Tham gia Đăng nhập
Điểm:0
avatar Server

Có thể có DNS công cộng và nội bộ khác nhau với DNSSEC không?

lá cờ in
Ellis

Tôi đang cố gắng đạt được những điều sau:

  • Một máy chủ định danh công cộng cho miền của tôi sẽ trỏ ví dụ.com đến một địa chỉ IP công cộng.
  • Một máy chủ tên riêng cho cùng một miền chạy trong mạng LAN, thay vào đó, máy khách sẽ trỏ các máy khách đến một địa chỉ IP riêng trên cùng một mạng LAN.
  • Đã bật DNSSEC.

Tất nhiên, việc đạt được điểm đầu tiên và điểm cuối cùng là tương đối dễ dàng, vì vậy việc làm cho thành phần riêng tư hoạt động mới là vấn đề.

Về thiết lập thực tế của tôi:

  • Tôi đang sử dụng dịch vụ DNS của Cloudflare, nơi tôi có một bản ghi A cho tên miền của mình trỏ đến một địa chỉ IP công cộng và đã bật DNSSEC.
  • Tại công ty đăng ký của tôi, tôi đã thêm bản ghi DS dựa trên những gì Cloudflare cung cấp cho tôi và định cấu hình máy chủ định danh của Cloudflare. Tất cả điều này hoạt động tốt, như bạn mong đợi.
  • Trong nội bộ, tôi đang chạy Pi-Hole (được đặt làm máy chủ DNS cho các máy khách trong mạng LAN của tôi) được định cấu hình với DNSSEC được bật và trỏ đến một phiên bản CoreDNS cục bộ làm trình phân giải ngược dòng.
  • Trong CoreDNS, tôi có một vùng được định cấu hình cho ví dụ.com được ký bằng các khóa được tạo bởi coredns-keygen. Điều này có một bản ghi A trỏ đến một địa chỉ IP nội bộ.
  • Tôi có bản ghi DS thứ hai tại công ty đăng ký của mình dựa trên khóa được CoreDNS sử dụng nội bộ.

Điều gì xảy ra:

  • Thiết lập chung hoạt động để giải quyết các miền không phải của tôi.
  • Pi-Hole đáp ứng với KHÔNG PHỤC VỤ và nhật ký BỊ BỎ RƠI khi tôi cố gắng giải quyết tên miền của mình.
  • Tuy nhiên, nếu tôi trỏ trực tiếp một máy khách tới CoreDNS (ví dụ: với đào), tôi nhận được phản hồi như mong đợi với địa chỉ IP LAN.
  • Ngoài ra, nếu tôi tắt DNSSEC trong Pi-Hole, nó sẽ hoạt động tốt.

Vì vậy, câu hỏi của tôi là:

  • Là những gì tôi đang cố gắng để đạt được thậm chí có thể?
  • Tôi bắt đầu thắc mắc liệu việc có các bản ghi DS riêng biệt tại công ty đăng ký của mình có sai không, nhưng tôi không nghĩ mình có thể truy xuất khóa riêng mà Cloudflare đang sử dụng và tôi cũng không thể tải khóa tùy chỉnh lên, vì vậy tôi không chắc mình có thể sử dụng như thế nào các khóa giống nhau cho công khai và riêng tư.
  • Có bất kỳ lý do nào khiến mọi thứ dường như hoạt động nếu tôi chỉ trực tiếp khách hàng của mình tới CoreDNS nhưng Pi-Hole từ chối hợp tác không?

Cảm ơn!

44
0 + 0
Patrick Mevzek avatar
lá cờ cn
Patrick Mevzek
Câu hỏi sau trong cột Liên quan có thể hữu ích: https://serverfault.com/questions/745270/using-dnssec-with-private-tld?rq=1
1
Hồi đáp
Patrick Mevzek avatar
lá cờ cn
Patrick Mevzek
"Tôi bắt đầu thắc mắc liệu việc có các bản ghi DS riêng biệt tại công ty đăng ký của tôi có sai không" DNSSEC mong đợi MỘT đường dẫn hợp lệ hiện có để chứng minh chuỗi tin cậy. Không phải tất cả. Vì vậy, nó là "ổn" có thêm DS. Bạn có thể tìm thấy các TLD/miền khác nhau bằng cách sử dụng thiết lập "DS được xuất bản trước" trong đó DS được xuất bản ở cấp độ gốc mà không có DNSKEY liên quan được xuất bản ở cấp độ con. Nó hoạt động miễn là có một bản ghi DS KHÁC với DNSKEY thích hợp của nó. Bạn có thể muốn, từ Pi-Hole để gỡ lỗi thêm SERVFAIL. Nó có thể liên quan đến DNSSEC hoặc không. Nếu bạn có EDE thì điều đó sẽ hữu ích, nhưng nếu không thì hãy thử đào có và không có `+cd`
1
Hồi đáp
Patrick Mevzek avatar
lá cờ cn
Patrick Mevzek
Một tên thật sẽ có ích. Tôi đoán vấn đề liên quan nhiều hơn đến bản ghi `NS` của bạn. "Trong CoreDNS, tôi có một vùng được định cấu hình cho example.com được ký bằng các khóa do coredns-keygen tạo." Nhưng với các bản ghi NS có thể khác với phiên bản công khai của vùng? Điều này có thể gây ra lỗi trên chữ ký vì rrset NS sẽ không khớp nữa.
1
Hồi đáp
lá cờ in
Ellis
Cảm ơn, tôi đã thấy câu hỏi đó, nhưng tiếc là các liên kết trong câu trả lời đã chết. Ngoài ra, tôi sở hữu tên miền thực của mình nên có lẽ sẽ dễ dàng hơn. Vậy có nhiều hồ sơ DS có bị phạt không? Nhưng khi bạn nói DNSSEC mong đợi một đường dẫn, có lẽ điều đó có nghĩa là không CHỈ một đường dẫn. Nếu tôi thử đào bằng `+cd`, tôi nhận được `NOERROR`, vì vậy vấn đề này chắc chắn liên quan đến việc kiểm tra. "Nhưng với các bản ghi NS có thể khác với phiên bản công khai của khu vực?" - À, vâng.Tôi vừa thử đặt SOA và NS của vùng nội bộ giống như vùng công khai, cho đến nay không có thay đổi nào.
0
Hồi đáp
lá cờ in
Ellis
Cũng sẽ thử và nhận một số lỗi hữu ích hơn từ Pi-Hole. Tôi sẽ xem xét liệu tôi có thể kích hoạt EDE bằng cách nào đó không.
0
Hồi đáp
Patrick Mevzek avatar
lá cờ cn
Patrick Mevzek
"Nhưng khi bạn nói DNSSEC mong đợi một đường dẫn, có lẽ điều đó có nghĩa là không CHỈ một đường dẫn." Trình phân giải lấy tất cả DS mà nó nhìn thấy và tất cả DNSKEY mà nó nhìn thấy và nếu nó tìm thấy một kết quả khớp (cộng với tất cả tiền điện tử và ngày tháng đều ổn) thì tốt nhất là xác nhận chuỗi tin cậy đã được xác minh (và nó sẽ tiếp tục với cấp ủy quyền tiếp theo, v.v.). Khi một đường dẫn hợp lệ được tìm thấy, các DS/DNSKEY khác ở cùng cấp độ sẽ không liên quan, ngay cả khi chúng cũng hoạt động.
1
Hồi đáp
Patrick Mevzek avatar
lá cờ cn
Patrick Mevzek
Xem §5.3.3 của RFC4035 nếu nó rõ ràng hơn lời giải thích của tôi: "Lưu ý rằng có thể có nhiều hơn một Bản ghi tài nguyên DNSKEY khớp với các điều kiện trong Mục 5.3.1. Trong trường hợp này, trình xác thực chỉ có thể xác định bản ghi tài nguyên DNSKEY nào là chính xác bằng cách thử từng công khai phù hợp khóa cho đến khi trình xác thực thành công trong việc xác thực chữ ký hoặc hết khóa để thử." Vì vậy, một trận đấu là đủ để xác định cái nào (khi có nhiều DNSKEY/DS; cũng nên nhớ rằng một DNSKEY nhất định thậm chí một mình có thể có nhiều bản ghi DS, cho các thông báo khác nhau)
1
Hồi đáp
lá cờ in
Ellis
Cảm ơn, điều đó có ý nghĩa. Tôi vẫn bị mắc kẹt về điều này thật không may. Tất cả những gì tôi có thể thấy từ nhật ký là Pi-Hole chuyển tiếp truy vấn tới CoreDNS, truy vấn này sẽ phản hồi bằng bản ghi A. Sau đó, Pi-hole truy vấn bản ghi DS, CoreDNS ghi lại phản hồi `NOERROR`, nhưng Pi-Hole sau đó ghi lại `xác thực mydomain.com bị BỎ QUA`.Thử mọi thứ với `dig` và `drill` truy vấn trực tiếp máy chủ CoreDNS, tất cả những gì tôi có thể nói là theo hiểu biết tốt nhất của tôi thì các câu trả lời có vẻ chính xác. Vì vậy, tôi không biết tại sao Pi-Hole lại từ bỏ việc xác thực.
0
Hồi đáp
lá cờ VietNam
Phan Văn Trường
Câu hỏi này là trong các ngôn ngữ khác:

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.