Hallöchen,
ich versuche momentan DNSSEC einzurichten, aber leider bekomme ich weder eine sichere Verbindung, noch eine konkrete Fehlermeldung.
Ich versuche bei Internet.nl (DNSSEC + Ipv6 test) die 100% zu erreichen, aber ich scheitere bei 10%, weil nur "IPv6 as connectivity of DNS resolver" als verfügbar erscheint.
Ich habe mich an der Anleitung hier orientiert https://medium.com/swlh/dnssec-dot-and-dnsbl-on-opnsense-9ee6a766af55
Die Anleitung scheint etwas älter, weil unbound mittlerweile mit unbound plus die nötigen features auch auf production site mitbringt. Jedenfalls habe ich bis auf die "Custom Options" mit der TLS Verbindung alles gleich. TLS ist aber eingerichtet (Kann gerade nicht nachsehen wie der Menüpunkt heißt, weil auf arbeit..)
Jedenfalls weiß ich nicht warum und an welcher Stelle es sich aufhängt.
Im Log finde ich nur das auffällig:
info: Could not establish a chain of trust to keys for 0300xyz...bogus.conn.test-ns-signed.internet.nl. DNSKEY IN
info: NSEC3s for the referral did not prove no DS.
debug: NSEC3 provenods: covering NSEC3 was not opt-out in an opt-out DS NOERROR/NODATA case.
Da die Info Meldungen für mich jetzt nicht den Anschein eines Fehlers machen, muss ich raten. Ich verstehe auch nicht ganz ob NSEC3 wirklich daran schuld ist, bzw. was ich ändern müsste, um den Fehler zu beheben.
Hier hat jemand erklärt was es mit NSEC3 auf sich hat https://serverfault.com/questions/388028/dnssec-nsec3-opt-out
Allerdings finde ich das schwer zu verstehen.
So wie ich das verstehe beinhaltet NSEC3 einen Ring aus signierten DNS zonen. Müsste ich opnsense irgendwie vorher signieren, oder würde das unbound für mich mittels des anchor-trusts machen? Hat meine Fritz.box als gateway auch zur chain of trust beizutragen? Also müsste ich z.B. opnsense als DNS Server auf der fritzbox hinterlegen? Oder noch dümmer, brauche ich für dnssec eine öffentlich gültige domain?
Ich versuche noch mit der ganzen DNS thematik warm zu werden...
Danke vorab für jede hilfe!