Как настроить домен для работы в локальной сети?

Question

[Дмитрий Лебедев]

Здравствуйте.

Приобрел домен в *.ru планирую его использовать ТОЛЬКО в локальной сети для свои внутренних нужд (ну возможно сделаю VPN до локальной сети).
Что имеется: Mikrotik hex, сервер с Proxmox, куча VM на Linux
Что хочется: поднимать локальные проекты с доменом 3 уровня и SSL/HTTPS (привет Let's Encrypt), gitlab ci/cd и т.д.

Как я понял нужно следующее:
1) У регистратора убираю все NS записи и делаю одну А запись на свой внешний IP адрес.
2) Поднимаю локально DNS сервер (bind9, PowerDNS, Unbound, djbdns, Dnsmasq) и там настраиваю зоны.
3) На Микроте прописываю DNS сервер из шага выше.

Ничего не упустил?

Comments

[Евгений]

Возможно (не совет, а просто возможность) - вам стоит для проектов которые требуют сертфикатов LE завести прокси (nginx, haproxy, etc..) и заводить все что требует зоны на этот сервер (ну и внутренний балансировщик не помешает).
Тогда вам пункт 2 и 3 может и не понадобиться - можно обойтись исключительно static записями в самом mikrotik

[AUser0]

Для использования ТОЛЬКО внутри локальной сети вообще не нужно было регистрировать в .ru.
Можно спокойно написать зону с любым доменным именем (допустим net.ru) - и локальная сеть будет верить этой зоне, куда она денется.
Конечно при условии, что ваш DNS будет единственным используемым внутри локалки...

[Дмитрий Лебедев]

AUser0, А как же быть с сертификатами?

[Alexey Dmitriev]

Дмитрий Лебедев, развернуть внутренний CA

[Alexey Dmitriev]

Дмитрий Лебедев
уже знаете, как сможете получать сертификаты Lets Encrypt в вашей конфигурации? Какой вариант их подтверждения будет у вас работать?

[Дмитрий Лебедев]

Alexey Dmitriev, нет. Пока не вникал в такие подробности.
Планировал выпустить просто WildCard и уже с ним работать.

[wisgest]

А как же быть с сертификатами?

Дмитрий Лебедев, извините, нафига?

[Дмитрий Лебедев]

wisgest, потому что хочу получить опыт работы с SSL/HTTPS в инфраструктуре, а не жать "Доверить сертификату" (не добавляя его в исключения).

Answer 1

[hint000]

1) У регистратора убираю все NS записи и делаю одну А запись на свой внешний IP адрес.

Вы не сможете убрать все NS.
Без NS регистрация домена не имеет смысла, так что по-хорошему web-интерфейс регистратора не позволит это сделать.

Comments

[Дмитрий Лебедев]

Значит добавить А запись с моим внешним IP

[Diman89]

hint000 а не могли бы в общих чертах пояснить как настраивается управление записями на домене из панели управления, которая установлена на сторонней впс? Как панель будет изменять записи у регистратора? Где про это почитать/что погуглить? Надеюсь, выразился понятно

[hint000]

Diman89,

Как панель будет изменять записи у регистратора?

Думаю, что никак. Панели разные. Регистраторы разные.
В панели хостера может быть управление зоной на своём сервере, но не у регистратора.

Это делается по-другому.
1. Выясняете в панели хостера (или у техподдержки) имя или адрес DNS-сервера, который будет обслуживать ваш домен.
2. Заходите в панель регистратора и настраиваете делегирование домена, указываете там имя или адрес сервера из предыдущего пункта. После этого можно забыть про регистратора, пока не потребуется продление домена (или пока не уйдёте к другому хостеру).
3. Регистратор передал (делегировал) управление на указанный сервер хостера, так что теперь панель хостера может управлять DNS-сервером хостера, а про регистратора панель ничего не знает.

[Diman89]

hint000, п.1,2: если это мой сервер, я просто в ns записи регистратора меняю текущую на ip своего сервера?
upd. хостинг локальный, для личных нужд на домашних виртуалках, часть поддоменов на внешних хостингах

[hint000]

Diman89, там это может не называться NS-записями, но по сути да. И вам нужно два сервера, такие правила игры. Вот пример, что пишет про это один из регистраторов: https://help.r01.ru/domain/ru/deleg/index.html