DNSSEC werkt niet, domein + pfsense

zondag 17 januari 2021 20:39

Acties:

0 Henk 'm!

Topicstarter

Ik draai hier een Windows domein, waarbij de DC (+ DNS) en Pfsense 2.4.5 virtueel draaien op esx7. DC draait Windows server 2019.

Ik gebruik cloudflare 1.1.1.1 (hostname voor DoT = Cloudflare-dns.com) als DNS, ingesteld onder general setup binnen pfsense.

Mijn Windows DNS server gebruikt pfsense als forwarder.

DNSSEC, Enable Forwarding Mode, Use SSL/TLS for outgoing DNS Queries to Forwarding Servers staan aan (onder service / DNS Resolver)

Om de een of andere reden werkt DNSSEC niet. Dit toont o.a. deze website aan:

Https://cloudflare.com/ssl/encrypted-sni

TLS 1.3 & Secure DNS vinkt hij wel groen af.
Maar ik heb verschillende controle sites getest.

Via firewall log zie ik de de DC ook netjes DNS requests aan pfsense doen. En PFsense vervolgens via port 853 aan 1.1.1.1.
Dus de route lijkt mij voor zover ik kan beoordelen goed...

Iemand een idee?

PC1: ASUS B850-Plus WiFi -- 9900X incl. X72 -- 64GB DDR5-6000Mhz -- Kingston Fury Renegade G5 2TB -- HP Z43 | Servers: 2x DELL R730 -- E5-2660 v4 -- 256GB -- Synology DS3617xs: 4x1,92TB SSD RAID F1 -- 6x8TB WD Purple RAID5

zondag 17 januari 2021 21:52

Acties:

0 Henk 'm!

HKLM_

Je hebt op je windows DNS server wel DNSSEC geconfigureerd?

Cloud ☁️

zondag 17 januari 2021 21:53

Acties:

0 Henk 'm!

Operations

Topicstarter

HKLM_ schreef op zondag 17 januari 2021 @ 21:52:
Je hebt op je windows DNS server wel DNSSEC geconfigureerd?

Ja-ish.. ik heb een aantal turorials gevolgd maar lees ook dat DNSSEC out of the box zou moeten werken vanaf 2016.

Maar wat zou ik precies gedaan moeten hebben? Dan kan ik je vertellen of ik dat gedaan heb

PC1: ASUS B850-Plus WiFi -- 9900X incl. X72 -- 64GB DDR5-6000Mhz -- Kingston Fury Renegade G5 2TB -- HP Z43 | Servers: 2x DELL R730 -- E5-2660 v4 -- 256GB -- Synology DS3617xs: 4x1,92TB SSD RAID F1 -- 6x8TB WD Purple RAID5

zondag 17 januari 2021 21:56

Acties:

0 Henk 'm!

HKLM_

Operations schreef op zondag 17 januari 2021 @ 21:53:
[...]

Ja-ish.. ik heb een aantal turorials gevolgd maar lees ook dat DNSSEC out of the box zou moeten werken vanaf 2016.

Maar wat zou ik precies gedaan moeten hebben? Dan kan ik je vertellen of ik dat gedaan heb

Check deze eens

https://newhelptech.wordp...y-in-windows-server-2016/

Cloud ☁️

zondag 17 januari 2021 21:59

Acties:

0 Henk 'm!

Operations

Topicstarter

HKLM_ schreef op zondag 17 januari 2021 @ 21:56:
[...]

Check deze eens

https://newhelptech.wordp...y-in-windows-server-2016/

Nou die heb ik gedaan, vanaf andere site. En daar stond stap 17 niet bij. "Ensure that the DNSKEY resource records display, and that their status is valid."

En dat "ae" map heb ik niet staan onder Trust, dus er is iets niet goed gegaan. Maar ik heb toch echt ook letterlijk gedaan wat er in deze tutorial staat. Qua handelingen dan.

[ Voor 8% gewijzigd door Operations op 17-01-2021 22:04 ]

PC1: ASUS B850-Plus WiFi -- 9900X incl. X72 -- 64GB DDR5-6000Mhz -- Kingston Fury Renegade G5 2TB -- HP Z43 | Servers: 2x DELL R730 -- E5-2660 v4 -- 256GB -- Synology DS3617xs: 4x1,92TB SSD RAID F1 -- 6x8TB WD Purple RAID5

maandag 18 januari 2021 21:46

Acties:

0 Henk 'm!

Operations

Topicstarter

@HKLM_ ,

Wat ik nog even vergeten ben:

Als ik op een client als DNS direct PFSense gebruik, dus niet via de DC dan werkt DNSSEC wel.

Dus het probleem zit hem zeker in de DC (+ DNS Role).

PC1: ASUS B850-Plus WiFi -- 9900X incl. X72 -- 64GB DDR5-6000Mhz -- Kingston Fury Renegade G5 2TB -- HP Z43 | Servers: 2x DELL R730 -- E5-2660 v4 -- 256GB -- Synology DS3617xs: 4x1,92TB SSD RAID F1 -- 6x8TB WD Purple RAID5

Vraag

Alle reacties