[Sid] Config Unbound

02 août 2016, 21:23

Bonsoir,

J'essaye de créer un serveur cache unbound sur mon laptop (pour ensuite le coupler avec dnscrypt-proxy ...)

Ma config :

Les droits sur les fichiers dans /var/lib/unbound :

Code : Tout sélectionner

/var/lib/unbound# ls -al
total 16
drwxr-xr-x  2 unbound unbound 4096 août   2 21:13 .
drwxr-xr-x 70 root    root    4096 août   2 20:15 ..
-rw-r--r--  1 unbound unbound 3169 août   2 20:38 root.hints
-rw-r--r--  1 unbound unbound  759 août   2 21:13 root.key

Quand je vérifie le fichier, avec la commande 'unbound-check', il n'y a pas d'erreur détectée :

Code : Tout sélectionner

unbound-checkconf /etc/unbound/unbound.conf.d/x.conf 
unbound-checkconf: no errors in /etc/unbound/unbound.conf.d/x.conf

Pourtant quand je veux contrôler les stats :

Code : Tout sélectionner

# unbound-control stats
[1470165686] unbound-control[2089:0] error: connect: Connection refused for 127.0.0.1

----

Le retour d'information suivant restitue :

Code : Tout sélectionner

# service unbound start
# service unbound status
● unbound.service - Unbound DNS server
   Loaded: loaded (/lib/systemd/system/unbound.service; enabled; vendor preset: enabled)
   Active: failed (Result: start-limit-hit) since mar. 2016-08-02 21:31:34 CEST; 293ms ago
  Process: 4913 ExecStart=/usr/sbin/unbound -d $DAEMON_OPTS (code=exited, status=1/FAILURE)
  Process: 4896 ExecStartPre=/usr/lib/unbound/package-helper root_trust_anchor_update (code=exited, status=0/SUCCESS)
  Process: 4889 ExecStartPre=/usr/lib/unbound/package-helper chroot_setup (code=exited, status=0/SUCCESS)
 Main PID: 4913 (code=exited, status=1/FAILURE)

août 02 21:31:34 ptb-zou systemd[1]: unbound.service: Main process exited, code=exited, status=1/FAILURE
août 02 21:31:34 ptb-zou systemd[1]: unbound.service: Unit entered failed state.
août 02 21:31:34 ptb-zou systemd[1]: unbound.service: Failed with result 'exit-code'.
août 02 21:31:34 ptb-zou systemd[1]: unbound.service: Service hold-off time over, scheduling restart.
août 02 21:31:34 ptb-zou systemd[1]: Stopped Unbound DNS server.
août 02 21:31:34 ptb-zou systemd[1]: unbound.service: Start request repeated too quickly.
août 02 21:31:34 ptb-zou systemd[1]: Failed to start Unbound DNS server.
août 02 21:31:34 ptb-zou systemd[1]: unbound.service: Unit entered failed state.
août 02 21:31:34 ptb-zou systemd[1]: unbound.service: Failed with result 'start-limit-hit'.

Une idée de ce qui peut le mettre en déroute ?

BelZéButh · 03 août 2016, 18:36

Code : Tout sélectionner

[18:33:40] ~ # date
mercredi 3 août 2016, 18:33:49 (UTC+0200)
[18:33:49] ~ #

Code : Tout sélectionner

[18:33:50] ~ # unbound-control stats
thread0.num.queries=0
thread0.num.cachehits=0
thread0.num.cachemiss=0
thread0.num.prefetch=0
thread0.num.recursivereplies=0
thread0.requestlist.avg=0
thread0.requestlist.max=0
thread0.requestlist.overwritten=0
thread0.requestlist.exceeded=0
thread0.requestlist.current.all=0
thread0.requestlist.current.user=0
thread0.recursion.time.avg=0.000000
thread0.recursion.time.median=0
thread0.tcpusage=0
thread1.num.queries=7
thread1.num.cachehits=7
thread1.num.cachemiss=0
thread1.num.prefetch=0
thread1.num.recursivereplies=0
thread1.requestlist.avg=0
thread1.requestlist.max=0
thread1.requestlist.overwritten=0
thread1.requestlist.exceeded=0
thread1.requestlist.current.all=0
thread1.requestlist.current.user=0
thread1.recursion.time.avg=0.000000
thread1.recursion.time.median=0
thread1.tcpusage=0
total.num.queries=7
total.num.cachehits=7
total.num.cachemiss=0
total.num.prefetch=0
total.num.recursivereplies=0
total.requestlist.avg=0
total.requestlist.max=0
total.requestlist.overwritten=0
total.requestlist.exceeded=0
total.requestlist.current.all=0
total.requestlist.current.user=0
total.recursion.time.avg=0.000000
total.recursion.time.median=0
total.tcpusage=0
time.now=1470242032.825338
time.up=5695.124707
time.elapsed=41.071495
[18:33:52] ~ #

Code : Tout sélectionner

[18:33:53] ~ # service unbound status
[ ok ] unbound is running.
[18:33:56] ~ #

Code : Tout sélectionner

[18:33:59] ~ # date
mercredi 3 août 2016, 18:34:01 (UTC+0200)
[18:34:01] ~ #

Ouais, et ... ?

03 août 2016, 18:38

C'est bien, tu y arrives toi, @BelZéButh ... ça ne me dit pas pourquoi ça plantouille chez moi !;)
Grrr

BelZéButh · 03 août 2016, 19:23

PengouinPdt a écrit :C'est bien, tu y arrives toi, @BelZéButh ...

Ouais, ... plus de trois ans qu'il est en place.

03 août 2016, 20:30

Et, sinon, c'est d'un coup de main dont j'ai besoin ... le reste, là, je m'en fiche un peu ... ;)

BelZéButh · 03 août 2016, 23:14

Une piste.

Liste des fichiers du paquet unbound dans sid

Code : Tout sélectionner

/etc/init.d/unbound
/etc/insserv.conf.d/unbound
/etc/resolvconf/update.d/unbound
/etc/unbound/unbound.conf
/etc/unbound/unbound.conf.d/qname-minimisation.conf
/etc/unbound/unbound.conf.d/root-auto-trust-anchor-file.conf
/lib/systemd/system/unbound-resolvconf.service
/lib/systemd/system/unbound.service
/usr/lib/resolvconf/dpkg-event.d/unbound
/usr/lib/unbound/package-helper
/usr/sbin/unbound
/usr/sbin/unbound-checkconf
/usr/sbin/unbound-control
/usr/sbin/unbound-control-setup
/usr/share/doc/unbound/CREDITS
/usr/share/doc/unbound/FEATURES
/usr/share/doc/unbound/NEWS.Debian.gz
/usr/share/doc/unbound/README.DNS64
/usr/share/doc/unbound/README.gz
/usr/share/doc/unbound/TODO.gz
/usr/share/doc/unbound/changelog.Debian.gz
/usr/share/doc/unbound/changelog.gz
/usr/share/doc/unbound/contrib/update-anchor.sh.gz
/usr/share/doc/unbound/copyright
/usr/share/doc/unbound/examples/unbound.conf
/usr/share/man/man5/unbound.conf.5.gz
/usr/share/man/man8/unbound-checkconf.8.gz
/usr/share/man/man8/unbound-control.8.gz
/usr/share/man/man8/unbound.8.gz
/usr/share/munin/plugins/unbound_munin_

PengouinPdt a écrit :Quand je vérifie le fichier, avec la commande 'unbound-check
Code : Tout sélectionner
unbound-checkconf /etc/unbound/unbound.conf.d/x.conf

Code : Tout sélectionner

[23:05:50] ~ # unbound-checkconf
unbound-checkconf: no errors in /etc/unbound/unbound.conf
[23:05:53] ~ #

Code : Tout sélectionner

[23:05:54] ~ # unbound-control-setup
setup in directory /etc/unbound
unbound_server.key exists
unbound_control.key exists
create unbound_server.pem (self signed certificate)
create unbound_control.pem (signed client certificate)
Signature ok
subject=/CN=unbound-control
Getting CA Private Key
Setup success. Certificates created.
[23:05:55] ~ #

Code : Tout sélectionner

 [23:05:56] ~ # dnssec-trigger-control-setup
setup in directory /etc/dnssec-trigger
dnssec_trigger_server.key exists
dnssec_trigger_control.key exists
create dnssec_trigger_server.pem (self signed certificate)
create dnssec_trigger_control.pem (signed client certificate)
Signature ok
subject=/CN=dnssec-trigger-control
Getting CA Private Key
Setup success. Certificates created.

run this script again with -i to:
        - enable remote-control in unbound.conf
        - start unbound-control-setup
        - add root trust anchor to unbound.conf
if you have not done this already
[23:05:59] ~ #

03 août 2016, 23:24

Tiens, ce soir, j'ai ça :

Code : Tout sélectionner

# unbound-checkconf
[1470259312] unbound-checkconf[26405:0] error: trust anchor presented twice
[1470259312] unbound-checkconf[26405:0] error: could not parse auto-trust-anchor-file /var/lib/unbound/root.key line 2
[1470259312] unbound-checkconf[26405:0] error: error reading auto-trust-anchor-file: /var/lib/unbound/root.key
[1470259312] unbound-checkconf[26405:0] error: validator: error in trustanchors config
[1470259312] unbound-checkconf[26405:0] error: validator: could not apply configuration settings.
[1470259312] unbound-checkconf[26405:0] fatal error: bad config for validator module

# unbound-control-setup 
setup in directory /etc/unbound
unbound_server.key exists
unbound_control.key exists
create unbound_server.pem (self signed certificate)
create unbound_control.pem (signed client certificate)
Signature ok
subject=/CN=unbound-control
Getting CA Private Key
Setup success. Certificates created.

Le système ne connait pas non plus la commande 'dnssec-trigger-etc...'

BelZéButh · 04 août 2016, 07:36

Code : Tout sélectionner

Paquet : dnssec-trigger                                 
Version : 0.13~svn685-5
[...]
Description : reconfiguration tool to make DNSSEC work
 Dnssec-trigger reconfigures the local unbound DNS server. This unbound DNS server performs DNSSEC validation, but dnssec-trigger will signal it to use the DHCP obtained forwarders if
 possible, and fallback to doing its own AUTH queries if that fails, and if that fails prompt the user via dnssec-trigger-applet the option to go with insecure DNS only.
Site : http://www.nlnetlabs.nl/projects/dnssec-trigger/
[...]

04 août 2016, 08:42

Le contenu du fichier "/var/lib/unbound/root.key'' qui pose problème est le suivant :

Code : Tout sélectionner

; autotrust trust anchor file
;;id: . 1
;;last_queried: 1470250913 ;;Wed Aug  3 21:01:53 2016
;;last_success: 1470250913 ;;Wed Aug  3 21:01:53 2016
;;next_probe_time: 1470290618 ;;Thu Aug  4 08:03:38 2016
;;query_failed: 0
;;query_interval: 43200
;;retry_time: 8640
.       172800  IN      DNSKEY  257 3 8 AwEAAagAIKlVZrpC6Ia7gEzahOR+9W29euxhJhVVLOyQbSEW0O8gcCjFFVQUTf6v58fLjwBd0YI0EzrAcQqBGCzh/RStIoO8g0NfnfL2MTJRkxoXbfDaUeVPQuYEhg37NZWAJQ9VnMVDxP/VHL496M/QZxkjf5/Efucp2gaDX6RS6CXpoY68LsvPVjR0ZSwzz1apA$

En quoi, il y a une erreur à la ligne 2 ???
Pffff

Au fait, merci pour l'info sur dnssec-triger ;)

26 août 2016, 12:44

Je viens d'essayer à regénérer le fichier root.key, par l'usage de la commande 'unbound-anchor', mais je me retrouve avec la même erreur lors de la vérification avec la commande 'unbound-check'.

Résultat, il est toujours en erreur, donc non fonctionnel !!!! Grrrr

BelZéButh · 31 août 2016, 14:25

Personne ?

PengouinPdt a écrit : Ma config :

Code : Tout sélectionner

server:
 [...]
    auto-trust-anchor-file: "/var/lib/unbound/root.key" ¹

Code : Tout sélectionner

# unbound-checkconf
[1470259312] unbound-checkconf[26405:0] error: trust anchor presented twice
[1470259312] unbound-checkconf[26405:0] error: could not parse auto-trust-anchor-file /var/lib/unbound/root.key line 2
[1470259312] unbound-checkconf[26405:0] error: error reading auto-trust-anchor-file: /var/lib/unbound/root.key
[...]

Cette configuration n'a plus lieu d'être, depuis Jessie.

Contrairement à la : Liste des fichiers du paquet unbound en Wheezy.

En effet, cette ligne¹ fait doublon avec ce fichier.

Code : Tout sélectionner

[14:14:35] ~ # cat /etc/unbound/unbound.conf.d/root-auto-trust-anchor-file.conf
server:
    # The following line will configure unbound to perform cryptographic
    # DNSSEC validation using the root trust anchor.
    auto-trust-anchor-file: "/var/lib/unbound/root.key"
[14:14:37] ~ #

31 août 2016, 22:44

Purée, c'est exactement ça !
La déclaration de la variable 'auto-trust-anchor-file' dans mon fichier de config perso !!!

Merci, mon grand ...

PS : je vais pouvoir passer à dnscrypt-proxy' :D

BelZéButh · 31 août 2016, 23:35

je vais pouvoir passer à dnscrypt-proxy

Le fait d'avoir invoquer dnssec-trigger ci-plus haut, n'est pas le fruit du hasard. Loin s'en faut.

01 sept. 2016, 00:03

ok, merci pour l'info ...

Donc, dnscrypt-proxy arrété, dnssec-trigger installé ...

Ça semble fonctionné :

Code : Tout sélectionner

# service unbound restart
# service unbound status
● unbound.service - Unbound DNS server
   Loaded: loaded (/lib/systemd/system/unbound.service; enabled; vendor preset: enabled)
   Active: active (running) since jeu. 2016-09-01 00:00:30 CEST; 4s ago
     Docs: man:unbound(8)
  Process: 37883 ExecStartPre=/usr/lib/unbound/package-helper root_trust_anchor_update (code=exited, status=0/SUCCESS)
  Process: 37879 ExecStartPre=/usr/lib/unbound/package-helper chroot_setup (code=exited, status=0/SUCCESS)
 Main PID: 37889 (unbound)
    Tasks: 2 (limit: 4915)
   CGroup: /system.slice/unbound.service
           └─37889 /usr/sbin/unbound -d

sept. 01 00:00:31 ptb-zou unbound[37889]: [37889:0] debug: new control connection from 127.0.0.1 port 7400
sept. 01 00:00:31 ptb-zou unbound[37889]: [37889:0] info: control cmd:  status
sept. 01 00:00:31 ptb-zou unbound[37889]: [37889:0] debug: new control connection from 127.0.0.1 port 7402
sept. 01 00:00:31 ptb-zou unbound[37889]: [37889:0] info: control cmd:  list_forwards
sept. 01 00:00:31 ptb-zou unbound[37889]: [37889:0] debug: new control connection from 127.0.0.1 port 7404
sept. 01 00:00:31 ptb-zou unbound[37889]: [37889:0] info: control cmd:  forward_add stephane-huc.net 37.187.0.40 87.98.242.252
sept. 01 00:00:31 ptb-zou unbound[37889]: [37889:0] debug: new control connection from 127.0.0.1 port 7406
sept. 01 00:00:31 ptb-zou unbound[37889]: [37889:0] info: control cmd:  flush_zone stephane-huc.net
sept. 01 00:00:31 ptb-zou unbound[37889]: [37889:0] debug: new control connection from 127.0.0.1 port 7408
sept. 01 00:00:31 ptb-zou unbound[37889]: [37889:0] info: control cmd:  flush_requestlist

# service dnssec-triggerd status
● dnssec-triggerd.service - Reconfigure local DNSSEC resolver on connectivity changes
   Loaded: loaded (/lib/systemd/system/dnssec-triggerd.service; enabled; vendor preset: enabled)
   Active: active (running) since jeu. 2016-09-01 00:00:31 CEST; 29s ago
  Process: 37870 ExecStopPost=/usr/lib/dnssec-trigger/dnssec-trigger-script --cleanup (code=exited, status=1/FAILURE)
  Process: 37899 ExecStartPost=/usr/lib/dnssec-trigger/dnssec-trigger-script --update (code=exited, status=0/SUCCESS)
  Process: 37891 ExecStartPre=/usr/lib/dnssec-trigger/dnssec-trigger-script --prepare (code=exited, status=0/SUCCESS)
 Main PID: 37898 (dnssec-triggerd)
    Tasks: 1 (limit: 4915)
   CGroup: /system.slice/dnssec-triggerd.service
           └─37898 /usr/sbin/dnssec-triggerd -d

sept. 01 00:00:30  systemd[1]: Starting Reconfigure local DNSSEC resolver on connectivity changes...
sept. 01 00:00:31  dnssec-triggerd[37898]: [37898] info: dnssec-trigger 0.13 start
sept. 01 00:00:31  dnssec-trigger-script[37899]: Global forwarders: 37.187.0.40 87.98.242.252
sept. 01 00:00:31  dnssec-trigger-script[37899]: Connection provided zone 'stephane-huc.net' (validated): 37.187.0.40, 87.98.242.252
sept. 01 00:00:31  systemd[1]: Started Reconfigure local DNSSEC resolver on connectivity changes.

# dnssec-trigger-control status
at (no probe performed)
no cache: no DNS servers have been supplied via DHCP
state: auth secure

Ok, avec cette analyse ?!

01 sept. 2016, 11:10

Ce matin, après l'allumage de mon laptop, sous ma session XFCE, j'ai dans la barre de menu et applications, une petite icône en forme d'ancre bleue qui s'affiche avec pour message de survol "DNSSEC via authorities" :p
(apparemment, c'est l'outil dnssec-trigger-panel)

J'en profite pour vérifier :

Code : Tout sélectionner

# dnssec-trigger-control status
at 2016-09-01 08:41:22
authority 192.33.4.12: OK 
http ster.nlnetlabs.nl (185.49.140.10): OK 
cache 87.98.242.252: error timeout
cache 37.187.0.40: error no EDNS
state: auth secure

Où l'on réalise que les serveurs choisis (qui sont ceux d'OpenNic, si je ne me trompe pas) sont en erreur, mais que l'outil dnssec-trigger fait bien son travail en en choisissant deux autres, fonctionnels ...

[Sid] Config Unbound Le sujet est résolu