Toon posts:

[Unbound] DNSSEC test geeft altijd SERVFAIL

Pagina: 1
Acties:

Vraag


  • EverLast2002
  • Registratie: Maart 2013
  • Laatst online: 23:27
Mijn vraag

Ik heb Unbound (poort 5335) draaien thuis in combinatie met AdGuard Home (poort 53).
Probleem is wanneer ik de bekende DNSSEC test uitvoer op de Unbound host,
ik met sigfail als met sigok een SERVFAIL respons krijg en geen bijbehorend IP adres.
Daarbij geeft Unbound ook nog een "communications error to 127.0.0.1#5335: connection refused"
In de Unbound.conf file heb ik de root.hints lokatie gezet, en ik heb nog een root.key gegeneerd.
Unbound start en draait zonder errors maar de DNSSEC test faalt.

Relevante software en hardware die ik gebruik

Alpine Linux 3.17 (LXC)
AdGuard Home
Unbound 1.17.1

Wat ik al gevonden of geprobeerd heb

Google
NLnet Labs website
Unbound man page
dig sigfail.verteiltesysteme.net @127.0.0.1 -p 5335
dig sigok.verteiltesysteme.net @127.0.0.1 -p 5335

Beste antwoord (via EverLast2002 op 08-02-2023 19:59)


  • deHakkelaar
  • Registratie: Februari 2015
  • Laatst online: 21-03 15:11
EverLast2002 schreef op woensdag 8 februari 2023 @ 17:50:
dig sigfail.verteiltesysteme.net @127.0.0.1 -p 5335
dig sigok.verteiltesysteme.net @127.0.0.1 -p 5335
Boven werken niet meer.
Onder kun je gebruiken om te testen:
$ dig fail01.dnssec.works @localhost -p 5335
[..]
;; ->>HEADER<<- opcode: QUERY, status: SERVFAIL, id: 27045
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 1
[..]

$ dig dnssec.works @localhost -p 5335
[..]
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 56770
;; flags: qr rd ra ad; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1
[..]
;; ANSWER SECTION:
dnssec.works.           3600    IN      A       5.45.107.88
[..]

Oude instructies nog?

There are only 10 types of people in the world: those who understand binary, and those who don't

Alle reacties


Acties:
  • Beste antwoord
  • +1Henk 'm!

  • deHakkelaar
  • Registratie: Februari 2015
  • Laatst online: 21-03 15:11
EverLast2002 schreef op woensdag 8 februari 2023 @ 17:50:
dig sigfail.verteiltesysteme.net @127.0.0.1 -p 5335
dig sigok.verteiltesysteme.net @127.0.0.1 -p 5335
Boven werken niet meer.
Onder kun je gebruiken om te testen:
$ dig fail01.dnssec.works @localhost -p 5335
[..]
;; ->>HEADER<<- opcode: QUERY, status: SERVFAIL, id: 27045
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 1
[..]

$ dig dnssec.works @localhost -p 5335
[..]
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 56770
;; flags: qr rd ra ad; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1
[..]
;; ANSWER SECTION:
dnssec.works.           3600    IN      A       5.45.107.88
[..]

Oude instructies nog?

There are only 10 types of people in the world: those who understand binary, and those who don't


  • EverLast2002
  • Registratie: Maart 2013
  • Laatst online: 23:27
Instructies waren van november 2022...
(veel Google zoekresultaten geven nog die sigfail en sigok om te testen)

Jouw tips werkten bij mij dus wel. Thanks!
Die dnssec.works en fail01.dnssec.works testen prima hier.

  • deHakkelaar
  • Registratie: Februari 2015
  • Laatst online: 21-03 15:11
November ... das grappig.
Tweede hit op google:
https://www.google.com/se...%3Agathering.tweakers.net

Zie datum van mijn commentaar ;)

Mochten de zoekresultaten anders zijn:
deHakkelaar in "[Pi-Hole] Ervaringen & discussie"

There are only 10 types of people in the world: those who understand binary, and those who don't


  • EverLast2002
  • Registratie: Maart 2013
  • Laatst online: 23:27

  • deHakkelaar
  • Registratie: Februari 2015
  • Laatst online: 21-03 15:11
Dat is een beetje het probleem met dit soort blog achtige instructies.
Ze kunnen snel verouderen.
Dingen gaan soms snel ;)

EDIT: Ik moest ook denken aan de vele YT instructie filmpjes die nu niet meer kloppen :D
EDIT2: YouTube: Use Unbound to Enhance the Privacy of Pi-Hole on a Raspberry Pi!

[Voor 50% gewijzigd door deHakkelaar op 08-02-2023 20:58]

There are only 10 types of people in the world: those who understand binary, and those who don't


  • EverLast2002
  • Registratie: Maart 2013
  • Laatst online: 23:27
Was ik nog vergeten in mijn openingspost te noemen:
https://dnscheck.tools/

Deze gaf elke keer een positieve uitslag, terwijl die sigfail en sigok beide niet deden.
Toen wist ik het even niet meer...

-edit: oh, die connection error blijft wel terugkomen trouwens.....

[Voor 14% gewijzigd door EverLast2002 op 08-02-2023 21:05]


  • deHakkelaar
  • Registratie: Februari 2015
  • Laatst online: 21-03 15:11
EverLast2002 schreef op woensdag 8 februari 2023 @ 21:00:
-edit: oh, die connection error blijft wel terugkomen trouwens.....
Dan zou ik de verbosity van unbound logging verhogen en de logs checken om te zien wat fout gaat:
$ sudo grep verbosity -R /etc/unbound/
/etc/unbound/unbound.conf.d/pi-hole.conf:    verbosity: 0

$ man unbound.conf
[..]
   Server Options
       These options are part of the server: clause.

       verbosity: <number>
              The verbosity number, level 0 means no verbosity, only  er‐
              rors.  Level 1 gives operational information. Level 2 gives
              detailed operational information. Level 3 gives query level
              information,  output  per  query.   Level 4 gives algorithm
              level information.  Level 5 logs client identification  for
              cache  misses.  Default is level 1.  The verbosity can also
              be increased from the commandline, see unbound(8).


EDIT: Ow en wat geeft onder?
code:
1
sudo grep -v '^$\|^ *#' -R /etc/unbound/unbound.conf*

[Voor 4% gewijzigd door deHakkelaar op 08-02-2023 21:28]

There are only 10 types of people in the world: those who understand binary, and those who don't


  • deHakkelaar
  • Registratie: Februari 2015
  • Laatst online: 21-03 15:11
@EverLast2002 , ow ik merk dat ie bij mij ook vaak een connection timed out geeft:
$ dig fail01.dnssec.works @localhost -p 5335

; <<>> DiG 9.16.22-Raspbian <<>> fail01.dnssec.works @localhost -p 5335
;; global options: +cmd
;; connection timed out; no servers could be reached

Ik vermoed dat je toch op IP moet adresseren ipv de localhost naam dus:
code:
1
dig fail01.dnssec.works @127.0.0.1 -p 5335

&
code:
1
dig dnssec.works @127.0.0.1 -p 5335

Dit ivm:
$ cat /etc/hosts
127.0.0.1       localhost
::1             localhost ip6-localhost ip6-loopback

En alleen IPv4:
$ sudo ss -nltup sport = 5335
Netid    State     Recv-Q    Send-Q        Local Address:Port         Peer Address:Port    Process
udp      UNCONN    0         0                 127.0.0.1:5335              0.0.0.0:*        users:(("unbound",pid=322,fd=3))
tcp      LISTEN    0         256               127.0.0.1:5335              0.0.0.0:*        users:(("unbound",pid=322,fd=4))

Laat me weten ofdat je dan nog steeds problemen hebt?

There are only 10 types of people in the world: those who understand binary, and those who don't


  • deHakkelaar
  • Registratie: Februari 2015
  • Laatst online: 21-03 15:11
Ach laat maar:
$ dig fail01.dnssec.works @127.0.0.1 -p 5335

; <<>> DiG 9.16.22-Raspbian <<>> fail01.dnssec.works @127.0.0.1 -p 5335
;; global options: +cmd
;; connection timed out; no servers could be reached

Geen idee wat aan de hand is maar het ziet er niet betrouwbaar uit ;)

There are only 10 types of people in the world: those who understand binary, and those who don't

Pagina: 1


Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee