DNSSEC neresolvuje od vcera cca 18:00

dns

#1

Vcera vecer mi Turris prestal resolvovat vsetky dotazy pri zapnutom DNSSEC. A nefunguje to doteraz. Ked vypnem DNSSEC tak resolving bezi uplne bez problemov. Do vcera mi resolving so zapnutym DNSSEC bezal uz niekolko rokov bez problemov. Nebol nejaky update niecoho?


#2

Včera v 18:00 nastal root KSK rollover, ale na to byl OS připraven už zhruba rok.

O jaký Turris jde? Aktualizovaný? Nějaké modifikace okolo DNS?


#3

Uplne prvy Trurris 1.0 Aktualizovany pravidelne. Ziadne modifikacie DNS. Turris OS 3.10.7


#4

No jako první bych zkusil odškrtnout “Používat přeposílání” – mohl by to být prostě problém poskytovatele připojení.

V kanceláři běžíme na víceméně defaultním Turris 1.0 s validací, stále bez problémů. Koukl bych jestli v /etc/root.keys jsou oba klíče. V našem kusu to vypadá takto:

root@turris:~# cat /etc/root.keys 
; autotrust trust anchor file
;;id: . 1
;;last_queried: 1539323937 ;;Fri Oct 12 07:58:57 2018
;;last_success: 1539323937 ;;Fri Oct 12 07:58:57 2018
;;next_probe_time: 1539365522 ;;Fri Oct 12 19:32:02 2018
;;query_failed: 0
;;query_interval: 43200
;;retry_time: 8640
.       165758  IN      DNSKEY  257 3 8 AwEAAagAIKlVZrpC6Ia7gEzahOR+9W29euxhJhVVLOyQbSEW0O8gcCjFFVQUTf6v58fLjwBd0YI0EzrAcQqBGCzh/RStIoO8g0NfnfL2MTJRkxoXbfDaUeVPQuYEhg37NZWAJQ9VnMVDxP/VHL496M/QZxkjf5/Efucp2gaDX6RS6CXpoY68LsvPVjR0ZSwzz1apAzvN9dlzEheX7ICJBBtuA6G3LQpzW5hOA2hzCTMjJPJ8LbqF6dsV6DoBQzgul0sGIcGOYl7OyQdXfZ57relSQageu+ipAdTTJ25AsRTAoub8ONGcLmqrAmRLKBP1dfwhYB4N7knNnulqQxA+Uk1ihz0= ;{id = 19036 (ksk), size = 2048b} ;;state=2 [  VALID  ] ;;count=0 ;;lastchange=1481423565 ;;Sun Dec 11 03:32:45 2016
.       141643  IN      DNSKEY  257 3 8 AwEAAaz/tAm8yTn4Mfeh5eyI96WSVexTBAvkMgJzkKTOiW1vkIbzxeF3+/4RgWOq7HrxRixHlFlExOLAJr5emLvN7SWXgnLh4+B5xQlNVz8Og8kvArMtNROxVQuCaSnIDdD5LKyWbRd2n9WGe2R8PzgCmr3EgVLrjyBxWezF0jLHwVN8efS3rCj/EWgvIWgb9tarpVUDK/b58Da+sqqls3eNbuv7pr+eoZG+SrDK6nWeL3c6H5Apxz7LjVc1uTIdsIXxuOLYA4/ilBmSVIzuDWfdRUfhHdY6+cn8HFRm+2hM8AnXGXws9555KrUB5qihylGa8subX2Nn6UwNR1AkUTV74bU= ;{id = 20326 (ksk), size = 2048b} ;;state=2 [  VALID  ] ;;count=0 ;;lastchange=1502431645 ;;Fri Aug 11 08:07:25 2017

#5

DNS forward je vypnuty. Nikdy som ho ani nezapinal.
Kluce su oba. Navyse u oboch je na konci lastchange Thu Sep 20 12:00:47 2018 co by tak zhruba zodpovedalo datumu, kedy som Turris daval do default nastavenia

Uz ma napada len UPC ze by malo nejaky problem.


#6

U obou klíčů je state=2 [ VALID ] ?


#7

Hezký den, mám stejný problém jako první tazatel, na mém Turrisu 1 nefunguje resolver od rána (možná po nějaké aktualizaci?).

U prvního klíče mám ;state=2 [ VALID ], u druhého state=1 [ ADDPEND ]. Co teď?

Jinak já nejsem u UPC, ale na VDSL.


#8

No není mi zatím jasné jak jsme se do tohoto stavu dostali (tedy kdo ten soubor přepsal na starou verzi), ale jsem přesvědčen, že editace toho souboru na state=2 [ VALID ] to vyřeší. Pro jistotu při vypnutém resolveru (nevím jestli třeba nezapíše stav při vypínání).

Například:

curl https://nlnetlabs.nl/downloads/unbound/root-11sep-11oct.key > /tmp/root.keys
/etc/init.d/resolver stop
mv /tmp/root.keys /etc/root.keys
/etc/init.d/resolver start

EDIT: jak poznamenáno níže, příklad využívá DNS :slight_smile: takže si dočasně odškrtněte validaci DNSSEC (web gui / DNS) anebo oeditujte ten soubor ručně.


#9

/cc @paja. Snad to nezasáhne mnoho lidí – těm by se to mělo rozbít v intervalu od 11. října 18:00 do 13. října 18:00 (a zůstat rozbité dokud to někdo nespraví).


#10

Nepůjde ten soubor stáhnout přes nějakou IP adresu? Když neběží resolver, tak mi to z té domény nejde. :slight_smile:


#11

Jasně :slight_smile: Tak si dočasně odškrtněte validaci DNSSEC (web gui / DNS). Anebo oeditujte ten soubor ručně, jak jsem psal.


#12

Uf, tak už to jde. Díky. Snad ten problém bude mít co nejméně lidí, jinak je to dost průser.

BTW, ten příkaz pro vypnutí resolveru skončil chybou

root@turris:~# /etc/init.d/resolver stop
Called /etc/init.d/unbound stop
remove dhcp script
rm: can’t remove ‘/var/run/resolver.pid’: No such file or directory


#13

Jo, to vypadá na “obvyklý výpis” – u mně to tak taky bylo když jsem tu sekvenci příkazů testoval.


#14

Jak jsem koukal, pro Turris 1.X s resolverem unbound existuje program unbound-anchor (možná je potřeba ho stáhnout), který při spuštění s parametry

root@turris:~# unbound-anchor -Fv

/etc/unbound/root.key has content debug cert update forced
last successful probe: Fri Oct 12 22:18:59 2018
the last successful probe is recent
/etc/unbound/icannbundle.pem: No such file or directory using builtin certificate
have 1 trusted certificates
resolved server address [72.21.81.189](http://72.21.81.189)
resolved server address 2606:2800:11f:bb5:f27:227f:1bbf:a0e
connect to [72.21.81.189](http://72.21.81.189)
fetched root-anchors/root-anchors.xml (651 bytes)
connect to 2606:2800:11f:bb5:f27:227f:1bbf:a0e
fetched root-anchors/root-anchors.p7s (4095 bytes)
signer 0: Subject: /O=ICANN/CN=[dnssec@iana.org]. (mailto:dnssec@iana.org)/emailAddress=[dnssec@iana.org](mailto:dnssec@iana.org)
the PKCS7 signature verified
XML was parsed successfully, 2 keys
success: the anchor has been updated using the cert

zkontrolujte certifikáty.

Pro kontrolu přítomnosti nového DNSSEC root klíče v resolveru je stránka http://www.ksk-test.net .


#15

Měl jsem stejný problém, postup od vcunat to vyřešil.


#16

Tiez nechapem. V kazdom pripade zmena v root.keys na Valid pomohla a DNSSEC funguje ako blesk


#17

Tyhle testy teď už nejsou potřeba, protože už neuspěje vůbec žádné doménové jméno – alespoň od chvíle kdy vyprší případné staré nacachované záznamy pro DNSKEY . (nejdéle dnes 18h). No, užitečné budou samozřejmě až se bude blížit další root KSK rollover, ale to máme nejspíš pár let čas.


#18

Zdravím,

původně plánovaná výměna DNSSEC root klíče (v angličtině Root Zone KSK Rollover a někde uvedeno i zkráceně jako KSK rollover) měla proběhnout již 11. října 2017 a náš systém Turris OS byl na to připraven od 31. července 2017, ale nakonec ICANN na základě výsledků testů ze kterých vyplynulo, že mnoho ISP a provozovatelů síti nebylo připraveno, což by vedlo k nedostupnosti DNS služeb, a proto se to odložilo o rok.

Tento víkend tedy došlo k výměně klíče kořenové zóny, kterého si většina našich uživatelů ani nevšimla, protože přechod proběhl velmi hladce, ale někteří z našich uživatelů či majitelů Turrisů si mohli všimnout, že od 12. října jim „přestal fungoval internet“. Chybě jsme přiřadili nejvyšší možnou prioritu a hledali jsme příčinu, proč k tomu došlo a jak můžeme zmírnit její dopad. Následující den i přes to, že byla sobota jsme se na chybu podívali a zjistili, proč se některým našim uživatelům nepřidal nový kořenový klíč DNSSEC. Tuto situaci jsme si nasimulovali a přes to, že o víkendu na tickety neodepisujeme a chápu, že je nepříjemné být bez internetu celý víkend jsem se výjimečně rozhodl odepsat dotčeným uživatelům během víkendu a kterým jsem poskytl návod jak přidat chybějící kořenový klíč, případně přeinstalovat balíček dnssec-rootkey, který chybějící klíč přidá do souboru /etc/root.keys. Návod najdete v příspěvku, který je níže a je pouze pro Turris 1.x. Návod většině uživatelů pomohl, ale raději jsme dnes připravili vydání nové verze Turris OS 3.10.8, které vydáme na začátku příštího týdne. Za způsobené komplikace se všem dotčeným uživatelům omlouváme.

Řešení v podstatě tady (na fóru) bylo již zmíněno pouze pro pokročilé, chcete-li zdatné uživatelé, kteří se nebojí spustit terminál a přihlásit se na SSH.

http://217.31.192.101/openwrt-repo/turris/packages/turrispackages/dnssec-rootkey_0.0.1-3_mpc85xx.ipk
opkg install dnssec-rootkey_0.0.1-3_mpc85xx.ipk
/etc/init.d/resolver restart

Protože ne všichni uživatelé a majitele našich routerů umí s terminálem, tak v příspěvku, který najdete níže je podrobný návod ve kterém je vysvětleno, co který krok dělá a pokud je to provedeno správně, tak je možné si to ověřit na základě screenshotů a pokud by se to někomu i přes to nedařilo a je z Prahy, tak je možné nám router osobně přinést a opravu provedeme takřka na počkání.


DHCP přidělí DNS servery ale neresolvuje
#19

Návod pro přidání chybějícího klíče kořeného zóny pomocí pokročilého administračního rozhraní LuCI.

Administrační rozhraní LuCI, pokud jste nezměnili lokální IP adresu routeru by mělo být ve výchozím nastavení na této adrese: http://192.168.1.1/cgi-bin/luci.

Po přihlášení můžete mít LuCI v angličtině, případně v češtině, a proto raději uvádím obě možnosti a v závorkách je uvedený český překlad.

Po přihlášení najeďte myší na horní černé liště na Systém a vyberte Custom Commands (Vlastní příkazy).

Pokud nevidíte v dropdown menu (vysouvací menu) možnost Custom Commands, tak během dnešního dne, napíšu ještě co a jak.

Pod horní lištou uvidíte dvě záložky - Dashboard (Řídící panel) a Configure (Konfigurovat). Přejděte do záložky Configure (Konfigurovat) a 3x klikněte levým tlačítkem myši na tlačítko Add (Přidat). Po každém stisknutí by se Vám měl zobrazit řádek, kde jsou dvě políčka a dvě zaškrtávatka.

Vyplňovat políčko Description (Popis) není nutné, ale je velmi důležité překopírovat pomocí klávesových zkratek CTRL + C a CTRL + V následující příkazy, ale každý samostatně.

wget http://217.31.192.101/openwrt-repo/turris/packages/turrispackages/dnssec-rootkey_0.0.1-3_mpc85xx.ipk
opkg install dnssec-rootkey_0.0.1-3_mpc85xx.ipk
/etc/init.d/resolver restart

Musí to tedy vypadat takto:

Následně klikněte na tlačítko Save & Apply (Uložit &použít). Chvíli počkejte než se změny uloží a klikněte nyní na záložku Dashboard (Řídící panel). Měli byste tam vidět tři příkazy, které jste vytvořili.

Pokud to vypadá přesně podle screenshotu, tak je to správně a můžete pokračovat a nyní stačí stisknout na tlačítko Run (Spustit) pod prvním příkazem, kde je wget …
Po stisknutí tlačítka na Vás vyskočí tabulka, kde by na konci měl být následující výstup, případně je to samé i na přiloženém screenshotu, pokud není, tak je někde chyba a je nutné jí vyřešit než budete pokračovat.

2018-10-13 15:28:22 (103 MB/s) - 'dnssec-rootkey_0.0.1-2_mpc85xx.ipk' saved [1743/1743]

Pokud se soubor úspěšně stáhl, tak by už nikde neměl být problém a stačí kliknout na druhé tlačítko Run (Spustit), po dokončení příkazu uvidíte další tabulku, následně klikněte na třetí tlačítko Run (Spustit) a internet už by Vám měl fungovat.

Pokud byste přeci jenom někdo z vás narazili na nějakou chybu, tak se klidně ozvěte sem do vlákna nebo na e-mailem na podporu, která je k dispozici na tech.support@turris.cz.


#20

Dobrý den, mám přesně ten samý problém. Řeším ho už s podporou, zatím však bez úspěchu. Bohužel jsem obnovil tovární nastavení, takže mám starou versi SW, takže tam nemám Custom Commands, pokusy o spojení pčes SSH router odmítá a ruční zadání adresy na stažení balíčku DNSsec-rootkey se taky nezdařilo. nemá někdo nějaký nápad? Děkuji za Váš čas
PS: nejsem odborník na linux a příkazový řádek, tak prosím o srozumitelnou verzi :slight_smile: