dnssec zone transfer qui foire entre bind et powerdns

RSS
dufour-zacharie 30/09/2025
RÉSOLU
Retour Répondre
Avatar de dufour-zacharie
dufour-zacharie
Auteur Actif Secouriste
Avatar de dufour-zacharie
dufour-zacharie
Auteur Actif Secouriste

salut la gang j'ai un souci pour répliquer une zone dnssec de notre master bind vers un slave powerdns. le transfert classique axfr fonctionne bien mais dès que je mets dnssec activé sur la zone ça plante. j'ai l'impression que la clé ksk/zsk est pas bien gérée ou que powerdns comprend pas le format. des pistes ?

# zone file example sur bind
$ORIGIN example.com.
$TTL 3600
@ IN SOA ns1.example.com. hostmaster.example.com. (
                                2023010101 ; Serial
                                7200       ; Refresh
                                3600       ; Retry
                                1209600    ; Expire
                                3600 )     ; Minimum TTL

IN NS ns1.example.com.
IN NS ns2.example.com.

$INCLUDE "Kexample.com.+008+12345.key"
$INCLUDE "Kexample.com.+008+54321.key"
30/09/2025 à 15:47

6 commentaires

Avatar de hlelievre
hlelievre
Membre Actif
Avatar de hlelievre
hlelievre
Membre Actif

yo check les logs de powerdns côté slave et de bind côté master. souvent y a un message explicite sur l'erreur de signature ou de validation. ptete un problème de trust anchor si tu l'as pas importée correctement sur powerdns

01/10/2025 à 09:48
Avatar de dufour-zacharie
dufour-zacharie
Auteur Actif Secouriste
Avatar de dufour-zacharie
dufour-zacharie
Auteur Actif Secouriste

j'ai regardé les logs sur powerdns j'ai un "signature verification failed" et côté bind rien de spécial juste le transfert qui n'aboutit pas. la trust anchor est bien présente mais j'ai un doute sur le format peut-être

02/10/2025 à 07:44
Avatar de chevalier-matthieu
chevalier-matthieu
Membre Actif
Avatar de chevalier-matthieu
chevalier-matthieu
Membre Actif

est-ce que ton powerdns est configuré pour accepter les signatures dnssec de bind ? des fois faut spécifier la chaîne de confiance ou les algos supportés. ou alors tes clés sont trop récentes pour une vieille version de powerdns

03/10/2025 à 05:11
Avatar de dufour-zacharie
dufour-zacharie
Auteur Actif Secouriste
Avatar de dufour-zacharie
dufour-zacharie
Auteur Actif Secouriste

c'est une version récente de powerdns ça devrait être bon. je vais re-générer les clés avec un algo plus "standard" genre rsasha256 au lieu de ce que j'avais qui était plus exotique

03/10/2025 à 23:51
Avatar de hlelievre
hlelievre
Membre Actif
Avatar de hlelievre
hlelievre
Membre Actif

ouais bonne idée les algos ça peut être une plaie. et vérifie que t'as pas de firewall qui bloque les transactions dnssec sur des ports un peu custom ou qui filtre des types d'enregistrements bizarres

04/10/2025 à 19:44
Avatar de dufour-zacharie
dufour-zacharie
Auteur Actif Secouriste
Avatar de dufour-zacharie
dufour-zacharie
Auteur Actif Secouriste

c'était bien l'algo ! j'ai régénéré avec rsasha256 et paf les zones sont transférées nickel avec les signatures. merci les gars pour le coup de main c'était galère

05/10/2025 à 18:26

Laisser une réponse

Vous devez être connecté pour poster un message !

Rejoindre la communauté

Recevoir les derniers articles gratuitement en créant un compte !

S'inscrire