<html><head><meta http-equiv="Content-Type" content="text/html; charset=utf-8"></head><body style="word-wrap: break-word; -webkit-nbsp-mode: space; line-break: after-white-space;" class="">Tämä kiusallinen murhe on itsellä jäänyt vielä ratkaisemattomien laariin. Mahtaisikohan vanhemmilla DNS-kirvesmiehillä olla vinkkejä tarjolla?<div class=""><br class=""></div><div class="">Olen siis yrittänyt saada DNSSEC:n toimimaan IKI-alidomainin (<a href="http://koldex.iki.fi" class="">koldex.iki.fi</a>) kanssa. Haasteena on DNS palveluntarjoaja, jolla on 1) erillinen osoite (<a href="http://xfr01.nsone.net" class="">xfr01.nsone.net</a>) zone transfereita ja 2) erilliset varsinaisia nimipalveluita varten. Yhtäältä kyseinen osoite #1 sallii kyllä zone transferit määriteltyihin osoitteisiin, mutta ei vastaa tavallisiin nimipalvelukyselyihin. Toisaalta palveluntarjoajan varsinaiset nimipalvelimet (#2) eivät taasen salli zone transfereita lainkaan. Tästä seuraa muutama haaste alidomainin delegointia ja sen DNSSEC asetuksia määriteltäessä (<a href="http://admin.iki.fi" class="">admin.iki.fi</a> koneella):<div class=""><br class=""></div><div class="">1) Vain zone transferit salliva hostname on määriteltäväsissä "NS-record1” kentän arvoksi (koska <a href="http://admin.iki.fi" class="">admin.iki.fi</a> testaa tämän ennen kuin asetus talletetaan)</div><div class="">2) Vaikka zoneen <a href="http://iki.fi" class="">iki.fi</a> kirjoitetaankin vain varsinaisten nimipalvelukyselyihin vastaavien koneiden nimet (alidomainin zonessa määritellyn mukaisesti), menee .fi zonen DNS:ään (<a href="http://ns1.z.fi" class="">ns1.z.fi</a>. ja <a href="http://ns2.z.fi" class="">ns2.z.fi</a>.) toiseksi NS recordin arvoksi (<a href="http://ns.iki.fi" class="">ns.iki.fi</a> lisäksi) tuo <a href="http://admin.iki.fi" class="">admin.iki.fi</a> käyttöliittymässä määritelty zone transfer hostname (<a href="http://xfr01.nsone.net" class="">xfr01.nsone.net</a>). </div><div class="">3) Ilmeisesti nimenomaan edellä kuvattu sotkee DNSSEC toiminnan ja kyselyt tyssäävät BOGUS vastauksiin, koska FI-tasolla määritellyltä NS-palvelimelta tulee "REFUSED" DNSKEY -kyselyihin? <br class=""><div class=""><br class=""></div><div class=""><br class=""><div class=""><br class=""><div><br class=""><blockquote type="cite" class=""><div class="">On 19. Sep 2022, at 7.47, Mikko Koljander <<a href="mailto:mikko.koljander@iki.fi" class="">mikko.koljander@iki.fi</a>> wrote:</div><br class="Apple-interchange-newline"><div class=""><meta http-equiv="Content-Type" content="text/html; charset=utf-8" class=""><div style="word-wrap: break-word; -webkit-nbsp-mode: space; line-break: after-white-space;" class=""><div class="">Tervehdys gurut,</div><div class=""><br class=""></div>Mihin kaikkeen IKI käyttää alidomainin delegoinnissa siemenosoitteeksi määritettyä isäntänimeä? Käytetäänkö sitä missään muussa yhteydessä kuin <a href="http://admin.iki.fi/" class="">admin.iki.fi</a> käyttöliittymän avulla muutosten tallettamisen yhteydessä zone transferin testaamiseen ja myöhemmin tekemiseen?<div class=""><br class=""></div><div class="">Itsellä on ollut välillä ongelmia DNSSEC:n kanssa IKI-alidomainille (primary palveluntarjoajalla nimeltä NS1) ja niitä selvitellessä tullut välillä vastaan query refused:ia, koska satunnaisesti tunnuttaisiin tarjoavan tuota zone transfer siemenosoitetta NS tietueena primary zonelle.</div><div class=""><br class=""></div><div class=""><br class=""></div></div>_______________________________________________<br class="">IKI-aktivistit mailing list<br class=""><a href="mailto:IKI-aktivistit@listat.iki.fi" class="">IKI-aktivistit@listat.iki.fi</a><br class="">https://listat.iki.fi/mailman/listinfo.cgi/iki-aktivistit<br class=""></div></blockquote></div><br class=""></div></div></div></div></body></html>