DNSSEC -> SERVFAIL

Started by michael_g, September 09, 2021, 11:00:54 AM

Previous topic - Next topic
Print
Go Down Pages1
User actions
September 09, 2021, 11:00:54 AM
Hallo,

ich benutze OPNsense OPNsense 21.7.2_1-amd64 mit aktuellen Patches.
Ich nutze Unbound als DNS-Server für meine Clients. Wenn ich in der Konfiguration DNSSEC aktiviert habe, funktioniert die Namensauflösung für netgear.com nicht.

Code Select
mic@WORKSTATION:~$ nslookup
> server 192.168.35.1
Default server: 192.168.35.1
Address: 192.168.35.1#53
> netgear.com
Server: 192.168.35.1
Address: 192.168.35.1#53

Non-authoritative answer:
Name: netgear.com
Address: 13.248.140.194
Name: netgear.com
Address: 76.223.14.31
> netgear.com
Server: 192.168.35.1
Address: 192.168.35.1#53

** server can't find netgear.com: SERVFAIL
>


Der erste Aufruf ist mit deaktiviertem DNSSEC, der zweite Aufruf mit aktiviertem DNSSEC. Andere Domains funktionieren klaglos.

Die Frage, die sich mir stellt: hat netgear.com etwas falsch gemacht, ist DNSSEC broken, hat Unbound ein Problem? Was ist der nächste Schritt in der Analyse?

Bin für jeden guten Tip dankbar!

Michael
September 09, 2021, 11:22:50 AM #1
Hallo Michael,

ich würde mal behaupten, es liegt nicht an netgear.com
Wie hast du denn den unbound eingestellt ?

Heiko
September 09, 2021, 12:09:14 PM #2
Hallo Heiko,

Quote from: hsiewert on September 09, 2021, 11:22:50 AM
Wie hast du denn den unbound eingestellt ?

Über das UI: Services/Unbound DNS/General, Checkbox "Enable DNSSEC Support".

Michael
October 14, 2021, 11:35:29 PM #3
Hallo michael_g,

Du musst auch noch "DNS over TLS" konfigurieren.
z.B.
   
5.9.164.112   853   dns3.digitalcourage.de   
185.95.218.42   853   dns.digitale-gesellschaft.ch   
185.150.99.255   853   dot.ffmuc.net   
89.233.43.71   853   unicast.uncensoreddns.org   
1.1.1.1   853   cloudflare-dns.com   
1.0.0.1   853   cloudflare-dns.com   
9.9.9.10   853   dns-nosec.quad9.net   

LG
October 17, 2021, 07:49:22 PM #4 Last Edit: October 17, 2021, 07:54:20 PM by abulafia
Quote from: hsiewert on October 14, 2021, 11:35:29 PM
Du musst auch noch "DNS over TLS" konfigurieren.
Das stimmt nicht. DNSSEC muss auch ohne DNS-over-TLS funktionieren. Die Funktionen haben nichts miteinander zu tun.

@michael_g: Hast Du evtl. "Strict QNAME minimisation" eingeschaltet? Das kann bekanntlich für Fehler bei der DNS-Auflösung sorgen.

Oder evtl. ein Problem mit Deinem DNS-upstream? siehe zB https://github.com/nextdns/nextdns/issues/279 oder https://arstechnica.com/civis/viewtopic.php?t=1138284? Sind IP Fragments erlaubt?
October 22, 2021, 02:12:24 PM #5
man(n) lernt doch nie aus ...
Danke abulafia ;-)
Print
Go Up Pages1
User actions