[Yeti DNS Discuss] Help with DNSSEC Key

龚道彪 dbgong at biigroup.cn
Fri Jan 22 17:00:32 UTC 2016


Greate! :)
------------------ Original ------------------
From: "Federico Olivieri"<lvrfrc87 at gmail.com>
Date: Sat, Jan 23, 2016 00:57 AM
To: "龚道彪"<dbgong at biigroup.cn>;
Cc: "discuss"<discuss at lists.yeti-dns.org>;
Subject: Re: [Yeti DNS Discuss] Help with DNSSEC Key


It is fine :)&#xA0;

oot at raspberrypi:~# dig @::1 www.isc.org +dnssec -p 5300


; <<>> DiG 9.9.5-9+deb8u5-Raspbian <<>> @::1 www.isc.org +dnssec -p 5300
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 4937
;; flags: qr rd ra ad; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 1


;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags: do; udp: 4096
;; QUESTION SECTION:
;www.isc.org. &#xA0; &#xA0; &#xA0; &#xA0; &#xA0; &#xA0; &#xA0; &#xA0; &#xA0; IN &#xA0; &#xA0; &#xA0;A


;; ANSWER SECTION:
www.isc.org. &#xA0; &#xA0; &#xA0; &#xA0; &#xA0; &#xA0;42 &#xA0; &#xA0; &#xA0;IN &#xA0; &#xA0; &#xA0;RRSIG &#xA0; A 5 3 60 20160219054322 20160120054322 6003 isc.org. 1+TamdDaIbldKxk0YYsUMo04IrIb0tlU3BpBIibWJ3L1/J2mpJGrHYC7 lbIi1YsKcPgFpYqdtax5W+4XrqpYq6dIcg+lv6e5JdC6Sy+RYk1lIQOW WMMrgHurWBo8YNOiLrGG7KY3FakFcYFGPLG2dcMW0SjvLbtEoD7jBG7k mrU=
www.isc.org. &#xA0; &#xA0; &#xA0; &#xA0; &#xA0; &#xA0;42 &#xA0; &#xA0; &#xA0;IN &#xA0; &#xA0; &#xA0;A &#xA0; &#xA0; &#xA0; 149.20.64.69


;; Query time: 11 msec
;; SERVER: ::1#5300(::1)
;; WHEN: Fri Jan 22 16:55:03 UTC 2016
;; MSG SIZE &#xA0;rcvd: 223





But if I dig +trace it stuck to the end of the root server list. Anyway, seems working.&#xA0;Do you have any way to &#xA0;confirm if you see traffic from my server?&#xA0;2a02:c7d:ca0c:d6ca:ba27:ebff:fe28:6b3e


Also, I got one question. With DNS yeti only IPv6 traffic will go through your servers or IPv4 as well?

Thanks


2016-01-22 16:51 GMT+00:00 龚道彪 <dbgong at biigroup.cn>:
please&#xA0;try&#xA0;dig&#xA0;@::1&#xA0;www.isc.org&#xA0;+dnssec

check&#xA0;the&#xA0;rcode&#xA0;,response&#xA0;include&#xA0;flag&#xA0;ad&#xA0;or&#xA0;not&#xA0;

---
kevin
------------------&#xA0;Original&#xA0;------------------
From:&#xA0;"Federico Olivieri"<lvrfrc87 at gmail.com>
Date:&#xA0;Sat, Jan 23, 2016 00:36 AM
To:&#xA0;"龚道彪"<dbgong at biigroup.cn>;
Cc:&#xA0;"discuss"<discuss at lists.yeti-dns.org>;
Subject:&#xA0;Re: [Yeti DNS Discuss] Help with DNSSEC Key




Thank you very much! It works finally!!! Or at least it's talking with yeti servers.

However, seems pretty stuck


root at raspberrypi:~# dig @::1 www.facebook.com -p 5300 +trace


; <<>> DiG 9.9.5-9+deb8u5-Raspbian <<>> @::1 www.facebook.com -p 5300 +trace
; (1 server found)
;; global options: +cmd
. &#xA0; &#xA0; &#xA0; &#xA0; &#xA0; &#xA0; &#xA0; &#xA0; &#xA0; &#xA0; &#xA0; 86339 &#xA0; IN &#xA0; &#xA0; &#xA0;NS &#xA0; &#xA0; &#xA0;yeti-ns.switch.ch.
. &#xA0; &#xA0; &#xA0; &#xA0; &#xA0; &#xA0; &#xA0; &#xA0; &#xA0; &#xA0; &#xA0; 86339 &#xA0; IN &#xA0; &#xA0; &#xA0;NS &#xA0; &#xA0; &#xA0;yeti.ipv6.ernet.in.
. &#xA0; &#xA0; &#xA0; &#xA0; &#xA0; &#xA0; &#xA0; &#xA0; &#xA0; &#xA0; &#xA0; 86339 &#xA0; IN &#xA0; &#xA0; &#xA0;NS &#xA0; &#xA0; &#xA0;yeti-ns.lab.nic.cl.
. &#xA0; &#xA0; &#xA0; &#xA0; &#xA0; &#xA0; &#xA0; &#xA0; &#xA0; &#xA0; &#xA0; 86339 &#xA0; IN &#xA0; &#xA0; &#xA0;RRSIG &#xA0; NS 8 0 518400 20160221044002 20160122044002 50565 . fWMoPNKu2Ygeebhx87VJ2IepYGKUuwVPV2CrZA9A2BmFP/38Bl8vKYZ2 2MmiN34krDEX+l0NbLyBoE1CA0InaSLO1SDVG7qXRxet+ampeQBn6oVT AfjjXjV87+aU072cP5y6GbFRfSxQww3/UwHK0x4bJ5NIHsyiQskby+0M n8w=
. &#xA0; &#xA0; &#xA0; &#xA0; &#xA0; &#xA0; &#xA0; &#xA0; &#xA0; &#xA0; &#xA0; 86339 &#xA0; IN &#xA0; &#xA0; &#xA0;NS &#xA0; &#xA0; &#xA0;yeti-ns.tisf.net.
. &#xA0; &#xA0; &#xA0; &#xA0; &#xA0; &#xA0; &#xA0; &#xA0; &#xA0; &#xA0; &#xA0; 86339 &#xA0; IN &#xA0; &#xA0; &#xA0;NS &#xA0; &#xA0; &#xA0;yeti-ns.ix.ru.
. &#xA0; &#xA0; &#xA0; &#xA0; &#xA0; &#xA0; &#xA0; &#xA0; &#xA0; &#xA0; &#xA0; 86339 &#xA0; IN &#xA0; &#xA0; &#xA0;NS &#xA0; &#xA0; &#xA0;yeti-dns01.dnsworkshop.org.
. &#xA0; &#xA0; &#xA0; &#xA0; &#xA0; &#xA0; &#xA0; &#xA0; &#xA0; &#xA0; &#xA0; 86339 &#xA0; IN &#xA0; &#xA0; &#xA0;NS &#xA0; &#xA0; &#xA0;yeti-ns.conit.co.
. &#xA0; &#xA0; &#xA0; &#xA0; &#xA0; &#xA0; &#xA0; &#xA0; &#xA0; &#xA0; &#xA0; 86339 &#xA0; IN &#xA0; &#xA0; &#xA0;NS &#xA0; &#xA0; &#xA0;yeti-ns.as59715.net.
. &#xA0; &#xA0; &#xA0; &#xA0; &#xA0; &#xA0; &#xA0; &#xA0; &#xA0; &#xA0; &#xA0; 86339 &#xA0; IN &#xA0; &#xA0; &#xA0;NS &#xA0; &#xA0; &#xA0;dahu2.yeti.eu.org.
. &#xA0; &#xA0; &#xA0; &#xA0; &#xA0; &#xA0; &#xA0; &#xA0; &#xA0; &#xA0; &#xA0; 86339 &#xA0; IN &#xA0; &#xA0; &#xA0;NS &#xA0; &#xA0; &#xA0;dahu1.yeti.eu.org.
. &#xA0; &#xA0; &#xA0; &#xA0; &#xA0; &#xA0; &#xA0; &#xA0; &#xA0; &#xA0; &#xA0; 86339 &#xA0; IN &#xA0; &#xA0; &#xA0;NS &#xA0; &#xA0; &#xA0;yeti.aquaray.com.
. &#xA0; &#xA0; &#xA0; &#xA0; &#xA0; &#xA0; &#xA0; &#xA0; &#xA0; &#xA0; &#xA0; 86339 &#xA0; IN &#xA0; &#xA0; &#xA0;NS &#xA0; &#xA0; &#xA0;ns-yeti.bondis.org.
. &#xA0; &#xA0; &#xA0; &#xA0; &#xA0; &#xA0; &#xA0; &#xA0; &#xA0; &#xA0; &#xA0; 86339 &#xA0; IN &#xA0; &#xA0; &#xA0;NS &#xA0; &#xA0; &#xA0;yeti.bofh.priv.at.
. &#xA0; &#xA0; &#xA0; &#xA0; &#xA0; &#xA0; &#xA0; &#xA0; &#xA0; &#xA0; &#xA0; 86339 &#xA0; IN &#xA0; &#xA0; &#xA0;NS &#xA0; &#xA0; &#xA0;bii.dns-lab.net.
. &#xA0; &#xA0; &#xA0; &#xA0; &#xA0; &#xA0; &#xA0; &#xA0; &#xA0; &#xA0; &#xA0; 86339 &#xA0; IN &#xA0; &#xA0; &#xA0;NS &#xA0; &#xA0; &#xA0;yeti-ns.wide.ad.jp.
;; Received 619 bytes from ::1#5300(::1) in 130 ms



root at raspberrypi:~# dig @::1 www.google.it -p 5300


; <<>> DiG 9.9.5-9+deb8u5-Raspbian <<>> @::1 www.google.it -p 5300
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: SERVFAIL, id: 30879
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 0


;; QUESTION SECTION:
;www.google.it. &#xA0; &#xA0; &#xA0; &#xA0; &#xA0; &#xA0; &#xA0; &#xA0; IN &#xA0; &#xA0; &#xA0;A


;; Query time: 330 msec
;; SERVER: ::1#5300(::1)
;; WHEN: Fri Jan 22 16:35:57 UTC 2016
;; MSG SIZE &#xA0;rcvd: 31









2016-01-22 16:26 GMT+00:00 龚道彪 <dbgong at biigroup.cn>:
Hi Federico,


I have tested the follwing config, it works well.


$ cat /etc/powerdns/recursor.conf
....
dnssec=validate
hint-file=/etc/powerdns/yeti-hints
lua-config-file=/etc/powerdns/yeti.lua
query-local-address6=::
....


$ cat /etc/powerdns/yeti.lua
addDS(".","55954 8 2 88FF12F948BFBE666AC91B1256BB5B77B51150991A5E50F80A9FAB73945BA2AA")


$cat /etc/powerdns/yeti-hints
. &#xA0; &#xA0; &#xA0; &#xA0; &#xA0; &#xA0; &#xA0; &#xA0; &#xA0; &#xA0; &#xA0; 518400 &#xA0;IN &#xA0; &#xA0; &#xA0;NS &#xA0; &#xA0; &#xA0;yeti-ns.wide.ad.jp.
. &#xA0; &#xA0; &#xA0; &#xA0; &#xA0; &#xA0; &#xA0; &#xA0; &#xA0; &#xA0; &#xA0; 518400 &#xA0;IN &#xA0; &#xA0; &#xA0;NS &#xA0; &#xA0; &#xA0;yeti-ns.tisf.net.
. &#xA0; &#xA0; &#xA0; &#xA0; &#xA0; &#xA0; &#xA0; &#xA0; &#xA0; &#xA0; &#xA0; 518400 &#xA0;IN &#xA0; &#xA0; &#xA0;NS &#xA0; &#xA0; &#xA0;yeti-ns.ix.ru.
. &#xA0; &#xA0; &#xA0; &#xA0; &#xA0; &#xA0; &#xA0; &#xA0; &#xA0; &#xA0; &#xA0; 518400 &#xA0;IN &#xA0; &#xA0; &#xA0;NS &#xA0; &#xA0; &#xA0;yeti-dns01.dnsworkshop.org.
. &#xA0; &#xA0; &#xA0; &#xA0; &#xA0; &#xA0; &#xA0; &#xA0; &#xA0; &#xA0; &#xA0; 518400 &#xA0;IN &#xA0; &#xA0; &#xA0;NS &#xA0; &#xA0; &#xA0;dahu2.yeti.eu.org.
. &#xA0; &#xA0; &#xA0; &#xA0; &#xA0; &#xA0; &#xA0; &#xA0; &#xA0; &#xA0; &#xA0; 518400 &#xA0;IN &#xA0; &#xA0; &#xA0;NS &#xA0; &#xA0; &#xA0;ns-yeti.bondis.org.
. &#xA0; &#xA0; &#xA0; &#xA0; &#xA0; &#xA0; &#xA0; &#xA0; &#xA0; &#xA0; &#xA0; 518400 &#xA0;IN &#xA0; &#xA0; &#xA0;NS &#xA0; &#xA0; &#xA0;yeti.aquaray.com.
. &#xA0; &#xA0; &#xA0; &#xA0; &#xA0; &#xA0; &#xA0; &#xA0; &#xA0; &#xA0; &#xA0; 518400 &#xA0;IN &#xA0; &#xA0; &#xA0;NS &#xA0; &#xA0; &#xA0;bii.dns-lab.net.
. &#xA0; &#xA0; &#xA0; &#xA0; &#xA0; &#xA0; &#xA0; &#xA0; &#xA0; &#xA0; &#xA0; 518400 &#xA0;IN &#xA0; &#xA0; &#xA0;NS &#xA0; &#xA0; &#xA0;yeti-ns.lab.nic.cl.
. &#xA0; &#xA0; &#xA0; &#xA0; &#xA0; &#xA0; &#xA0; &#xA0; &#xA0; &#xA0; &#xA0; 518400 &#xA0;IN &#xA0; &#xA0; &#xA0;NS &#xA0; &#xA0; &#xA0;yeti.ipv6.ernet.in.
. &#xA0; &#xA0; &#xA0; &#xA0; &#xA0; &#xA0; &#xA0; &#xA0; &#xA0; &#xA0; &#xA0; 518400 &#xA0;IN &#xA0; &#xA0; &#xA0;NS &#xA0; &#xA0; &#xA0;yeti-ns.conit.co.
. &#xA0; &#xA0; &#xA0; &#xA0; &#xA0; &#xA0; &#xA0; &#xA0; &#xA0; &#xA0; &#xA0; 518400 &#xA0;IN &#xA0; &#xA0; &#xA0;NS &#xA0; &#xA0; &#xA0;yeti.bofh.priv.at.
. &#xA0; &#xA0; &#xA0; &#xA0; &#xA0; &#xA0; &#xA0; &#xA0; &#xA0; &#xA0; &#xA0; 518400 &#xA0;IN &#xA0; &#xA0; &#xA0;NS &#xA0; &#xA0; &#xA0;dahu1.yeti.eu.org.
. &#xA0; &#xA0; &#xA0; &#xA0; &#xA0; &#xA0; &#xA0; &#xA0; &#xA0; &#xA0; &#xA0; 518400 &#xA0;IN &#xA0; &#xA0; &#xA0;NS &#xA0; &#xA0; &#xA0;yeti-ns.as59715.net.
. &#xA0; &#xA0; &#xA0; &#xA0; &#xA0; &#xA0; &#xA0; &#xA0; &#xA0; &#xA0; &#xA0; 518400 &#xA0;IN &#xA0; &#xA0; &#xA0;NS &#xA0; &#xA0; &#xA0;yeti-ns.switch.ch.


bii.dns-lab.net. &#xA0; &#xA0; &#xA0; &#xA0;518400 &#xA0;IN &#xA0; &#xA0; &#xA0;AAAA &#xA0; &#xA0;240c:f:1:22::6
yeti.bofh.priv.at. &#xA0; &#xA0; &#xA0;172800 &#xA0;IN &#xA0; &#xA0; &#xA0;AAAA &#xA0; &#xA0;2a01:4f8:161:6106:1::10
yeti.ipv6.ernet.in. &#xA0; &#xA0; 172800 &#xA0;IN &#xA0; &#xA0; &#xA0;AAAA &#xA0; &#xA0;2001:e30:1c1e:1::333
yeti.aquaray.com. &#xA0; &#xA0; &#xA0; 172800 &#xA0;IN &#xA0; &#xA0; &#xA0;AAAA &#xA0; &#xA0;2a02:ec0:200::1
dahu1.yeti.eu.org. &#xA0; &#xA0; &#xA0;172800 &#xA0;IN &#xA0; &#xA0; &#xA0;AAAA &#xA0; &#xA0;2001:4b98:dc2:45:216:3eff:fe4b:8c5b
dahu2.yeti.eu.org. &#xA0; &#xA0; &#xA0;172800 &#xA0;IN &#xA0; &#xA0; &#xA0;AAAA &#xA0; &#xA0;2001:67c:217c:6::2
ns-yeti.bondis.org. &#xA0; &#xA0; 172800 &#xA0;IN &#xA0; &#xA0; &#xA0;AAAA &#xA0; &#xA0;2a02:2810:0:405::250
yeti-ns.ix.ru. &#xA0; &#xA0; &#xA0; &#xA0; &#xA0;172800 &#xA0;IN &#xA0; &#xA0; &#xA0;AAAA &#xA0; &#xA0;2001:6d0:6d06::53
yeti-ns.lab.nic.cl. &#xA0; &#xA0; 172800 &#xA0;IN &#xA0; &#xA0; &#xA0;AAAA &#xA0; &#xA0;2001:1398:1:21::8001
yeti-ns.tisf.net. &#xA0; &#xA0; &#xA0; 172800 &#xA0;IN &#xA0; &#xA0; &#xA0;AAAA &#xA0; &#xA0;2001:559:8000::6
yeti-ns.wide.ad.jp. &#xA0; &#xA0; 172800 &#xA0;IN &#xA0; &#xA0; &#xA0;AAAA &#xA0; &#xA0;2001:200:1d9::35
yeti-ns.conit.co. &#xA0; &#xA0; &#xA0; 172800 &#xA0;IN &#xA0; &#xA0; &#xA0;AAAA &#xA0; &#xA0;2604:6600:2000:11::4854:a010
yeti-ns.switch.ch. &#xA0; &#xA0; &#xA0;172800 &#xA0;IN &#xA0; &#xA0; &#xA0;AAAA &#xA0; &#xA0;2001:620:0:ff::29
yeti-ns.as59715.net. &#xA0; &#xA0;172800 &#xA0;IN &#xA0; &#xA0; &#xA0;AAAA &#xA0; &#xA0;2a02:cdc5:9715:0:185:5:203:53
yeti-dns01.dnsworkshop.org. 172800 IN &#xA0; AAAA &#xA0; &#xA0;2001:1608:10:167:32e::53
&#xA0;
&#xA0;---
Kevin
------------------&#xA0;Original&#xA0;------------------
From: &#xA0;"龚道彪"<dbgong at biigroup.cn>;
Date: &#xA0;Fri, Jan 22, 2016 11:33 PM
To: &#xA0;"Federico Olivieri"<lvrfrc87 at gmail.com>; "discuss"<discuss at lists.yeti-dns.org>; 

Subject: &#xA0;Re: [Yeti DNS Discuss] Help with DNSSEC Key

&#xA0;
Hi Federico,


&#xA0;addDS() should need the DS record.
the DS record for Yeti root zone is '. IN DS 55954 8 2 88FF12F948BFBE666AC91B1256BB5B77B51150991A5E50F80A9FAB73945BA2AA'


Please you try
&#xA0;addDS(".","55954 8 2 88FF12F948BFBE666AC91B1256BB5B77B51150991A5E50F80A9FAB73945BA2AA")
&#xA0;
------------------ Original ------------------
From: &#xA0;"Federico Olivieri"<lvrfrc87 at gmail.com>;
Date: &#xA0;Fri, Jan 22, 2016 08:26 PM
To: &#xA0;"discuss"<discuss at lists.yeti-dns.org>; 

Subject: &#xA0;[Yeti DNS Discuss] Help with DNSSEC Key

&#xA0;
Hi everyone, 

I'm trying to enable my DNS server recursive on DNS Yeti.

In order to do that, I need to use a LUA script



clearDS()
 
&#xA0; &#xA0; &#xA0; &#xA0; addDS(".", "IN DNSKEY 257 3 8 AwEAAaP3gGQ4db0tAiDEky0dcUNGeI1aTDYP5NFxzhbdpD60ZhKLVV4KyxPmoSNUpq5Fv5M0iBwK1Tyswsyq/9sMSoZ8zx8aT3ho1YnPsSqQeJfjTT1WsX6YZ5Kw6B2QkjRNa6OMGZ96Kn8AI/slqsw+z8hY49Sn3baeo9iJxHPzloNc2dQkW4aLqzNEYxnuoJsthCfGrPSAXlUjY9m3YKIaEWR5WFYQk770fT+gGWLk/54Vp0sG+Lw75JZnwhDhixPFaToTDNqbHQmkEylq1XJLO15uZ/+RZNRfTXZKO4fVR0tMEbMAITqRmyP8xLXY4RXbS4J32gnenQbzABX8sQmwO7s=")
 
&#xA0;
 
When I start the DNS service I get this error
 
&#xA0;
 
Jan 21 13:19:42 raspberrypi pdns_recursor[12794]: Jan 21 13:19:42 Unable to load Lua script from '/etc/powerdns/lua.conf': Parsing record content (try 'pdnsutil check-zone'): expected digits at position 0 in 'IN DNSKEY 257 3 8 AwEAAaP3gGQ4db0tAiDEky0dcUNGeI1aTDYP5NFxzhbd
 
&#xA0;
 
Unfortunately&#xA0;is the first time that I use LUA scripting I try to googole for it but I haven't found anything&#xA0;useful Maybe is the syntax of the file...

Can you help me with that?

Thanks


Federico
-------------- next part --------------
An HTML attachment was scrubbed...
URL: <http://lists.yeti-dns.org/pipermail/discuss/attachments/20160123/ac269195/attachment.html>


More information about the discuss mailing list