472 IN A 186.192.89.5
ns03.globo.com. 172472 IN AAAA 2804:294:4000:8001::5
ns04.globo.com. 172472 IN A 177.53.95.213
ns04.globo.com. 129272 IN AAAA 2804:294:8000:200::5

este passo é somente se seu mkauth possui ippublico e esta aberto na internet,se ele estiver com o ip 172.31.255.2 pule esta parte.

Agora vem a parte chata se o seu mkauth possui um ip publico e esta aberto a internet você terá que configurar alguns parâmetros de segurança definido quem pode utiliza lo,que no caso é sua rede basta editar o seguinte arquivo

nano /etc/bind/named.conf.options

e deixar assim

options {
directory "/var/cache/bind";

// If there is a firewall between you and nameservers you want
// to talk to, you may need to fix the firewall to allow multiple
// ports to talk. See http://www.kb.cert.org/vuls/id/800113

// If your ISP provided one or more IP addresses for stable
// nameservers, you probably want to use them as forwarders.
// Uncomment the following block, and insert the addresses replacing
// the all-0's placeholder.

// forwarders {
// 0.0.0.0; //
//};

//Opções de Segurança
listen-on port 53 { any; };
allow-query { 127.0.0.0/8 ; 172.16.0.0/12 ; 10.0.0.0/8 ; 192.168.0.0/16 ; }; //Rede Habilitada
allow-recursion { 127.0.0.0/8 ; 172.16.0.0/12 ; 10.0.0.0/8 ; 192.168.0.0/16; };
allow-transfer { none; };//pode se colocar o servidor dns secundario

//========================================================================
// If BIND logs error messages about the root key being expired,
// you will need to update your keys. See https://www.isc.org/bind-keys
//========================================================================
dnssec-validation auto;

auth-nxdomain no; # conform to RFC1035
listen-on-v6 { any; };
};

lembrando que se você possui um bloco de ip publico você pode colocar junto aos ip privados que la se encontra

terminando esta etapa é so mandar o comando

service bind9 restart

pronto seu serve está pronto

Agora vamos a uma etapa muito importante para que seu server dns funcione bem que é o ntp funcionando adequadamente,algumas paginas hoje só resolve dns se o horario do sistema do bind estiver correto,então vamos a instalação do ntp

apt-get install ntp

depois de instalado vamos criar o arquivo drift com o seguinte comando

touch /etc/ntp.drift

agora vamos editar o arquivo ntp.conf

nano /etc/ntp.conf

deixando assim

# /etc/ntp.conf, configuration for ntpd; see ntp.conf(5) for help

driftfile /etc/ntp.drift


# Enable this if you want statistics to be logged.
#statsdir /var/log/ntpstats/

statistics loopstats peerstats clockstats
filegen loopstats file loopstats type day enable
filegen peerstats file peerstats type day enable
filegen clockstats file clockstats type day enable


# You do need to talk to an NTP server or two (or three).
#server ntp.your-provider.example

# pool.ntp.org maps to about 1000 low-stratum NTP servers. Your server will
# pick a different set every time it starts up. Please consider joining the
# pool: a href="http://www.pool.ntp.org/join.html>">http://www.pool.ntp.org/join.html>;;
#server 0.debian.pool.ntp.org iburst
#server 1.debian.pool.ntp.org iburst
#server 2.debian.pool.ntp.org iburst
#server 3.debian.pool.ntp.org iburst

# estatisticas do ntp que permitem verificar o histórico
# de funcionamento e gerar graficos
statsdir /var/log/ntpstats/
statistics loopstats peerstats clockstats
filegen loopstats file loopstats type day enable
filegen peerstats file peerstats type day enable
filegen clockstats file clockstats type day enable

# servidores publicos do projeto ntp.br
server a.st1.ntp.br iburst
server b.st1.ntp.br iburst
server c.st1.ntp.br iburst
server d.st1.ntp.br iburst
server gps.ntp.br iburst
server a.ntp.br iburst
server b.ntp.br iburst
server c.ntp.br iburst

# Access control configuration; see /usr/share/doc/ntp-doc/html/accopt.html for
# details. The web page a href="http://support.ntp.org/bin/view/Support/AccessRestrictions>">http://support.ntp.org/bin/view/Support/AccessRestrictions>;;
# might also be helpful.
#
# Note that "restrict" applies to both servers and clients, so a configuration
# that might be intended to block requests from certain clients could also end
# up blocking replies from your own upstream servers.

# By default, exchange time with everybody, but don't allow configuration.
restrict -4 default kod notrap nomodify nopeer noquery
restrict -6 default kod notrap nomodify nopeer noquery

# Local users may interrogate the ntp server more closely.
restrict 127.0.0.1
restrict ::1

# Clients from this (example!) subnet have unlimited access, but only if
# cryptographically authenticated.
#restrict 192.168.123.0 mask 255.255.255.0 notrust


# If you want to provide time to your local subnet, change the next line.
# (Again, the address is an example only.)
#broadcast 192.168.123.255

# If you want to listen to time broadcasts on your local subnet, de-comment the
# next lines. Please do this only if you trust everybody on the network!
#disable auth
#broadcastclient

salve

e em seguida

service ntp start

Eu fiz a instalação e deu tudo certo. Tem esse video https://www.youtube.com/watch?v=gpHhCgLv1JM ; Olha ai em um post meu. http://mk-auth.com.br/forum/topics/servidor-dns-dentro-do-mkauth-un...

amigo fiz da forma que vc disse so que quando eu seto o dns da maquina o mesmo nao responde pros clientes ele faz o dns mais nao responde 

se fosse possivel mi tirasse umas duvida 



Rodrigo Hº Souza disse:

Bom dia,Boa Tarde,Boa Noite Galera

Galera é o seguinte de vez enquanto vejo o pessoal aqui idolatrando o unbound,já utilizei e não gostei alem de ser trabalhoso pra colocar pra funcionar,muitos dizem que é mais rápido balela pura não muda nada,vamos lá primeiramente pra quem nao sabe como funciona o dns deixo este vídeo do nosso amigo Rafael do nic.br,galera os passos que vou deixar aqui são tão simples que vocês vão colocar seu server dns funcionando em apenas 5 minutos,lembrando que vamos utilizar o bind,por que escolhi o bind por que a vantagem sobre o unbound é simples de instalar e possui a opção de configurar dns reveso (reveso deixo pra depois) coisa que o unbound não tem,vamos lá

primeiramente vamos atualizar o sistema com

apt-get update

em seguida vamos instalar o bind com o comando

apt-get install bind

depois de instalado vamos instalar o dnsutils que servira para fazermos testes no noss servidor dns

apt-get install dnsutils

agora vamos colocar nosso mkauth está como servidor dns mas nao 100%,vamos agora colocar nosso sistema para buscar por ele mesmo os dns para isso editamos o arquivo resolv.conf

nano /etc/resolv.conf

vai abrir uma tela onde você digitará o servidor que deseja melhor colocar assim

nameserver 127.0.0.1

se sua maquina está conectada na internet é só digitar o comando para ver seu server esta respodendo a requisição de dns

ex dig globo.com

se der tudo certo vai aprecer isso/;

;; ANSWER SECTION:
globo.com. 129276 IN A 186.192.90.5

;; AUTHORITY SECTION:
globo.com. 172472 IN NS ns02.globo.com.
globo.com. 172472 IN NS ns03.globo.com.
globo.com. 172472 IN NS ns04.globo.com.
globo.com. 172472 IN NS ns01.globo.com.

;; ADDITIONAL SECTION:
ns01.globo.com. 172472 IN A 201.7.180.171
ns01.globo.com. 172472 IN AAAA 2804:294:0:800::5
ns02.globo.com. 172472 IN A 64.151.87.25
ns03.globo.com. 172472 IN A 186.192.89.5
ns03.globo.com. 172472 IN AAAA 2804:294:4000:8001::5
ns04.globo.com. 172472 IN A 177.53.95.213
ns04.globo.com. 129272 IN AAAA 2804:294:8000:200::5

este passo é somente se seu mkauth possui ippublico e esta aberto na internet,se ele estiver com o ip 172.31.255.2 pule esta parte.

Agora vem a parte chata se o seu mkauth possui um ip publico e esta aberto a internet você terá que configurar alguns parâmetros de segurança definido quem pode utiliza lo,que no caso é sua rede basta editar o seguinte arquivo

nano /etc/bind/named.conf.options

e deixar assim

options {
directory "/var/cache/bind";

// If there is a firewall between you and nameservers you want
// to talk to, you may need to fix the firewall to allow multiple
// ports to talk. See http://www.kb.cert.org/vuls/id/800113

// If your ISP provided one or more IP addresses for stable
// nameservers, you probably want to use them as forwarders.
// Uncomment the following block, and insert the addresses replacing
// the all-0's placeholder.

// forwarders {
// 0.0.0.0; //
//};

//Opções de Segurança
listen-on port 53 { any; };
allow-query { 127.0.0.0/8 ; 172.16.0.0/12 ; 10.0.0.0/8 ; 192.168.0.0/16 ; }; //Rede Habilitada
allow-recursion { 127.0.0.0/8 ; 172.16.0.0/12 ; 10.0.0.0/8 ; 192.168.0.0/16; };
allow-transfer { none; };//pode se colocar o servidor dns secundario

//========================================================================
// If BIND logs error messages about the root key being expired,
// you will need to update your keys. See https://www.isc.org/bind-keys
//========================================================================
dnssec-validation auto;

auth-nxdomain no; # conform to RFC1035
listen-on-v6 { any; };
};

lembrando que se você possui um bloco de ip publico você pode colocar junto aos ip privados que la se encontra

terminando esta etapa é so mandar o comando

service bind9 restart

pronto seu serve está pronto

Agora vamos a uma etapa muito importante para que seu server dns funcione bem que é o ntp funcionando adequadamente,algumas paginas hoje só resolve dns se o horario do sistema do bind estiver correto,então vamos a instalação do ntp

apt-get install ntp

depois de instalado vamos criar o arquivo drift com o seguinte comando

touch /etc/ntp.drift

agora vamos editar o arquivo ntp.conf

nano /etc/ntp.conf

deixando assim

# /etc/ntp.conf, configuration for ntpd; see ntp.conf(5) for help

driftfile /etc/ntp.drift


# Enable this if you want statistics to be logged.
#statsdir /var/log/ntpstats/

statistics loopstats peerstats clockstats
filegen loopstats file loopstats type day enable
filegen peerstats file peerstats type day enable
filegen clockstats file clockstats type day enable


# You do need to talk to an NTP server or two (or three).
#server ntp.your-provider.example

# pool.ntp.org maps to about 1000 low-stratum NTP servers. Your server will
# pick a different set every time it starts up. Please consider joining the
# pool: a href="http://www.pool.ntp.org/join.html>">http://www.pool.ntp.org/join.html>;;
#server 0.debian.pool.ntp.org iburst
#server 1.debian.pool.ntp.org iburst
#server 2.debian.pool.ntp.org iburst
#server 3.debian.pool.ntp.org iburst

# estatisticas do ntp que permitem verificar o histórico
# de funcionamento e gerar graficos
statsdir /var/log/ntpstats/
statistics loopstats peerstats clockstats
filegen loopstats file loopstats type day enable
filegen peerstats file peerstats type day enable
filegen clockstats file clockstats type day enable

# servidores publicos do projeto ntp.br
server a.st1.ntp.br iburst
server b.st1.ntp.br iburst
server c.st1.ntp.br iburst
server d.st1.ntp.br iburst
server gps.ntp.br iburst
server a.ntp.br iburst
server b.ntp.br iburst
server c.ntp.br iburst

# Access control configuration; see /usr/share/doc/ntp-doc/html/accopt.html for
# details. The web page a href="http://support.ntp.org/bin/view/Support/AccessRestrictions>">http://support.ntp.org/bin/view/Support/AccessRestrictions>;;
# might also be helpful.
#
# Note that "restrict" applies to both servers and clients, so a configuration
# that might be intended to block requests from certain clients could also end
# up blocking replies from your own upstream servers.

# By default, exchange time with everybody, but don't allow configuration.
restrict -4 default kod notrap nomodify nopeer noquery
restrict -6 default kod notrap nomodify nopeer noquery

# Local users may interrogate the ntp server more closely.
restrict 127.0.0.1
restrict ::1

# Clients from this (example!) subnet have unlimited access, but only if
# cryptographically authenticated.
#restrict 192.168.123.0 mask 255.255.255.0 notrust


# If you want to provide time to your local subnet, change the next line.
# (Again, the address is an example only.)
#broadcast 192.168.123.255

# If you want to listen to time broadcasts on your local subnet, de-comment the
# next lines. Please do this only if you trust everybody on the network!
#disable auth
#broadcastclient

salve

e em seguida

service ntp start

Amigo estou com a mesma bronca poderia ajudar...

Responder à discussão

RSS

parcerias

© 2021   Criado por Pedro Filho.   Ativado por

Badges - Divulgar  |  Relatar erro no site  |  Termos de serviço