Hallo,
es ist heiß, es ist Freitag und diese Woche ist die Liste der nicht gelösten Phänomene wieder gewachsen.
In meiner named.conf.local auf IP 192.168.100.1 befindet sich folgender Abschnitt:
zone "fritz.box" in { type forward; forward only; forwarders { 192.168.2.24; 192.168.99.2; }; };
Ich betreibe ein openvpn mit dem Tunnelende 192.168.2.24 in das Netz 192.168.99.0/24. Dort läuft auf der .2/32 (gleichzeitig das VPN-gateway [Fritz!Box] ein DNS-Server)
Warum tritt nun Folgendes ein :
its-gw:~dig nas.fritz.box @192.168.2.24
; <<>> DiG 9.8.4-rpz2+rl005.12-P1 <<>> nas.fritz.box @192.168.2.24 ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 19911 ;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 1, ADDITIONAL: 3
;; QUESTION SECTION: ;nas.fritz.box. IN A
;; ANSWER SECTION: nas.fritz.box. 9 IN A 192.168.99.3
;; AUTHORITY SECTION: nas.fritz.box. 9 IN NS fritz.box.
;; ADDITIONAL SECTION: fritz.box. 9 IN A 192.168.99.2 fritz.box. 9 IN AAAA fd00::224:feff:feda:b39c fritz.box. 9 IN AAAA ****
;; Query time: 93 msec ;; SERVER: 192.168.2.24#53(192.168.2.24) ;; WHEN: Fri Jul 26 16:47:49 2013 ;; MSG SIZE rcvd: 133
its-gw:~# dig nas.fritz.box @127.0.0.1
; <<>> DiG 9.8.4-rpz2+rl005.12-P1 <<>> nas.fritz.box @127.0.0.1 ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: SERVFAIL, id: 51214 ;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 0
;; QUESTION SECTION: ;nas.fritz.box. IN A
;; Query time: 279 msec ;; SERVER: 127.0.0.1#53(127.0.0.1) ;; WHEN: Fri Jul 26 16:48:13 2013 ;; MSG SIZE rcvd: 31
Und dabei in der zweiten Sitzung (tcpdump am Tunnelinterface):
16:48:13.640380 IP 192.168.2.23.20457 > 192.168.2.24.53: 37460+% [1au] A? nas.fritz.box. (42) 16:48:13.732274 IP 192.168.2.24.53 > 192.168.2.23.20457: 37460* 1/1/3 A 192.168.99.3 (133) 16:48:13.732634 IP 192.168.2.23.54370 > 192.168.2.24.53: 34236+% [1au] DS? fritz.box. (38) 16:48:13.824919 IP 192.168.2.24.53 > 192.168.2.23.54370: 34236* 0/1/0 (69) 16:48:13.825243 IP 192.168.2.23.47124 > 192.168.2.24.53: 4250+% [1au] NS? box. (32) 16:48:13.918824 IP 192.168.2.24.53 > 192.168.2.23.47124: 4250 NXDomain 0/1/1 (107)
Das Phänomen in Worten: Eine DNS Anfrage zur remoten DNS-Zone an den remoten DNS-Server durch den Tunnel vom hießigen gateway funktioniert. Die selbe Anfrage an den lokalen DNS Server, der durch den Tunnel zum remoten DNS-Server forwarden sollte funktioniert _NICHT_. Beobachtet man dabei den Traffic im Tunnel sieht man allerdings die Anfrage sowie die _ANTWORT_.
Wo liegt hier das Problem?
Mit freundlichen Grüßen / Kind regards Ronny Seffner -- Ronny Seffner | Alter Viehweg 1 | 01665 Klipphausen
www.seffner.de | ronny@seffner.de | +49 35245 72950
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1
Hallo,
ein Schuss ins blaue und ein bisschen ToFu: Was passiert, wenn du statt zone fritz.box zone box einträgst?
Grüße! morphium
Am 26.07.2013 16:58, schrieb Ronny Seffner:
Hallo,
es ist heiß, es ist Freitag und diese Woche ist die Liste der nicht gelösten Phänomene wieder gewachsen.
In meiner named.conf.local auf IP 192.168.100.1 befindet sich folgender Abschnitt:
zone "fritz.box" in { type forward; forward only; forwarders { 192.168.2.24; 192.168.99.2; }; };
Ich betreibe ein openvpn mit dem Tunnelende 192.168.2.24 in das Netz 192.168.99.0/24. Dort läuft auf der .2/32 (gleichzeitig das VPN-gateway [Fritz!Box] ein DNS-Server)
Warum tritt nun Folgendes ein :
its-gw:~dig nas.fritz.box @192.168.2.24
; <<>> DiG 9.8.4-rpz2+rl005.12-P1 <<>> nas.fritz.box @192.168.2.24 ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 19911 ;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 1, ADDITIONAL: 3
;; QUESTION SECTION: ;nas.fritz.box. IN A
;; ANSWER SECTION: nas.fritz.box. 9 IN A 192.168.99.3
;; AUTHORITY SECTION: nas.fritz.box. 9 IN NS fritz.box.
;; ADDITIONAL SECTION: fritz.box. 9 IN A 192.168.99.2 fritz.box. 9 IN AAAA fd00::224:feff:feda:b39c fritz.box. 9 IN AAAA ****
;; Query time: 93 msec ;; SERVER: 192.168.2.24#53(192.168.2.24) ;; WHEN: Fri Jul 26 16:47:49 2013 ;; MSG SIZE rcvd: 133
its-gw:~# dig nas.fritz.box @127.0.0.1
; <<>> DiG 9.8.4-rpz2+rl005.12-P1 <<>> nas.fritz.box @127.0.0.1 ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: SERVFAIL, id: 51214 ;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 0
;; QUESTION SECTION: ;nas.fritz.box. IN A
;; Query time: 279 msec ;; SERVER: 127.0.0.1#53(127.0.0.1) ;; WHEN: Fri Jul 26 16:48:13 2013 ;; MSG SIZE rcvd: 31
Und dabei in der zweiten Sitzung (tcpdump am Tunnelinterface):
16:48:13.640380 IP 192.168.2.23.20457 > 192.168.2.24.53: 37460+% [1au] A? nas.fritz.box. (42) 16:48:13.732274 IP 192.168.2.24.53 > 192.168.2.23.20457: 37460* 1/1/3 A 192.168.99.3 (133) 16:48:13.732634 IP 192.168.2.23.54370 > 192.168.2.24.53: 34236+% [1au] DS? fritz.box. (38) 16:48:13.824919 IP 192.168.2.24.53 > 192.168.2.23.54370: 34236* 0/1/0 (69) 16:48:13.825243 IP 192.168.2.23.47124 > 192.168.2.24.53: 4250+% [1au] NS? box. (32) 16:48:13.918824 IP 192.168.2.24.53 > 192.168.2.23.47124: 4250 NXDomain 0/1/1 (107)
Das Phänomen in Worten: Eine DNS Anfrage zur remoten DNS-Zone an den remoten DNS-Server durch den Tunnel vom hießigen gateway funktioniert. Die selbe Anfrage an den lokalen DNS Server, der durch den Tunnel zum remoten DNS-Server forwarden sollte funktioniert _NICHT_. Beobachtet man dabei den Traffic im Tunnel sieht man allerdings die Anfrage sowie die _ANTWORT_.
Wo liegt hier das Problem?
Mit freundlichen Grüßen / Kind regards Ronny Seffner -- Ronny Seffner | Alter Viehweg 1 | 01665 Klipphausen
www.seffner.de | ronny@seffner.de | +49 35245 72950
_______________________________________________ Lug-dd maillist - Lug-dd@mailman.schlittermann.de https://ssl.schlittermann.de/mailman/listinfo/lug-dd
Ronny Seffner ronny@seffner.de (Fr 26 Jul 2013 16:58:49 CEST):
Hallo,
es ist heiß, es ist Freitag und diese Woche ist die Liste der nicht gelösten Phänomene wieder gewachsen.
In meiner named.conf.local auf IP 192.168.100.1 befindet sich folgender Abschnitt:
zone "fritz.box" in { type forward; forward only; forwarders { 192.168.2.24; 192.168.99.2; }; };
Ich betreibe ein openvpn mit dem Tunnelende 192.168.2.24 in das Netz 192.168.99.0/24. Dort läuft auf der .2/32 (gleichzeitig das VPN-gateway [Fritz!Box] ein DNS-Server)
Warum tritt nun Folgendes ein :
its-gw:~dig nas.fritz.box @192.168.2.24
; <<>> DiG 9.8.4-rpz2+rl005.12-P1 <<>> nas.fritz.box @192.168.2.24 ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 19911 ;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 1, ADDITIONAL: 3
;; QUESTION SECTION: ;nas.fritz.box. IN A
;; ANSWER SECTION: nas.fritz.box. 9 IN A 192.168.99.3
;; AUTHORITY SECTION: nas.fritz.box. 9 IN NS fritz.box.
;; ADDITIONAL SECTION: fritz.box. 9 IN A 192.168.99.2 fritz.box. 9 IN AAAA fd00::224:feff:feda:b39c fritz.box. 9 IN AAAA ****
;; Query time: 93 msec ;; SERVER: 192.168.2.24#53(192.168.2.24) ;; WHEN: Fri Jul 26 16:47:49 2013 ;; MSG SIZE rcvd: 133
its-gw:~# dig nas.fritz.box @127.0.0.1
; <<>> DiG 9.8.4-rpz2+rl005.12-P1 <<>> nas.fritz.box @127.0.0.1 ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: SERVFAIL, id: 51214 ;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 0
;; QUESTION SECTION: ;nas.fritz.box. IN A
;; Query time: 279 msec ;; SERVER: 127.0.0.1#53(127.0.0.1) ;; WHEN: Fri Jul 26 16:48:13 2013 ;; MSG SIZE rcvd: 31
Und dabei in der zweiten Sitzung (tcpdump am Tunnelinterface):
16:48:13.640380 IP 192.168.2.23.20457 > 192.168.2.24.53: 37460+% [1au] A? nas.fritz.box. (42) 16:48:13.732274 IP 192.168.2.24.53 > 192.168.2.23.20457: 37460* 1/1/3 A 192.168.99.3 (133) 16:48:13.732634 IP 192.168.2.23.54370 > 192.168.2.24.53: 34236+% [1au] DS? fritz.box. (38)
Wieso DS Abfrage?
16:48:13.824919 IP 192.168.2.24.53 > 192.168.2.23.54370: 34236* 0/1/0 (69)
Beantwortet wird die auch.
16:48:13.825243 IP 192.168.2.23.47124 > 192.168.2.24.53: 4250+% [1au] NS? box. (32) 16:48:13.918824 IP 192.168.2.24.53 > 192.168.2.23.47124: 4250 NXDomain 0/1/1 (107)
Geht das alles auch ohne DNSSec?
Das Phänomen in Worten: Eine DNS Anfrage zur remoten DNS-Zone an den remoten DNS-Server durch den Tunnel vom hießigen gateway funktioniert. Die selbe Anfrage an den lokalen DNS Server, der durch den Tunnel zum remoten DNS-Server forwarden sollte funktioniert _NICHT_. Beobachtet man dabei den Traffic im Tunnel sieht man allerdings die Anfrage sowie die _ANTWORT_.
"dig" macht kein DNSSec, wenn Du mit dem remoten Server direkt sprichst. Wenn Du mit dem lokalen sprichst, scheint der der Meinung zu sein, DS abfragen zu müssen?
Hallo Heiko,
bei dem Wetter auch vor der "Klaviatur", gibt’s keine Aufwinde?
Wieso DS Abfrage?
Weil der lokale bind, wie in meinem 2. Post geschrieben 'dnssec-validation' auf 'on' hat. Eine gute Frage, die in die Richtige Richtung führt.
Geht das alles auch ohne DNSSec?
Nur ohne ging es. Erklärung(sversuch) in meinem "[solved]" Post.
Mit freundlichen Grüßen / Kind regards Ronny Seffner -- Ronny Seffner | Alter Viehweg 1 | 01665 Klipphausen
www.seffner.de | ronny@seffner.de | +49 35245 72950
Ich hab mal 'rndc trace 9' angeworfen und bin über "validator" auf "dnssec-validation yes;" in meiner config gestoßen. Das ist offenbar der Schalter mit destruktiver Wirkung - nur leider gibts den ausschließlich global und warum eine geforwardete Zone mal nicht signiert sein darf ist mir auch noch ein Rätsel.
Mit freundlichen Grüßen / Kind regards Ronny Seffner -- Ronny Seffner | Alter Viehweg 1 | 01665 Klipphausen
www.seffner.de | ronny@seffner.de | +49 35245 72950
lug-dd@mailman.schlittermann.de
-
Heiko Schlittermann -
morphium -
Ronny Seffner