Ronny Seffner ronny@seffner.de (Fr 26 Jul 2013 16:58:49 CEST):
Hallo,
es ist heiß, es ist Freitag und diese Woche ist die Liste der nicht gelösten Phänomene wieder gewachsen.
In meiner named.conf.local auf IP 192.168.100.1 befindet sich folgender Abschnitt:
zone "fritz.box" in { type forward; forward only; forwarders { 192.168.2.24; 192.168.99.2; }; };
Ich betreibe ein openvpn mit dem Tunnelende 192.168.2.24 in das Netz 192.168.99.0/24. Dort läuft auf der .2/32 (gleichzeitig das VPN-gateway [Fritz!Box] ein DNS-Server)
Warum tritt nun Folgendes ein :
its-gw:~dig nas.fritz.box @192.168.2.24
; <<>> DiG 9.8.4-rpz2+rl005.12-P1 <<>> nas.fritz.box @192.168.2.24 ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 19911 ;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 1, ADDITIONAL: 3
;; QUESTION SECTION: ;nas.fritz.box. IN A
;; ANSWER SECTION: nas.fritz.box. 9 IN A 192.168.99.3
;; AUTHORITY SECTION: nas.fritz.box. 9 IN NS fritz.box.
;; ADDITIONAL SECTION: fritz.box. 9 IN A 192.168.99.2 fritz.box. 9 IN AAAA fd00::224:feff:feda:b39c fritz.box. 9 IN AAAA ****
;; Query time: 93 msec ;; SERVER: 192.168.2.24#53(192.168.2.24) ;; WHEN: Fri Jul 26 16:47:49 2013 ;; MSG SIZE rcvd: 133
its-gw:~# dig nas.fritz.box @127.0.0.1
; <<>> DiG 9.8.4-rpz2+rl005.12-P1 <<>> nas.fritz.box @127.0.0.1 ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: SERVFAIL, id: 51214 ;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 0
;; QUESTION SECTION: ;nas.fritz.box. IN A
;; Query time: 279 msec ;; SERVER: 127.0.0.1#53(127.0.0.1) ;; WHEN: Fri Jul 26 16:48:13 2013 ;; MSG SIZE rcvd: 31
Und dabei in der zweiten Sitzung (tcpdump am Tunnelinterface):
16:48:13.640380 IP 192.168.2.23.20457 > 192.168.2.24.53: 37460+% [1au] A? nas.fritz.box. (42) 16:48:13.732274 IP 192.168.2.24.53 > 192.168.2.23.20457: 37460* 1/1/3 A 192.168.99.3 (133) 16:48:13.732634 IP 192.168.2.23.54370 > 192.168.2.24.53: 34236+% [1au] DS? fritz.box. (38)
Wieso DS Abfrage?
16:48:13.824919 IP 192.168.2.24.53 > 192.168.2.23.54370: 34236* 0/1/0 (69)
Beantwortet wird die auch.
16:48:13.825243 IP 192.168.2.23.47124 > 192.168.2.24.53: 4250+% [1au] NS? box. (32) 16:48:13.918824 IP 192.168.2.24.53 > 192.168.2.23.47124: 4250 NXDomain 0/1/1 (107)
Geht das alles auch ohne DNSSec?
Das Phänomen in Worten: Eine DNS Anfrage zur remoten DNS-Zone an den remoten DNS-Server durch den Tunnel vom hießigen gateway funktioniert. Die selbe Anfrage an den lokalen DNS Server, der durch den Tunnel zum remoten DNS-Server forwarden sollte funktioniert _NICHT_. Beobachtet man dabei den Traffic im Tunnel sieht man allerdings die Anfrage sowie die _ANTWORT_.
"dig" macht kein DNSSec, wenn Du mit dem remoten Server direkt sprichst. Wenn Du mit dem lokalen sprichst, scheint der der Meinung zu sein, DS abfragen zu müssen?