[Unbound] DNSSEC test geeft altijd SERVFAIL - Netwerken

Vraag

woensdag 8 februari 2023 17:50

Acties:

0 Henk 'm!

EverLast2002

Topicstarter

Mijn vraag

Ik heb Unbound (poort 5335) draaien thuis in combinatie met AdGuard Home (poort 53).
Probleem is wanneer ik de bekende DNSSEC test uitvoer op de Unbound host,
ik met sigfail als met sigok een SERVFAIL respons krijg en geen bijbehorend IP adres.
Daarbij geeft Unbound ook nog een "communications error to 127.0.0.1#5335: connection refused"
In de Unbound.conf file heb ik de root.hints lokatie gezet, en ik heb nog een root.key gegeneerd.
Unbound start en draait zonder errors maar de DNSSEC test faalt.

Relevante software en hardware die ik gebruik

Alpine Linux 3.17 (LXC)
AdGuard Home
Unbound 1.17.1

Wat ik al gevonden of geprobeerd heb

Google
NLnet Labs website
Unbound man page
dig sigfail.verteiltesysteme.net @127.0.0.1 -p 5335
dig sigok.verteiltesysteme.net @127.0.0.1 -p 5335

Beste antwoord (via EverLast2002 op 08-02-2023 19:59)

woensdag 8 februari 2023 18:51

deHakkelaar

EverLast2002 schreef op woensdag 8 februari 2023 @ 17:50:
dig sigfail.verteiltesysteme.net @127.0.0.1 -p 5335
dig sigok.verteiltesysteme.net @127.0.0.1 -p 5335

Boven werken niet meer.
Onder kun je gebruiken om te testen:

$ dig fail01.dnssec.works @localhost -p 5335
[..]
;; ->>HEADER<<- opcode: QUERY, status: SERVFAIL, id: 27045
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 1
[..]

$ dig dnssec.works @localhost -p 5335
[..]
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 56770
;; flags: qr rd ra ad; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1
[..]
;; ANSWER SECTION:
dnssec.works.           3600    IN      A       5.45.107.88
[..]

Oude instructies nog?

There are only 10 types of people in the world: those who understand binary, and those who don't

Alle reacties

woensdag 8 februari 2023 18:51

Acties:

Beste antwoord ✓
+1 Henk 'm!

deHakkelaar

EverLast2002 schreef op woensdag 8 februari 2023 @ 17:50:
dig sigfail.verteiltesysteme.net @127.0.0.1 -p 5335
dig sigok.verteiltesysteme.net @127.0.0.1 -p 5335

Boven werken niet meer.
Onder kun je gebruiken om te testen:

$ dig fail01.dnssec.works @localhost -p 5335
[..]
;; ->>HEADER<<- opcode: QUERY, status: SERVFAIL, id: 27045
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 1
[..]

$ dig dnssec.works @localhost -p 5335
[..]
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 56770
;; flags: qr rd ra ad; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1
[..]
;; ANSWER SECTION:
dnssec.works.           3600    IN      A       5.45.107.88
[..]

Oude instructies nog?

There are only 10 types of people in the world: those who understand binary, and those who don't

woensdag 8 februari 2023 20:03

Acties:

+1 Henk 'm!

EverLast2002

Topicstarter

Instructies waren van november 2022...
(veel Google zoekresultaten geven nog die sigfail en sigok om te testen)

Jouw tips werkten bij mij dus wel. Thanks!
Die dnssec.works en fail01.dnssec.works testen prima hier.

woensdag 8 februari 2023 20:16

Acties:

0 Henk 'm!

deHakkelaar

November ... das grappig.
Tweede hit op google:
https://www.google.com/se...%3Agathering.tweakers.net

Zie datum van mijn commentaar

Mochten de zoekresultaten anders zijn:
deHakkelaar in "[Pi-Hole] Ervaringen & discussie"

There are only 10 types of people in the world: those who understand binary, and those who don't

woensdag 8 februari 2023 20:31

Acties:

0 Henk 'm!

EverLast2002

Topicstarter

deHakkelaar schreef op woensdag 8 februari 2023 @ 20:16:
November ... das grappig.
Tweede hit op google:
https://www.google.com/se...%3Agathering.tweakers.net

Zie datum van mijn commentaar

Mochten de zoekresultaten anders zijn:
deHakkelaar in "[Pi-Hole] Ervaringen & discussie"

02 november 2022: https://www.wundertech.ne...i-hole-on-a-raspberry-pi/

woensdag 8 februari 2023 20:37

Acties:

0 Henk 'm!

deHakkelaar

Dat is een beetje het probleem met dit soort blog achtige instructies.
Ze kunnen snel verouderen.
Dingen gaan soms snel

EDIT: Ik moest ook denken aan de vele YT instructie filmpjes die nu niet meer kloppen

EDIT2: YouTube: Use Unbound to Enhance the Privacy of Pi-Hole on a Raspberry Pi!

[ Voor 50% gewijzigd door deHakkelaar op 08-02-2023 20:58 ]

There are only 10 types of people in the world: those who understand binary, and those who don't

woensdag 8 februari 2023 21:00

Acties:

0 Henk 'm!

EverLast2002

Topicstarter

Was ik nog vergeten in mijn openingspost te noemen:
https://dnscheck.tools/

Deze gaf elke keer een positieve uitslag, terwijl die sigfail en sigok beide niet deden.
Toen wist ik het even niet meer...

-edit: oh, die connection error blijft wel terugkomen trouwens.....

[ Voor 14% gewijzigd door EverLast2002 op 08-02-2023 21:05 ]

woensdag 8 februari 2023 21:22

Acties:

0 Henk 'm!

deHakkelaar

EverLast2002 schreef op woensdag 8 februari 2023 @ 21:00:
-edit: oh, die connection error blijft wel terugkomen trouwens.....

Dan zou ik de verbosity van unbound logging verhogen en de logs checken om te zien wat fout gaat:

$ sudo grep verbosity -R /etc/unbound/
/etc/unbound/unbound.conf.d/pi-hole.conf:    verbosity: 0

$ man unbound.conf
[..]
   Server Options
       These options are part of the server: clause.

       verbosity: <number>
              The verbosity number, level 0 means no verbosity, only  er‐
              rors.  Level 1 gives operational information. Level 2 gives
              detailed operational information. Level 3 gives query level
              information,  output  per  query.   Level 4 gives algorithm
              level information.  Level 5 logs client identification  for
              cache  misses.  Default is level 1.  The verbosity can also
              be increased from the commandline, see unbound(8).

EDIT: Ow en wat geeft onder?

code:

1	sudo grep -v '^$\\|^ #' -R /etc/unbound/unbound.conf

[ Voor 4% gewijzigd door deHakkelaar op 08-02-2023 21:28 ]

There are only 10 types of people in the world: those who understand binary, and those who don't

woensdag 8 februari 2023 21:51

Acties:

+1 Henk 'm!

deHakkelaar

@EverLast2002 , ow ik merk dat ie bij mij ook vaak een connection timed out geeft:

$ dig fail01.dnssec.works @localhost -p 5335

; <<>> DiG 9.16.22-Raspbian <<>> fail01.dnssec.works @localhost -p 5335
;; global options: +cmd
;; connection timed out; no servers could be reached

Ik vermoed dat je toch op IP moet adresseren ipv de localhost naam dus:

code:

1	dig fail01.dnssec.works @127.0.0.1 -p 5335

code:

1	dig dnssec.works @127.0.0.1 -p 5335

Dit ivm:

$ cat /etc/hosts
127.0.0.1       localhost
::1             localhost ip6-localhost ip6-loopback

En alleen IPv4:

$ sudo ss -nltup sport = 5335
Netid    State     Recv-Q    Send-Q        Local Address:Port         Peer Address:Port    Process
udp      UNCONN    0         0                 127.0.0.1:5335              0.0.0.0:*        users:(("unbound",pid=322,fd=3))
tcp      LISTEN    0         256               127.0.0.1:5335              0.0.0.0:*        users:(("unbound",pid=322,fd=4))

Laat me weten ofdat je dan nog steeds problemen hebt?

There are only 10 types of people in the world: those who understand binary, and those who don't

woensdag 8 februari 2023 22:00

Acties:

+1 Henk 'm!

deHakkelaar

Ach laat maar:

$ dig fail01.dnssec.works @127.0.0.1 -p 5335

; <<>> DiG 9.16.22-Raspbian <<>> fail01.dnssec.works @127.0.0.1 -p 5335
;; global options: +cmd
;; connection timed out; no servers could be reached

Geen idee wat aan de hand is maar het ziet er niet betrouwbaar uit

There are only 10 types of people in the world: those who understand binary, and those who don't

Pagina: 1

Reageer