local recursor nach Upadte auf 106

Wie kann man das Konfigurieren?
IPFIREUSER
Posts: 4
Joined: November 12th, 2015, 8:57 am

local recursor nach Upadte auf 106

Post by IPFIREUSER » November 7th, 2016, 11:28 am

Habe soebend ein Update auf die neuste Version von IPFIRE durchgeführt.

Nach dem Neustart waren schon Fehlermeldungen beim Booten bezüglich DNS Servern zu sehen.

Im Hauptmenue steht nun "local recursor " . Was bedeutet das genau ?

Vielen Dank für eine kurze Info.

User avatar
Arne.F
Core Developer
Core Developer
Posts: 8518
Joined: May 7th, 2006, 8:57 am
Location: BS <-> NDH
Contact:

Re: local recursor nach Upadte auf 106

Post by Arne.F » November 7th, 2016, 12:54 pm

Das bedeutet das deine eingestellten DNS Server nicht alle DNS-Records ausliefern und IPFire als Fallbacklösung daher selbst den DNS-Recursor macht und alles von der Rootzone an selbst auflöst. Dies ist in der Regel langsamer als andere DNS Server zu Nutzen die die haufig abgerufene Domains aus einem Cache ausliefern.

http://wiki.ipfire.org/en/dns/public-servers
Arne

Support the project on the donation!

Image

Image

Image
PS: I will not answer support questions via email and ignore IPFire related messages on my non IPFire.org mail addresses.

IPFIREUSER
Posts: 4
Joined: November 12th, 2015, 8:57 am

Re: local recursor nach Upadte auf 106

Post by IPFIREUSER » November 7th, 2016, 1:47 pm

Arne.F wrote:Das bedeutet das deine eingestellten DNS Server nicht alle DNS-Records ausliefern und IPFire als Fallbacklösung daher selbst den DNS-Recursor macht und alles von der Rootzone an selbst auflöst. Dies ist in der Regel langsamer als andere DNS Server zu Nutzen die die haufig abgerufene Domains aus einem Cache ausliefern.

http://wiki.ipfire.org/en/dns/public-servers
Danke für die Info:

allerdings:

Die DNS Server wurden nicht geändert und arbeiten seit einigen Jahren bisher problemfrei in IPFIRE.

Sowohl beim Start als auch beim Herunterfahren erscheint die Fehlermeldung:

"Ignoring broken upstream name server(s) 194.25.0.60 8.8.8.8
Failing back to recursor mode"

Im ersten Fall handelt es sich um einen Telekom DNS Server im zweiten um Google.
Sind diese Server nicht zugelassen oder wo liegt das Problem ?

Welche DNS Server würden alternativ empfohlen, damit das Problem nicht auftritt ?

User avatar
Arne.F
Core Developer
Core Developer
Posts: 8518
Joined: May 7th, 2006, 8:57 am
Location: BS <-> NDH
Contact:

Re: local recursor nach Upadte auf 106

Post by Arne.F » November 7th, 2016, 3:29 pm

Mhh das ist in der Tat nicht normal da zumindest der 8.8.8.8 DNSSec sauber validiert.

mach mal
/etc/init.d/unbound test-name-server <IP>
mit 8.8.8.8 und 81.3.27.46
und poste was er so ausspuckt.
Arne

Support the project on the donation!

Image

Image

Image
PS: I will not answer support questions via email and ignore IPFire related messages on my non IPFire.org mail addresses.

Espo
Posts: 1
Joined: November 8th, 2016, 6:22 am

Re: local recursor nach Upadte auf 106

Post by Espo » November 8th, 2016, 6:30 am

Guten morgen

Seit ein paar Tagen kämpfe ich hier mit dem gleichen Problem.
Allerdings sind die einzigen DNS Server die ich erreichen kann welche, die NICHT validieren. Auf andere kann ich nicht zugreifen. Wie kann ich diese Prüfung deaktivieren und bewusst diese DNS Server verwenden?

Der Fehler wirkt sich hier so aus, dass nach einem Aufruf ca. 30 Sekunden vergehen bis die Domain aufgelöst wird und der Internetexplorer etwas findet.

IPFIREUSER
Posts: 4
Joined: November 12th, 2015, 8:57 am

Re: local recursor nach Upadte auf 106

Post by IPFIREUSER » November 8th, 2016, 7:35 am

Arne.F wrote:Mhh das ist in der Tat nicht normal da zumindest der 8.8.8.8 DNSSec sauber validiert.

mach mal
/etc/init.d/unbound test-name-server <IP>
mit 8.8.8.8 und 81.3.27.46
und poste was er so ausspuckt.
Hallo Arne,

/etc/init.d/unbound test-name-server 8.8.8.8

ergibt:

8.8.8.8 is validating
8.8.8.8 supports TCP fallback

---------------------------------------------------------------------------

/etc/init.d/unbound test-name-server 81.3.27.46

ergibt:

Test faild for an unknown reason
81.3.27.46 does not support TCP fallback

---------------------------------------------------------------------------

/etc/init.d/unbound test-name-server 194.25.0.60

ergibt:

Unable to retrieve the following resource records from 194.25.0.60: RRSIG
194.25.0.60 supports TCP fallback


---------------------------------------------------------------------------

User avatar
Arne.F
Core Developer
Core Developer
Posts: 8518
Joined: May 7th, 2006, 8:57 am
Location: BS <-> NDH
Contact:

Re: local recursor nach Upadte auf 106

Post by Arne.F » November 8th, 2016, 8:51 am

Das sieht erstmal Ok aus.
Normal müsste der 8.8.8.8 akzeptiert werden. Der 81.3.27.46 war ein Test ob der Provider evtl. alles umleitet. (Das ist gar kein DNS Server)

Das System sollte nur den Telekomserver weglassen und nicht in local recursor zurückfallen.
Arne

Support the project on the donation!

Image

Image

Image
PS: I will not answer support questions via email and ignore IPFire related messages on my non IPFire.org mail addresses.

chieftobitobsn
Posts: 29
Joined: September 16th, 2015, 10:40 pm

Re: local recursor nach Upadte auf 106

Post by chieftobitobsn » November 12th, 2016, 5:46 pm

Also bei mir steht auch Local Recursor als DNS Server im GUI. Ich habe einen LANCOM vor der IPFire, der als DNS herhält. Test mit Unbound Validating ok, Fallback nicht. Als zweiten habe ich Google 8.8.8.8 , und da ist beides ok.

Warum dann der Local Recursor?

User avatar
Arne.F
Core Developer
Core Developer
Posts: 8518
Joined: May 7th, 2006, 8:57 am
Location: BS <-> NDH
Contact:

Re: local recursor nach Upadte auf 106

Post by Arne.F » November 13th, 2016, 3:56 pm

Gute Frage. Versuch mal unbound neu zu starten.
/etc/init.d/unbound restart

Wenn das nur temporär hilft stimmt irgendwas im Bootprozess für dein Konfiguration von red nicht. (Dann meld dich nochmal mit Details wie red konfiguriert ist.)
Arne

Support the project on the donation!

Image

Image

Image
PS: I will not answer support questions via email and ignore IPFire related messages on my non IPFire.org mail addresses.

Ruddimaster
Posts: 24
Joined: August 23rd, 2011, 3:56 pm
Location: Aachen

Re: local recursor nach Upadte auf 106

Post by Ruddimaster » November 14th, 2016, 8:32 am

Hallo

das gleiche Problem habe ich ebenfalls nach dem Update.

[root@proxy /]# /etc/init.d/unbound test-name-server 10.1.1.1
Unable to retrieve the following resource records from 10.1.1.1: RRSIG
10.1.1.1 is NOT DNSSEC-aware
10.1.1.1 supports TCP fallback
---------------------
Der interne Server ist ein Active Directory-Server, den ich für die Proxy-Authentifizierung benötige und selber DNS-Proxy fungiert.

<frust-schieben>seit Juli kämpfe ich bereits mit dem Problem bei SSO im Squid (viewtopic.php?f=52&t=13523). Irgendwie habe ich das Gefühl, daß ipfire nicht mehr den Enterprise-Bereich abdecken möchte.</frust-schieben>

Gruß

Dirk

User avatar
Arne.F
Core Developer
Core Developer
Posts: 8518
Joined: May 7th, 2006, 8:57 am
Location: BS <-> NDH
Contact:

Re: local recursor nach Upadte auf 106

Post by Arne.F » November 14th, 2016, 11:40 am

Unable to retrieve the following resource records from 10.1.1.1: RRSIG
10.1.1.1 is NOT DNSSEC-aware
Dann Reparier den AD Server. Entweder macht der die DNS Records kapput oder er hat kapputte Upstream Server.
Nicht überprüfbares DNS ist ein Sicherheitsrisiko da jeder mit einer simplen gefälschten Antwort den Traffic auf ein anderes System umleiten kann, darum Verlangt das IPFire seit core106 DNSSec fähige DNS Server. Gerade im Enterprise Bereich ist dies besonders Wichtig.
Arne

Support the project on the donation!

Image

Image

Image
PS: I will not answer support questions via email and ignore IPFire related messages on my non IPFire.org mail addresses.

chieftobitobsn
Posts: 29
Joined: September 16th, 2015, 10:40 pm

Re: local recursor nach Upadte auf 106

Post by chieftobitobsn » November 18th, 2016, 1:02 pm

@Arne F.
Restart von unbound hilft nichts...

Red ist konfiguriert: IP 192.168.0.1, Gateway 192.168.0.2 (Lancom Router mit VDSL - Dort ist die IPFire in einer DMZ ohne Beschränkungen)

Gibt es ein Protokoll vom Bootvorgang oder wie kommt man an die Infos, was da schiefgaégangen sein kann?

cheers, und guts WE

privateer
Posts: 15
Joined: March 30th, 2013, 4:40 pm

Re: local recursor nach Upadte auf 106

Post by privateer » November 18th, 2016, 2:59 pm

Ich hatte das local.recurser auch auf der 1. Seite der GUI stehen. Drauf gekommen nachzusehen bin ich erst, nachdem ein speedtest unterirdische Werte ablieferte.
Bin dann über das setup (console) rein und habe alle Werte überprüft. Da beim Drücken von OK die Konfiguration wahrscheinlich neu geschrieben wird, hat sich der Fehler quasi selbst behoben.
Meine Vermutung ist, daß beim core update, welches den Wechsel auf unbound machte, die config nicht richtig / vollständig gesetzt wurde. Wenn das stimmt, sollten Neuinstallationen nicht betroffen sein. Wie gesagt bei mir reichte einmal neu abspeichern - läuft.

m86m
Posts: 132
Joined: September 15th, 2010, 2:47 pm

Re: local recursor nach Upadte auf 106

Post by m86m » November 18th, 2016, 4:22 pm

Habe das Problem wenn ich als DNS Server die opendns familyshield server eintrage.
https://www.opendns.com/setupguide/?url ... ld#results
208.67.222.123
208.67.220.123
Kennt jemand ähnliche DNS Server mit Filterfunktionen, die ipfire "konform" sind?

User avatar
MichaelTremer
Core Developer
Core Developer
Posts: 5796
Joined: August 11th, 2005, 9:02 am

Re: local recursor nach Upadte auf 106

Post by MichaelTremer » November 18th, 2016, 7:28 pm

m86m wrote:Habe das Problem wenn ich als DNS Server die opendns familyshield server eintrage.
https://www.opendns.com/setupguide/?url ... ld#results
208.67.222.123
208.67.220.123
Kennt jemand ähnliche DNS Server mit Filterfunktionen, die ipfire "konform" sind?
Hier etwas Dokumentation dazu: http://wiki.ipfire.org/en/dns/dnssec/hosted-blacklists
Support the project with our Donation Challenge!

Get Commercial Support for IPFire and more from Lightning Wire Labs!

Image

Post Reply