
<HTML >

<HEAD>

<META http-equiv="Content-Type" content="text/html; charset=us-ascii">


<meta name=Generator content="Microsoft Word 11 (filtered medium)">

<!--[if !mso]>

<style>

v\:* {behavior:url(#default#VML);}

o\:* {behavior:url(#default#VML);}

w\:* {behavior:url(#default#VML);}

.shape {behavior:url(#default#VML);}

</style>

<![endif]-->

<style>

<!--

 /* Font Definitions */

 @font-face

        {font-family:Tahoma;

        panose-1:2 11 6 4 3 5 4 4 2 4;}

@font-face

        {font-family:Verdana;

        panose-1:2 11 6 4 3 5 4 4 2 4;}

 /* Style Definitions */

 p.MsoNormal, li.MsoNormal, div.MsoNormal

        {margin:0in;

        margin-bottom:.0001pt;

        font-size:12.0pt;

        font-family:"Times New Roman";}

a:link, span.MsoHyperlink

        {color:blue;

        text-decoration:underline;}

a:visited, span.MsoHyperlinkFollowed

        {color:purple;

        text-decoration:underline;}

span.EmailStyle17

        {mso-style-type:personal;

        font-family:Arial;

        color:windowtext;}

span.EmailStyle18

        {mso-style-type:personal-reply;

        font-family:Arial;

        color:navy;}

@page Section1

        {size:8.5in 11.0in;

        margin:1.0in 1.25in 1.0in 1.25in;}

div.Section1

        {page:Section1;}

-->

</style>


</HEAD>

<BODY lang=EN-US link=blue vlink=purple>

<DIV>


<div class=Section1>


<p class=MsoNormal><font size=2 color=navy face=Arial><span style='font-size:

10.0pt;font-family:Arial;color:navy'>Justin Dixon sent an email suggesting:<o:p></o:p></span></font></p>


<p class=MsoNormal><font size=2 color=blue face=Verdana><span style='font-size:

10.0pt;font-family:Verdana;color:blue'>Use TSIG to select the correct

view…Example at below URL from the BIND FAQ on www.isc.org.<o:p></o:p></span></font></p>


<p class=MsoNormal><font size=2 color=blue face=Verdana><span style='font-size:

10.0pt;font-family:Verdana;color:blue'><a href="https://www.isc.org/node/282"

title="blocked::https://www.isc.org/node/282">https://www.isc.org/node/282</a> <o:p></o:p></span></font></p>


<p class=MsoNormal><font size=2 color=navy face=Arial><span style='font-size:

10.0pt;font-family:Arial;color:navy'><o:p> </o:p></span></font></p>


<p class=MsoNormal><font size=2 color=navy face=Arial><span style='font-size:

10.0pt;font-family:Arial;color:navy'>I didn’t actually do the TSIG setup

(need to do that one of these days…).   However, the rest of

the link indicated steps close to what I had done.   I had an

internal facing NIC with an alias IP already as well as an external (internet)

facing NIC.    I did not have the “notify-source”

statement however so added that.   Even after that I still had

issues.<o:p></o:p></span></font></p>


<p class=MsoNormal><font size=2 color=navy face=Arial><span style='font-size:

10.0pt;font-family:Arial;color:navy'><o:p> </o:p></span></font></p>


<p class=MsoNormal><font size=2 color=navy face=Arial><span style='font-size:

10.0pt;font-family:Arial;color:navy'>Robert Davis sent an email suggesting:<o:p></o:p></span></font></p>


<p class=MsoNormal><font size=2 color=navy face=Arial><span style='font-size:

10.0pt;font-family:Arial;color:navy'>Read Cricket Liu’s _<i><span

style='font-style:italic'>DNS & BIND Cookbook</span></i>_, “3.19:

Setting Up a Slave Name Server for a Zone in Multiple Views”.<o:p></o:p></span></font></p>


<p class=MsoNormal><font size=2 color=navy face=Arial><span style='font-size:

10.0pt;font-family:Arial;color:navy'><o:p> </o:p></span></font></p>


<p class=MsoNormal><font size=2 color=navy face=Arial><span style='font-size:

10.0pt;font-family:Arial;color:navy'>I found an online preview that included

that section.<o:p></o:p></span></font></p>


<p class=MsoNormal><font size=2 color=navy face=Arial><span style='font-size:

10.0pt;font-family:Arial;color:navy'><o:p> </o:p></span></font></p>


<p class=MsoNormal><font size=2 color=navy face=Arial><span style='font-size:

10.0pt;font-family:Arial;color:navy'>After reviewing that and my named.conf

files a few times I realized I’d set “allow-transfer { watercom;

};” in each of my zone definitions and watercom was an acl for the

primary (rather than the alias) IPs of the internal facing NICs.   I

created a new ACL For the alias IPs and removed this from each of the

zones.  I then added the original line to the external view and a new line

saying “allow-transfer { watercomaliasips; }; to the internal

zone.   This worked fine.<o:p></o:p></span></font></p>


<p class=MsoNormal><font size=2 color=navy face=Arial><span style='font-size:

10.0pt;font-family:Arial;color:navy'><o:p> </o:p></span></font></p>


<p class=MsoNormal><font size=2 color=navy face=Arial><span style='font-size:

10.0pt;font-family:Arial;color:navy'>This morning I found that I’d

accidentally disabled recursion for internal users because the link above

seemed to suggest query-source for view should be the same IP as the

transfer-source and notify-source.  It turns out that is not correct.  The

query-source is the IP in the server that queries others (e.g. queries the root

servers) so should be the external facing NIC rather than either the primary or

alias IP on the internal facing NIC.   After correcting that

recursion worked for internal users.  (External users can’t do

recursion because I’d explicitly turned that off in the global options

last year.)<o:p></o:p></span></font></p>


<p class=MsoNormal><font size=2 color=navy face=Arial><span style='font-size:

10.0pt;font-family:Arial;color:navy'><o:p> </o:p></span></font></p>


<p class=MsoNormal><font size=2 color=navy face=Arial><span style='font-size:

10.0pt;font-family:Arial;color:navy'>Thanks Robert and Justin for taking the

time to respond.<o:p></o:p></span></font></p>


<p class=MsoNormal><font size=2 color=navy face=Arial><span style='font-size:

10.0pt;font-family:Arial;color:navy'><o:p> </o:p></span></font></p>


<div>


<div class=MsoNormal align=center style='text-align:center'><font size=3

face="Times New Roman"><span style='font-size:12.0pt'>


<hr size=2 width="100%" align=center tabindex=-1>


</span></font></div>


<p class=MsoNormal><b><font size=2 face=Tahoma><span style='font-size:10.0pt;

font-family:Tahoma;font-weight:bold'>From:</span></font></b><font size=2

face=Tahoma><span style='font-size:10.0pt;font-family:Tahoma'> Jeff Lightner <br>

<b><span style='font-weight:bold'>Sent:</span></b> Friday, March 13, 2009 4:15

PM<br>

<b><span style='font-weight:bold'>To:</span></b> bind-users@lists.isc.org<br>

<b><span style='font-weight:bold'>Subject:</span></b> Internal and External

view on same slave server?</span></font><o:p></o:p></p>


</div>


<p class=MsoNormal><font size=3 face="Times New Roman"><span style='font-size:

12.0pt'><o:p> </o:p></span></font></p>


<p class=MsoNormal><font size=2 face=Arial><span style='font-size:10.0pt;

font-family:Arial'>We recently decided to create internal and external views

for some zones.   This worked fine on the master server.<o:p></o:p></span></font></p>


<p class=MsoNormal><font size=2 face=Arial><span style='font-size:10.0pt;

font-family:Arial'><o:p> </o:p></span></font></p>


<p class=MsoNormal><font size=2 face=Arial><span style='font-size:10.0pt;

font-family:Arial'>However, initiating zone transfer on slave from master it

loaded all the zone names I’d created but put exactly the same

information into both sets.   This information was for the internal

view which is the first one in both named.conf files. <o:p></o:p></span></font></p>


<p class=MsoNormal><font size=2 face=Arial><span style='font-size:10.0pt;

font-family:Arial'><o:p> </o:p></span></font></p>


<p class=MsoNormal><font size=2 face=Arial><span style='font-size:10.0pt;

font-family:Arial'>On doing some research I saw mention of needing to configure

different slaves for internal and external view.   This mentioned

need for separate IPs.<o:p></o:p></span></font></p>


<p class=MsoNormal><font size=2 face=Arial><span style='font-size:10.0pt;

font-family:Arial'><o:p> </o:p></span></font></p>


<p class=MsoNormal><font size=2 face=Arial><span style='font-size:10.0pt;

font-family:Arial'>Since I can’t just build a new slave server I instead

opted to create an alias IP using the same NIC as primary IP.  Of course

the question there is how to force the transfer request to come from the

primary IP or the alias IP dependent on which view the zone is in.  <o:p></o:p></span></font></p>


<p class=MsoNormal><font size=2 face=Arial><span style='font-size:10.0pt;

font-family:Arial'><o:p> </o:p></span></font></p>


<p class=MsoNormal><font size=2 face=Arial><span style='font-size:10.0pt;

font-family:Arial'>Further research suggested use of the transfer-source option

in the view to specify the IP to be used to request the transfer.   I

added this.   Also I already had allow-transfer for the primary

IP.  I left that in the external view zone entries in named.conf.  I

then created a separate allow-transfer in the internal view zone entries to use

the alias IP. <o:p></o:p></span></font></p>


<p class=MsoNormal><font size=2 face=Arial><span style='font-size:10.0pt;

font-family:Arial'><o:p> </o:p></span></font></p>


<p class=MsoNormal><font size=2 face=Arial><span style='font-size:10.0pt;

font-family:Arial'>On checking logs I’m seeing REFUSED from the master in

the slave’s logs but I am seeing the slave’s alias IP making the

request on the master.   I don’t see the slave’s primary

IP making requests on the master.<o:p></o:p></span></font></p>


<p class=MsoNormal><font size=2 face=Arial><span style='font-size:10.0pt;

font-family:Arial'><o:p> </o:p></span></font></p>


<p class=MsoNormal><font size=2 face=Arial><span style='font-size:10.0pt;

font-family:Arial'>Is what I’m trying to do possible?  <o:p></o:p></span></font></p>


<p class=MsoNormal><font size=2 face=Arial><span style='font-size:10.0pt;

font-family:Arial'><o:p> </o:p></span></font></p>


<p class=MsoNormal><font size=2 face=Arial><span style='font-size:10.0pt;

font-family:Arial'>If not can someone explain why?  Given that I’m

restricting the IP allowed to transfer and the IP requesting the transfer it

seems this should be working.  At worst it seems it should only have quit

working for one view but its not working for either one.<o:p></o:p></span></font></p>


<p class=MsoNormal><font size=2 face=Arial><span style='font-size:10.0pt;

font-family:Arial'><o:p> </o:p></span></font></p>


<p class=MsoNormal><font size=2 face=Arial><span style='font-size:10.0pt;

font-family:Arial'>If it is possible can someone let me know how they’ve

achieved it?<o:p></o:p></span></font></p>


<p class=MsoNormal><font size=2 face=Arial><span style='font-size:10.0pt;

font-family:Arial'><o:p> </o:p></span></font></p>


</div>


</DIV>

<DIV> </DIV>

<DIV>

<FONT FACE="Arial" COLOR="green" SIZE="1"><EM>Please consider our environment before printing this e-mail or attachments.</EM></FONT>

</DIV>

<DIV STYLE="FONT-SIZE: 9pt; FONT-FAMILY: Courier New">

<FONT FACE="Arial" SIZE="2">----------------------------------<BR>CONFIDENTIALITY NOTICE: This e-mail may contain privileged or confidential information and is for the sole use of the intended recipient(s). If you are not the intended recipient, any disclosure, copying, distribution, or use of the contents of this information is prohibited and may be unlawful. If you have received this electronic transmission in error, please reply immediately to the sender that you have received the message in error, and delete it. Thank you.<BR>----------------------------------<BR></FONT>

</DIV></BODY></HTML>