Errori BIND9

Errori BIND9

Buongiorno, recentemente mi sono imbattuto in una serie di errori relativi a BIND9 su distribuzione debian che mi impedivano di risolvere correttamente.

Partendo da una situazione pulita ed usando google come DNS Forwared ad ogni richiesta ricevevo SERVFAIL e sui log notavo una quantità di errori dovuti principalmente a:

  1. Errori di risoluzione su indirizzi IPv6 (e.g. network unreachable resolving ‘./DNSKEY/IN’: 2001:500:2f::f#53)
  2. Errori attribuibili a dnsseq (e.g. managed-keys-zone: Unable to fetch DNSKEY set ‘.’: timed out oppure no valid RRSIG resolving )

Nell’articolo vedremo come risolvere problemi in BIND9 relativi a IPv6 e DNSSEQ.

I problemi sono appunto due ed analizziamoli individualmente.

IPv6

Nel mio sistema io non ho ancora abilitato il supporto a IPv6. Pertanto non ho al momento bisogno che BIND sia abilitato a questa versione di protocollo. Per forzare la sola versione 4 si può modificare la chiave OPTIONS presente nel file /etc/defaults/bind da così:

OPTIONS="-u bind"

a così:

OPTIONS="-4 -u bind"  

DNSSEQ

Dai log si evinceva che c’erano dei problemi legati a DNSSEQ. La causa di questo era la chiave relativa al metodo di validazione. Per risolvere si può forzare la validazione modificando nel file /etc/bind9/named.conf.options da così:

dnssec-validation auto;

a così:

dnssec-validation yes;

Fatto questo il mio sistema BIND9 è tornato a risolvere correttamente.

Per completezza riporto la differenza tra le due voci:

  • yes: DNSSEC validation is enabled, but a trust anchor must be manually configured. No validation will actually take place until you have manually configured at least one trusted key. This is the default.
  • no: DNSSEC validation is disabled, and recursive server will behave in the “old fashioned” way of performing insecure DNS lookups.
  • auto: DNSSEC validation is enabled, and a default trust anchor (included as part of BIND) for the DNS root zone is used.

Alla prossima!