Hallo,
reicht es eigentlich bei den Resolvern DNSSEC zu aktivieren oder muss es dies ebenfalls beim Forwarder aktiviert sein, damit der DNS Request nach draußen sicher ist?
Meine Senese ist quasi der Forwarder und alle DNS Anfragen vom Port 53 und TLS 853? werden an die Sense Redirected. Es ist soweit ich weiß, aktuell noch nicht möglich via DoH oder TLS DNS Anfragen an die ROOT DNS-Server zu stellen. DNSSEC ist zwar auch keine Verschlüsselung, aber so wie ich es verstanden habe, ein Sicherheitsfeature, was dafür sorgt, dass keine falschen Informationen in die DNS Anfrage bzw. Datenpakete durch MITM injektet werden können? Insofern ich das richtig verstanden habe...
Wie kann ich es testen, normalerweise erhalte ich vom Win10 Client, nicht autorisierte Antwort, mittels nslookup. Am Forwarder also der Sense ist DNSSEC aktiviert und einmal PiHole und Adguard welche als recursive DNS Server arbeiten als Standart DNS Server konfiguriert.
Sowohl am Pihole als auch Adguard ist DNSSEC aktiviert. Würde mich freuen wenn mir das jemand kurz erklären könnte wo mein Fehler liegt, Danke!
Edit:
Ok, DNSSEC scheint zu funktionieren, das hat nichts mit "Nicht autorisierende Antwort:" zu tun. Laut dieser Seite https://dnssec.vs.uni-due.de/ scheint DNSSEC zu funtkionieren. Aber eine Sache die ich nicht verstehe ist, warum erhalte ich dann am Pihole direkt "Nicht autorisierende Antwort:", dort sollte doch unboun direkt als resolver bei den ROOT Servern abfragen?
/etc/unbound/unbound.conf.d/server.conf
auth-zone:
name: "."
primary: 199.9.14.201 # b.root-servers.net
primary: 192.33.4.12 # c.root-servers.net
primary: 192.112.36.4 # g.root-servers.net
primary: 2001:500:200::b # b.root-servers.net
primary: 2001:500:2::c # c.root-servers.net
primary: 2001:500:12::d0d # g.root-servers.net
fallback-enabled: yes
for-downstream: no
for-upstream: yes
zonefile: /var/lib/unbound/root.zone
Edit2:
Ok, jetzt kapiere ich das, wenn der DNS Eintrag nicht direkt im übergeordneten Zonen Domain Server liegt, wäre das eine "Nicht autorisierende Antwort". zum Beispiel ist google.de im domain Server ns1.google.com registriert, wenn dort direkt angefragt wird, wird nur die IP zurückgegeben ohne "Nicht autorisierende Antwort".
Hat sich dann erledigt, sorry für die dumme Frage ;-)