Hallo zusammen, ich habe jetzt in den Tiefen von unbound gestochert. Laut
https://www.unbound.net/documentation/howto_turnoff_dnssec.html Kann man das ganze dnssec-Gedöns ausschalten. Leider bringt das zunächst mal nichts, da der ipfire in seinem Startscript bereits vorab die DNS-Server, die nicht qualifiziert sind, rausfiltert. Ich habe dann mal dem Startscript das raussfiltern abgewöhnt: /etc/init.d/unbound ----------------------------------------------------------- test_name_server() { local ns=${1} # Return codes: # 0 DNSSEC validating # 1 Error: unreachable, etc. # 2 DNSSEC aware # 3 NOT DNSSEC-aware *** return 2* (...) # Is DNSSEC-aware return 2 } ----------------------------------------------------------- in der /etc/unbound/unbound.conf habe ich dann noch ipsec abgeschaltet. Ich habe grade keine Lusrt mehr auf weiteres Testen - wer will schaue mal nach, welche der zwei Optionen minimal geändert werden müssen, damit das jetzt mal tut: ----------------------------------------------------------- (...) # DNSSEC auto-trust-anchor-file: "/var/lib/unbound/root.key" * # geaendert 2016/12/15: von no auf yes**** val-permissive-mode: yes*** val-clean-additional: yes val-log-level: 1 # Hardening Options harden-glue: yes harden-short-bufsize: no harden-large-queries: yes * # geaendet 2016/12/14: yes auf no* * harden-dnssec-stripped: no* (...) ----------------------------------------------------------- Danach habe ich von den OpenDNS-Servern wieder antwort auf dem ipFire bekommen :-) Grüße Jens Baumgärtner Harzreißerstraße 7 72250 Freudenstadt Tel. 07441/952050 FAX: 03212 1216120 Am 15.12.2016 um 19:07 schrieb Jens Baumgärtner: > Hallo zusammen, > > ich habe heute mehrere Stunden lang probiert, dem unbound beizubringen, dass > er nicht so strikt DNSSEC machen soll - leider ohne Erfolg. Mein Ansatz wäre > jetzt, > einen dnsmasq vorzuschalten, der den ipFire dann DNSSEC-gesichert mit den > Antworten von OpenDNS versorgt. Ist halt mal wieder total unnötig - aber so > ist das ja immer mit den Verschlimmbesserungen. > > > Grüße > > Jens Baumgärtner > Harzreißerstraße 7 > 72250 Freudenstadt > Tel. 07441/952050 > FAX: 03212 1216120 > > Am 06.12.2016 um 19:27 schrieb Michael Hagedorn: >> Hi. >> >>> dann mach erstmal kein Update. Wenn es irgendwann wieder gehen sollte >> gibt's Neuigkeiten in dieser Sache? Ich würde auch nur höchst ungern auf >> OpenDNS verzichten -- auch wenn wir hier schon eine Diskussion hatten, >> das schleunigst wieder abzustellen. >> >> Bis später, >> Michael >> >> _______________________________________________ >> linuxmuster-user mailing list >> [email protected] >> https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user >> > > > > _______________________________________________ > linuxmuster-user mailing list > [email protected] > https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user
smime.p7s
Description: S/MIME Cryptographic Signature
_______________________________________________ linuxmuster-user mailing list [email protected] https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user
