Hallo zusammen,
ich habe eine Frage zu folgendem Hinweis in den Gluon Docs:
Note: While this reduces answer time and allows to use the next-node hostname without upstream connectivity, this feature should not be used for next-node hostnames that are FQDN when the zone uses DNSSEC.
Quelle: DNS forwarder — Gluon 2018.2.3 documentation
Was spricht gegen DNSSEC?
Ich habe mir den Code nicht angesehen aber ich vermute mal, der Node beantwortet die Anfrage lokal statt über den Forwarder. Würde es dann nicht reichen, die Anycast-Adresse unter einem Namen zu veröffentlichen, den man nicht in der Site.conf einträgt?
Dann bräuchte man zwar einen weiteren Namen für die Offline-Auflösung aber so hätte man es sauber.
Alternative: Unsignierte Zone nur für Next-Node erstellen (nextnode.foo.freifunk.net) und in foo.freifunk.net keine Keys (somit kein DNSSEC) ankündigen.
Was haben die anderen Communities gemacht?