Fórum Root.cz

Hlavní témata => Server => Téma založeno: Rhinox 14. 07. 2022, 11:57:34

Název: DNSSEC přestal fungovat a doména neresolvuje
Přispěvatel: Rhinox 14. 07. 2022, 11:57:34
Pred casem sem dle zdejsiho clanku (DNSSEC s BIND 9.9 snadno a rychle) rozchodil na jedne me domene dnssec. Vse fungovalo, a taky ty on-line nastroje ktere to kontroluji reportovali vse v poradku. Jenze pak se vyskytl nakej problem, a ted uz vubec nefunguje resolving pro tuhle domenu. Nekolikrat sem mezitim editoval zonovej soubor pro tu domenu (menil IP nebo fqdn, vcedne dn-serveru). Pak sem vzdycky dal:
Kód: [Vybrat]
rndc reload
rndc signing -list example.com
rndc signing -nsec3param 1 0 10 abcdef12 example.com
named-compilezone -f raw -j -o - example.com /var/cache/bind/db.example.com.signed

Nic vic. Klice v /etc/bind/keys sem nemenil, tudiz predpokladam ze neni zapotrebi generovat novej otisk (dnssec-dsfromkey...) a umistovat jej v nadrazene zone, nebo se mylim? Co by se mohlo pri tomhle postupu rozbit? Kdyz otestuju zonu pomoci dnssec-analyzer (verisignlabs), dostanu tohle:
Kód: [Vybrat]
+ Found 1 DS records for example.com in the com zone
+ DS=35525/SHA-256 has algorithm ECDSAP256SHA256
+ Found 1 RRSIGs over DS RRset
+ RRSIG=37269 and DNSKEY=37269 verifies the DS RRset
! Unknown host ns1.example.com
! Unknown host ns2.example.com
! Unknown host ns3.example.com
- Failed to get DNSKEY RR set for zone example.com
- No response from example.com nameservers

Pritom vsechny tri jmenne servery bezi. Jo, a kdyz sem menil IP jmennych serveru, zmenil sem to i u meho registratora (vcetne glue-zaznamu). Tak proc to zrazu nefunguje?
Název: Re:DNSSEC přestal fungovat a doména neresolvuje
Přispěvatel: vcunat 14. 07. 2022, 13:02:36
Pokud se změnilo jméno zóny, je potřeba přepočítat DS hash.  Pro "detaily" vizte https://datatracker.ietf.org/doc/html/rfc4034#section-5.1.4
Název: Re:DNSSEC přestal fungovat a doména neresolvuje
Přispěvatel: Rhinox 14. 07. 2022, 13:08:21
Pod "jmenem zony" predpokladam myslis nazev domeny, v mem priklade "example.com", je tak? To se samozrejme nemenilo...
Název: Re:DNSSEC přestal fungovat a doména neresolvuje
Přispěvatel: Ondřej Caletka 14. 07. 2022, 13:18:35
Těžko říct, co se mohlo rozbít. Asi je potřeba začít se bavit o konkrétním názvu zóny. Taky bych asi vyzkoušel prohledat logy a vyzkoušet na danou zónu dig <jméno zóny> DNSKEY @<jméno serveru> aby bylo vidět, proč server nevrací příslušný klíč.