Nedavno jsem zde v jinem prispevku narazil na test DNSSEC (http://0skar.cz/dns/). Protoze otestovani meho pripojeni dopadlo katastrofalne (bez DNSSEC; ac mam ve Forisu DNSSEC spusteno a test tamtez odfajvkovan jako ok). Zkusil jsem jeste dalsi dva testy, ale ty potvrdily, ze DNSSEC na mem pripojeni neni funkcni.
Zajimalo by mne, zda je to nastavenim na me strane, nebo kde je co spatne.
Zkuste prosim test na https://www.dnssec.cz
zkusil bych ověřit jestli skutečně ty dotazy vedou na Turris. Předpokládám že v prohlížeči nemáte nastaveno DNS-over-HTTPS (myslím že jako default to nikdo významný v .cz zatím nedělá). A pak pustit nslookup turris.cz na PC a kouknout jestli adresa serveru který odpověděl odpovídá adrese zařízení (typicky 192.168.1.1 apod.)
Bohužel nám chybí informace, které jsou potřebné pro zjištění problému, zda se chyba nachází např. na naší straně nebo ne.
-
Jedná se o router Turris 1.x / Turris Omnia / Turris MOX?
Nápověda: https://docs.turris.cz/basics/models/- Pokud se jedná o routery Turris Omnia, Turris MOX jakou verzi Knot Resolveru používáte?
S tím společně souvisí další otázka.
- Pokud se jedná o routery Turris Omnia, Turris MOX jakou verzi Knot Resolveru používáte?
-
O jakou verzi operačního systému Turris OS se jedná?
Nápověda: V záložce About v rozhraní Foris je možné se dozvědět verzi operačního systému, případně také v pokročilém administračním rozhraní LuCI. Ve výchozím nastavení se obě rozhraní nacházejí na IP adrese 192.168.1.1. -
Používáte DNS forwarding?
- Pokud ano, kam své DNS dotazy směřujete? Mohl byste vyzkoušet jiný server, zda problém přetrvává? Případně odesílání DNS dotazů na předdefinované DNS servery vypnout a zjistit, zda problém opět přetrvává?
Pokud problém stále přetrvává, tak v tom případě bychom vás rádi požádali o zapnutí verbose loggingu a zaslání logu dle postupu uvedeného v komunitní dokumentaci: https://wiki.turris.cz/doc/en/howto/dnsdebug
Zdravim, pokusim se odpovedet na dotazy. Omlouvam se, ze jsem polozil otazku bez dalsich informaci.
Takze
- ano, pouzivam Turris 1.1 BTRFS
- posledni system 3.11.14
- ano, pouzivam DNS forwarding na NIC servery 1.1.1.1/1.0.0.1
- zkusil jsem DNS poskytovatele (UPC) i Cloudflare, stejne vysledky
- forwarding jsem jeste nezkusil vypnout, zkusim a pripadne zaslu log
Diky
Tak na dotaz nslookup turris.cz jsem dostal odpoved:
Server: 127.0.0.1
Adress: 127.0.0.1#53
Name: turris.cz
Adress 1: 217.31.192.69
Adress 2: 2001:1488:ac15:ff80::69
Pokud to opravdu bylo puštěno na PC a ne na Turrisu, pak bude dobré se podívat co vlastně s dotazy ten lokální resolver dělá. Například u validujících je zvykem/standardem si od upstream resolveru vyžádat informace i pokud je upstream nedokázal zvalidovat – a tedy ověřit data pouze sám.
Mozna ted nerozumim. Na PC nebo na Turrisu? Spustil jsem to v PuTTY na PC…
Kam mam zaslat log z debug resolveru?
Dekuju
Myslel jsem pustit přímo na PC. Když testy přímo na Turrisu vycházejí jinak než na PC, napadlo mě alespoň trochu ověřit co se s DNS děje na cestě mezi.
Aha, tak to me musite navest. Jak ve Windows spustim nslookup turris.cz?
Edit: tak jsem to spustil z prikazoveho radku:
Server: Unknow
Address: fd4a:89a3:86b3::1
Non-authoritative answer:
Name: turris.cz
Addresses: 2001:1488:ac15:ff80::69
217.31.192.69
1 Like
Problem pretrvava, kam tedy mam zaslat ten log?
No, dá se různě… soukromé zprávy, nebo můj e-mail je vladimir.cunat@nic.cz, ale upřímně si nejsem jistý kdy přesně ho zvládnu detailně prozkoumat.
Diky za kontakt. Posilam log…
Jeste jsem zjistil, ze na druhem pocitaci pripojenem ke stejnemu turrisu, test dnssec dopadl dobre. Jediny rozdil, ze v druhem PC je browser Chrome, kdezto v prvnim jsem to testoval ve Vivaldi a MS Edge. Nepredpokladam, ze validace DNSSEC se provadi az na urovni prohlizece, nebo?