Hello,
legszivesebben egy uj forumot inditottam volna, olyan nevvel, hogy szetb@ az ideg, de inkabb eloszor megkerdezema kezdon.
A problemam a kovetkezo:
Dec 4 13:02:17 example named[10474]: validating @0x7eff1c0bc110: hu SOA: no valid signature found
Dec 4 13:02:17 example named[10474]: validating @0x7eff1c282920: it5tda8guf9huqafis7ev953dc3m9a2g.hu NSEC3: no valid signature found
Dec 4 13:02:17 example named[10474]: validating @0x7eff1c03a070: 705v417e8r8hccfhvrvlbaf6u46tqoof.hu NSEC3: no valid signature found
Dec 4 13:02:17 example named[10474]: validating @0x7eff1c18ee90: aav20cf5s53i7ad24l0t7rda6udh55ms.hu NSEC3: no valid signature found
Dec 4 13:02:17 example named[10474]: validating @0x7eff29d5c6b0: vstsa5plnueihte0mk3vohueeatnauqu.hu NSEC3: no valid signature found
Dec 4 13:02:17 example named[10474]: validating @0x7eff1c115310: it5tda8guf9huqafis7ev953dc3m9a2g.hu NSEC3: no valid signature found
Dec 4 13:02:17 example named[10474]: validating @0x7eff1c115310: aav20cf5s53i7ad24l0t7rda6udh55ms.hu NSEC3: no valid signature found
Dec 4 13:02:17 example named[10474]: validating @0x7eff1c115310: hu SOA: no valid signature found
Dec 4 13:02:17 example named[10474]: validating @0x7eff1c115310: hu SOA: no valid signature found
Dec 4 13:02:17 example named[10474]: validating @0x7eff1c115310: it5tda8guf9huqafis7ev953dc3m9a2g.hu NSEC3: no valid signature found
Dec 4 13:02:17 example named[10474]: validating @0x7eff1c115310: pu1uctfv02te4c6c27ud09bflbmm0r4j.hu NSEC3: no valid signature found
Dec 4 13:02:17 example named[10474]: validating @0x7eff1c115310: aav20cf5s53i7ad24l0t7rda6udh55ms.hu NSEC3: no valid signature found
Dec 4 13:02:17 example named[10474]: validating @0x7eff1c2f0490: gvaebjr24jirrq6lsh5jusktcnu1keg6.hu NSEC3: no valid signature found
Dec 4 13:02:17 example named[10474]: validating @0x7eff1c2f0490: it5tda8guf9huqafis7ev953dc3m9a2g.hu NSEC3: no valid signature found
Dec 4 13:02:17 example named[10474]: validating @0x7eff1c2f0490: aav20cf5s53i7ad24l0t7rda6udh55ms.hu NSEC3: no valid signature found
Dec 4 13:02:17 example named[10474]: validating @0x7eff1c2f0490: hu SOA: no valid signature found
Dec 4 13:02:17 example named[10474]: validating @0x7eff1c2a2900: r7bldukj4h2l2k6usa9o9v1iunb41r8a.hu NSEC3: no valid signature found
Dec 4 13:02:17 example named[10474]: validating @0x7eff29e46960: it5tda8guf9huqafis7ev953dc3m9a2g.hu NSEC3: no valid signature found
Dec 4 13:02:17 example named[10474]: validating @0x7eff29e46960: aav20cf5s53i7ad24l0t7rda6udh55ms.hu NSEC3: no valid signature found
Dec 4 13:02:17 example named[10474]: validating @0x7eff29e46960: hu SOA: no valid signature found
Dec 4 13:02:17 example named[10474]: validating @0x7eff29ebe240: 7ij5idmj7opk3957qavn249bcaendmgj.hu NSEC3: no valid signature found
Dec 4 13:02:17 example named[10474]: validating @0x7eff29d9bea0: it5tda8guf9huqafis7ev953dc3m9a2g.hu NSEC3: no valid signature found
Dec 4 13:02:17 example named[10474]: validating @0x7eff29ebe240: aav20cf5s53i7ad24l0t7rda6udh55ms.hu NSEC3: no valid signature found
Dec 4 13:02:17 example named[10474]: validating @0x7eff29d9bea0: hu SOA: no valid signature found
Debian7-es van a gepen. A "dnssec-validation auto;" volt, most atraktam no-ra, de ez nem igazan a kedvemre valo megoldas. Mivel tudnam ezt megjavitani?
- 2721 megtekintés
Hozzászólások
Kulcs nem járt le vagy generálódott újra egy update miatt?
- A hozzászóláshoz be kell jelentkezni
Fogalmam sincs.
Amivel en hasonlitottam az a http://ftp.isc.org/isc/bind9/keys/9.8/bind.keys.v9_8
# diff bind.keys*
1c1
< /* $Id: bind.keys,v 1.7 2011/01/03 23:45:07 each Exp $ */
---
> /* $Id: bind.keys,v 1.7 2011-01-03 23:45:07 each Exp $ */
#
Ugyhogy arra jutottam, hogy nem a bind.keys okozza. De meg tevedhetek is.
- A hozzászóláshoz be kell jelentkezni
Konfigban egyedi kulcs definiálva valahol?
(Esetleg nem most volt OpenSSL csomag upgrade? Nekem utána újra kellett generálni a legtöbb kulcsot és utána mentek pl az VPN tunnelek.)
- A hozzászóláshoz be kell jelentkezni
Semmi extra. Standard install, ipv6 kikapcsolasan es ipv4 intrerfaceen kivul semmit sem modositottam. Cache only dns-nek hasznalom jelenleg.
- A hozzászóláshoz be kell jelentkezni
Az dnssec-validation auto; helyett a dnssec-validation yes;-t írd be, és include-old a bind.keys-t a konfigba. Így leszel biztos benne, hogy azt használja, ami abban van.
- A hozzászóláshoz be kell jelentkezni
Hali,
oksa, megprobalom ezt. Modositottam a named.conf.options-t erre:
dnssec-enable yes;
dnssec-validation yes;
dnssec-lookaside auto;
bindkeys-file "/etc/bind/bind.keys";
Na majd meglatjuk mi lesz.
- A hozzászóláshoz be kell jelentkezni
Sookkal jobb nem lett:
...
Dec 7 05:02:07 example.com named[24190]: validating @0x7f923b5270d0: com SOA: no valid signature found
Dec 7 05:02:07 example.com named[24190]: validating @0x7f923b5270d0: CK0POJMG874LJREF7EFN8430QVIT8BSM.com NSEC3: no valid signature found
Dec 7 05:02:07 example.com named[24190]: validating @0x7f922c2338b0: com SOA: no valid signature found
Dec 7 05:02:07 example.com named[24190]: validating @0x7f922c2338b0: CK0POJMG874LJREF7EFN8430QVIT8BSM.com NSEC3: no valid signature found
Dec 7 05:02:07 example.com named[24190]: validating @0x7f922c224fe0: com SOA: no valid signature found
Dec 7 05:02:07 example.com named[24190]: validating @0x7f922c224fe0: CK0POJMG874LJREF7EFN8430QVIT8BSM.com NSEC3: no valid signature found
Dec 7 05:02:07 example.com named[24190]: validating @0x7f922c0b1f80: com SOA: no valid signature found
Dec 7 05:02:07 example.com named[24190]: validating @0x7f922c0b1f80: CK0POJMG874LJREF7EFN8430QVIT8BSM.com NSEC3: no valid signature found
Dec 7 05:02:07 example.com named[24190]: validating @0x7f922c1c7f50: com SOA: no valid signature found
Dec 7 05:02:07 example.com named[24190]: validating @0x7f922c2328a0: ck0pojmg874ljref7efn8430qvit8bsm.com NSEC3: no valid signature found
Dec 7 05:02:07 example.com named[24190]: validating @0x7f922c1c7f50: com SOA: no valid signature found
Dec 7 05:02:07 example.com named[24190]: validating @0x7f922c0fc920: CK0POJMG874LJREF7EFN8430QVIT8BSM.com NSEC3: no valid signature found
Dec 7 05:02:07 example.com named[24190]: validating @0x7f922c1c7f50: com SOA: no valid signature found
Dec 7 05:02:07 example.com named[24190]: validating @0x7f922c172e10: CK0POJMG874LJREF7EFN8430QVIT8BSM.com NSEC3: no valid signature found
Dec 7 05:02:07 example.com named[24190]: validating @0x7f923b4e6550: com SOA: no valid signature found
Dec 7 05:02:07 example.com named[24190]: validating @0x7f923b4e6550: CK0POJMG874LJREF7EFN8430QVIT8BSM.com NSEC3: no valid signature found
Dec 7 05:02:07 example.com named[24190]: validating @0x7f922c1950a0: UN9FAA3AO8CGF0CBIDRRS2CLDSFSJ5I2.com NSEC3: no valid signature found
Dec 7 05:02:07 example.com named[24190]: validating @0x7f922c1900f0: PM81JJ8RO4L3UD0MHSR9FH2TLQIJHOJO.com NSEC3: no valid signature found
Dec 7 05:02:07 example.com named[24190]: validating @0x7f923b4e6550: 8FEJ4QG2QLL4M140O1MUCEP4VQOC3FTO.com NSEC3: no valid signature found
Dec 7 05:02:07 example.com named[24190]: validating @0x7f923b4334e0: 6OGA3NEQGO4CTP7PPOPM19BC4E7Q6L4S.com NSEC3: no valid signature found
Dec 7 05:02:07 example.com named[24190]: validating @0x7f923b405a30: 33J50BEKN6OP1K45OQIGUBI2DRFIMODF.com NSEC3: no valid signature found
Dec 7 05:02:07 example.com named[24190]: validating @0x7f923b2bd170: 60ND2EOHR43HCM6QG0UO788SNQ3TNEOM.com NSEC3: no valid signature found
Dec 7 05:02:07 example.com named[24190]: validating @0x7f923b5270d0: CKLVMEBA5NGQUFHP1E7UOQK1UP501IVC.com NSEC3: no valid signature found
Dec 7 05:02:07 example.com named[24190]: validating @0x7f922c1c7f50: 580KP51CTPKDKPDOBEM2EE9IDGNOUDQB.com NSEC3: no valid signature found
Dec 7 05:02:07 example.com named[24190]: validating @0x7f922c224fe0: 3RL20VCNK6KV8OT9TDIJPI0JU1SS6ONS.com NSEC3: no valid signature found
Dec 7 05:02:07 example.com named[24190]: validating @0x7f922c224fe0: 3RL20VCNK6KV8OT9TDIJPI0JU1SS6ONS.com NSEC3: no valid signature found
Dec 7 05:02:07 example.com named[24190]: validating @0x7f923b4e6550: 3RL20VCNK6KV8OT9TDIJPI0JU1SS6ONS.com NSEC3: no valid signature found
Dec 7 05:02:07 example.com named[24190]: validating @0x7f923b4e6550: 3RL20VCNK6KV8OT9TDIJPI0JU1SS6ONS.com NSEC3: no valid signature found
Dec 7 05:02:07 example.com named[24190]: validating @0x7f922c224fe0: 3RL20VCNK6KV8OT9TDIJPI0JU1SS6ONS.com NSEC3: no valid signature found
Dec 7 05:02:07 example.com named[24190]: validating @0x7f922c224fe0: com SOA: no valid signature found
Dec 7 05:02:07 example.com named[24190]: validating @0x7f922c224fe0: CK0POJMG874LJREF7EFN8430QVIT8BSM.com NSEC3: no valid signature found
...
- A hozzászóláshoz be kell jelentkezni
Az EDNS csomagok jól átmennek?
%dig +short rs.dns-oarc.net txt
Az a jó, ha erre 4000 fölötti reply size limit a válasz.
Ha ez nincs, akkor nem férnek át a csövön a dnssec csomagok, pl. valamilyen
tűzfal beállítás miatt.
- A hozzászóláshoz be kell jelentkezni
$ dig +short rs.dns-oarc.net txt
rst.x1008.rs.dns-oarc.net.
rst.x1968.x1008.rs.dns-oarc.net.
rst.x2454.x1968.x1008.rs.dns-oarc.net.
"74.125.73.17 DNS reply size limit is at least 2454"
"74.125.73.17 sent EDNS buffer size 4096"
"Tested at 2014-12-20 14:49:42 UTC"
$
de az itthoni gepen sem tobb:
$ dig +short rs.dns-oarc.net txt
rst.x1013.rs.dns-oarc.net.
rst.x1233.x1013.rs.dns-oarc.net.
rst.x1414.x1233.x1013.rs.dns-oarc.net.
"109.91.113.218 sent EDNS buffer size 4096"
"109.91.113.218 DNS reply size limit is at least 1414"
"Tested at 2014-12-20 14:49:21 UTC"
$
- A hozzászóláshoz be kell jelentkezni
Hm. Az 1414-et érteni vélem. Valószínűleg nem lehet IP csomakokat fragmentálni.
Ez se egészséges, érdemes változtatni.
A 2454 viszont nagyon furcsa. Érdemes utánajárni annak, hogy ezt melyik dobozban milyen beállítás okozza. Gyanítom, hogy ha erre rájössz, közben megoldod az eredeti feladatot is.
- A hozzászóláshoz be kell jelentkezni
"Hulyenek nezel, de tulbecsulsz!"
A gep (nem az itthoni) egy xen virtualis debian. Valamiert kis eselyet latom annak, hogy barmilyen rahatasom lenne a farmra.
- A hozzászóláshoz be kell jelentkezni
Bookmark
"Jegyezze fel a vádhoz - utasította Metcalf őrnagy a tizedest, aki tudott gyorsírni. - Tiszteletlenül beszélt a feljebbvalójával, amikor nem pofázott közbe."
- A hozzászóláshoz be kell jelentkezni