dnssec zone transfer qui foire entre bind et powerdns

Posté par dufour-zacharie le 30/09/2025
RÉSOLU
Retour Répondre Créer

Avatar de dufour-zacharie

dufour-zacharie

Membre depuis le 27/05/2024

salut la gang j'ai un souci pour répliquer une zone dnssec de notre master bind vers un slave powerdns. le transfert classique axfr fonctionne bien mais dès que je mets dnssec activé sur la zone ça plante. j'ai l'impression que la clé ksk/zsk est pas bien gérée ou que powerdns comprend pas le format. des pistes ?

# zone file example sur bind
$ORIGIN example.com.
$TTL 3600
@ IN SOA ns1.example.com. hostmaster.example.com. (
                                2023010101 ; Serial
                                7200       ; Refresh
                                3600       ; Retry
                                1209600    ; Expire
                                3600 )     ; Minimum TTL

IN NS ns1.example.com.
IN NS ns2.example.com.

$INCLUDE "Kexample.com.+008+12345.key"
$INCLUDE "Kexample.com.+008+54321.key"

Commentaires

Avatar de hlelievre

hlelievre

Membre depuis le 21/07/2024

yo check les logs de powerdns côté slave et de bind côté master. souvent y a un message explicite sur l'erreur de signature ou de validation. ptete un problème de trust anchor si tu l'as pas importée correctement sur powerdns

Avatar de dufour-zacharie

dufour-zacharie

Membre depuis le 27/05/2024

j'ai regardé les logs sur powerdns j'ai un "signature verification failed" et côté bind rien de spécial juste le transfert qui n'aboutit pas. la trust anchor est bien présente mais j'ai un doute sur le format peut-être

Avatar de chevalier-matthieu

chevalier-matthieu

Membre depuis le 15/07/2024

est-ce que ton powerdns est configuré pour accepter les signatures dnssec de bind ? des fois faut spécifier la chaîne de confiance ou les algos supportés. ou alors tes clés sont trop récentes pour une vieille version de powerdns

Avatar de dufour-zacharie

dufour-zacharie

Membre depuis le 27/05/2024

c'est une version récente de powerdns ça devrait être bon. je vais re-générer les clés avec un algo plus "standard" genre rsasha256 au lieu de ce que j'avais qui était plus exotique

Avatar de hlelievre

hlelievre

Membre depuis le 21/07/2024

ouais bonne idée les algos ça peut être une plaie. et vérifie que t'as pas de firewall qui bloque les transactions dnssec sur des ports un peu custom ou qui filtre des types d'enregistrements bizarres

Avatar de dufour-zacharie

dufour-zacharie

Membre depuis le 27/05/2024

c'était bien l'algo ! j'ai régénéré avec rsasha256 et paf les zones sont transférées nickel avec les signatures. merci les gars pour le coup de main c'était galère

Laisser une réponse

Vous devez être connecté pour poster un message !

Rejoindre la communauté

Recevoir les derniers articles gratuitement en créant un compte !

S'inscrire