[GTER] DNSSEC / EDNS

Lucas Willian Bocchi lucas.bocchi at gmail.com
Mon Jun 20 16:39:55 -03 2022 

Adriano.
As opções já estão ativas no BIND instalado no pacote da distro (Debian)
por padrão.
Não houve mudança nas configurações que justifique estar funcionando até
sexta e hoje (segunda) ter parado, bem como o OpenVPN.


Em seg., 20 de jun. de 2022 às 16:29, Adriano Cansian via gter <
gter at eng.registro.br> escreveu:

> Oi Lucas,
>
> Apesar do tráfego DNS sempre usar a porta UDP/53, estes são limitados a 512
> bytes, enquanto os pacotes DNSSEC podem ser consideravelmente maiores do
> que isso, e geralmente o são. Não sei se ajuda, mas segue meu checklist
> para o Bind:
>
> . Servidor DNS autoritativo deve permitir conexões  provenientes de
> qualquer ip para as portas TCP *E* UDP 53.
> . Consultas DNS devem ser liberadas na porta TCP/53, atendendo o RFC 7766.
> . O BIND precisa ter sido compilado com as opções:
>   - with-openssl=yes
>   - enable-ipv6 –with-ecdsa.
>
> Espero que ajude.
>
> -Adriano
>
> On Mon, Jun 20, 2022 at 3:53 PM Lucas Willian Bocchi via gter <
> gter at eng.registro.br> wrote:
>
> > Boa tarde
> >
> > Após a mudança da Copel para a Ligga Telecom, estou percebendo e tendo
> > vários problemas com servidores BIND9 com o recurso de DNSSEC / EDNS
> > ativado. Estou tendo que deixar o DNSSEC desativado e o EDNS também em
> > vários servidores ou eles param de resolver. Alguém mais notou este
> > problema? Pelo jeito estão fazendo algum tipo de limite no tamanho dos
> > datagramas UDP, pois em um dos locais, por coincidência, tenho uma VPN
> com
> > OpenVPN e tive que mudar a mesma de UDP para TCP pois pacotes que antes
> > conseguiam ser enviados com MTU de 1500 bytes através do túnel pararam de
> > funcionar. Mudando para TCP normalizou.
> >
> > Engraçado que não são todos os lugares...
> > --
> > gter list    https://eng.registro.br/mailman/listinfo/gter
> >
>
>
> --
>
> Adriano Mauro Cansian, Prof. Dr.
> br.linkedin.com/in/adrianocansian/
> ACME! CyberSecurity Research Labs
> UNESP - São José do Rio Preto, SP - Brazil
> + 55 (17) 3221-2235 / 3221-2475
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter
>

More information about the gter mailing list