Ставил локально Unbound и столкнулся с ошибкой валидации DNSSEC.
Кто сталкивался с подобным? И какие варианты решения имеются? Очень хочется не сливать инфу различным DoH, DoT серверам корпорациям и при этом получать достоверные DNS записи.
Как давно РКН/провайдер занимается подобного рода пакостью? Мотивацию блокировать ресурсы, пользующиеся популярностью у простых смертных мне ясна, но в данном случае это уже вопиющая наглость.
У меня стоит adguard home который selfhosted в Нидерландах, и там проверка dnssec, все ок
С каких корневых серверов и что не резволилось?
Каким образом эта ошибка связана с темой топика?
Продиагностировать ошибку.
В DNSCrypt есть проксирующие релеи.
В целом это невозможно, если администратор NS не подписал свои записи. Протокол не предусматривает метод доверия к записям без RRSIG.
Возможность есть давно. DNS спуфинг замечен только у домру (не могу найти ссылку на сообщение валдика).
Нет ответа с DNSSEC со всех серверов перечисленных здесь https://www.internic.net/domain/named.root.
Каким образом эта ошибка связана с темой топика?
Напрямую. Спуфится ответ от корневого, возникает ошибка связанная с DNSSEC.
Пример ошибки в Unbound:
reply from <.> 192.33.4.12#53
info: query response REC_LAME: recursive but not authoritative server
В DNSCrypt есть проксирующие релеи.
Можно про это поподробнее?
Возможность есть давно. DNS спуфинг замечен только у домру (не могу найти ссылку на сообщение валдика).
На Ростелекоме тоже наблюдаю.
А если поднять впн и зайти с “другой стороны”, без использования провайдера, все будет ок?
Не знаток unbound, но для убедительности можно было бы сравнить два ответа в снифере на один запрос: напрямую и через тунель.
Понятно. Поэтому более десяти лет назад настроил себе DNSCrypt на всякий случай.
Да. Вне РФ работает, с такими же настройками.
Что таке спуфинг? Если подмена ответа, скажем, вместо 173.194.1.2 на запрос “google.com” выдает 127.0.0.1 или IP-провайдера со страничкой описания запрета, то у нас такое с 2014г, когда провайдерам приказали заблокировать украинские сайты.
В данном случае подмена не сработает и вернется ошибка из-за DNSSEC.
Вчера у меня лег двухлетний pihole на debian. Переехал на DietPi в котором установка Pihole + Unbound идет из коробки, 127.0.0.1#5353 прописывается сразу.
Полет отличный. Попробуйте.
Вероятно, там Unbound используется не в качестве рекурсивного резолвера, а просто для кэширования.
По совету @Xunlei (спасибо!) поставил DNSCrypt, пока более чем устраивает.
И для кэширования и для обращения к корневым DNS серверам. А DNSSEC на стороне Pi-Hole.
Рад, что у Вас все получилось 