Forum Turris
Fórum Turris Nápověda

Milí majitelé routerů Turris,

toto fórum bylo 9. 12. 2016 zmrazeno a nahrazeno naším novým Turris fórem. Ještě chvíli bude dostupné k prohlížení, ale již zde není možné přispívat. Více informací naleznete v oznámení o uzavření fóra.

Dear Turris routers users,

this forum has been frozen on Dec 9th, 2016 and replaced by our new Turris forum. It will be read-only accessible for some time after. For more information, read the announcement about closing the forum.

Nahoru Téma Majitelé routerů / Technická podpora / Problém s DNSSEC při použití Turrisu jako DNS serveru (uzamčeno)
- - Od TomasA Dne 2016-12-02 18:00
Zdravím všechny,
prosím o nakopnutí správným směrem, kde by mohl být problém.
Standardní nastavení Turrisu  jako DNS serveru, nastaveno forwardování. Některé stránky, např. http://domaci.ihned.cz nejsou dostupné. Zkusil jsem tedy test pomocí programu dig. Pokud se dotazuji přímo na mém routeru, dostanu chybové hlášení:
root@TomasArouter:~# dig domaci.ihned.cz @192.168.200.1
; <<>> DiG 9.9.8-P3 <<>> domaci.ihned.cz @192.168.200.1
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: SERVFAIL, id: 28952
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 1
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;domaci.ihned.cz.    IN  A
;; Query time: 55 msec
;; SERVER: 192.168.200.1#53(192.168.200.1)
;; WHEN: Fri Dec 02 17:44:05 CET 2016
;; MSG SIZE  rcvd: 44

Pokud se zeptám nadřazeného DNS serveru poskytovatele, je odpověď v pořádku(? - chybí AUTHORITY SECTION):
root@TomasArouter:~# dig domaci.ihned.cz @10.153.24.1
; <<>> DiG 9.9.8-P3 <<>> domaci.ihned.cz @10.153.24.1
;; global options:
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 46367
;; flags: qr rd ra; QUERY: 1, ANSWER: 3, AUTHORITY: 0, ADDITIONAL: 1
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 512
;; QUESTION SECTION:
;domaci.ihned.cz.    IN  A
;; ANSWER SECTION:
domaci.ihned.cz.  117  IN  CNAME  lb.ihned.cz.
lb.ihned.cz.    95  IN  CNAME  ihned.cz.
ihned.cz.    95  IN  A  46.255.231.42
;; Query time: 301 msec
;; SERVER: 10.153.24.1#53(10.153.24.1)
;; WHEN: Fri Dec 02 17:43:50 CET 2016
;; MSG SIZE  rcvd: 91

Pokud vypnu forwardování, dostanu korektní odpověď i od Turrise (+ navíc obsahuje odpověď AUTHORITY SECTION):
root@TomasArouter:~# dig domaci.ihned.cz @192.168.200.1
; <<>> DiG 9.9.8-P3 <<>> domaci.ihned.cz @192.168.200.1
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 41831
;; flags: qr rd ra; QUERY: 1, ANSWER: 3, AUTHORITY: 2, ADDITIONAL: 1
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;domaci.ihned.cz.    IN  A
;; ANSWER SECTION:
domaci.ihned.cz.  300  IN  CNAME  lb.ihned.cz.
lb.ihned.cz.    300  IN  CNAME  ihned.cz.
ihned.cz.    300  IN  A  46.255.231.42
;; AUTHORITY SECTION:
ihned.cz.    300  IN  NS  ns1.centrum.cz.
ihned.cz.    300  IN  NS  ns2.centrum.cz.
;; Query time: 110 msec
;; SERVER: 192.168.200.1#53(192.168.200.1)
;; WHEN: Fri Dec 02 17:47:51 CET 2016
;; MSG SIZE  rcvd: 135

Tuší někdo, v čem by mohl býti problém, co je (pravděpodobně u poskytovatele) nesprávně/neúplně nastaveno.
Díky za radu

TomasA
Nadřazený - Od Ondřej Caletka (>>>) Dne 2016-12-04 21:57
DNS servery poskytovatele jsou nejspíš zastaralé, takže nepřeposílají všechny záznamy nutné pro ověření DNSSEC podpisů. Opraví se to, až je ISP aktualizuje. V případě BIND je třeba verze minimálně 9.9.

Webový test je tady: http://0skar.cz/dns/
Nahoru Téma Majitelé routerů / Technická podpora / Problém s DNSSEC při použití Turrisu jako DNS serveru (uzamčeno)

Powered by mwForum 2.29.3 © 1999-2013 Markus Wichitill