[IKI-aktivistit] Alidomainien siemenosoitteet ja DNSSEC
Mikko Koljander
mikko.koljander at iki.fi
Mon Oct 24 09:32:25 EEST 2022
Tämä kiusallinen murhe on itsellä jäänyt vielä ratkaisemattomien laariin. Mahtaisikohan vanhemmilla DNS-kirvesmiehillä olla vinkkejä tarjolla?
Olen siis yrittänyt saada DNSSEC:n toimimaan IKI-alidomainin (koldex.iki.fi <http://koldex.iki.fi/>) kanssa. Haasteena on DNS palveluntarjoaja, jolla on 1) erillinen osoite (xfr01.nsone.net) zone transfereita ja 2) erilliset varsinaisia nimipalveluita varten. Yhtäältä kyseinen osoite #1 sallii kyllä zone transferit määriteltyihin osoitteisiin, mutta ei vastaa tavallisiin nimipalvelukyselyihin. Toisaalta palveluntarjoajan varsinaiset nimipalvelimet (#2) eivät taasen salli zone transfereita lainkaan. Tästä seuraa muutama haaste alidomainin delegointia ja sen DNSSEC asetuksia määriteltäessä (admin.iki.fi <http://admin.iki.fi/> koneella):
1) Vain zone transferit salliva hostname on määriteltäväsissä "NS-record1” kentän arvoksi (koska admin.iki.fi <http://admin.iki.fi/> testaa tämän ennen kuin asetus talletetaan)
2) Vaikka zoneen iki.fi <http://iki.fi/> kirjoitetaankin vain varsinaisten nimipalvelukyselyihin vastaavien koneiden nimet (alidomainin zonessa määritellyn mukaisesti), menee .fi zonen DNS:ään (ns1.z.fi. ja ns2.z.fi.) toiseksi NS recordin arvoksi (ns.iki.fi <http://ns.iki.fi/> lisäksi) tuo admin.iki.fi <http://admin.iki.fi/> käyttöliittymässä määritelty zone transfer hostname (xfr01.nsone.net <http://xfr01.nsone.net/>).
3) Ilmeisesti nimenomaan edellä kuvattu sotkee DNSSEC toiminnan ja kyselyt tyssäävät BOGUS vastauksiin, koska FI-tasolla määritellyltä NS-palvelimelta tulee "REFUSED" DNSKEY -kyselyihin?
> On 19. Sep 2022, at 7.47, Mikko Koljander <mikko.koljander at iki.fi> wrote:
>
> Tervehdys gurut,
>
> Mihin kaikkeen IKI käyttää alidomainin delegoinnissa siemenosoitteeksi määritettyä isäntänimeä? Käytetäänkö sitä missään muussa yhteydessä kuin admin.iki.fi <http://admin.iki.fi/> käyttöliittymän avulla muutosten tallettamisen yhteydessä zone transferin testaamiseen ja myöhemmin tekemiseen?
>
> Itsellä on ollut välillä ongelmia DNSSEC:n kanssa IKI-alidomainille (primary palveluntarjoajalla nimeltä NS1) ja niitä selvitellessä tullut välillä vastaan query refused:ia, koska satunnaisesti tunnuttaisiin tarjoavan tuota zone transfer siemenosoitetta NS tietueena primary zonelle.
>
>
> _______________________________________________
> IKI-aktivistit mailing list
> IKI-aktivistit at listat.iki.fi
> https://listat.iki.fi/mailman/listinfo.cgi/iki-aktivistit
-------------- next part --------------
An HTML attachment was scrubbed...
URL: <http://listat.iki.fi/pipermail/iki-aktivistit/attachments/20221024/c5a87d99/attachment.htm>
More information about the IKI-aktivistit
mailing list