Print Page - DNSSEC -> SERVFAIL

Title: DNSSEC -> SERVFAIL
Post by: michael_g on September 09, 2021, 11:00:54 AM

Hallo,

ich benutze OPNsense OPNsense 21.7.2_1-amd64 mit aktuellen Patches.
Ich nutze Unbound als DNS-Server für meine Clients. Wenn ich in der Konfiguration DNSSEC aktiviert habe, funktioniert die Namensauflösung für netgear.com nicht.

Code Select

mic@WORKSTATION:~$ nslookup
> server 192.168.35.1
Default server: 192.168.35.1
Address: 192.168.35.1#53
> netgear.com
Server:		192.168.35.1
Address:	192.168.35.1#53

Non-authoritative answer:
Name:	netgear.com
Address: 13.248.140.194
Name:	netgear.com
Address: 76.223.14.31
> netgear.com
Server:		192.168.35.1
Address:	192.168.35.1#53

** server can't find netgear.com: SERVFAIL
>

Der erste Aufruf ist mit deaktiviertem DNSSEC, der zweite Aufruf mit aktiviertem DNSSEC. Andere Domains funktionieren klaglos.

Die Frage, die sich mir stellt: hat netgear.com etwas falsch gemacht, ist DNSSEC broken, hat Unbound ein Problem? Was ist der nächste Schritt in der Analyse?

Bin für jeden guten Tip dankbar!

Michael

Title: Re: DNSSEC -> SERVFAIL
Post by: hsiewert on September 09, 2021, 11:22:50 AM

Hallo Michael,

ich würde mal behaupten, es liegt nicht an netgear.com
Wie hast du denn den unbound eingestellt ?

Heiko

Title: Re: DNSSEC -> SERVFAIL
Post by: michael_g on September 09, 2021, 12:09:14 PM

Hallo Heiko,

Quote from: hsiewert on September 09, 2021, 11:22:50 AM
Wie hast du denn den unbound eingestellt ?

Über das UI: Services/Unbound DNS/General, Checkbox "Enable DNSSEC Support".

Michael

Title: Re: DNSSEC -> SERVFAIL
Post by: hsiewert on October 14, 2021, 11:35:29 PM

Hallo michael_g,

Du musst auch noch "DNS over TLS" konfigurieren.
z.B.

5.9.164.112   853   dns3.digitalcourage.de
185.95.218.42   853   dns.digitale-gesellschaft.ch
185.150.99.255   853   dot.ffmuc.net
89.233.43.71   853   unicast.uncensoreddns.org
1.1.1.1   853   cloudflare-dns.com
1.0.0.1   853   cloudflare-dns.com
9.9.9.10   853   dns-nosec.quad9.net

LG

Title: Re: DNSSEC -> SERVFAIL
Post by: abulafia on October 17, 2021, 07:49:22 PM

Quote from: hsiewert on October 14, 2021, 11:35:29 PM
Du musst auch noch "DNS over TLS" konfigurieren.

Das stimmt nicht. DNSSEC muss auch ohne DNS-over-TLS funktionieren. Die Funktionen haben nichts miteinander zu tun.

@michael_g: Hast Du evtl. "Strict QNAME minimisation" eingeschaltet? Das kann bekanntlich für Fehler bei der DNS-Auflösung sorgen.

Oder evtl. ein Problem mit Deinem DNS-upstream? siehe zB https://github.com/nextdns/nextdns/issues/279 oder https://arstechnica.com/civis/viewtopic.php?t=1138284? Sind IP Fragments erlaubt?

Title: Re: DNSSEC -> SERVFAIL
Post by: hsiewert on October 22, 2021, 02:12:24 PM

man(n) lernt doch nie aus ...
Danke abulafia ;-)

OPNsense Forum

International Forums => German - Deutsch => Topic started by: michael_g on September 09, 2021, 11:00:54 AM