MK AUTH + UNBOUND

Boa noite pessoal, estou com o seguinte problema, instalei o unbound no mk-auth, deu tudo certo, porem quando dou o comando de unbound-control stats aparece esse erro:

unbound-control stats
error: SSL handshake failed
3073910936:error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed:s3_clnt.c:1168:

alguem ja passou por isso e sabe como resolver ?

Para adicionar comentários, você deve ser membro de MK-AUTH.

Join MK-AUTH

Enviar-me um email quando as pessoas responderem –

Respostas

  • boa noite tb estava  com esse erro amigão  entao desinstalei  e instalei bind 9 resolveu meu problema rs 

  • tem algum tutorial ?

    Rodrigo Hº Souza disse:

    boa noite tb estava  com esse erro amigão  entao desinstalei  e instalei bind 9 resolveu meu problema rs 

  • Bom dia,Boa Tarde,Boa Noite Galera

    Galera é o seguinte de vez enquanto vejo o pessoal aqui idolatrando o unbound,já utilizei e não gostei alem de ser trabalhoso pra colocar pra funcionar,muitos dizem que é mais rápido balela pura não muda nada,vamos lá primeiramente pra quem nao sabe como funciona o dns deixo este vídeo do nosso amigo Rafael do nic.br,galera os passos que vou deixar aqui são tão simples que vocês vão colocar seu server dns funcionando em apenas 5 minutos,lembrando que vamos utilizar o bind,por que escolhi o bind por que a vantagem sobre o unbound é simples de instalar e possui a opção de configurar dns reveso (reveso deixo pra depois) coisa que o unbound não tem,vamos lá

    primeiramente vamos atualizar o sistema com

    apt-get update

    em seguida vamos instalar o bind com o comando

    apt-get install bind

    depois de instalado vamos instalar o dnsutils que servira para fazermos testes no noss servidor dns

    apt-get install dnsutils

    agora vamos colocar nosso mkauth está como servidor dns mas nao 100%,vamos agora colocar nosso sistema para buscar por ele mesmo os dns para isso editamos o arquivo resolv.conf

    nano /etc/resolv.conf

    vai abrir uma tela onde você digitará o servidor que deseja melhor colocar assim

    nameserver 127.0.0.1

    se sua maquina está conectada na internet é só digitar o comando para ver seu server esta respodendo a requisição de dns

    ex dig globo.com

    se der tudo certo vai aprecer isso/;

    ;; ANSWER SECTION:
    globo.com. 129276 IN A 186.192.90.5

    ;; AUTHORITY SECTION:
    globo.com. 172472 IN NS ns02.globo.com.
    globo.com. 172472 IN NS ns03.globo.com.
    globo.com. 172472 IN NS ns04.globo.com.
    globo.com. 172472 IN NS ns01.globo.com.

    ;; ADDITIONAL SECTION:
    ns01.globo.com. 172472 IN A 201.7.180.171
    ns01.globo.com. 172472 IN AAAA 2804:294:0:800::5
    ns02.globo.com. 172472 IN A 64.151.87.25
    ns03.globo.com. 172472 IN A 186.192.89.5
    ns03.globo.com. 172472 IN AAAA 2804:294:4000:8001::5
    ns04.globo.com. 172472 IN A 177.53.95.213
    ns04.globo.com. 129272 IN AAAA 2804:294:8000:200::5

    este passo é somente se seu mkauth possui ippublico e esta aberto na internet,se ele estiver com o ip 172.31.255.2 pule esta parte.

    Agora vem a parte chata se o seu mkauth possui um ip publico e esta aberto a internet você terá que configurar alguns parâmetros de segurança definido quem pode utiliza lo,que no caso é sua rede basta editar o seguinte arquivo

    nano /etc/bind/named.conf.options

    e deixar assim

    options {
    directory "/var/cache/bind";

    // If there is a firewall between you and nameservers you want
    // to talk to, you may need to fix the firewall to allow multiple
    // ports to talk. See http://www.kb.cert.org/vuls/id/800113

    // If your ISP provided one or more IP addresses for stable
    // nameservers, you probably want to use them as forwarders.
    // Uncomment the following block, and insert the addresses replacing
    // the all-0's placeholder.

    // forwarders {
    // 0.0.0.0; //
    //};

    //Opções de Segurança
    listen-on port 53 { any; };
    allow-query { 127.0.0.0/8 ; 172.16.0.0/12 ; 10.0.0.0/8 ; 192.168.0.0/16 ; }; //Rede Habilitada
    allow-recursion { 127.0.0.0/8 ; 172.16.0.0/12 ; 10.0.0.0/8 ; 192.168.0.0/16; };
    allow-transfer { none; };//pode se colocar o servidor dns secundario

    //========================================================================
    // If BIND logs error messages about the root key being expired,
    // you will need to update your keys. See https://www.isc.org/bind-keys
    //========================================================================
    dnssec-validation auto;

    auth-nxdomain no; # conform to RFC1035
    listen-on-v6 { any; };
    };

    lembrando que se você possui um bloco de ip publico você pode colocar junto aos ip privados que la se encontra

    terminando esta etapa é so mandar o comando

    service bind9 restart

    pronto seu serve está pronto

    Agora vamos a uma etapa muito importante para que seu server dns funcione bem que é o ntp funcionando adequadamente,algumas paginas hoje só resolve dns se o horario do sistema do bind estiver correto,então vamos a instalação do ntp

    apt-get install ntp

    depois de instalado vamos criar o arquivo drift com o seguinte comando

    touch /etc/ntp.drift

    agora vamos editar o arquivo ntp.conf

    nano /etc/ntp.conf

    deixando assim

    # /etc/ntp.conf, configuration for ntpd; see ntp.conf(5) for help

    driftfile /etc/ntp.drift


    # Enable this if you want statistics to be logged.
    #statsdir /var/log/ntpstats/

    statistics loopstats peerstats clockstats
    filegen loopstats file loopstats type day enable
    filegen peerstats file peerstats type day enable
    filegen clockstats file clockstats type day enable


    # You do need to talk to an NTP server or two (or three).
    #server ntp.your-provider.example

    # pool.ntp.org maps to about 1000 low-stratum NTP servers. Your server will
    # pick a different set every time it starts up. Please consider joining the
    # pool: a href="http://www.pool.ntp.org/join.html>">http://www.pool.ntp.org/join.html>;;
    #server 0.debian.pool.ntp.org iburst
    #server 1.debian.pool.ntp.org iburst
    #server 2.debian.pool.ntp.org iburst
    #server 3.debian.pool.ntp.org iburst

    # estatisticas do ntp que permitem verificar o histórico
    # de funcionamento e gerar graficos
    statsdir /var/log/ntpstats/
    statistics loopstats peerstats clockstats
    filegen loopstats file loopstats type day enable
    filegen peerstats file peerstats type day enable
    filegen clockstats file clockstats type day enable

    # servidores publicos do projeto ntp.br
    server a.st1.ntp.br iburst
    server b.st1.ntp.br iburst
    server c.st1.ntp.br iburst
    server d.st1.ntp.br iburst
    server gps.ntp.br iburst
    server a.ntp.br iburst
    server b.ntp.br iburst
    server c.ntp.br iburst

    # Access control configuration; see /usr/share/doc/ntp-doc/html/accopt.html for
    # details. The web page a href="http://support.ntp.org/bin/view/Support/AccessRestrictions>">http://support.ntp.org/bin/view/Support/AccessRestrictions>;;
    # might also be helpful.
    #
    # Note that "restrict" applies to both servers and clients, so a configuration
    # that might be intended to block requests from certain clients could also end
    # up blocking replies from your own upstream servers.

    # By default, exchange time with everybody, but don't allow configuration.
    restrict -4 default kod notrap nomodify nopeer noquery
    restrict -6 default kod notrap nomodify nopeer noquery

    # Local users may interrogate the ntp server more closely.
    restrict 127.0.0.1
    restrict ::1

    # Clients from this (example!) subnet have unlimited access, but only if
    # cryptographically authenticated.
    #restrict 192.168.123.0 mask 255.255.255.0 notrust


    # If you want to provide time to your local subnet, change the next line.
    # (Again, the address is an example only.)
    #broadcast 192.168.123.255

    # If you want to listen to time broadcasts on your local subnet, de-comment the
    # next lines. Please do this only if you trust everybody on the network!
    #disable auth
    #broadcastclient

    salve

    e em seguida

    service ntp start

  • E como faço para ver os stats. pelo bind para ver se o mesmo esta funcionando ??

    Rodrigo Hº Souza disse:

    Bom dia,Boa Tarde,Boa Noite Galera

    Galera é o seguinte de vez enquanto vejo o pessoal aqui idolatrando o unbound,já utilizei e não gostei alem de ser trabalhoso pra colocar pra funcionar,muitos dizem que é mais rápido balela pura não muda nada,vamos lá primeiramente pra quem nao sabe como funciona o dns deixo este vídeo do nosso amigo Rafael do nic.br,galera os passos que vou deixar aqui são tão simples que vocês vão colocar seu server dns funcionando em apenas 5 minutos,lembrando que vamos utilizar o bind,por que escolhi o bind por que a vantagem sobre o unbound é simples de instalar e possui a opção de configurar dns reveso (reveso deixo pra depois) coisa que o unbound não tem,vamos lá

    primeiramente vamos atualizar o sistema com

    apt-get update

    em seguida vamos instalar o bind com o comando

    apt-get install bind

    depois de instalado vamos instalar o dnsutils que servira para fazermos testes no noss servidor dns

    apt-get install dnsutils

    agora vamos colocar nosso mkauth está como servidor dns mas nao 100%,vamos agora colocar nosso sistema para buscar por ele mesmo os dns para isso editamos o arquivo resolv.conf

    nano /etc/resolv.conf

    vai abrir uma tela onde você digitará o servidor que deseja melhor colocar assim

    nameserver 127.0.0.1

    se sua maquina está conectada na internet é só digitar o comando para ver seu server esta respodendo a requisição de dns

    ex dig globo.com

    se der tudo certo vai aprecer isso/;

    ;; ANSWER SECTION:
    globo.com. 129276 IN A 186.192.90.5

    ;; AUTHORITY SECTION:
    globo.com. 172472 IN NS ns02.globo.com.
    globo.com. 172472 IN NS ns03.globo.com.
    globo.com. 172472 IN NS ns04.globo.com.
    globo.com. 172472 IN NS ns01.globo.com.

    ;; ADDITIONAL SECTION:
    ns01.globo.com. 172472 IN A 201.7.180.171
    ns01.globo.com. 172472 IN AAAA 2804:294:0:800::5
    ns02.globo.com. 172472 IN A 64.151.87.25
    ns03.globo.com. 172472 IN A 186.192.89.5
    ns03.globo.com. 172472 IN AAAA 2804:294:4000:8001::5
    ns04.globo.com. 172472 IN A 177.53.95.213
    ns04.globo.com. 129272 IN AAAA 2804:294:8000:200::5

    este passo é somente se seu mkauth possui ippublico e esta aberto na internet,se ele estiver com o ip 172.31.255.2 pule esta parte.

    Agora vem a parte chata se o seu mkauth possui um ip publico e esta aberto a internet você terá que configurar alguns parâmetros de segurança definido quem pode utiliza lo,que no caso é sua rede basta editar o seguinte arquivo

    nano /etc/bind/named.conf.options

    e deixar assim

    options {
    directory "/var/cache/bind";

    // If there is a firewall between you and nameservers you want
    // to talk to, you may need to fix the firewall to allow multiple
    // ports to talk. See http://www.kb.cert.org/vuls/id/800113

    // If your ISP provided one or more IP addresses for stable
    // nameservers, you probably want to use them as forwarders.
    // Uncomment the following block, and insert the addresses replacing
    // the all-0's placeholder.

    // forwarders {
    // 0.0.0.0; //
    //};

    //Opções de Segurança
    listen-on port 53 { any; };
    allow-query { 127.0.0.0/8 ; 172.16.0.0/12 ; 10.0.0.0/8 ; 192.168.0.0/16 ; }; //Rede Habilitada
    allow-recursion { 127.0.0.0/8 ; 172.16.0.0/12 ; 10.0.0.0/8 ; 192.168.0.0/16; };
    allow-transfer { none; };//pode se colocar o servidor dns secundario

    //========================================================================
    // If BIND logs error messages about the root key being expired,
    // you will need to update your keys. See https://www.isc.org/bind-keys
    //========================================================================
    dnssec-validation auto;

    auth-nxdomain no; # conform to RFC1035
    listen-on-v6 { any; };
    };

    lembrando que se você possui um bloco de ip publico você pode colocar junto aos ip privados que la se encontra

    terminando esta etapa é so mandar o comando

    service bind9 restart

    pronto seu serve está pronto

    Agora vamos a uma etapa muito importante para que seu server dns funcione bem que é o ntp funcionando adequadamente,algumas paginas hoje só resolve dns se o horario do sistema do bind estiver correto,então vamos a instalação do ntp

    apt-get install ntp

    depois de instalado vamos criar o arquivo drift com o seguinte comando

    touch /etc/ntp.drift

    agora vamos editar o arquivo ntp.conf

    nano /etc/ntp.conf

    deixando assim

    # /etc/ntp.conf, configuration for ntpd; see ntp.conf(5) for help

    driftfile /etc/ntp.drift


    # Enable this if you want statistics to be logged.
    #statsdir /var/log/ntpstats/

    statistics loopstats peerstats clockstats
    filegen loopstats file loopstats type day enable
    filegen peerstats file peerstats type day enable
    filegen clockstats file clockstats type day enable


    # You do need to talk to an NTP server or two (or three).
    #server ntp.your-provider.example

    # pool.ntp.org maps to about 1000 low-stratum NTP servers. Your server will
    # pick a different set every time it starts up. Please consider joining the
    # pool: a href="http://www.pool.ntp.org/join.html>">http://www.pool.ntp.org/join.html>;;
    #server 0.debian.pool.ntp.org iburst
    #server 1.debian.pool.ntp.org iburst
    #server 2.debian.pool.ntp.org iburst
    #server 3.debian.pool.ntp.org iburst

    # estatisticas do ntp que permitem verificar o histórico
    # de funcionamento e gerar graficos
    statsdir /var/log/ntpstats/
    statistics loopstats peerstats clockstats
    filegen loopstats file loopstats type day enable
    filegen peerstats file peerstats type day enable
    filegen clockstats file clockstats type day enable

    # servidores publicos do projeto ntp.br
    server a.st1.ntp.br iburst
    server b.st1.ntp.br iburst
    server c.st1.ntp.br iburst
    server d.st1.ntp.br iburst
    server gps.ntp.br iburst
    server a.ntp.br iburst
    server b.ntp.br iburst
    server c.ntp.br iburst

    # Access control configuration; see /usr/share/doc/ntp-doc/html/accopt.html for
    # details. The web page a href="http://support.ntp.org/bin/view/Support/AccessRestrictions>">http://support.ntp.org/bin/view/Support/AccessRestrictions>;;
    # might also be helpful.
    #
    # Note that "restrict" applies to both servers and clients, so a configuration
    # that might be intended to block requests from certain clients could also end
    # up blocking replies from your own upstream servers.

    # By default, exchange time with everybody, but don't allow configuration.
    restrict -4 default kod notrap nomodify nopeer noquery
    restrict -6 default kod notrap nomodify nopeer noquery

    # Local users may interrogate the ntp server more closely.
    restrict 127.0.0.1
    restrict ::1

    # Clients from this (example!) subnet have unlimited access, but only if
    # cryptographically authenticated.
    #restrict 192.168.123.0 mask 255.255.255.0 notrust


    # If you want to provide time to your local subnet, change the next line.
    # (Again, the address is an example only.)
    #broadcast 192.168.123.255

    # If you want to listen to time broadcasts on your local subnet, de-comment the
    # next lines. Please do this only if you trust everybody on the network!
    #disable auth
    #broadcastclient

    salve

    e em seguida

    service ntp start

  • Eu fiz a instalação e deu tudo certo. Tem esse video https://www.youtube.com/watch?v=gpHhCgLv1JM ; Olha ai em um post meu. http://mk-auth.com.br/forum/topics/servidor-dns-dentro-do-mkauth-un...

  • amigo fiz da forma que vc disse so que quando eu seto o dns da maquina o mesmo nao responde pros clientes ele faz o dns mais nao responde 

    se fosse possivel mi tirasse umas duvida 



    Rodrigo Hº Souza disse:

    Bom dia,Boa Tarde,Boa Noite Galera

    Galera é o seguinte de vez enquanto vejo o pessoal aqui idolatrando o unbound,já utilizei e não gostei alem de ser trabalhoso pra colocar pra funcionar,muitos dizem que é mais rápido balela pura não muda nada,vamos lá primeiramente pra quem nao sabe como funciona o dns deixo este vídeo do nosso amigo Rafael do nic.br,galera os passos que vou deixar aqui são tão simples que vocês vão colocar seu server dns funcionando em apenas 5 minutos,lembrando que vamos utilizar o bind,por que escolhi o bind por que a vantagem sobre o unbound é simples de instalar e possui a opção de configurar dns reveso (reveso deixo pra depois) coisa que o unbound não tem,vamos lá

    primeiramente vamos atualizar o sistema com

    apt-get update

    em seguida vamos instalar o bind com o comando

    apt-get install bind

    depois de instalado vamos instalar o dnsutils que servira para fazermos testes no noss servidor dns

    apt-get install dnsutils

    agora vamos colocar nosso mkauth está como servidor dns mas nao 100%,vamos agora colocar nosso sistema para buscar por ele mesmo os dns para isso editamos o arquivo resolv.conf

    nano /etc/resolv.conf

    vai abrir uma tela onde você digitará o servidor que deseja melhor colocar assim

    nameserver 127.0.0.1

    se sua maquina está conectada na internet é só digitar o comando para ver seu server esta respodendo a requisição de dns

    ex dig globo.com

    se der tudo certo vai aprecer isso/;

    ;; ANSWER SECTION:
    globo.com. 129276 IN A 186.192.90.5

    ;; AUTHORITY SECTION:
    globo.com. 172472 IN NS ns02.globo.com.
    globo.com. 172472 IN NS ns03.globo.com.
    globo.com. 172472 IN NS ns04.globo.com.
    globo.com. 172472 IN NS ns01.globo.com.

    ;; ADDITIONAL SECTION:
    ns01.globo.com. 172472 IN A 201.7.180.171
    ns01.globo.com. 172472 IN AAAA 2804:294:0:800::5
    ns02.globo.com. 172472 IN A 64.151.87.25
    ns03.globo.com. 172472 IN A 186.192.89.5
    ns03.globo.com. 172472 IN AAAA 2804:294:4000:8001::5
    ns04.globo.com. 172472 IN A 177.53.95.213
    ns04.globo.com. 129272 IN AAAA 2804:294:8000:200::5

    este passo é somente se seu mkauth possui ippublico e esta aberto na internet,se ele estiver com o ip 172.31.255.2 pule esta parte.

    Agora vem a parte chata se o seu mkauth possui um ip publico e esta aberto a internet você terá que configurar alguns parâmetros de segurança definido quem pode utiliza lo,que no caso é sua rede basta editar o seguinte arquivo

    nano /etc/bind/named.conf.options

    e deixar assim

    options {
    directory "/var/cache/bind";

    // If there is a firewall between you and nameservers you want
    // to talk to, you may need to fix the firewall to allow multiple
    // ports to talk. See http://www.kb.cert.org/vuls/id/800113

    // If your ISP provided one or more IP addresses for stable
    // nameservers, you probably want to use them as forwarders.
    // Uncomment the following block, and insert the addresses replacing
    // the all-0's placeholder.

    // forwarders {
    // 0.0.0.0; //
    //};

    //Opções de Segurança
    listen-on port 53 { any; };
    allow-query { 127.0.0.0/8 ; 172.16.0.0/12 ; 10.0.0.0/8 ; 192.168.0.0/16 ; }; //Rede Habilitada
    allow-recursion { 127.0.0.0/8 ; 172.16.0.0/12 ; 10.0.0.0/8 ; 192.168.0.0/16; };
    allow-transfer { none; };//pode se colocar o servidor dns secundario

    //========================================================================
    // If BIND logs error messages about the root key being expired,
    // you will need to update your keys. See https://www.isc.org/bind-keys
    //========================================================================
    dnssec-validation auto;

    auth-nxdomain no; # conform to RFC1035
    listen-on-v6 { any; };
    };

    lembrando que se você possui um bloco de ip publico você pode colocar junto aos ip privados que la se encontra

    terminando esta etapa é so mandar o comando

    service bind9 restart

    pronto seu serve está pronto

    Agora vamos a uma etapa muito importante para que seu server dns funcione bem que é o ntp funcionando adequadamente,algumas paginas hoje só resolve dns se o horario do sistema do bind estiver correto,então vamos a instalação do ntp

    apt-get install ntp

    depois de instalado vamos criar o arquivo drift com o seguinte comando

    touch /etc/ntp.drift

    agora vamos editar o arquivo ntp.conf

    nano /etc/ntp.conf

    deixando assim

    # /etc/ntp.conf, configuration for ntpd; see ntp.conf(5) for help

    driftfile /etc/ntp.drift


    # Enable this if you want statistics to be logged.
    #statsdir /var/log/ntpstats/

    statistics loopstats peerstats clockstats
    filegen loopstats file loopstats type day enable
    filegen peerstats file peerstats type day enable
    filegen clockstats file clockstats type day enable


    # You do need to talk to an NTP server or two (or three).
    #server ntp.your-provider.example

    # pool.ntp.org maps to about 1000 low-stratum NTP servers. Your server will
    # pick a different set every time it starts up. Please consider joining the
    # pool: a href="http://www.pool.ntp.org/join.html>">http://www.pool.ntp.org/join.html>;;
    #server 0.debian.pool.ntp.org iburst
    #server 1.debian.pool.ntp.org iburst
    #server 2.debian.pool.ntp.org iburst
    #server 3.debian.pool.ntp.org iburst

    # estatisticas do ntp que permitem verificar o histórico
    # de funcionamento e gerar graficos
    statsdir /var/log/ntpstats/
    statistics loopstats peerstats clockstats
    filegen loopstats file loopstats type day enable
    filegen peerstats file peerstats type day enable
    filegen clockstats file clockstats type day enable

    # servidores publicos do projeto ntp.br
    server a.st1.ntp.br iburst
    server b.st1.ntp.br iburst
    server c.st1.ntp.br iburst
    server d.st1.ntp.br iburst
    server gps.ntp.br iburst
    server a.ntp.br iburst
    server b.ntp.br iburst
    server c.ntp.br iburst

    # Access control configuration; see /usr/share/doc/ntp-doc/html/accopt.html for
    # details. The web page a href="http://support.ntp.org/bin/view/Support/AccessRestrictions>">http://support.ntp.org/bin/view/Support/AccessRestrictions>;;
    # might also be helpful.
    #
    # Note that "restrict" applies to both servers and clients, so a configuration
    # that might be intended to block requests from certain clients could also end
    # up blocking replies from your own upstream servers.

    # By default, exchange time with everybody, but don't allow configuration.
    restrict -4 default kod notrap nomodify nopeer noquery
    restrict -6 default kod notrap nomodify nopeer noquery

    # Local users may interrogate the ntp server more closely.
    restrict 127.0.0.1
    restrict ::1

    # Clients from this (example!) subnet have unlimited access, but only if
    # cryptographically authenticated.
    #restrict 192.168.123.0 mask 255.255.255.0 notrust


    # If you want to provide time to your local subnet, change the next line.
    # (Again, the address is an example only.)
    #broadcast 192.168.123.255

    # If you want to listen to time broadcasts on your local subnet, de-comment the
    # next lines. Please do this only if you trust everybody on the network!
    #disable auth
    #broadcastclient

    salve

    e em seguida

    service ntp start

  • Amigo estou com a mesma bronca poderia ajudar...

This reply was deleted.