<div dir="ltr"><span style="font-size:12.8px">I have successfully setup TSIG keys for "views" using a DNS master/server pair. Zone transfers are working as expected between the 2 servers for each view. Before we go live into production with this I need some clarification on a couple things. Our prod servers are also allowing zone transfers to a few other servers besides the slave server. We have an acl setup that looks similar to this:</span><div style="font-size:12.8px"><br></div><div style="font-size:12.8px"><div>other_xfer_allowed_ns {</div><div>x.x.x.x; // This is our Secondary DNS server</div><div>127.0.0.1; // localhost can make zone transfers<br></div><div>x.x.x.x/24; // Server Farm Range is allowed to make zone-transfers</div><div>x.x.x.x/24; // NAT pool for internal DNS server Zone Transfers</div><div>x.x.x.x/24; // NAT pool for internal DNS server Zone Transfers</div><div>x.x.x.x/24; // NAT pool for internal DNS server Zone Transfers</div><div>}; // end of "other_xfer_allowed" ACL<br></div></div><div style="font-size:12.8px"><br></div><div style="font-size:12.8px">And in the "allow transfer" statement we have included that ACL. My question is:</div><div style="font-size:12.8px"><br></div><div style="font-size:12.8px">Now that we are using TSIG, will I need to get with the admins of all these other servers and provide them my TSIG key so they can request zone transfers? I would think somehting like that needs to be done since it was required to be configured on slave server, but I am not sure. I'd rather do an IP based control just for these other servers instead of TSIG but I am not sure how that would look or how to set that up in the context of my config. How can I tell my conf to NOT force these other xfer allowed servers to use TSIG and use IP only? This gets complicated when you start throwing views into the mix. </div><div style="font-size:12.8px"><br></div><div style=""><div style=""><span style="font-size:12.8px">acl internal {</span></div><div style=""><span style="font-size:12.8px">    <a href="http://192.168.200.0/24">192.168.200.0/24</a>; // corpnet</span></div><div style=""><span style="font-size:12.8px">    };</span></div><div style=""><span style="font-size:12.8px"><br></span></div><div style=""><span style="font-size:12.8px">    acl external {</span></div><div style=""><span style="font-size:12.8px">    <a href="http://192.168.201.0/24">192.168.201.0/24</a>;</span></div><div style=""><span style="font-size:12.8px">    <a href="http://192.168.202.0/24">192.168.202.0/24</a>;</span></div><div style=""><span style="font-size:12.8px">    };</span></div><div style=""><span style="font-size:12.8px"><br></span></div><div style=""><span style="font-size:12.8px">    </span></div><div style=""><span style="font-size:12.8px"> </span><span style="font-size:12.8px">other_xfer_allowed_ns {</span></div><div style="font-size:12.8px"><div>x.x.x.x; // This is our Secondary DNS server</div><div>127.0.0.1; // localhost can make zone transfers<br></div><div>x.x.x.x/24; // Server Farm Range is allowed to make zone-transfers</div><div>x.x.x.x/24; // NAT pool for internal DNS server Zone Transfers</div><div>x.x.x.x/24; // NAT pool for internal DNS server Zone Transfers</div><div>x.x.x.x/24; // NAT pool for internal DNS server Zone Transfers</div><div>}; // end of "other_xfer_allowed" ACL<br></div><div><br></div></div><div style=""><span style="font-size:12.8px"><br></span></div><div style=""><span style="font-size:12.8px">    key "tsigkey" {</span></div><div style=""><span style="font-size:12.8px">    algorithm HMAC-SHA512;</span></div><div style=""><span style="font-size:12.8px">    secret   "xxxxxxxxx";</span></div><div style=""><span style="font-size:12.8px">    };</span></div><div style=""><span style="font-size:12.8px">  </span></div><div style=""><span style="font-size:12.8px">    key "tsigkeyext" {</span></div><div style=""><span style="font-size:12.8px">    algorithm HMAC-SHA512;</span></div><div style=""><span style="font-size:12.8px">    secret  "xxxxxxxxxx";</span></div><div style=""><span style="font-size:12.8px">    };</span></div><div style=""><span style="font-size:12.8px"><br></span></div><div style=""><span style="font-size:12.8px"><br></span></div><div style=""><span style="font-size:12.8px">    view "corpnet" {</span></div><div style=""><span style="font-size:12.8px">      match-clients { internal; key tsigkey; </span></div><div style=""><span style="font-size:12.8px">    };</span></div><div style=""><span style="font-size:12.8px"> </span></div><div style=""><span style="font-size:12.8px">      //IP of slave server</span></div><div style=""><span style="font-size:12.8px">      server 192.168.173.78 {</span></div><div style=""><span style="font-size:12.8px">      keys { tsigkey; };</span></div><div style=""><span style="font-size:12.8px">    };</span></div><div style=""><span style="font-size:12.8px"><br></span></div><div style=""><span style="font-size:12.8px">      also-notify {</span></div><div style=""><span style="font-size:12.8px">          192.168.173.78; </span></div><div style=""><span style="font-size:12.8px">    };</span></div><div style=""><span style="font-size:12.8px"><br></span></div><div style=""><span style="font-size:12.8px">      zone "." IN {</span></div><div style=""><span style="font-size:12.8px">      type hint;</span></div><div style=""><span style="font-size:12.8px">      file "<a href="http://named.ca">named.ca</a>";</span></div><div style=""><span style="font-size:12.8px">    };</span></div><div style=""><span style="font-size:12.8px"><br></span></div><div style=""><span style="font-size:12.8px">      zone"<a href="http://internalzone1.com">internalzone1.com</a>" IN {</span></div><div style=""><span style="font-size:12.8px">      type master;</span></div><div style=""><span style="font-size:12.8px">      file "<a href="http://internalzone1.com">internalzone1.com</a>";</span></div><div style=""><span style="font-size:12.8px">      allow-transfer { key tsigkey; };</span></div><div style=""><span style="font-size:12.8px">    };</span></div><div style=""><span style="font-size:12.8px"><br></span></div><div style=""><span style="font-size:12.8px">      zone"<a href="http://sharedzone.com">sharedzone.com</a>" IN {</span></div><div style=""><span style="font-size:12.8px">      type master;</span></div><div style=""><span style="font-size:12.8px">      file "<a href="http://sharedzone1.com">sharedzone1.com</a>";</span></div><div style=""><span style="font-size:12.8px">      allow-transfer { key tsigkey; };</span></div><div style=""><span style="font-size:12.8px">    };</span></div><div style=""><span style="font-size:12.8px"><br></span></div><div style=""><span style="font-size:12.8px">     include "/etc/named.rfc1912.zones";</span></div><div style=""><span style="font-size:12.8px">      include "/etc/named.root.key";</span></div><div style=""><span style="font-size:12.8px">    };</span></div><div style=""><span style="font-size:12.8px"><br></span></div><div style=""><span style="font-size:12.8px"><br></span></div><div style=""><span style="font-size:12.8px">    view "external" {</span></div><div style=""><span style="font-size:12.8px">      match-clients { external; key tsigkeyext; };</span></div><div style=""><span style="font-size:12.8px"><br></span></div><div style=""><span style="font-size:12.8px">      //IP of slave server</span></div><div style=""><span style="font-size:12.8px">      server 192.168.173.78 {</span></div><div style=""><span style="font-size:12.8px">      keys { tsigkeyext; };</span></div><div style=""><span style="font-size:12.8px">    };</span></div><div style=""><span style="font-size:12.8px"> </span></div><div style=""><span style="font-size:12.8px">       also-notify {</span></div><div style=""><span style="font-size:12.8px">          192.168.173.78; </span></div><div style=""><span style="font-size:12.8px">    };</span></div><div style=""><span style="font-size:12.8px"><br></span></div><div style=""><span style="font-size:12.8px">        zone "." IN {</span></div><div style=""><span style="font-size:12.8px">        type hint;</span></div><div style=""><span style="font-size:12.8px">        file "<a href="http://named.ca">named.ca</a>";</span></div><div style=""><span style="font-size:12.8px">    };</span></div><div style=""><span style="font-size:12.8px"><br></span></div><div style=""><span style="font-size:12.8px">        zone"<a href="http://externalzone1.com">externalzone1.com</a>" IN {</span></div><div style=""><span style="font-size:12.8px">        type master;</span></div><div style=""><span style="font-size:12.8px">        file "externalzone1";</span></div><div style=""><span style="font-size:12.8px">        allow-transfer { key tsigkeyext; };</span></div><div style=""><span style="font-size:12.8px"><br></span></div><div style=""><span style="font-size:12.8px">        zone"<a href="http://sharedzone.com">sharedzone.com</a>" IN {</span></div><div style=""><span style="font-size:12.8px">        type master;</span></div><div style=""><span style="font-size:12.8px">        file "<a href="http://sharedzone2.com">sharedzone2.com</a>";</span></div><div style=""><span style="font-size:12.8px">        allow-transfer { key tsigkeyext; };</span></div><div style=""><span style="font-size:12.8px">     };</span></div><div style=""><span style="font-size:12.8px">        include "/etc/named.rfc1912.zones";</span></div><div style=""><span style="font-size:12.8px">        include "/etc/named.root.key";</span></div><div style=""><span style="font-size:12.8px">     };</span></div><div style="font-size:12.8px"><br></div></div></div>