作者为了在家中建立一个“数字主权”的网络环境，决定搭建自己的DNS服务器，确保即使在没有互联网连接的情况下，家庭网络也能正常运行。他使用Raspberry Pi 4运行基础设施服务，包括基于BIND的DNS服务器和私有CA（证书颁发机构）。DNS服务器需要为三个网络提供服务，包括家庭IPv4网络。作者希望通过分享经验，帮助读者在家中进行DNS配置时减少恐惧感。

标题：在家搭建自己的DNS服务器 - 第一部分：IPv4

主要内容：

本文详细介绍了如何在家中的网络环境中搭建一个DNS服务器，重点讲解了IPv4的配置过程。作者Jan Wildeboer是一位网络技术爱好者，他希望通过搭建DNS服务器来实现家庭网络的“数字主权”，即即使在没有互联网连接的情况下，家庭网络中的一切也能正常运行。

1. 背景与动机

DNS（域名系统）是将主机名（如jan.wildeboer.net）转换为IP地址的技术。虽然看似简单，但DNS配置中可能会出现各种问题。作者决定通过搭建自己的DNS服务器来深入了解这一技术，并将其作为家庭网络基础设施的一部分。

2. 硬件与网络环境

作者的家庭实验室中有一台Raspberry Pi 4，用于运行基础设施服务，包括DNS和私有证书颁发机构（CA）。DNS服务使用BIND软件，需要为三个网络提供服务： - 192.168.1.0/24：家庭IPv4网络 - 172.16.0.0/16：实验室服务器的第二个以太网端口 - 10.88.0.0/16：Podman虚拟网络

3. BIND的安装与配置

首先，在Raspberry Pi上安装BIND和相关工具，并配置防火墙以允许DNS流量。接着，作者详细讲解了BIND的配置文件，包括： - /etc/named.conf：主配置文件，定义BIND监听的网络和服务的区域。 - /var/named/forward.homelab.jhw：正向区域文件，将homelab.jhw域名映射到家庭网络中的IP地址。 - /var/named/reverse.homelab.jhw和/var/named/reverse2.homelab.jhw：反向区域文件，分别用于192.168.1.0/24和172.16.0.0/16网络的IP地址到主机名的映射。

4. 区域文件的配置

作者详细解释了正向和反向区域文件的配置，强调了每次修改后必须增加序列号的重要性。正向区域文件包含A记录和CNAME记录，用于将主机名映射到IP地址；反向区域文件则包含PTR记录，用于将IP地址映射回主机名。

5. 启动与测试

配置完成后，作者启动BIND服务，并确保其在系统启动时自动运行。通过nslookup命令测试DNS解析功能，确保家庭网络中的主机名和IP地址能够正确解析。

6. 总结

通过本文的步骤，作者成功在家中的网络环境中搭建了一个DNS服务器，实现了主机名的解析。这不仅提升了家庭网络的自主性，也为进一步探索DNS技术打下了基础。

关键点： - DNS服务器的搭建有助于实现家庭网络的“数字主权”。 - BIND是常用的DNS服务器软件，配置复杂但功能强大。 - 正向和反向区域文件的配置是DNS服务器的核心，每次修改后必须增加序列号。 - 通过nslookup命令可以测试DNS解析功能，确保配置正确。

本文适合对网络技术感兴趣的读者，既可以作为技术报告，也可以作为搭建家庭DNS服务器的详细指南。

评论内容主要围绕DNS服务器的配置、选择及其相关问题展开，观点多样且涉及技术细节。以下是总结：

1. DNS服务器的选择与配置：

   • Unbound：被认为比BIND更容易配置，但DNS和网络仍然复杂。
     引用：
     "I set up authoritative nameservers at home using unbound, which appears to be considerably easier than configuring BIND."
     "Unbound handles the caching and recursion, nsd handles the local name resolution."
   • BIND：配置复杂，尤其是序列号的管理，被认为是一个历史遗留问题。
     引用：
     "This article warns the reader thrice, in all-capitals, about remembering to manually increment serial numbers."
     "I personally find Bind to be such an awful DNS server to configure."
   • PowerDNS：API友好，适合与certbot和Web UI集成。
     引用：
     "My DNS server of choice remains PowerDNS. I also find the API easier to use with certbot and the available web UIs."
   • Technitium DNS：支持多种功能，如DoH、DoT、广告拦截等，推荐用于自托管。
     引用：
     "I run Technitium DNS server at home in a container. It supports DoH, DoT, multiple upstream resolvers."
   • dnsmasq：简单易用，支持动态配置，但IPv6管理存在问题。
     引用：
     "I switched to dnsmasq, which also caused me to switch my home DNS server from unbound to dnsmasq."
     "Devices assign themselves essentially random addresses, so it's impossible to correlate DNS lookups."

2. DNS独立性与转发器：

   • 不使用转发器可以使DNS服务器完全独立，绕过DNS过滤。
     引用：
     "If you decide not to use a forwarder, the DNS server will be truly independent."
     "This means you bypass any DNS based filtering any DNS ‘forwarder’ may have in place."

3. TLD选择与风险：

   • 使用非官方TLD（如.jhw）可能带来解析问题，建议使用官方TLD（如.internal或.lan）。
     引用：
     "Why not .lan? The key word is official?"
     "I really should use the official .internal TLD for my homelab network, but I decided against it."

4. ACME与内部CA：

   • 使用.internal等TLD可能影响ACME/certbot的使用，内部CA可能引发操作系统警告。
     引用：
     "Doesn't the use of .internal and the likes preclude the use of ACME/certbot for your internal https services?"
     "Unless you want the pain of running your own internal CA but then some OSes complain about internal CAs these days."

5. IPv6管理问题：

   • IPv6地址随机分配导致设备识别困难，DHCP6支持不足。
     引用：
     "Devices assign themselves essentially random addresses, so it's impossible to correlate DNS lookups."
     "The obvious solution to this, a fully managed DHCP6 setup, does not seem to be well supported by dnsmasq."

总结：评论中讨论了多种DNS服务器的优缺点，强调了配置复杂性和功能需求，同时指出了TLD选择、ACME使用和IPv6管理中的技术挑战。