Natuurlijk! Hieronder vind je een gedetailleerde gids voor het configureren van DHCP en DNS op jouw Ubuntu 22.04 server, gericht op veilige toegang en betrouwbare naamresolutie. **1. Algemene voorbereiding** - Zorg dat je root- of sudo-toegang hebt. - Update je systeem: ```bash sudo apt update && sudo apt upgrade -y ``` - Installeer de benodigde software: ```bash sudo apt install isc-dhcp-server bind9 ``` --- **2. DHCP-server configuratie** *Doel:* Een DHCP-server die IP-adressen uitdeelt binnen jouw subnet, met beveiliging en controle. **a. DHCP-server instellen** - Open de DHCP-configuratie: ```bash sudo nano /etc/dhcp/isc-dhcp-server.conf ``` - Voeg of pas de volgende regels aan: ```plaintext authoritative; subnet 192.168.1.0 netmask 255.255.255.0 { range 192.168.1.100 192.168.1.200; # IP-bereik option routers 192.168.1.1; # Gateway option domain-name-servers 192.168.1.2; # DNS server option domain-name "jouwdomein.local"; # Domeinnaam } ``` **b. DHCP-interface specificeren** - Pas `/etc/default/isc-dhcp-server` aan: ```bash INTERFACESv4="eth0" # vervang 'eth0' door je netwerkinterface ``` **c. DHCP-service herstarten** ```bash sudo systemctl restart isc-dhcp-server sudo systemctl enable isc-dhcp-server ``` **d. Beveiliging tips voor DHCP** - Beperk toegang via firewall: ```bash sudo ufw allow 67/udp sudo ufw reload ``` - Controleer de status: ```bash sudo systemctl status isc-dhcp-server ``` --- **3. DNS-server configuratie** *Doel:* Betrouwbare naamresolutie met beveiliging. **a. BIND9 configuratie** - Backup de originele configuratie: ```bash sudo cp /etc/bind/named.conf.options /etc/bind/named.conf.options.bak ``` - Pas `/etc/bind/named.conf.options` aan: ```bash sudo nano /etc/bind/named.conf.options ``` - Voeg of wijzig de volgende opties voor beveiliging en prestaties: ```plaintext options { directory "/var/cache/bind"; recursion yes; # afhankelijk van je behoefte allow-query { trusted; }; # alleen bepaalde IP's of netwerken listen-on { 192.168.1.2; }; # IP-adres van je DNS-server listen-on-v6 { none; }; forwarders { 8.8.8.8; # Google DNS of andere betrouwbare DNS 8.8.4.4; }; dnssec-validation auto; auth-nxdomain no; # conform RFC1035 listen-on-via-v6 { none; }; }; acl "trusted" { 192.168.1.0/24; # je interne netwerk }; ``` **b. DNS-zone aanmaken** - Maak een zonebestand aan voor je domein: ```bash sudo nano /etc/bind/named.conf.local ``` - Voeg toe: ```plaintext zone "jouwdomein.local" { type master; file "/etc/bind/db.jouwdomein.local"; }; ``` - Maak het zonebestand: ```bash sudo cp /etc/bind/db.empty /etc/bind/db.jouwdomein.local sudo nano /etc/bind/db.jouwdomein.local ``` - Vul het basiszonebestand in, bijvoorbeeld: ```plaintext $TTL 604800 @ IN SOA ns.jouwdomein.local. admin.jouwdomein.local. ( 2 ; Serial 604800 ; Refresh 86400 ; Retry 2419200 ; Expire 604800 ) ; Negative Cache TTL ; Nameservers @ IN NS ns.jouwdomein.local. ; A records ns IN A 192.168.1.2 server1 IN A 192.168.1.10 server2 IN A 192.168.1.11 ``` **c. DNS-server herstarten** ```bash sudo systemctl restart bind9 sudo systemctl enable bind9 ``` **d. DNS-beveiliging** - Schakel DNSSEC in en houd je software up-to-date. - Beperk query-toegang via ACL's. - Gebruik sterke, complexe wachtwoorden voor beheer. --- **4. Extra best practices voor veiligheid en betrouwbaarheid** - **Firewall:** - Configureer UFW of iptables om alleen noodzakelijke poorten open te stellen (67/udp voor DHCP, 53/tcp en udp voor DNS). ```bash sudo ufw allow 53/tcp sudo ufw allow 53/udp sudo ufw allow 67/udp sudo ufw reload ``` - **Logging en monitoring:** - Controleer regelmatig `/var/log/syslog`, `/var/log/messages` en bind9 logs. - Gebruik tools als `fail2ban` om misbruik te voorkomen. - **Back-up van configuraties:** - Maak regelmatige backups van je configuratiebestanden en zonebestanden. - **Updates en patches:** - Houd je systeem en diensten up-to-date met security patches. --- **Samenvatting** Deze stappen zorgen voor een veilige, betrouwbare DHCP- en DNS-omgeving op jouw Ubuntu 22.04 server, passend bij je subnet en specificaties. Door ACL's, firewallregels, en regelmatige controle te implementeren, verzeker je een veilige toegang en correcte naamresolutie. Heeft je nog verdere vragen of specifieke wensen?

Absolut! Gerne helfe ich Ihnen bei der Konfiguration einer robusten Netzwerkinfrastruktur auf Ihrem Ubuntu 22.04 Server. Das Ziel, einen Server mit statischer IP in einem festgelegten Subnetz einzurichten und die zentralen Dienste DHCP und DNS zu hosten, ist ein ausgezeichneter Ausgangspunkt. Hier sind die detaillierten Schritte, empfohlenen Tools und Best Practices. ### Übersicht der Konfiguration Ihr Server wird folgende Rolle einnehmen: * **Statische IP:** `192.168.1.1` (übliche Wahl für den Gateway/Dienst-Server) * **Subnetz:** `192.168.1.0/24` * **DHCP-Server:** Vergibt IP-Adressen an Clients im Bereich `192.168.1.100` - `192.168.1.200` * **DNS-Server (Caching/Forwarder):** Beantwortet DNS-Anfragen der Clients und leitet unbekannte Anfragen an externe Resolver weiter (wie z.B. 1.1.1.1 oder 8.8.8.8). --- ### Schritt 1: Statische IP-Adresse konfigurieren Die Konfiguration des Netzwerks unter Ubuntu 22.04 erfolgt über `netplan`. 1. **Aktuelle Konfiguration anzeigen:** ```bash sudo netplan get ``` 2. **Konfigurationsdatei bearbeiten:** Die primäre Konfigurationsdatei ist typischerweise `/etc/netplan/00-installer-config.yaml` oder ähnlich. Öffnen Sie sie mit einem Editor wie `nano`: ```bash sudo nano /etc/netplan/00-installer-config.yaml ``` 3. **Konfiguration anpassen:** Ändern Sie den Inhalt so, dass er Ihrer statischen IP entspricht. Ersetzen Sie `enp0s3` gegebenenfalls mit dem Namen Ihrer Netzwerkschnittstelle (zu finden mit `ip a`). ```yaml network: version: 2 renderer: networkd ethernets: enp0s3: addresses: - 192.168.1.1/24 routes: - to: default via: 192.168.1.254 # Ihr Standard-Gateway (meist Ihr Router) nameservers: addresses: - 127.0.0.1 # Zeigt auf den lokalen DNS-Server (diesen Server) - 1.1.1.1 # Fallback-DNS-Server ``` * **Wichtig:** Wenn dieser Server auch Ihr Standard-Gateway (Router) sein soll, setzen Sie `via: 192.168.1.1`. Ansonsten tragen Sie die IP Ihres existierenden Routers ein. 4. **Konfiguration anwenden:** ```bash sudo netplan apply ``` 5. **Überprüfen:** Prüfen Sie, ob die neue IP-Adresse aktiv ist. ```bash ip addr show enp0s3 ``` --- ### Schritt 2: DNS-Server einrichten (mit `systemd-resolved` oder `bind9`) Ubuntu 22.04 bringt `systemd-resolved` bereits mit, einen einfachen, aber effektiven Caching-DNS-Forwarder. Für eine einfache Lösung ist dies ausreichend. Für erweiterte Funktionen (eigene Zonen, DNS-Records) ist `bind9` die Wahl. #### Option A: Einfacher Caching/Forwarding DNS mit `systemd-resolved` (empfohlen für Einsteiger) 1. **Konfiguration bearbeiten:** Die Hauptkonfigurationsdatei ist `/etc/systemd/resolved.conf`. ```bash sudo nano /etc/systemd/resolved.conf ``` 2. **Folgende Zeilen entkommentieren/anpassen:** ```ini [Resolve] DNS=1.1.1.1 8.8.8.8 # Upstream-DNS-Server für Forwarding Domains=~. # Suchdomains DNSSEC=allow-downgrade # DNSSEC-Optionen Cache=yes DNSStubListener=yes ``` 3. **Dienst neustarten:** ```bash sudo systemctl restart systemd-resolved ``` 4. **Überprüfen:** Testen Sie die Namensauflösung. ```bash nslookup google.com ``` #### Option B: Vollwertiger DNS-Server mit `bind9` (für mehr Kontrolle) 1. **Bind9 installieren:** ```bash sudo apt update && sudo apt install bind9 bind9utils bind9-doc -y ``` 2. **Hauptkonfiguration anpassen (`/etc/bind/named.conf.options`):** ```bash sudo nano /etc/bind/named.conf.options ``` ```javascript options { directory "/var/cache/bind"; forwarders { 1.1.1.1; 8.8.8.8; }; listen-on { 192.168.1.1; }; // Hört auf die Server-IP listen-on-v6 { none; }; // IPv6 deaktivieren, falls nicht benötigt allow-query { 192.168.1.0/24; }; // Erlaubt Abfragen nur aus dem lokalen Netzwerk recursion yes; // Ermöglicht Caching/Forwarding dnssec-validation auto; auth-nxdomain no; }; ``` 3. **Konfiguration auf Syntaxfehler prüfen:** ```bash sudo named-checkconf ``` 4. **Dienst neustarten und aktivieren:** ```bash sudo systemctl restart bind9 sudo systemctl enable bind9 ``` --- ### Schritt 3: DHCP-Server einrichten (mit `isc-dhcp-server`) 1. **ISC DHCP-Server installieren:** ```bash sudo apt install isc-dhcp-server -y ``` 2. **Netzwerkschnittstelle konfigurieren:** Welche Schnittstelle soll DHCP-Anfragen bearbeiten? Editieren Sie `/etc/default/isc-dhcp-server`. ```bash sudo nano /etc/default/isc-dhcp-server ``` Setzen Sie die Schnittstelle (z.B. `enp0s3`): ```bash INTERFACESv4="enp0s3" ``` 3. **DHCP-Konfiguration anpassen:** Die Hauptkonfigurationsdatei ist `/etc/dhcp/dhcpd.conf`. ```bash sudo nano /etc/dhcp/dhcpd.conf ``` Ersetzen Sie den Inhalt durch eine grundlegende Konfiguration: ```bash # Optionen global definieren option domain-name "local.lan"; # Ihr lokaler Domain-Name option domain-name-servers 192.168.1.1; # IP des DNS-Servers (dieser Server) default-lease-time 600; # Standard-Lease-Time in Sekunden max-lease-time 7200; # Maximale Lease-Time in Sekunden authoritative; # Zeigt an, dass dies der autoritative DHCP-Server im Netzwerk ist # Subnetz-Deklaration subnet 192.168.1.0 netmask 255.255.255.0 { range 192.168.1.100 192.168.1.200; option routers 192.168.1.254; # IP Ihres Standard-Gateways (Router) # option routers 192.168.1.1; # Verwenden Sie diese Zeile, wenn dieser Server das Gateway ist } ``` 4. **Konfiguration prüfen:** ```bash sudo dhcpd -t ``` 5. **Dienst neustarten und aktivieren:** ```bash sudo systemctl restart isc-dhcp-server sudo systemctl enable isc-dhcp-server ``` --- ### Schritt 4: Firewall konfigurieren (`ufw`) Ubuntu hat eine einfache Firewall namens `ufw` (Uncomplicated Firewall). Erlauben Sie die notwendigen Ports. 1. **SSH-Zugang sicherstellen (sehr wichtig!):** ```bash sudo ufw allow ssh ``` 2. **Ports für DNS und DHCP freigeben:** ```bash sudo ufw allow 53/tcp # DNS (TCP, für größere Antworten/Zonentransfers) sudo ufw allow 53/udp # DNS (UDP, Standard) sudo ufw allow 67/udp # DHCP (Server Port) sudo ufw allow 68/udp # DHCP (Client Port) ``` 3. **Firewall aktivieren:** ```bash sudo ufw enable ``` 4. **Status prüfen:** ```bash sudo ufw status verbose ``` --- ### Best Practices für Sicherheit und Stabilität 1. **Regelmäßige Updates:** Führen Sie `sudo apt update && sudo apt upgrade` regelmäßig aus. 2. **Dienst-spezifische Sicherheit:** * **Bind9:** Beschränken Sie Abfragen mit `allow-query` auf Ihr Subnetz. Für einen reinen Forwarder ist eine Zonen-Konfiguration nicht nötig. * **DHCP:** Die Konfiguration ist standardmäßig sicher, da sie nur auf das lokale Netzwerk beschränkt ist. 3. **Logging:** Überwachen Sie die Logs Ihrer Dienste. Verwenden Sie `journalctl -u <dienstname>` (z.B. `journalctl -u bind9`). 4. **Backup:** Sichern Sie Ihre Konfigurationsdateien unter `/etc/` (netplan, bind, dhcp). 5. **Testen:** Testen Sie die Konfiguration mit einem Client im Netzwerk. Beziehen Sie eine IP-Adresse via DHCP (`ip a`) und testen Sie die DNS-Auflösung (`nslookup`). Diese Anleitung bietet Ihnen eine solide Grundlage für einen funktionierenden und sicheren Netzwerkserver. Wenn Sie weitere Dienste wie NFS oder ein VPN hinzufügen möchten, können Sie dies auf dieser Basis aufbauen.