DNSSEC neresolvuje od vcera cca 18:00

dns

#42

A hle!
Něco se hnulo.

root@turris:/# wget http://217.31.192.101/openwrt-repo/turris/packages/turrispac
kages/dnssec-rootkey_0.0.1-3_mpc85xx.ipk
Connecting to 217.31.192.101 (217.31.192.101:80)
dnssec-rootkey_0.0.1 100% |*******************************|  1748   0:00:00 ETA
root@turris:/# opkg install dnssec-rootkey_0.0.1-3_mpc85xx.ipk
Upgrading dnssec-rootkey on root from 0.0.1-2 to 0.0.1-3...
Configuring dnssec-rootkey.
+ [ -n  ]
+ /usr/sbin/cert-backup /etc/root.keys
+ PARTITION=/dev/mtdblock4
+ WORKDIR=/tmp/certstore
+ SUBVOL=certbackup
+ dirname /tmp/certstore
+ mkdir -p /tmp
+ mkdir /tmp/certstore
+ trap umount -fl '/tmp/certstore' || true; rmdir '/tmp/certstore' EXIT INT QUIT TERM ABRT
+ ls -A /tmp/certstore
+ test -z
+ test -b /dev/mtdblock4
+ mount -t jffs2 /dev/mtdblock4 /tmp/certstore
+ [ /etc/root.keys ]
+ [ /etc/root.keys = -r ]
+ [ /etc/root.keys = -x ]
+ [ /etc/root.keys = -X ]
+ cmp -s /etc/root.keys /tmp/certstore//etc/root.keys
+ dirname /etc/root.keys
+ mkdir -p /tmp/certstore//etc
+ cp -a /etc/root.keys /tmp/certstore//etc/root.keys
+ shift
+ [  ]
+ umount -fl /tmp/certstore
+ rmdir /tmp/certstore
root@turris:/# /etc/init.d/resolver restart
Called /etc/init.d/unbound stop
Check generated config /var/etc/unbound/unbound.conf:
unbound-checkconf: no errors in /var/etc/unbound/unbound.conf
Called /etc/init.d/unbound start
root@turris:/#

Vypadá to že příkaz zafungoval a teď už jde vyrobit kód pro registraci!
(nepotřebuji registrovat ještě mi chybí asi 80 dní ale pro test to stačí)


#43

Tak mám nejspíš řešení. (nebo aspoň u mne to zafungovalo)
Po aktualizaci zapříčiněné nejdřív rozbitím zavaděče a obnovením ze SD karty, to pořád nechtělo resolvovat.
Tak jsem si řekl že když ne ty tak já a upravil jsem /etc/hosts
Přidal jsem tam tyhle dva řádky

217.31.192.69 repo.turris.cz
217.31.192.101 api.turris.cz

(nevím jestli je IP statická takže v čase přidávání ověřit přes ping jinde)
pak už to říká jen cURL error 60 - to je starý CA certifikát

wget 217.31.192.101/openwrt-repo/turris/packages/base/ca-certificates_[DatumVydani]_mpc85xx.ipk
opkg install ca-certificates_[DatumVydani]_mpc85xx.ipk

(datum vydani se muze menit v zavislosti od vyprseni stavajiciho certifikatu)

Pak už stačí párkrát zrestartovat a ono se to nějak samo po chvíli vzpamatuje.

Doufám že to někomu aspoň trochu pomůže :slight_smile:


#44

Děkuji za nasdílení postupu. :slight_smile: Nicméně, jak už nastínil někdo výše ve vlákně, na routeru neběží (nebo se mi jen nedaří zprovoznit?) SSH služba. Jak jste se vlastně dostal k přepsání /etc/hosts?

EDIT: Na SSHčko jsem se nedostal, ale stažení balíku se mi povedlo skrze: System -> Scheduled tasks a tam přidat příkaz na stažení nového balíku s validním dnessec-rootkey
35 16 * * * opkg install http://217.31.192.101/openwrt-repo/turris/packages/turrispackages/dnssec-rootkey_0.0.1-3_mpc85xx.ipk
37 16 * * * opkg install http://217.31.192.101/openwrt-repo/turris/packages/base/ca-certificates_20180409-2_mpc85xx.ipk

Pak už stačí najet opět do FORISe (192.168.1.1) doklikat instalačního wizarda a nakonec se dostanete do funkčního menu, zde vyčkat na updaty, projít si přes update updateru a nakonec z toho všeho nezešílet.


#45

během prvotního startu z tovarního nastavení mi pomohlo zapsat do /etc/resolv.conf
nameserver 8.8.8.8
(puvodne tam bylo 127.0.0.1 a nepomahalo ani prenastaveni v Luci )
pro prepsani jsem pouzil vlastni prikaz v Luci nebo USB serial kabel, jako nejlepsi editor v polofunkcnim terminalu jsem vyhodnotil echo nameserver 8.8.8.8 > /etc/resolv.conf
tim se to zprovoznilo DNS a pak se to muselo behem updatu jeste parkrat prepsat
po do updatovani na 3.10.8 uz dns a dnssec fungovalo a dalo se zase zpatky zapnout


#46

Celou dobu jsem měl velde sebe otevřený router a připojený micro USB kabel ke komunikačnímu portu na desce.
Ale problém s tím že nejde SSH jsem řeši tím že zo dám zas do továru ale to mi dalo všechny červené diody(a zásek). Tak jsem udělal ten obraz na SD kartu a pak to najednou všechno šlo … pro starší turrisy je ten obraz z karty asi více než dobrým řešením.
https://doc.turris.cz/doc/cs/troubleshooting/sdcard_recovery


#47

Jen …asi jsem narazil na další problém…
Ne jen že jsem musel manuálně dostrčit konfig k TVheadend aby zase fungoval ale nejsem schopen rozjet OpenVPN a to je větší problém… Dá se to nějak ověřit? nebo je to na nové vlákno?


#48

Zřejmě ty úspěšné pokusy ostatních byly před root KSK rolloverem. Workaroundy pro nefunkční DNS se tady řešily výše, například zde.

EDIT: aha, ne každý má zřejmě v té fázi zprovozněné SSH. No odškrtnutí DNSSEC validace ve Forisu by mělo problém taky obejít. Po úplném doaktualizování by to mělo myslím zase fungovat i s validací.


#49

Zatím bez úspěchu bojuji se zprovozněním Turrisů 1.1 a 1.0 z továrního nastavení. Chtěl bych se zeptat, jestli je možné se s nimi stavit na stánek na OPENALT pro pomoc se zprovozněním? Jsem z Brna a do Prahy je to pro mě dost z ruky.


#50

Dobrý den,

před malou chvíli jsem mluvil s kolegou (@miska) , který bude na OpenAltu. Pokud routery a pro jistotu společně i se zdroji jak pro Turris 1.0, tak pro Turris 1.1 donesete na stánek v sobotu, tak do neděle to budete mít hotové. Na počkání to bohužel není možné.


#51

Děkuji, zítra se stavím.


#52

Já jsem včera cvičně zkusil udělat tovární reset mého Turrise 1.x na verzi TurrisOS 3.6.5, zkontroloval jsem, že v /etc/root.keys jsou oba DNSSEC root klíče (jsou) a pak už jen prošel iniciálním nastavením FORISe … router se sám updatoval až na aktuální verzi TurrisOS 3.10.8

Co s tím můžete mít za zádrhel?


#53

Tento týden mám taky nově Turris 1.1, byl po továrním nastavení už ani nevím jak stará verze systému tam byla. Nahrál jsem image 3.6.5 na SD, úspěšně připojil servisní kabel a nainstaloval. Ta 3.6.5 neměla nic, nešlo SSH, nešlo DNS ani vlastní příkazy v LuCI. Pomohlo ukončit dnsmasq, teprve potom se začaly tahat aktualizace, které proběhly jen částečně a seklo se to na migraci updateru, ale už aspoň fungovalo SSH, tak jsem provedl migraci manuálně a teď je na aktuální verzi.


#54

On se root.keys zálohuje do /dev/mtdblock4 z něho se při resetu znovu vytáhne. Takže pokud je tam ten funkční, tak se chyba neprojeví (leda ho od tud vymazat).


#55

3 posts were split to a new topic: Turris 1.x: nefunguje DNS