LINUX.ORG.RU
решено ФорумAdmin

Bind over OpenVPN - broken trust chain resolving

 , ,


0

1

Есть сервер 10.0.2.1 и клиент 10.0.2.2 (VPN-сеть). На сервере установлен bind, который отсылает запросы на внешние DNS-сервера. На клиенте установлен bind который отсылает запросы только на 10.0.2.1. Сегодня начались проблемы в работе, на клиенте:

Jul 17 18:35:31 mainserver named[4387]: broken trust chain resolving 'rutracker.org/A/IN': 10.0.2.1#53
Jul 17 18:35:36 mainserver named[4387]: validating org/DNSKEY: bad cache hit (org/DS)
Jul 17 18:35:36 mainserver named[4387]: broken trust chain resolving 'org/DNSKEY/IN': 10.0.2.1#53
Jul 17 18:35:36 mainserver named[4387]:     validating org/DNSKEY: bad cache hit (org/DS)
Jul 17 18:35:36 mainserver named[4387]:     validating org/DNSKEY: bad cache hit (org/DS)
Jul 17 18:35:36 mainserver named[4387]: broken trust chain resolving 'habrastorage.org/DS/IN': 10.0.2.1#53
Jul 17 18:35:36 mainserver named[4387]: broken trust chain resolving 'habrastorage.org/DNSKEY/IN': 10.0.2.1#53
Jul 17 18:35:36 mainserver named[4387]: broken trust chain resolving 'habrastorage.org/A/IN': 10.0.2.1#53
Jul 17 18:35:37 mainserver named[4387]:   validating net/SOA: got insecure response; parent indicates it should be secure
Jul 17 18:35:37 mainserver named[4387]: no valid RRSIG resolving 'edgecastcdn.net/DS/IN': 10.0.1.1#53

И так по всем доменам, которых нет в кэше bind клиента. Связь с сервером устойчивая - пинги летают отлично. Отказ внешних DNS у 10.0.2.1 маловероятен - в forward указано 12 DNS серверов.

Что может быть?

Ответ на: комментарий от FluffyPillow

Имей привычку, если создал топик и сам разобрался в проблеме, то отпиши как разобрался, либо топик удаляй.

CeMKa
()
Ответ на: комментарий от CeMKa

очевидно же, что на клиентском бинде была включена валидация, а на сервере полностью отключена.... или якоря кривые

anonymous
()
Ответ на: комментарий от CeMKa

Проблема и решение слишком банальны чтобы сюда их писать - достаточно было детально покурить логи.

А решение простое: Нужно и на клиенте и на сервере параметр dnssec-validation указать как «yes». Стояло «auto».

FluffyPillow
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.