FS#10189 : [DNSSEC] Le relais DNS de la Freebox v6 ne passe pas toujours les enregistrements

État Fermée
Pourcentage achevé
100%
Type Anomalie
Catégorie LAN
Assignée à Personne
Système d'exploitation Freebox Server V6 (Révolution)
Sévérité Moyenne
Priorité Très Basse
Basée sur la version 1.1.6
Due pour la version Non décidée
Échéance Non décidée
Votes
Privée

Concerne le projet: Freebox Server (Ultra V9/ Pop V8/ Delta V7 / Revolution V6 / Mini 4K)
Ouverte par bortzmeyer - 29/05/2012
Dernière modification par nipo - 30/05/2012

FS#10189 - [DNSSEC] Le relais DNS de la Freebox v6 ne passe pas toujours les enregistrements

Le relais DNS de la Freebox v6 (un dnsmasq, sauf erreur), transmettAIT normalement les enregistrements DNSSEC.

Apparemment, il a changé car, dans certains cas, il ne les transmet plus ;

% dig +dnssec @192.168.2.254 A ghhffgghhg

; «» DiG 9.7.3 «» +dnssec @192.168.2.254 A ghhffgghhg
; (1 server found)
;; global options: +cmd
;; Got answer:
;; →>HEADER«- opcode: QUERY, status: NOERROR, id: 31853
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 0

;; QUESTION SECTION:
;ghhffgghhg. IN A

;; Query time: 3 msec
;; SERVER: 192.168.2.254#53(192.168.2.254)
;; WHEN: Tue May 29 20:52:05 2012
;; MSG SIZE rcvd: 28

% dig +dnssec @192.168.2.254 A fr

; «» DiG 9.7.3 «» +dnssec @192.168.2.254 A fr
; (1 server found)
;; global options: +cmd
;; Got answer:
;; →>HEADER«- opcode: QUERY, status: NOERROR, id: 33460
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 0

;; QUESTION SECTION:
;fr. IN A

;; Query time: 3 msec
;; SERVER: 192.168.2.254#53(192.168.2.254)
;; WHEN: Tue May 29 20:52:20 2012
;; MSG SIZE rcvd: 20

Avec un nom et un type qui existe, ça marche :

% dig +dnssec @192.168.2.254 SOA fr

; «» DiG 9.7.3 «» +dnssec @192.168.2.254 SOA fr
; (1 server found)
;; global options: +cmd
;; Got answer:
;; →>HEADER«- opcode: QUERY, status: NOERROR, id: 31749
;; flags: qr rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 6, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags: do; udp: 4096
;; QUESTION SECTION:
;fr. IN SOA

;; ANSWER SECTION:
fr. 87842 IN SOA nsmaster.nic.fr. hostmaster.nic.fr. 2222252520 3600 1800 3600000 5400
fr. 87842 IN RRSIG SOA 8 1 172800 20120727190005 20120528180005 32140 fr. ewdESfQymIN3hucL1CTqk1pJ3v2BPSPJ+EhW6xTWS61TBqJkfkjEg1zK DOTfB96DnkL6fvGTkMPSXv/05U7EtZ5MljEPeEMSW3QX7xT82n7YPwQE j/pKfFf9++64O3WWgkm75xPmXVQyiW/dR8BZb4zSGLUzOkxlYr3hd/JG za8=

;; AUTHORITY SECTION:
fr. 90537 IN NS g.ext.nic.fr.
fr. 90537 IN NS f.ext.nic.fr.
fr. 90537 IN NS d.ext.nic.fr.
fr. 90537 IN NS d.nic.fr.
fr. 90537 IN NS e.ext.nic.fr.
fr. 90537 IN RRSIG NS 8 1 172800 20120720140735 20120521140735 32140 fr. lR2zKYUd7DHYsU1QMoeNlTgdqYV1di1RU4uxpMwQU/VjvJEFaUrvijIU iAAFbaMpd7UbgZmpDZmi+Aq9EzRlBcWSWiZtJJO1Z3tgGB40QabkhoPD h6vbgk4HqsQ5EijnaiIg1Qmg+j35pxucx6r2grUvg5TKaBYJhrtQyNwq tg4=

;; Query time: 26 msec
;; SERVER: 192.168.2.254#53(192.168.2.254)
;; WHEN: Tue May 29 20:52:41 2012
;; MSG SIZE rcvd: 499

Fermée par Freebox Robot
09.10.2012 15:35
Raison de la fermeture : Résolu
Commentaires de fermeture :

Dans la 1.1.7

Commentaires (6)
Tâches liées (0/0)

nipo a commenté le 30.05.2012 06:10

dnsmasq n’a pas changé récemment. Cependant, je ne vois pas le problème.
Pour ces requêtes, j’ai les mêmes réponses que les vôtres, que ça soit depuis une machine derrière une Freebox ou depuis un serveur à l’extérieur.

Une description de ce que vous attendiez aiderait à comprendre.

bortzmeyer a commenté le 30.05.2012 07:11

« Pour ces requêtes, j’ai les mêmes réponses que les vôtres » Ben oui, c’est bien le problème. La racine est signée. En envoyant une requête avec le bit DO (c’est l’option +dnssec de dig), on devrait récupérer des enregistrements NSEC et leurs signatures. Or, on ne voit rien.

Voici ce que donne un résolveur non-cassé :

% dig +dnssec A ghhffgghhg

; «» DiG 9.8.1-P1 «» +dnssec A ghhffgghhg
;; global options: +cmd
;; Got answer:
;; →>HEADER«- opcode: QUERY, status: NXDOMAIN, id: 35098
;; flags: qr rd ra ad; QUERY: 1, ANSWER: 0, AUTHORITY: 6, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags: do; udp: 4096
;; QUESTION SECTION:
;ghhffgghhg. IN A

;; AUTHORITY SECTION:
. 86400 IN SOA a.root-servers.net. nstld.verisign-grs.com. 2012053000 1800 900 604800 86400
. 86400 IN RRSIG SOA 8 0 86400 20120606000000 20120529230000 56158 . LgPdCJah5uWQMD3FgLRTDckH3LULmMRkwbUZLh/ffUhG7p9u4GXw3BN5 r3BxKRbNUn74DWXDoROlGT2bZm5L3i3x+ETk0l1LM8GCYAQwNJ+xwasG sN6AjrIqV7PT1zIUzbfaXgOrCV22W7uzQUzHqDDk7AulFyE9fpNMOlMD vb4=
. 86400 IN NSEC ac. NS SOA RRSIG NSEC DNSKEY
. 86400 IN RRSIG NSEC 8 0 86400 20120606000000 20120529230000 56158 . QqferZeOj7gIqGz2vyO+Bqf/vgcm2kkklPobLjK439pvS7+eHhnEq7Y+ aDlf4fkUgRtFTCJiJGq5JHjUePIw7IiB07W6HautoIj9kX+zbjGdJOt1 bAp7/uEH0K5OSGNisHDbIiHITa7V4dAie1xGryQr7L4u/9Rxj0AjuC5g ADA=
gh. 86400 IN NSEC gi. NS RRSIG NSEC
gh. 86400 IN RRSIG NSEC 8 1 86400 20120606000000 20120529230000 56158 . HF/CrOszxqDghqg4LfoKwqJJzQexEFGDiDk8PfpO1SehHE5frRmwT9Ay cnxdhZZXlnOYiQ1u7TW41pMgeqhCDnJAAtcqqeJQSb/CmL2rA/6nCPcD OgkwIyGv7GzhTzHok0v6SVmPqmPxM8i5LfZF9gkX4ruhWvSOYBGQbvo4 4y4=

;; Query time: 75 msec
;; SERVER: ::1#53(::1)
;; WHEN: Wed May 30 09:10:41 2012
;; MSG SIZE rcvd: 639

nipo a commenté le 30.05.2012 07:47

Bon, ça semble plus aléatoire que ce qu’on pense.
J’ai eu des réponses correctes tout à l’heure pour le 2 et 3, j’avais pas testé le 1.
En réessayant à l’instant depuis une autre boite, j’ai plus du tout les parties dnssec.

Je pense que ca dépend de l’état d’un cache, mais pour autant le resolver de la box est censé forwarder, mais sans faire de cache local.

Les serveurs backend de Free (@212.27.40.241 et @212.27.40.240) semblent répondre correctement, eux.

On va investiguer.

bortzmeyer a commenté le 30.05.2012 08:15

Un gentil employé de Free me signale que le problème pourrait venir de cette option de dnsmasq, qui n’est pas du tout compatible avec DNSSEC :

-D, –domain-needed

      Tells dnsmasq to never forward A or AAAA queries for plain
      names, without dots or domain parts, to upstream nameservers. If
      the name is not known from /etc/hosts or DHCP then a "not found"
      answer is returned.

Et qui est une mauvaise idée de toute façon (certains TLD comme “dk” ont une adresse IP)

nipo a commenté le 30.05.2012 09:19

Oui, c’est ça, entres autres. On a updaté la config.
Ca devrait marcher avec le prochain firmware.

Djmomo a commenté le 15.08.2012 10:15

Prochain firmware prévu pour quand ?

Ca a pas mal évolué sur le player, mais c’est très calme sur le server...

;-)

	Tâches associées à cette tâche (0)

Chargement...

Raccourcis clavier

Activer les raccourcis clavier

Alt + ⇧ Shift + l Se connecter/Se déconnecter
Alt + ⇧ Shift + a Ouvrir une tâche
Alt + ⇧ Shift + m Mes recherches
Alt + ⇧ Shift + t Rechercher par ID de tâche

Liste des tâches

o Ouvrir la tâche sélectionnée
j Déplacer le curseur vers le bas
k Déplacer le curseur vers le haut

Détails de la tâche

n Tâche suivante
p Tâche précédente
Alt + ⇧ Shift + e ↵ Enter Modifier cette tâche
Alt + ⇧ Shift + w Surveiller
Alt + ⇧ Shift + y Fermer cette tâche

Édition de la tâche

Alt + ⇧ Shift + s Enregistrer la tâche