[Gelöst] dnsmasq und DNSSEC

Sidebar Sidebar
Upgrade 3CX to v18 and get it hosted free!
A

andiling

IPPF-Promi
Mitglied seit
19 Jun 2013
Beiträge
5,975
Punkte für Reaktionen
2
Punkte
0
Hallo,

ich habe gestern mal freetz mit dnsmasq und DNSSEC kompiliert und geflasht.

Verwendet werden Nameserver mit dem Tag "validating" von hier: http://wiki.ipfire.org/en/dns/public-servers
Weiterhin habe ich neben der DNSSEC Option auf der Einstellungsseite noch die Option dnssec-check-unsigned unter extras eingetragen.

Das hat auch auf Anhieb prima geklappt bis zu einem Neustart. Danach klappen die Abfragen nicht mehr mit dem Hinweis: Server failed. Wenn ich die Nameserver (eingetragen über server=...) deaktiviere/aktiviere oder ändere geht es wieder, d.h. es läuft z.B. mit identischer Konfiguration.

Auf meinem Linux kann ich das Problem nicht nachstellen, da funktioniert alles auf Anhieb nach einem Neustart. Insoweit kann ich ausschließen, dass die Nameserver evtl. nicht validieren was genau die Ursache für die Fehlermeldung wäre. Im Syslog erscheint keine Fehlermeldung, ausgegeben wird, dass die eingetragenen Nameserver (und nur diese) verwendet werden.

Ohne dnssec-check-unsigned tut die Box ihren Dienst auch ohne Eingriff nach einem Neustart.

Hat jemand Ideen?

Danke!
 
Zuletzt bearbeitet:
Ich hatte das gleiche Problem und kenne Ursache und Lösung:
Die Validierung mit der Option "dnssec-check-unsigned" erfordert eine korrekte Uhrzeit, damit die Gültigkeit der Signaturen geprüft werden kann. Nach einem Neustart ist Datum/Uhrzeit der FritzBox aber noch nicht korrekt gesetzt, sondern steht auf 01.01.1970. Die Uhrzeit würde sich die Box per NTP-Server holen. Dazu braucht der NTP-Client aber einen funktionierenden DNS. Und hier beißt sich die Katze in den Schwanz.
Die Lösung ist mittels entsprechenden dnsmasq-Parameter die Signatur-Validierung solange zu deaktivieren bis die Box eine korrekte Uhrzeit per NTP geholt hat.
Ich habe es über folgenden Parameter unter Dnsmasq -> extra gelöst:
dnssec-timestamp=/var/media/ftp/timestamp

In der konfiguration verzichtet dnsmasq solange auf die Validierung bis die Uhrzeit der Box weiter ist als der Zeitstempel der Datei /var/media/ftp/timestamp.
Details siehe manpage von dnsmasq.
 
Logisch, klar... Danke, Matthy, da habe ich wohl zu früh aufgehört zu lesen... )-:

Die manpage ist wohl nicht ganz aktuell und seitdem wurde die Option ein bisschen verfeinert. Es findet kein Schreibvorgang von dnsmasq selbst statt und es ist daher ein Verzeichnis bzw. eine Datei anzugeben, die existiert. Das klappt z.B. mit /bin.
 
Um antworten zu können musst du eingeloggt sein.

Zurzeit aktive Besucher

Gesamt: 641 (Mitglieder: 12, Gäste: 629)

Neueste Beiträge

Statistik des Forums

Themen
244,878
Beiträge
2,220,026
Mitglieder
371,604
Neuestes Mitglied
broekar
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.
Ihr E-Mail-Adresse verifizieren

Ihr E-Mail-Adresse verifizieren

Wir haben Ihnen eine E-Mail geschickt. Klicken Sie auf die Schaltfläche im E-Mail-Text, um Ihre E-Mail-Adresse zu verifizieren – (Können Sie diese nicht finden können, dann überprüfen Sie Ihren Spam-Ordner).

IPPF im Überblick

Neueste Beiträge

Direktlinks Telefonanlage

Website-Sponsoren

3CX sponsor
KONTAKTIEREN SIE UNS BEI INTERESSE
| Style by ThemeHouse
XenPorta 2 PRO © Jason Axelrod of 8WAYRUN
Oben Unten
Zurück