linux-suse-opensuse networking dns dhcp vpn yast sles

Network Services on SUSE: DNS, DHCP & VPN (Artikel 144)

Konfiguration von kritischen Netzwerkdiensten unter SUSE. Erfahren Sie, wie Sie DNS-Server (Bind), DHCP und VPN-Tunnel professionell mittels YaST und CLI verwalten.

# Network Services on SUSE: DNS, DHCP und VPN

TL;DR / Management Summary Ein SUSE-Server wird oft als Infrastruktur-Knoten eingesetzt. Dank YaST ist die Einrichtung von Bind (DNS), DHCP und VPN (IPsec/OpenVPN) deutlich sicherer als die manuelle Konfiguration von Textdateien. YaST validiert die Syntax und integriert die Dienste automatisch in das System-Monitoring und die Firewall. In diesem Modul lernen wir, wie man eine SLES-Maschine zum zuverlässigen Core-Network-Provider macht.

# 1. Einführung & Architektur

Die Service-Ebene.

SUSE nutzt standardmäßig Bind9 für DNS, den ISC DHCP Server und Libreswan für IPsec. Alle diese Dienste sind als separate YaST-Module verfügbar.

# Architektur-Übersicht (Mermaid)

graph TD
    A[Clients] -->|Query Port 53| B[SUSE: Bind DNS]
    A -->|Request Port 67| C[SUSE: DHCP Server]
    D[Remote Site] -->|Tunnel| E[SUSE: VPN Gateway]
    subgraph "SUSE Admin Layer"
        F[YaST DNS Module] --> B
        G[YaST DHCP Module] --> C
        H[YaST VPN Module] --> E
    end

# 2. DNS-Server (Bind) mit YaST

Namen sicher auflösen.

# Einrichtung

  1. sudo zypper install yast2-dns-server bind.
  2. sudo yast2 dns-server.
  3. Forwarders: Tragen Sie die Upstream-DNS-Server ein (z.B. 1.1.1.1).
  4. Zones: Erstellen Sie eine “Master Zone” (z.B. intern.local) und fügen Sie Records (A, CNAME, MX) hinzu.

# 3. DHCP-Server für das lokale Netz

IPs dynamisch verteilen.

# Einrichtung

  1. sudo zypper install yast2-dhcp-server dhcp-server.
  2. sudo yast2 dhcp-server.
  3. Card Selection: Wählen Sie das Interface, auf dem der DHCP-Dienst lauschen soll.
  4. Global Settings: Definieren Sie DNS-Server und Gateway, die die Clients erhalten sollen.
  5. Dynamic DHCP: Setzen Sie den IP-Bereich (Scope).

# 4. Day-2 Operations: VPN (IPsec)

Sichere Standortvernetzung.

SUSE nutzt Libreswan. Für ein einfaches Site-to-Site VPN:

  1. sudo yast2 vpn.
  2. Wählen Sie “Add” -> “IPsec”.
  3. Geben Sie den Pre-Shared Key (PSK) und die Remote-IP des Partners ein.
  4. YaST generiert automatisch die /etc/ipsec.d/ Konfigurationen.

# 5. Troubleshooting & “War Stories”

Wenn die Pakete im Nirgendwo landen.

# Story 1: “Der DHCP-Konflikt”

Symptom: Clients bekommen falsche IPs oder melden “IP address conflict”. Ursache: Ein zweiter, unautorisierter DHCP-Server (z.B. ein Home-Router oder eine Proxmox-Fehlkonfiguration) ist im Netz aktiv. Lösung: Nutzen Sie tcpdump -i eth0 port 67 or port 68 -e -n, um zu sehen, von welcher MAC-Adresse die DHCP-Offers kommen.

# Story 2: “Bind startet nicht (Serial Number)”

Symptom: Nach manuellen Änderungen an der Zonendatei startet Bind nicht mehr. Ursache: Die Seriennummer in der Zonendatei wurde nicht erhöht oder das Format ist ungültig. Lösung: Nutzen Sie immer named-checkconf und named-checkzone, bevor Sie neustarten. YaST macht dies beim Speichern automatisch.

# 6. Fazit & Empfehlung

  • YaST: Nutzen Sie YaST für die initiale Einrichtung. Es konfiguriert auch die AppArmor-Profile für Bind und DHCP korrekt mit.
  • Monitoring: Überwachen Sie die Logs in /var/log/messages. Bind und DHCP sind dort sehr gesprächig.
  • Security: Betreiben Sie DNS und DHCP nach Möglichkeit in einem dedizierten Management-VLAN.

# Anhang: Cheatsheet

Aufgabe SUSE Befehl
DNS Status systemctl status named
DHCP Status systemctl status dhcpd
VPN Status ipsec status
DNS Test dig @localhost my-host.intern.local
DHCP Log journalctl -u dhcpd -f
Config Validierung named-checkconf /etc/named.conf
IPsec Logs journalctl -u ipsec -f

Last updated: 2025-12-22 • 144

Edit on GitHub