Re: [lmn] IpFire DNS Probleme ab Version 106
hALLO Dominik, hallo Jens,
Hier haben zwei weitere probleme und vllt. eine Lösung.
https://ask.linuxmuster.net/t/updates-ipfire-dnssec/198
könnt Ihr euch dort melden?
Ist das dort eine Lösung, die weniger invasiv ist?
Es ist auch völlig unklar, wie viele das hier betrifft.
Grüße, Tobias
Am 15.12.2016 um 20:51 schrieb Jens Baumgärtner:
> Hallo zusammen,
>
> ich habe jetzt in den Tiefen von unbound gestochert.
> Laut
>
> https://www.unbound.net/documentation/howto_turnoff_dnssec.html
>
> Kann man das ganze dnssec-Gedöns ausschalten. Leider bringt das
> zunächst mal nichts, da der ipfire in seinem Startscript bereits vorab
> die DNS-Server, die nicht qualifiziert sind, rausfiltert. Ich habe dann
> mal dem Startscript das raussfiltern abgewöhnt:
>
> /etc/init.d/unbound
>
> ---
>
> test_name_server() {
> local ns=${1}
>
> # Return codes:
> # 0DNSSEC validating
> # 1Error: unreachable, etc.
> # 2DNSSEC aware
> # 3NOT DNSSEC-aware
> ***return 2*
>
> (...)
>
> # Is DNSSEC-aware
>
> return 2
>
> }
>
> ---
>
>
> in der /etc/unbound/unbound.conf habe ich dann noch ipsec abgeschaltet.
> Ich habe grade keine Lusrt mehr auf weiteres Testen - wer will schaue mal
> nach, welche der zwei Optionen minimal geändert werden müssen, damit
> das jetzt mal tut:
>
> ---
>
> (...)
> # DNSSEC
> auto-trust-anchor-file: "/var/lib/unbound/root.key"
> *# geaendert 2016/12/15: von no auf yesval-permissive-mode:
> yes***val-clean-additional: yes
> val-log-level: 1
>
> # Hardening Options
> harden-glue: yes
> harden-short-bufsize: no
> harden-large-queries: yes
> *# geaendet 2016/12/14: yes auf no*
> *harden-dnssec-stripped: no*
>
> (...)
>
> ---
>
> Danach habe ich von den OpenDNS-Servern wieder antwort auf dem
> ipFire bekommen :-)
>
>
>
> Grüße
>
> Jens Baumgärtner
> Harzreißerstraße 7
> 72250 Freudenstadt
> Tel. 07441/952050
> FAX: 03212 1216120
>
> Am 15.12.2016 um 19:07 schrieb Jens Baumgärtner:
>> Hallo zusammen,
>>
>> ich habe heute mehrere Stunden lang probiert, dem unbound beizubringen, dass
>> er nicht so strikt DNSSEC machen soll - leider ohne Erfolg. Mein Ansatz wäre
>> jetzt,
>> einen dnsmasq vorzuschalten, der den ipFire dann DNSSEC-gesichert mit den
>> Antworten von OpenDNS versorgt. Ist halt mal wieder total unnötig - aber so
>> ist das ja immer mit den Verschlimmbesserungen.
>>
>>
>> Grüße
>>
>> Jens Baumgärtner
>> Harzreißerstraße 7
>> 72250 Freudenstadt
>> Tel. 07441/952050
>> FAX: 03212 1216120
>>
>> Am 06.12.2016 um 19:27 schrieb Michael Hagedorn:
>>> Hi.
>>>
dann mach erstmal kein Update. Wenn es irgendwann wieder gehen sollte
>>> gibt's Neuigkeiten in dieser Sache? Ich würde auch nur höchst ungern auf
>>> OpenDNS verzichten -- auch wenn wir hier schon eine Diskussion hatten,
>>> das schleunigst wieder abzustellen.
>>>
>>> Bis später,
>>> Michael
>>>
>>> ___
>>> linuxmuster-user mailing list
>>> linuxmuster-user@lists.linuxmuster.net
>>> https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user
>>>
>>
>>
>>
>> ___
>> linuxmuster-user mailing list
>> linuxmuster-user@lists.linuxmuster.net
>> https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user
>
>
>
> ___
> linuxmuster-user mailing list
> linuxmuster-user@lists.linuxmuster.net
> https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user
>
--
Humboldt Gymnasium Karlsruhe
___
linuxmuster-user mailing list
linuxmuster-user@lists.linuxmuster.net
https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user
Re: [lmn] IpFire DNS Probleme ab Version 106
Hallo, will mich ebenfalls anschließen, auch wir verwenden OpenDNS. Wäre schön, wenn das eingepflegt würde. Nach der Nachricht mit den Problemen habe ich erst mal auf ein Update verzichtet, dafür auch danke. Jürgen Am 16. Dezember 2016 um 19:30 schrieb Michael Hagedorn < michael.haged...@leoninum.org>: > > Hi. > Es gibt ja das Script linuxmuster-ipfire -- werden diese Änderungen dann > da für kommende Versionen eingepflegt? Mir wäre es schon wichtig, auch > weiterhin opendns nutzen zu können. Mit Facebook und Co haben wir > seitdem in der Schule keinen Stress mehr... > > Michael > > > ___ > linuxmuster-user mailing list > linuxmuster-user@lists.linuxmuster.net > https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user > ___ linuxmuster-user mailing list linuxmuster-user@lists.linuxmuster.net https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user
Re: [lmn] IpFire DNS Probleme ab Version 106
Hallo zusammen,
ich habe jetzt in den Tiefen von unbound gestochert.
Laut
https://www.unbound.net/documentation/howto_turnoff_dnssec.html
Kann man das ganze dnssec-Gedöns ausschalten. Leider bringt das
zunächst mal nichts, da der ipfire in seinem Startscript bereits vorab
die DNS-Server, die nicht qualifiziert sind, rausfiltert. Ich habe dann
mal dem Startscript das raussfiltern abgewöhnt:
/etc/init.d/unbound
---
test_name_server() {
local ns=${1}
# Return codes:
# 0DNSSEC validating
# 1Error: unreachable, etc.
# 2DNSSEC aware
# 3NOT DNSSEC-aware
***return 2*
(...)
# Is DNSSEC-aware
return 2
}
---
in der /etc/unbound/unbound.conf habe ich dann noch ipsec abgeschaltet.
Ich habe grade keine Lusrt mehr auf weiteres Testen - wer will schaue mal
nach, welche der zwei Optionen minimal geändert werden müssen, damit
das jetzt mal tut:
---
(...)
# DNSSEC
auto-trust-anchor-file: "/var/lib/unbound/root.key"
*# geaendert 2016/12/15: von no auf yesval-permissive-mode: yes***
val-clean-additional: yes
val-log-level: 1
# Hardening Options
harden-glue: yes
harden-short-bufsize: no
harden-large-queries: yes
*# geaendet 2016/12/14: yes auf no*
*harden-dnssec-stripped: no*
(...)
---
Danach habe ich von den OpenDNS-Servern wieder antwort auf dem
ipFire bekommen :-)
Grüße
Jens Baumgärtner
Harzreißerstraße 7
72250 Freudenstadt
Tel. 07441/952050
FAX: 03212 1216120
Am 15.12.2016 um 19:07 schrieb Jens Baumgärtner:
> Hallo zusammen,
>
> ich habe heute mehrere Stunden lang probiert, dem unbound beizubringen, dass
> er nicht so strikt DNSSEC machen soll - leider ohne Erfolg. Mein Ansatz wäre
> jetzt,
> einen dnsmasq vorzuschalten, der den ipFire dann DNSSEC-gesichert mit den
> Antworten von OpenDNS versorgt. Ist halt mal wieder total unnötig - aber so
> ist das ja immer mit den Verschlimmbesserungen.
>
>
> Grüße
>
> Jens Baumgärtner
> Harzreißerstraße 7
> 72250 Freudenstadt
> Tel. 07441/952050
> FAX: 03212 1216120
>
> Am 06.12.2016 um 19:27 schrieb Michael Hagedorn:
>> Hi.
>>
>>> dann mach erstmal kein Update. Wenn es irgendwann wieder gehen sollte
>> gibt's Neuigkeiten in dieser Sache? Ich würde auch nur höchst ungern auf
>> OpenDNS verzichten -- auch wenn wir hier schon eine Diskussion hatten,
>> das schleunigst wieder abzustellen.
>>
>> Bis später,
>> Michael
>>
>> ___
>> linuxmuster-user mailing list
>> linuxmuster-user@lists.linuxmuster.net
>> https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user
>>
>
>
>
> ___
> linuxmuster-user mailing list
> linuxmuster-user@lists.linuxmuster.net
> https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user
smime.p7s
Description: S/MIME Cryptographic Signature
___
linuxmuster-user mailing list
linuxmuster-user@lists.linuxmuster.net
https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user
Re: [lmn] IpFire DNS Probleme ab Version 106
Hi. > dann mach erstmal kein Update. Wenn es irgendwann wieder gehen sollte gibt's Neuigkeiten in dieser Sache? Ich würde auch nur höchst ungern auf OpenDNS verzichten -- auch wenn wir hier schon eine Diskussion hatten, das schleunigst wieder abzustellen. Bis später, Michael ___ linuxmuster-user mailing list linuxmuster-user@lists.linuxmuster.net https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user
Re: [lmn] IpFire DNS Probleme ab Version 106
Hallo Dominik, dann mach erstmal kein Update. Wenn es irgendwann wieder gehen sollte oder jemand hat ne Lösung, bitte auch posten. Viele Grüße Jürgen Am 14.11.2016 7:53 nachm. schrieb "Dominik Förderer" < administra...@windeck-gymnasium.de>: > Hallo, > > ich filtere https durch Opendns, d.h. ich habe im IPFire opendns als DNS > eingetragen. Das hat Jahre super zuverlässig funktioniert. Seit einer > Woche geht das nicht mehr und ich habe Stunden damit verbracht > herauszufinden warum...die Lösung findet sich im IPFire ab Version 106: > > http://www.ipfire.org/news/ipfire-2-19-core-update-106-released > > Dnsmasq wurde durch unbound ersetzt, was dazu führt, dass nun DNSSEC > wesentlich strikter durchgesetzt wird. Opendns provided kein DNSSEC und > der ipfire "weigert" sich daher diesen DNS zu benutzen und fällt in > einen "local recursor" mode. Das mag sicherer sein aber es nervt, weil > meine komplette Filterstrategie damit futsch ist...ich bin jetzt auf > Version 105 zurückgegangen. > > Vielleicht hilft diese Info euch auch...ich weiß dass auch einige andere > von euch Opendns benutzen. > > Gruß > > Dominik > > > -- > Windeck-Gymnasium Bühl (Netzwerkbetreuung) > Dominik Förderer > Humboldtstr. 3 > 77815 Bühl > Tel.: 07223/940956 > Web.: http://www.windeck-gymnasium.de > ___ > linuxmuster-user mailing list > linuxmuster-user@lists.linuxmuster.net > https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user > ___ linuxmuster-user mailing list linuxmuster-user@lists.linuxmuster.net https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user
[lmn] IpFire DNS Probleme ab Version 106
Hallo, ich filtere https durch Opendns, d.h. ich habe im IPFire opendns als DNS eingetragen. Das hat Jahre super zuverlässig funktioniert. Seit einer Woche geht das nicht mehr und ich habe Stunden damit verbracht herauszufinden warum...die Lösung findet sich im IPFire ab Version 106: http://www.ipfire.org/news/ipfire-2-19-core-update-106-released Dnsmasq wurde durch unbound ersetzt, was dazu führt, dass nun DNSSEC wesentlich strikter durchgesetzt wird. Opendns provided kein DNSSEC und der ipfire "weigert" sich daher diesen DNS zu benutzen und fällt in einen "local recursor" mode. Das mag sicherer sein aber es nervt, weil meine komplette Filterstrategie damit futsch ist...ich bin jetzt auf Version 105 zurückgegangen. Vielleicht hilft diese Info euch auch...ich weiß dass auch einige andere von euch Opendns benutzen. Gruß Dominik -- Windeck-Gymnasium Bühl (Netzwerkbetreuung) Dominik Förderer Humboldtstr. 3 77815 Bühl Tel.: 07223/940956 Web.: http://www.windeck-gymnasium.de ___ linuxmuster-user mailing list linuxmuster-user@lists.linuxmuster.net https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user
