LINUX.ORG.RU
ФорумAdmin

Не работает DNSSEC на BIND9 в связке с DNSCrypt

 , , , ,


0

2

Проблема следующая - BIND9 возвращает кучу ошибок вида 

error (no valid RRSIG) resolving 'amazonaws.coM/DS/IN': 127.0.0.1#57
error (no valid RRSIG) resolving 'googleapis.coM/DS/IN': 127.0.0.1#57
error (no valid RRSIG) resolving 'google.coM/DS/IN': 127.0.0.1#57
error (no valid RRSIG) resolving 'google.coM/DS/IN': 127.0.0.1#55

А также пишет 

validating @0x7f997c6922b0: com SOA: got insecure response; parent indicates it should be secure

Система Centos 7.4, VM гость. В системе находится bind (слушает 53 порт) и dnscrypt-proxy (слушает 54-57 порты).

Конфиг named.conf 

options {
	listen-on port 53 {localhost;};
	listen-on-v6 port 53 { none; };
	directory 	"/var/named";
	dump-file 	"/var/named/data/cache_dump.db";
	statistics-file "/var/named/data/named_stats.txt";
	memstatistics-file "/var/named/data/named_mem_stats.txt";
	allow-query     { localhost; };
	allow-query-cache {localhost; };

	recursion yes;

	dnssec-enable yes;
	dnssec-validation auto;
	//dnssec-lookaside auto;

	//forwarders { 8.8.8.8; 8.8.4.4; };
	forwarders { 127.0.0.1 port 54; 127.0.0.1 port 55; 127.0.0.1 port 56; 127.0.0.1 port 57;};

	auth-nxdomain no;
	max-ncache-ttl 0;

	/* Path to ISC DLV key */
	//bindkeys-file "/etc/named.iscdlv.key";

	//managed-keys-directory "/var/named/dynamic";

	pid-file "/run/named/named.pid";
	session-keyfile "/run/named/session.key";
};

DNSCrypt резолверы выбираются случайным образом, но обязательно с поддержкой DNSSEC.

Проблема возникает только с DNSCrypt, гугловские резолверы отрабатывают без проблем.

Куда копать?

Ответ на: комментарий от ving2

гугл говорит

Гугл-то я перешерстил, поэтому и обратился за советом.

dnssec-enable no;
dnssec-validation no;

Я же не собираюсь отключать DNSSEC.

Впрочем, проблема решена. Заметил, что такую ошибку выбрасывает только 2 резолвера из 4-х. Несмотря на то, что поддержка DNSSEC ими заявлена, по факту же они не поддерживают. Решилось ручным указанием резолверов.

Вопрос на будущее для всех - какие резолверы для DNSCrypt используете вы и почему именно они?

whoami-neo
() автор топика
Ответ на: комментарий от whoami-neo

пробуй ещё:

на 100. Тарад.ада.да. 27-.мом если не ошибаюсь? И www-указать как ww5-? Ну, и http.-https. Это просто ТРЕНД сезона в ошибках.

anonymous
()
Ответ на: комментарий от whoami-neo

Ай пи с окончанием .27 попробывать; W.W.W. переделать в W.W.5 (пять?); http.https. Вот, через точку с запятой,(;) для Ъ трушника «продублировал».

anonymous
()
Ответ на: комментарий от anonymous

Как мне кажется, мы говорим о разных проблемах. У меня просто не работал DNSSEC через 2 резолвера DNSCrypt. Сайты открываются нормально, мудрить со всякими префиксами типа ww5 не требуется.

whoami-neo
() автор топика
Ответ на: комментарий от whoami-neo

Школьники, слово «мудрить» не для вас, для тебя была инструкция,я описал ход решения. С твоей стороны, уже каких-то два «быстрых» наезда что, мол НЕ так. Так я к сути и подбираюсь, и всё понял и достаточно по ТВ.?!

anonymous
()
Ответ на: комментарий от ving2

Школьники пальнулись/ я правильный ответ дал- /а у них комментарий п р о Осень! И, юбимое у школоты -«вникать», хотя предыдущие 2 сообщения были 1,5-2 минуты с таймапом /и это в треде, про довольно сложные настройки/ -Естественно, когда ж вам «вникать»!??

anonymous
()
Ответ на: комментарий от whoami-neo

Я погрепал цэвээску, отобрал с поддержкой днссек, все попробовал, работоспособных оказалось два. Выставил один. Где-то через год он сдох, выставил другой. Какой сейчас стоит надо в ноуте смотреть. А я сейчас с телефона и лениво.
В общем, что там в цвс это ещё не гарантия, что работает. Проверять надо.

imul ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Admin