Beantwoord

DNSSEC op Experiabox V10?

  • 22 maart 2017
  • 15 reacties
  • 591 keer bekeken

Reputatie 1
Ik vroeg mij de laatste dagen af of het mogelijk is via DHCP op een Experiabox V10, DNS Servers mee te zenden die gebruik maken van DNSSEC?

Ik ben me ervan bewust dat dit wel kan door bijvoorbeeld Google Public DNS op de client zelf te activeren, maar ik zou dit graag zien als standaard mogelijkheid via DHCP.

Weet iemand hier iets meer over?

**EDIT**
Je kan een alternatieve DNS Server opgeven in de router (V10) maar dan werkt DNSSEC schijnbaar niet.
icon

Beste antwoord door RobinFlikkema 22 maart 2017, 20:51

Hoe test je dit?

Ik heb dit zojuist getest met dnssec-failed.org wat een domeinnaam is waarbij de DNSSec niet correct is ingesteld en als het goed is zal de DNS server geen goed IP teruggeven. De server hoort volgens de RFC een SERVFAIL terug te geven.

Test 1
Ik heb IPv6 uitgezet, DNS 1 op 8.8.8.8 gezet en DNS 2 op 192.168.2.254 (de Experiabox V10) wat een relay is naar de KPN DNS server(s).
Ik zie dat mijn PC het A record heeft opgevraagd bij Google.
Google komt terug met SERVFAIL
Mijn PC vraagt het A record op bij de Experiabox V10
De Experiabox komt terug met een A record


Test 2
Ik heb IPv6 uitgezet, DNS 1 op 8.8.8.8 gezet en DNS 2 leeg gelaten
Ik zie dat mijn PC het A record heeft opgevraagd bij Google.
Google komt terug met SERVFAIL en mijn webrowser geeft een DNS error.

Test 3
Ik heb IPv6 uitgezet, DNS 1 op 195.121.1.34 en DNS2 op 195.121.1.66. De DNS servers van KPN.
Ik zie dat mijn PC het A record heeft opgevraagd bij DNS1. DNS1 komt terug met een A record.

Conclusie
Volgensmij betekent dit dat de KPN DNS servers geen DNSSEC ondersteunen. En misschien de V10 ook niet, maar dat is (nog) niet te achterhalen.


Robin
Bekijk origineel

15 reacties

Reputatie 7
Badge +30
Hoe test je dit?

Ik heb dit zojuist getest met dnssec-failed.org wat een domeinnaam is waarbij de DNSSec niet correct is ingesteld en als het goed is zal de DNS server geen goed IP teruggeven. De server hoort volgens de RFC een SERVFAIL terug te geven.

Test 1
Ik heb IPv6 uitgezet, DNS 1 op 8.8.8.8 gezet en DNS 2 op 192.168.2.254 (de Experiabox V10) wat een relay is naar de KPN DNS server(s).
Ik zie dat mijn PC het A record heeft opgevraagd bij Google.
Google komt terug met SERVFAIL
Mijn PC vraagt het A record op bij de Experiabox V10
De Experiabox komt terug met een A record


Test 2
Ik heb IPv6 uitgezet, DNS 1 op 8.8.8.8 gezet en DNS 2 leeg gelaten
Ik zie dat mijn PC het A record heeft opgevraagd bij Google.
Google komt terug met SERVFAIL en mijn webrowser geeft een DNS error.

Test 3
Ik heb IPv6 uitgezet, DNS 1 op 195.121.1.34 en DNS2 op 195.121.1.66. De DNS servers van KPN.
Ik zie dat mijn PC het A record heeft opgevraagd bij DNS1. DNS1 komt terug met een A record.

Conclusie
Volgensmij betekent dit dat de KPN DNS servers geen DNSSEC ondersteunen. En misschien de V10 ook niet, maar dat is (nog) niet te achterhalen.


Robin
Reputatie 1
Ik keek zelf via: https://internet.nl/

En krijg dus:

Reputatie 6
Badge +8
Ik keek zelf via: https://internet.nl/

En krijg dus:



Het is wel degelijk mogelijk om in de V10 DNS servers te gebruiken die een DNSSEC ondersteuning hebben. Het probleem is alleen dat als je dat doet de TV ermee stopt van KPN. Zo heb ik een tijd geleden een Raspberry PI gehad met DNSSEC en deze ingesteld als DNS Server. Op jouw genoemde link kreeg ik netjes de melding dat ik DNSSEC had.
Reputatie 1
Maar die Raspberry PI, heb je die aangewezen als DNS Server in je Experiabox? Of op de client?

Als ik namelijk Google Public DNS:
  • 8.8.8.8
  • 8.8.4.4

Instel op de Experiabox V10, dan geeft ie zichzelf mee als DNS Server naast bijvoorbeeld 8.8.8.8, en werkt het dus niet. Als ik De bovengenoemde DNS Servers van Google invoer in bijvoorbeeld een laptop, dan werkt het wel.
Reputatie 6
Badge +8
@pan,

Nee het IP Adres van de Raspberry PI had ik in de Experiabox V10 ingesteld.
Reputatie 7
Badge +30
Maar die Raspberry PI, heb je die aangewezen als DNS Server in je Experiabox? Of op de client?

Als ik namelijk Google Public DNS:
  • 8.8.8.8
  • 8.8.4.4

Instel op de Experiabox V10, dan geeft ie zichzelf mee als DNS Server naast bijvoorbeeld 8.8.8.8, en werkt het dus niet. Als ik De bovengenoemde DNS Servers van Google invoer in bijvoorbeeld een laptop, dan werkt het wel.

Dit ervaar ik ook en ik ben dan benieuwd naar de reden waarom @vriesde's antwoord gemarkeerd is als oplossing.
Reputatie 6
Badge +8
Maar die Raspberry PI, heb je die aangewezen als DNS Server in je Experiabox? Of op de client?

Als ik namelijk Google Public DNS:
  • 8.8.8.8
  • 8.8.4.4

Instel op de Experiabox V10, dan geeft ie zichzelf mee als DNS Server naast bijvoorbeeld 8.8.8.8, en werkt het dus niet. Als ik De bovengenoemde DNS Servers van Google invoer in bijvoorbeeld een laptop, dan werkt het wel.

Dit ervaar ik ook en ik ben dan benieuwd naar de reden waarom @vriesde's antwoord gemarkeerd is als oplossing.


Geen idee Robin! ik heb niets als oplossing aangeklikt 😮
Reputatie 6
Badge +8
Maar die Raspberry PI, heb je die aangewezen als DNS Server in je Experiabox? Of op de client?

Als ik namelijk Google Public DNS:
  • 8.8.8.8
  • 8.8.4.4

Instel op de Experiabox V10, dan geeft ie zichzelf mee als DNS Server naast bijvoorbeeld 8.8.8.8, en werkt het dus niet. Als ik De bovengenoemde DNS Servers van Google invoer in bijvoorbeeld een laptop, dan werkt het wel.

Dit ervaar ik ook en ik ben dan benieuwd naar de reden waarom @vriesde's antwoord gemarkeerd is als oplossing.


Geen idee Robin! ik heb niets als oplossing aangeklikt 😮
Reputatie 7
Badge +28
Misschien was het een van de mods per abuis. Is weer ongedaan gemaakt 🙂
Reputatie 1
Is hier nog een update van beschikbaar? Ik zou graag DNSSEC ondersteuning willen zonder elke laptop/PC aan te passen.
Reputatie 7
Badge +30
Tja. Reken er maar op dat dat nog langer duurt dan die VPN server en bandsteering voor de V10. En persoonlijk hecht ik daar dan ook meer waarde aan.
Het makkelijkste is gewoon om een eigen DHCP server te draaien en daar een DNSSEC server mee te geven.

Persoonlijk vraag ik me ook nog wel eens af of DNSSEC wel handig is. Tuurlijk heeft het voordelen, maar er zijn ook nadelen waaronder de lage keysize, grote packets, en nog andere problemen met efficiëntie.
Reputatie 1
@RobinFlikkema

Een eigen DHCP server zou inderdaad een optie zijn. Echter als ik DHCP uitzet op de Experiabox V10 en bijvoorbeeld een pfSense bak inricht als DHCP Server. Hoe gaat dat dan met de IPTV? Die heeft dacht ik DHCP parameters nodig om te kunnen streamen? Verder vraag ik me af op de IPv6 configuratie dan wel blijft werken?
Reputatie 7
Badge +30
IPTV heeft inderdaad DHCP opties nodig. En dat zou theoretisch gezien moeten werken. Je kan volgensmij met die opties ook aangeven dat ze naar 192.168.2.254 moeten toch?

IPv6 wordt niet door DHCP gedaan. Dat zou dus geen probleem moeten zijn toch? Tenzij de DHCP switch meer doet dan alleen DHCP.
Reputatie 1
Na een tijd stilte van mijn kant.

Kan ik dit inrichten met pfSense? En dan zoals hier beschreven, de DHCP opties meegeven?
Reputatie 7
Badge +30
Ja hoor, die handleiding geeft ook de DHCP opties aan, dus dat zou moeten werken.

Reageer