<div dir="ltr">Thanks Anand.<div>When using this TSIG solution is the key visible (clear) within the DNS packet being sent to the remote server or is it encrypted?</div><div>Is this communication secure? eg if someone is sitting on the wire sniffing the packets, would they be able to extract the key ?</div><div>Or is the security of the communication done through the ACL and the key is TSIG only used to allow me to make changes to the zone file?</div><div>The main reason why I was leaning towards SSH was to try to ensure that all communication between local & remote was encrypted.</div><div><br></div><div>Rgds,</div><div>Greg.</div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Fri, Apr 23, 2021 at 2:21 PM Anand Buddhdev <<a href="mailto:anandb@ripe.net">anandb@ripe.net</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">On 23/04/2021 14:24, Greg Donohoe wrote:<br>
<br>
Hi Greg,<br>
<br>
> In regards to the nsupdate, what is the best way to secure the connection,<br>
> so to ensure that only my local server can make the amendments to the<br>
> remote server named & zone files?<br>
> I dont want anyone/anything else other than my local machine to make any<br>
> changes on my remote BIND server.<br>
<br>
You should create a TSIG key, and configure the zones on the remote<br>
server to only accept dynamic DNS updates signed by this key. And then<br>
use this key with nsupdate when sending your updates. Check the man page<br>
of nsupdate and look at the '-k' and '-y' options for using tsig keys.<br>
<br>
You can additionally also configure your remote BIND to accept updates<br>
only from certain IP addresses. For details on how to configure this,<br>
please read the excellent documentation (especially section 4.2.29 and<br>
the "allow-update" option):<br>
<br>
<a href="https://bind9.readthedocs.io/en/v9_16/" rel="noreferrer" target="_blank">https://bind9.readthedocs.io/en/v9_16/</a><br>
<br>
Regards,<br>
Anand Buddhdev<br>
</blockquote></div>