DNSSEC server NOT responding when there is no internet connection

Tags: #<Tag:0x00007fc9dfbb40d0> #<Tag:0x00007fc9dfbb4008>

Bonjour,

J’ai un serveur DNS SECurisé (bind9) en local qui récupère les zones « domains.tld » sur un « master ».

Quand je n’ai plus de connectivité Internet, le serveur n’arrive pas à me retourner les valeurs.

dig A domains.tld @10.0.0.1

J’ai essayé de changer les valeurs (sans succès) du fichier bind/named.conf.options :

options {
     [...]
     dnssec-enable yes; // yes | no | auto
     dnssec-validation yes; // yes | no | auto
     dnssec-lookaside . trust-anchor dlv.isc.org.; // yes | no | auto
     [...]
}

Avez-vous une solution ? Question-bête :wink:

Romain

Bonjour,

Non ça ne marche ps comme ça.
C’est le master qui publie vers le secondaire, ou plus précisément, qui transfère les zones vers le secondaire.
mais ton secondaire est peut etre en fait un forwarder? auquel cas sans lien en tre lui et le master, alors plus de DNS.

comment est ta configuration (named.conf avec zones et etc…?

Bonjour @Zargos

Oui, tu me taquines. Oui je me suis mal exprimé. J’ai un DNS SEC, là où il y a / pour mes zones « type master » et donc, j’ai plusieurs autres serveurs DNS qui récupérent les zones « masters » qui sont déjà « encodées ».

Mais quand je n’ai plus d’internet (chez moi), mon serveur DNS LAN qui récupére les zones qui (elles) sont à jour (de la « journée »), mon serveur ne retourne « rien » et cela même en local (depuis la même machine).

Et bien non, il est configuré vers les « dns.google » comme forwardeur.


Peut-être que tu me parlais @Zargos de ce type de configuration (que je ne connaissais pas) :

Sécuriser un serveur de nom

Certains services proposés par les ISP ne sont accessibles que par l’utilisation de leur DNS. Ainsi, pour accéder aux news ou lire son mail par l’interface webmail de Wanadoo, il faut utiliser le DNS spécifié sur la feuille indiquant le login/password ou donné par le serveur DHCP.

zone "wanadoo.fr"
{
   type forward;
   forwarders  { 193.252.19.3; };
};

NB: Wanadoo filtre les IP accédant aux DNS, serveurs web,… réservés aux abonnés…


Ma configuration DNS est celle-ci – exactement – sans la configuration des zones DNSSEC.

Fichier /etc/bind/name.conf.options du « master/autoritaire » et des « slaves/secondaires ».

options {
    [...]
    dnssec-enable yes; // yes | no | auto
    dnssec-validation yes; // yes | no | auto
    dnssec-lookaside . trust-anchor dlv.isc.org.; // yes | no | auto
    [...]
    forwarders {
            2001:4860:4860::8888;
            8.8.8.8;
            2001:4860:4860::8844;
            8.4.8.4;        
    };
    [...]
};

Fichier /etc/bind/name.conf.local du « master/authoritaire ».

zone "domain.tld" {
    type master;
    file "/etc/bind/masters/domain.tld.hosts.signed";

    allow-transfer { key "ns-dns"; }; # la clef pour les transferts entre serveurs
    allow-update { key "ns-dns"; }; # la clef pour les nsupdate entre serveurs

    notify yes;
};

Fichier /etc/bind/name.conf.local du « slave/non autoritaire ».

zone "domain.tld" {
    type slave;
    file "/etc/bind/slaves/domain.tld.hosts";
    masterfile-format text;

    masters { 2607:5300:60:9389:15:1:a:1000; };

    notify master-only;
//      notify yes;
};

Et le(s) fichier(s) « /etc/bind/slaves/domain.tld.hosts » sur le « slaves/secondaire » est bien encrypté.


Donc, je me suis dis que cela devait être lié aux variables/valeurs de dnssec-validation/lookaside mais sans succès (en configurant dnssec-enable no; par exemple).

Je me suis dis, après, que, vu que les fichiers sur les secondaires sont « encodés/cryptés » que cela était logique/normal puisque que le serveur DNS ne pouvait pas vérifier par rapport à la « Delegation Signer (DS) » → si les clefs → ZSK (Zone Signing Key) et KSK (Key Signing Key) seraient oui ou non valident.


RienÀVoir : zw3b.eu | DNSViz :wink:

PS : Il faut que j’ajoute (sur mon tuto), la partie DANE (DNS - based Authentication of Named Entities) sur champs TLSA Transport Layer Security Authentication) :key: Et ce sera bien mieux :cowboy_hat_face:


La validation par PKIX (Public-Key Infrastructure X.509) je ne connais pas - comme par exemple sur l’entité « www » du domaine « bortzmeyer.org » :wink:

Visible depuis son « explorateur HTTP » grâce au plugin FireFox DNSSEC/DANE Validator.

Salutations,
Romain

J’ajoute un commentaire :

Peut-être que, comme je pense qu’il faudrait faire ; alors :

  1. J’ai moi et mon pote « Doubie », avons un réseau local.
  2. Moi, j’ai le mien, lui le sien.
  3. Et à nous 2, nous avons un serveur public.

Chez lui, il devrait configurer sa zone en type « master » – il s’occupe de SON réseau LAN :

zone "doubie.tld" {
    type master;
    file "/etc/bind/masters/doubie.tld.hosts";

    allow-transfer { key "ns-dns"; }; # la clef pour les transferts entre serveurs
    allow-update { key "ns-dns"; }; # la clef pour les nsupdate entre serveurs

//  notify master-only;
    notify yes;
};

Et chez moi, je devrais configurer ma zone en type « master » – je m’occupe de MON réseau LAN :

zone "romain.tld" {
    type master;
    file "/etc/bind/masters/romain.tld.hosts";

    allow-transfer { key "ns-dns"; }; # la clef pour les transferts entre serveurs
    allow-update { key "ns-dns"; }; # la clef pour les nsupdate entre serveurs

//  notify master-only;
    notify yes;
};

Puis sur le serveur « public » on devrait configurer - On « aurait » la main sur la machine tous les 2 :wink: on aurait qu’à ajouter des/nos slaves :

zone "doubie.tld" {
    type slave;
    file "/etc/bind/slaves/doubie.tld.hosts";
    masterfile-format text;

    masters { 10.101.0.1; 1.2.3.4; };
    
//  notify master-only;
    notify yes;
};

zone "romain.tld" {
    type slave;
    file "/etc/bind/slaves/romain.tld.hosts";
    masterfile-format text;

    masters { 10.102.0.1; 2.3.4.5; };

//  notify master-only;
    notify yes;
};

Peut-être que comme cela, cela pourrait fonctionner (DNSSEC). Bien que.

Et configurer nos /etc/resolv.conf

Chez lui :

nameserver 10.101.0.1 # local
nameserver 4.5.6.7 # public

Chez moi :

nameserver 10.102.0.1 # local
nameserver 4.5.6.7 # public

Mais question DNS SÉC, donc, je ne sais toujours pas si çà fonctionnerait – c’est qui l’authoritaire – et/ou le vérificateur…

:laughing: :face_with_raised_eyebrow:

Note de Moi-même : Elles/ils sont tous à Cannes, ces gros malin·e·s d’administrateur·trice·s de notre cyber-sécurité pour un monde plus sûr et libre - Envoyez fort de bonnes et belles histoires :slight_smile: #ITC :slight_smile:

palais-congres-cannes-2

Mais non pas tous, certaines y sont et d’autres surveillent…

Merci.

Si ton réseau coupe, tes forwarder ne sont plus accessible, donc toute requete forwardée est en time out.
si c’est une requete à destination de la zone servie par le serveur local alors ca marche, sauf si celui ci n’est pas master auquel cas si les durées de vie des champs sont dépassées tu auras des problèmes.

oUais.

Merci @Zargos.