Freebox Server (Pop V8/ Delta V7 / Revolution V6 / Server Mini 4K)

  • État Close
  • Type de tâche Anomalie
  • Catégorie LAN
  • Assignée à Personne
  • Système d'exploitation Freebox Server V6 (Révolution)
  • Sévérité Moyenne
  • Priorité Normale
  • Basée sur la version 1.1.6
  • Due pour la version Non décidé
  • Date d'échéance Non décidé
  • Votes 0
  • Privée Non
Concerne le projet: Freebox Server (Pop V8/ Delta V7 / Revolution V6 / Server Mini 4K)
Ouverte par bortzmeyer (bortzmeyer) - 29/05/2012
Dernière édition par Nicolas Pouillon (nipo) - 30/05/2012

FS#10189 - [DNSSEC] Le relais DNS de la Freebox v6 ne passe pas toujours les enregistrements

Le relais DNS de la Freebox v6 (un dnsmasq, sauf erreur), transmettAIT normalement les enregistrements DNSSEC.

Apparemment, il a changé car, dans certains cas, il ne les transmet plus ;

% dig +dnssec @192.168.2.254 A ghhffgghhg

; «» DiG 9.7.3 «» +dnssec @192.168.2.254 A ghhffgghhg
; (1 server found)
;; global options: +cmd
;; Got answer:
;; →>HEADER«- opcode: QUERY, status: NOERROR, id: 31853
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 0

;; QUESTION SECTION:
;ghhffgghhg. IN A

;; Query time: 3 msec
;; SERVER: 192.168.2.254#53(192.168.2.254)
;; WHEN: Tue May 29 20:52:05 2012
;; MSG SIZE rcvd: 28

% dig +dnssec @192.168.2.254 A fr

; «» DiG 9.7.3 «» +dnssec @192.168.2.254 A fr
; (1 server found)
;; global options: +cmd
;; Got answer:
;; →>HEADER«- opcode: QUERY, status: NOERROR, id: 33460
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 0

;; QUESTION SECTION:
;fr. IN A

;; Query time: 3 msec
;; SERVER: 192.168.2.254#53(192.168.2.254)
;; WHEN: Tue May 29 20:52:20 2012
;; MSG SIZE rcvd: 20

Avec un nom et un type qui existe, ça marche :

% dig +dnssec @192.168.2.254 SOA fr

; «» DiG 9.7.3 «» +dnssec @192.168.2.254 SOA fr
; (1 server found)
;; global options: +cmd
;; Got answer:
;; →>HEADER«- opcode: QUERY, status: NOERROR, id: 31749
;; flags: qr rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 6, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags: do; udp: 4096
;; QUESTION SECTION:
;fr. IN SOA

;; ANSWER SECTION:
fr. 87842 IN SOA nsmaster.nic.fr. hostmaster.nic.fr. 2222252520 3600 1800 3600000 5400
fr. 87842 IN RRSIG SOA 8 1 172800 20120727190005 20120528180005 32140 fr. ewdESfQymIN3hucL1CTqk1pJ3v2BPSPJ+EhW6xTWS61TBqJkfkjEg1zK DOTfB96DnkL6fvGTkMPSXv/05U7EtZ5MljEPeEMSW3QX7xT82n7YPwQE j/pKfFf9++64O3WWgkm75xPmXVQyiW/dR8BZb4zSGLUzOkxlYr3hd/JG za8=

;; AUTHORITY SECTION:
fr. 90537 IN NS g.ext.nic.fr.
fr. 90537 IN NS f.ext.nic.fr.
fr. 90537 IN NS d.ext.nic.fr.
fr. 90537 IN NS d.nic.fr.
fr. 90537 IN NS e.ext.nic.fr.
fr. 90537 IN RRSIG NS 8 1 172800 20120720140735 20120521140735 32140 fr. lR2zKYUd7DHYsU1QMoeNlTgdqYV1di1RU4uxpMwQU/VjvJEFaUrvijIU iAAFbaMpd7UbgZmpDZmi+Aq9EzRlBcWSWiZtJJO1Z3tgGB40QabkhoPD h6vbgk4HqsQ5EijnaiIg1Qmg+j35pxucx6r2grUvg5TKaBYJhrtQyNwq tg4=

;; Query time: 26 msec
;; SERVER: 192.168.2.254#53(192.168.2.254)
;; WHEN: Tue May 29 20:52:41 2012
;; MSG SIZE rcvd: 499

Close par  Freebox Robot (Freebox Robot)
Tuesday 9 October, 2012 15:35:22
Raison de clôture :  Résolu
Commentaires supplémentaires de clôture :  Dans la 1.1.7

Cette tache ne dépend pas d'autre tache

Nicolas Pouillon (nipo)
Wednesday 30 May, 2012 06:10:17

dnsmasq n’a pas changé récemment. Cependant, je ne vois pas le problème.
Pour ces requêtes, j’ai les mêmes réponses que les vôtres, que ça soit depuis une machine derrière une Freebox ou depuis un serveur à l’extérieur.

Une description de ce que vous attendiez aiderait à comprendre.

bortzmeyer (bortzmeyer)
Wednesday 30 May, 2012 07:11:06

« Pour ces requêtes, j’ai les mêmes réponses que les vôtres » Ben oui, c’est bien le problème. La racine est signée. En envoyant une requête avec le bit DO (c’est l’option +dnssec de dig), on devrait récupérer des enregistrements NSEC et leurs signatures. Or, on ne voit rien.

Voici ce que donne un résolveur non-cassé :

% dig +dnssec A ghhffgghhg

; «» DiG 9.8.1-P1 «» +dnssec A ghhffgghhg
;; global options: +cmd
;; Got answer:
;; →>HEADER«- opcode: QUERY, status: NXDOMAIN, id: 35098
;; flags: qr rd ra ad; QUERY: 1, ANSWER: 0, AUTHORITY: 6, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags: do; udp: 4096
;; QUESTION SECTION:
;ghhffgghhg. IN A

;; AUTHORITY SECTION:
. 86400 IN SOA a.root-servers.net. nstld.verisign-grs.com. 2012053000 1800 900 604800 86400
. 86400 IN RRSIG SOA 8 0 86400 20120606000000 20120529230000 56158 . LgPdCJah5uWQMD3FgLRTDckH3LULmMRkwbUZLh/ffUhG7p9u4GXw3BN5 r3BxKRbNUn74DWXDoROlGT2bZm5L3i3x+ETk0l1LM8GCYAQwNJ+xwasG sN6AjrIqV7PT1zIUzbfaXgOrCV22W7uzQUzHqDDk7AulFyE9fpNMOlMD vb4=
. 86400 IN NSEC ac. NS SOA RRSIG NSEC DNSKEY
. 86400 IN RRSIG NSEC 8 0 86400 20120606000000 20120529230000 56158 . QqferZeOj7gIqGz2vyO+Bqf/vgcm2kkklPobLjK439pvS7+eHhnEq7Y+ aDlf4fkUgRtFTCJiJGq5JHjUePIw7IiB07W6HautoIj9kX+zbjGdJOt1 bAp7/uEH0K5OSGNisHDbIiHITa7V4dAie1xGryQr7L4u/9Rxj0AjuC5g ADA=
gh. 86400 IN NSEC gi. NS RRSIG NSEC
gh. 86400 IN RRSIG NSEC 8 1 86400 20120606000000 20120529230000 56158 . HF/CrOszxqDghqg4LfoKwqJJzQexEFGDiDk8PfpO1SehHE5frRmwT9Ay cnxdhZZXlnOYiQ1u7TW41pMgeqhCDnJAAtcqqeJQSb/CmL2rA/6nCPcD OgkwIyGv7GzhTzHok0v6SVmPqmPxM8i5LfZF9gkX4ruhWvSOYBGQbvo4 4y4=

;; Query time: 75 msec
;; SERVER: ::1#53(::1)
;; WHEN: Wed May 30 09:10:41 2012
;; MSG SIZE rcvd: 639

Nicolas Pouillon (nipo)
Wednesday 30 May, 2012 07:47:23

Bon, ça semble plus aléatoire que ce qu’on pense.
J’ai eu des réponses correctes tout à l’heure pour le 2 et 3, j’avais pas testé le 1.
En réessayant à l’instant depuis une autre boite, j’ai plus du tout les parties dnssec.

Je pense que ca dépend de l’état d’un cache, mais pour autant le resolver de la box est censé forwarder, mais sans faire de cache local.

Les serveurs backend de Free (@212.27.40.241 et @212.27.40.240) semblent répondre correctement, eux.

On va investiguer.

bortzmeyer (bortzmeyer)
Wednesday 30 May, 2012 08:15:47

Un gentil employé de Free me signale que le problème pourrait venir de cette option de dnsmasq, qui n’est pas du tout compatible avec DNSSEC :

-D, –domain-needed

      Tells dnsmasq to never forward A or AAAA queries for plain
      names, without dots or domain parts, to upstream nameservers. If
      the name is not known from /etc/hosts or DHCP then a "not found"
      answer is returned.

Et qui est une mauvaise idée de toute façon (certains TLD comme “dk” ont une adresse IP)

Nicolas Pouillon (nipo)
Wednesday 30 May, 2012 09:19:03

Oui, c’est ça, entres autres. On a updaté la config.
Ca devrait marcher avec le prochain firmware.

DjMomo (Djmomo)
Wednesday 15 August, 2012 10:15:19

Prochain firmware prévu pour quand ?

Ca a pas mal évolué sur le player, mais c’est très calme sur le server...

;-)

Chargement...