Gluon Next-Node und DNSSEC

wlankabel · 18. Juni 2019 um 09:03

Hallo zusammen,

ich habe eine Frage zu folgendem Hinweis in den Gluon Docs:

Note: While this reduces answer time and allows to use the next-node hostname without upstream connectivity, this feature should not be used for next-node hostnames that are FQDN when the zone uses DNSSEC.
Quelle: DNS forwarder — Gluon 2018.2.3 documentation

Was spricht gegen DNSSEC?
Ich habe mir den Code nicht angesehen aber ich vermute mal, der Node beantwortet die Anfrage lokal statt über den Forwarder. Würde es dann nicht reichen, die Anycast-Adresse unter einem Namen zu veröffentlichen, den man nicht in der Site.conf einträgt?

Dann bräuchte man zwar einen weiteren Namen für die Offline-Auflösung aber so hätte man es sauber.

Alternative: Unsignierte Zone nur für Next-Node erstellen (nextnode.foo.freifunk.net) und in foo.freifunk.net keine Keys (somit kein DNSSEC) ankündigen.

Was haben die anderen Communities gemacht?

adorfer · 18. Juni 2019 um 10:06

Das wird die übliche ar7xxx-tiny Diskussion, da halte ich mich raus.

-vv

sowohl den lokalen dnsmasq-resolver auf Plasteroutern laufen lassen, das per dhcpv4 bekannt machen.
Und trotzdem die radvd im Backend rdns announcen lassen für Clients, die damit umgehen können und die dem dann ggf. den Vorzug geben. Den ganzen Strauss neben prefixen und rdns.

wlankabel · 18. Juni 2019 um 10:08

Mir geht es nicht darum das auf die Router zu bringen. Mir geht es ausschließlich darum, was der Grund für diesen Hinweis ist.

adorfer · 18. Juni 2019 um 10:10

Vermutlich(!) weil der dnsmasq ohne dnssec kompiliert wird per default im Gluon.

wlankabel · 18. Juni 2019 um 10:12

Gut, das bestätigt meine Annahme, dass ich tatsächlich eine Zone für Next-Node ohne DNSSEC anlege.
Ich werde gleich mal testen ob der lokale DNS die Infos trotzdem korrekt forwardet, denn das sollte normalerweise trotzdem funktionieren.