hALLO Dominik, hallo Jens,

Hier haben zwei weitere probleme und vllt. eine Lösung.
https://ask.linuxmuster.net/t/updates-ipfire-dnssec/198
könnt Ihr euch dort melden?
Ist das dort eine Lösung, die weniger invasiv ist?

Es ist auch völlig unklar, wie viele das hier betrifft.

Grüße, Tobias

Am 15.12.2016 um 20:51 schrieb Jens Baumgärtner:
> Hallo zusammen,
> 
> ich habe jetzt in den Tiefen von unbound gestochert.
> Laut
> 
> https://www.unbound.net/documentation/howto_turnoff_dnssec.html
> 
> Kann man das ganze dnssec-Gedöns ausschalten. Leider bringt das
> zunächst mal nichts, da der ipfire in seinem Startscript bereits vorab
> die DNS-Server, die nicht qualifiziert sind, rausfiltert. Ich habe dann
> mal dem Startscript das raussfiltern abgewöhnt:
> 
> /etc/init.d/unbound
> 
> -----------------------------------------------------------
> 
> test_name_server() {
>     local ns=${1}
> 
>     # Return codes:
>     # 0    DNSSEC validating
>     # 1    Error: unreachable, etc.
>     # 2    DNSSEC aware
>     # 3    NOT DNSSEC-aware
> ***    return 2*
> 
> (...)
> 
>     # Is DNSSEC-aware
> 
>     return 2
> 
> }
> 
> -----------------------------------------------------------
> 
> 
> in der /etc/unbound/unbound.conf habe ich dann noch ipsec abgeschaltet.
> Ich habe grade keine Lusrt mehr auf weiteres Testen - wer will schaue mal
> nach, welche der zwei Optionen minimal geändert werden müssen, damit
> das jetzt mal tut:
> 
> -----------------------------------------------------------
> 
> (...)
>     # DNSSEC
>     auto-trust-anchor-file: "/var/lib/unbound/root.key"
> *    # geaendert 2016/12/15: von no auf yes****    val-permissive-mode: 
> yes***    val-clean-additional: yes
>     val-log-level: 1
> 
>     # Hardening Options
>     harden-glue: yes
>     harden-short-bufsize: no
>     harden-large-queries: yes
> *    # geaendet 2016/12/14: yes auf no*
> *    harden-dnssec-stripped: no*
> 
> (...)
> 
> -----------------------------------------------------------
> 
> Danach habe ich von den OpenDNS-Servern wieder antwort auf dem
> ipFire bekommen :-)
> 
> 
> 
> Grüße
> 
> Jens Baumgärtner
> Harzreißerstraße 7
> 72250 Freudenstadt
> Tel. 07441/952050
> FAX: 03212 1216120
> 
> Am 15.12.2016 um 19:07 schrieb Jens Baumgärtner:
>> Hallo zusammen,
>>
>> ich habe heute mehrere Stunden lang probiert, dem unbound beizubringen, dass
>> er nicht so strikt DNSSEC machen soll - leider ohne Erfolg. Mein Ansatz wäre 
>> jetzt,
>> einen dnsmasq vorzuschalten, der den ipFire dann DNSSEC-gesichert mit den
>> Antworten von OpenDNS versorgt. Ist halt mal wieder total unnötig - aber so
>> ist das ja immer mit den Verschlimmbesserungen.
>>
>>
>> Grüße
>>
>> Jens Baumgärtner
>> Harzreißerstraße 7
>> 72250 Freudenstadt
>> Tel. 07441/952050
>> FAX: 03212 1216120
>>
>> Am 06.12.2016 um 19:27 schrieb Michael Hagedorn:
>>> Hi.
>>>
>>>> dann mach erstmal kein Update. Wenn es irgendwann wieder gehen sollte
>>> gibt's Neuigkeiten in dieser Sache? Ich würde auch nur höchst ungern auf
>>> OpenDNS verzichten -- auch wenn wir hier schon eine Diskussion hatten,
>>> das schleunigst wieder abzustellen.
>>>
>>> Bis später,
>>> Michael
>>>
>>> _______________________________________________
>>> linuxmuster-user mailing list
>>> linuxmuster-user@lists.linuxmuster.net
>>> https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user
>>>
>>
>>
>>
>> _______________________________________________
>> linuxmuster-user mailing list
>> linuxmuster-user@lists.linuxmuster.net
>> https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user
> 
> 
> 
> _______________________________________________
> linuxmuster-user mailing list
> linuxmuster-user@lists.linuxmuster.net
> https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user
> 


-- 
Humboldt Gymnasium Karlsruhe
_______________________________________________
linuxmuster-user mailing list
linuxmuster-user@lists.linuxmuster.net
https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user

Antwort per Email an