• Apfeltalk ändert einen Teil seiner Allgemeinen Geschäftsbedingungen (AGB), das Löschen von Useraccounts betreffend.
    Näheres könnt Ihr hier nachlesen: AGB-Änderung
  • Was gibt es Schöneres als den Mai draußen in der Natur mit allen Sinnen zu genießen? Lasst uns teilhaben an Euren Erlebnissen und macht mit beim Thema des Monats Da blüht uns was! ---> Klick

[10.6 Snow Leopard] DNSSec einrichten?

stk

stk

Grünapfel
Registriert
05.01.04
Beiträge
7.141
Moin,

seit dem letzten FW-Update meiner FritzBox 7270 auf xx.04.86 steigt mir regelmässig mein DNS aus. Offenbar scheint die Einführung von DNSSec, resp. IPv6 in der FW dafür verantwortlich zu sein. Die Fehlermeldungen des bind lassen zumindest den Schluß zu. Wahlweise erscheint:

Code: 
success resolving 'anfgefragte.fqdn.com/AAAA' (in 'anfgefragte.fqdn.com'?) after reducing the advertised EDNS UDP packet size to 512 octets

oder

Code: 
success resolving 'anfgefragte.fqdn.com/AAAA' (in 'anfgefragte.fqdn.com'?) after disabling EDNS

wo hingegen IPv6 Anfragen komplett in den Wald gehen:

Code: 
host unreachable resolving 'anfgefragte.fqdn.com/A/IN': 2001:503:231d::2:30#53

Der DNS läuft erstmal erkennbar normal, Anfragen nach lokalen Adressen (über dig) werden korrekt aufgelöst:

Code: 
dig mail.redaktiv.lan

; <<>> DiG 9.6.0-APPLE-P2 <<>> mail.redaktiv.lan
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 19530
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 1, ADDITIONAL: 0

;; QUESTION SECTION:
;mail.redaktiv.lan.		IN	A

;; ANSWER SECTION:
mail.redaktiv.lan.	86400	IN	CNAME	server.redaktiv.lan.
server.redaktiv.lan.	86400	IN	A	192.168.2.111

;; AUTHORITY SECTION:
redaktiv.lan.		86400	IN	NS	server.redaktiv.lan.

;; Query time: 9 msec
;; SERVER: 192.168.2.111#53(192.168.2.111)
;; WHEN: Wed Nov 10 14:17:50 2010
;; MSG SIZE  rcvd: 86

externe Adressen löst die FB richtig auf:

Code: 
dig focus.de

; <<>> DiG 9.6.0-APPLE-P2 <<>> focus.de
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 28277
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0

;; QUESTION SECTION:
;focus.de.			IN	A

;; ANSWER SECTION:
focus.de.		2978	IN	A	193.201.12.55

;; Query time: 9 msec
;; SERVER: 192.168.2.254#53(192.168.2.254)
;; WHEN: Wed Nov 10 14:18:27 2010
;; MSG SIZE  rcvd: 42

versuche ich jedoch besagte interne Adresse in den Browser zu packen fliegt sie mir um die Ohren. Irgendjemand mit Lösungsvorschlag? Wie kriegt man dem 10.6.4er bind (9.1) DNSSec beigebogen und gleich noch die IPv6 Unterstützung?

Gruß Stefan
 
stk

stk

Grünapfel
Registriert
05.01.04
Beiträge
7.141
Moin,

bin an der Ecke einen Schritt weiter und ich kann mit Sicherheit sagen, dass die DNSSec-Funktion der FritzBox sich nicht mit dem OS X Server verträgt. Bei mir werkelt zwischenzeitlich 10.6.5, aber im Prinzip sollte jede bind9 Installation davon betroffen sein. Ich habe die FB auf .80 downgegradet, verliere dabei die hübsche Oberfläche und muß für den iPhone-Client den Backgrounder einsetzen, aber so what … der Rest läuft wieder super stabil und zuverlässig. Meine interne Namensauflösung funktioniert und der DNS-Log quillt nicht mehr über.

IPv6 ist in meiner 7270v1 gar nicht drin, so dass hier auch kein Fehler vorliegen kann. Soweit ich das in anderen Boxen gesehen habe, gibt es in der Admin-Oberfläche der 7270 auch einen entsprechenden Reiter in dem für IPv6 Einstellungen getroffen werden können.

Von anderen habe ich von erhebliche Probleme beim WLAN-Empfang, der Zuverlässigkeit bei DECT-Verbindungen (da hatte ich auch ein paar Issues) bis hin zu Komplettabstürzen der Fritzbox gehört. Kann das da draussen jemand bestätigen. Allgemein scheint die .86 damit wohl kein allzugroßer Wurf gewesen zu sein :oops:

Gruß Stefan
 

tttt

Erdapfel
Registriert
24.01.11
Beiträge
1
Moin,

ich hatte genau das gleiche Problem.
Anstatt ein altes Image auf die Fritzbox zu übertragen, kann man auch einen anderen forward DNS Server im Bind eintragen.
Benutze jetzt den Public DNS von Google (http://code.google.com/intl/de-DE/speed/public-dns/) und habe noch kein Problem festgestellt.


Gruß
Thorben
 

nerdbeere

Weigelts Zinszahler (Rotfranch)
Registriert
22.03.10
Beiträge
244
---
Also wenn ich DNSSEC höre, dann muss ich immer an djb denken und was er auf dem letzten ChaosComputerCongress (27C3) gesagt hat...
---
 
stk

stk

Grünapfel
Registriert
05.01.04
Beiträge
7.141
Moin,

tttt schrieb:
Anstatt ein altes Image auf die Fritzbox zu übertragen, kann man auch einen anderen forward DNS Server im Bind eintragen.
Benutze jetzt den Public DNS von Google (http://code.google.com/intl/de-DE/speed/public-dns/) und habe noch kein Problem festgestellt.
Zum Vergrößern anklicken....

yep - das scheint mir der beste Weg zu sein. Hab zwischenzeitlich auch wieder FW xx.xx.88 im Einsatz und OpenDNS als Forwarder im OS X Server eingetragen. Keine Probleme an der DNSSec-Ecke bisher. Als kleinen Nebeneffekt hab ich durch OpenDNS auch noch ein paar Filter für die Kids und schon nach einem Tag die Rückmeldung, dass der meiste DNS-Traffic durch meine (an sich ziemlich ungenutzte) Fonera entsteht :oops:. Dem Ding werd' ich wohl mal den Saft rauben …

Es verbleiben lediglich ein paar Instabilitäten der FritzBox. Gestern ist das Teil min. 3 x abgestürzt.

nerdbeere schrieb:
---
Also wenn ich DNSSEC höre, dann muss ich immer an djb denken und was er auf dem letzten ChaosComputerCongress (27C3) gesagt hat...
---
Zum Vergrößern anklicken....

Nettes Video, sehr unterhaltsam und informativ - wenn man mal die ersten 12, 13 Minuten geskippt hat …

Egal wie man DNSSec bewerten mag - ich würde bei einer Implementierung in einem Router mal wenigstens einen Schalter ON/OFF dafür erwarten. Sei es um den Bedenken von djb Rechnung zutragen oder einfach nur um Bugs wie oben geschildert auszuschliessen.

Gruß Stefan
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
2003-2024 Apfeltalk | Made on a Mac
Oben Unten