bind9 und non-functional but existing IPv6 default Route

To: debian-user-german <debian-user-german@lists.debian.org>
Subject: bind9 und non-functional but existing IPv6 default Route
From: Heiko Schlittermann <hs@schlittermann.de>
Date: Sun, 27 Oct 2019 08:15:17 +0100
Message-id: <[🔎] 20191027071517.GC17773@jumper.schlittermann.de>
Mail-followup-to: debian-user-german <debian-user-german@lists.debian.org>

Moin,

ich habe hier ein einfaches Setup:

    - IPv4 mit default GW: funktioniert
    - IPv6 mit default GW fe80::1/64, meine eigene IPv6-Adressen
      ist auch nur eine link-local fe80::/64
    - fe80::1 ist anpingbar, andere Hosts, außerhalb fe80::/64
      logischerweise nicht, weil ich keine öffentliche IPv6 Adresse habe

    - getent ahosts heise.de
      berichtet nichts von IPv6-Adressen (was es aber tun würde, wenn
      das IPv6 wirklich ginge)

Nun starte ich einen eben frisch installierten Bind. Der schreibt nach
relativ kurzer Zeit (10s) ins Log:

    Okt 27 07:59:33 marta systemd[1]: Started BIND Domain Name Server.
    Okt 27 07:59:33 marta named[12877]: running
    Okt 27 07:59:43 marta named[12877]: managed-keys-zone: Unable to fetch DNSKEY set '.': timed out
    Okt 27 07:59:43 marta named[12877]: resolver priming query complete

Erkennbarer DNS-Traffic sieht so aus

    07:59:33.900085 IP6 fe80::6497:64ff:fe0b:7e58.51744 > 2001:503:c27::2:30.53: 18555% [1au] DNSKEY? . (40)
    07:59:33.900215 IP6 fe80::6497:64ff:fe0b:7e58.46920 > 2001:503:c27::2:30.53: 53653 [1au] NS? . (40)
    07:59:34.700263 IP6 fe80::6497:64ff:fe0b:7e58.50995 > 2001:503:ba3e::2:30.53: 44617% [1au] DNSKEY? . (40)
    07:59:34.700407 IP6 fe80::6497:64ff:fe0b:7e58.57398 > 2001:503:ba3e::2:30.53: 38762 [1au] NS? . (40)
    …
    07:59:42.703153 IP6 fe80::6497:64ff:fe0b:7e58.56693 > 2001:500:1::53.53: 41611 NS? . (17)
    07:59:43.503356 IP6 fe80::6497:64ff:fe0b:7e58.42666 > 2001:500:2::c.53: 39455 DNSKEY? . (17)
    07:59:43.503837 IP6 fe80::6497:64ff:fe0b:7e58.52642 > 2001:500:2::c.53: 33058 NS? . (17)

Ja, auschließlich IPv6. Die Queries werden logischerweise nicht
beantwortet, weil die Source-IP nichts taugt.

Fragen beantwortet er jetzt, auch die DNSSec-Valdierung funktioniert
(die Keys, die er hat, sind ja noch gültig).

Meine Frage nun - ist das erwartetes Verhalten? Und was ist die
Konsequenz? In meinen Augen wird er die Keys für die Root-Zone nun nicht
mehr managen, also auch nicht aktualisieren, was sicher kurzfristig
nicht ins Gewicht fällt, aber doch aus meiner Sicht nicht schön ist.

Meinungen dazu?


    Best regards from Dresden/Germany
    Viele Grüße aus Dresden
    Heiko Schlittermann
--
 SCHLITTERMANN.de ---------------------------- internet & unix support -
 Heiko Schlittermann, Dipl.-Ing. (TU) - {fon,fax}: +49.351.802998{1,3} -
 gnupg encrypted messages are welcome --------------- key ID: F69376CE -
 ! key id 7CBF764A and 972EAC9F are revoked since 2015-01 ------------ -

Attachment: signature.asc
Description: PGP signature

Reply to:

Follow-Ups:
- Re: bind9 und non-functional but existing IPv6 default Route
  - From: Ansgar <ansgar@43-1.org>
- Re: bind9 und non-functional but existing IPv6 default Route
  - From: Matthias Böttcher <matthias.boettcher@gmail.com>
- Re: bind9 und non-functional but existing IPv6 default Route
  - From: Marc Haber <mh+debian-user-german@zugschlus.de>

Prev by Date: Re: [buster] Laptop fährt nicht runter, kein Standby, keine Funktion der Klappe
Next by Date: Re: bind9 und non-functional but existing IPv6 default Route
Previous by thread: Re: systemd-networkd restart und sunrpc
Next by thread: Re: bind9 und non-functional but existing IPv6 default Route
Index(es):
- Date
- Thread