Cara Mengkonfigurasi Server Master dan Slave NSD di OpenBSD

NLnet Labs Name Server Daemon atau NSD adalah name server DNS yang berwenang. Server ini dirancang untuk beroperasi di lingkungan yang mengutamakan kecepatan, keandalan, stabilitas, dan keamanan. NSD memiliki filosofi yang mengutamakan kinerja tinggi, artinya server NSD mampu melayani ratusan ribu atau bahkan jutaan kueri per detik.

Sebagai name server DNS yang berwenang, NSD tidak menyediakan fungsi caching, penerusan, atau rekursi apa pun. NSD hanya menanggapi permintaan berulang untuk zona yang dikontrolnya. NSD juga dapat merujuk resolver ke name server lain untuk zona yang telah didelegasikannya.

Untuk tujuan panduan ini, kami akan mengonfigurasi dua server dengan perangkat lunak NSD yang bertindak sebagai server utama dan server sekunder untuk zona name server. Dalam artikel ini, kami mengandalkan OpenBSD sebagai sistem operasi untuk menginstal server NSD.

1. Cara Konfigurasi Zone Tanpa dnssec di NSD

Terlepas dari semua manfaatnya, ada beberapa alasan untuk tidak melanjutkan dengan DNSSEC. Konfigurasi dan pemeliharaan kunci DNSSEC sepenuhnya dilakukan secara manual di sebagian besar implementasi server DNS utama.

Penyiapannya agak rumit, dan masa pakai kunci yang terbatas memiliki implikasi konektivitas yang serius. Mengonfigurasi kunci secara tidak benar, atau gagal melakukan pergantian kunci sebelum kunci lama kedaluwarsa, membuat seluruh domain tidak dapat dijangkau di Internet publik. Meskipun ada solusi, solusinya melibatkan memulai kembali dengan server nama dan pendaftar domain. Untuk menjalankan DNSSEC, kunci harus dirotasi sebelum kedaluwarsa.

Di bagian ini, kita akan mengonfigurasi zona pada kedua node dan mengujinya, cara mentransfernya, dan cara mengkueri zona baru.

a. Mempersiapkan node Master

Anda perlu membuat file zona di /var/nsd/zones/master, ada beberapa cara untuk membuat file ini. Meskipun konfigurasi yang kami sajikan bukan yang terbaik, namun patut dicoba.

buat zone master

ns1# cat kursor.my.id.zone

$ORIGIN             restauradordeleyes.cloud.
$TTL    300
@           3600 IN SOA   ns1.kursor.my.id. kursor.my.id. (
               2021041320  ; serial
               1440        ; refresh
               3600        ; retry
               4800        ; expire
               600 )       ; minimum TTL

@		IN	NS      ns1.kursor.my.id.
@		IN	NS      ns2.kursor.my.id.

ns1		IN	A       192.168.5.3
ns2		IN	A       192.168.5.5
www	IN	A       192.168.5.99

Setelah itu, Anda dapat memeriksa zona yang telah Anda buat di atas.

Check the zone

ns1# nsd-checkzone kursor.my.id restauradordeleyes.cloud.zone
zone kursor.my.id is ok
ns1#

Buat kunci tsig. Anda perlu menginstal alat ldns dan kemudian menggunakan konten kunci privat.

Buat tsig key

ns1# ldns-keygen -r /dev/urandom -a hmac-sha512 kursor.my.id
Kkursor.my.id.+165+35358

Check tsig key

ns1# ls -ltrh|grep -i kursor.my.id
-rw-------  1 root  wheel   148B Apr 13 22:41 Kkursor.my.id.+165+35358.private
-rw-r--r--  1 root  wheel   123B Apr 13 22:41 Kkursor.my.id.+165+35358.key

Kunci tsig yang Anda buat di atas sangat berguna untuk mengonfigurasi server NSD. Karena langkah berikutnya Anda harus menambahkan kunci tsig ke file "nsd.conf".

Buat tsig key di nsd.conf

key:
        name: "kursor.my.id"
        algorithm: hmac-sha256
        secret: "xxxxx=="


zone:
        name: "kursor.my.id"
        zonefile: "master/kursor.my.id.zone"
        notify: 192.168.5.5 kursor.my.id
        provide-xfr: 192.168.5.5 kursor.my.id

Kemudian periksa status konfigurasi file nsd.conf utama, apakah ada kesalahan atau tidak.

Check nsd.conf

ns1# nsd-checkconf /var/nsd/etc/nsd.conf

Anda juga dapat memeriksa berkas log dari server NSD.

Check nsd.log

ns1# tail -f /var/log/nsd.log

Jika ada kesalahan, Anda dapat memeriksanya nanti karena kami belum mengonfigurasi node kedua. Sekarang, lakukan kueri internal cepat untuk memeriksa status server NSD.

Check status

ns1# dig kursor.my.id @192.168.5.3
ns1# nsd-control zonestatus

b. Mempersiapkan node Slave

Di bagian ini, kita akan mengonfigurasi node slave. Anda perlu menentukan entri dalam file nsd.conf. Gunakan kunci tsig yang sama dengan yang Anda buat pada node master.

buat tsig key di nsd.conf (slave)

key:
        name: "kursor.my.id"
        algorithm: hmac-sha256
        secret: "xxxxx=="


zone:
        name: "kursor.my.id"
        zonefile: "master/kursor.my.id.zone"
        allow-notify: 192.168.5.3 kursor.my.id
        request-xfr: 192.168.5.3 kursor.my.id

c. Test

Jika semua node sudah dibuat, baik di server maupun di slave, langkah terakhir adalah memeriksa konfigurasi yang telah kita buat di atas. Jalankan perintah berikut untuk memeriksa setiap zona di master dan slave.

Check configuration

ns1# nsd-checkconf /var/nsd/etc/nsd.conf
ns1# nsd-control zonestatus
ns1# tail -f /var/log/nsd.log
ns1# dig ANY kursor.my.id. @192.168.5.5 +norec +short
ns1# nsd-control write kursor.my.id

check configuration

ns1# dig axfr kursor.my.id @ns1.kursor.my.id
ns1# dig axfr kursor.my.id @ns2.kursor.my.id

Dengan menggunakan panduan ini, Anda sekarang seharusnya memiliki server NSD primer dan sekunder yang hanya dapat digunakan untuk menyajikan informasi DNS tentang domain Anda. Tidak seperti Bind, NSD dioptimalkan untuk perilaku otoritatif berkinerja tinggi, sehingga Anda bisa mendapatkan kinerja yang lebih baik yang disesuaikan secara khusus dengan kebutuhan Anda.