Freedom DNS-testers gezocht

WoSp · 15 april 2024 om 14:56

Als je een IPv4-only nameserver gebruikt en de enige nameserver voor een bepaald domein is IPv6-only, dan gaat dat inderdaad niet werken.

“Your DNS server (possibly run by your ISP) appears to have no access to the IPv6 Internet, or is not configured to use it. This may in the future restrict your ability to reach IPv6-only sites.”

Die vind ik iets te simpel geformuleerd. Dat zou alleen gebeuren als de IPv6-only site ook IPv6-only nameservers gebruikt én de resolving nameserver van de bezoeker IPv4 only zijn. Maar goed, doet verder niet echt ter zake in dit geval. Er lijkt inderdaad iets geks aan de hand te zijn met de nieuwe nameservers. Als ik aan een nieuwe nameserver (2a10:3780:2:52:185:93:175:47) het AAAA-record van ipv6.google.com opvraag, werkt dat:

$ host -t aaaa ipv6.google.com 2a10:3780:2:52:185:93:175:47
Using domain server:
Name: 2a10:3780:2:52:185:93:175:47
Address: 2a10:3780:2:52:185:93:175:47#53
Aliases:

ipv6.google.com is an alias for ipv6.l.google.com.
ipv6.l.google.com has IPv6 address 2a00:1450:400e:811::200e

Nameservers werken dus over en voor IPv6.
Maar voor aaaa.v6ns.test-ipv6.com krijg ik van diezelfde server een SERVFAIL:

$ host -t aaaa aaaa.v6ns.test-ipv6.com 2a10:3780:2:52:185:93:175:47
Using domain server:
Name: 2a10:3780:2:52:185:93:175:47
Address: 2a10:3780:2:52:185:93:175:47#53
Aliases:

Host aaaa.v6ns.test-ipv6.com not found: 2(SERVFAIL)

Op een externe nameserver (niet onder beheer van Freedom en niet in het Freedom netwerk) krijg ik wel gewoon een goed antwoord:

$ host -t aaaa aaaa.v6ns.test-ipv6.com
aaaa.v6ns.test-ipv6.com has IPv6 address 2001:470:1:18::115

En idd ook vanuit het Freedom netwerk via de “oude” nameservers geen probleem:

$ host -t aaaa aaaa.v6ns.test-ipv6.com 2a10:3780:2:52:185:93:175:43
Using domain server:
Name: 2a10:3780:2:52:185:93:175:43
Address: 2a10:3780:2:52:185:93:175:43#53
Aliases:

aaaa.v6ns.test-ipv6.com has IPv6 address 2001:470:1:18::115

Goed gevonden , hier moet Freedom even naar kijken waarom dat niet werkt via de nieuwe nameservers.

subbink · 15 april 2024 om 15:32

Sommige van de test servers geven een mooi EDE antwoord terug en dat zegt:

; EDE: 22 (No Reachable Authority): (delegation v6ns.test-ipv6.com)

dig uitvoer over 4 test IP's en 2 productie IP's

$ for free_ns in 185.93.175.47 2a10:3780:2:52:185:93:175:47 185.232.98.83 2a10:3780:2:53:185:232:98:83 185.93.175.43 2a10:3780:2:52:185:93:175:43; do echo “server: ${free_ns}”; dig +nsid @${free_ns} aaaa aaaa.v6ns.test-ipv6.com; done
server: 185.93.175.47

; <<>> DiG 9.19.21-1-Debian <<>> +nsid @185.93.175.47 aaaa aaaa.v6ns.test-ipv6.com
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: SERVFAIL, id: 36720
;; flags: qr rd ra ad; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 512
; NSID: 64 6e 73 34 (“dns4”)
; EDE: 22 (No Reachable Authority): (delegation v6ns.test-ipv6.com)
;; QUESTION SECTION:
;aaaa.v6ns.test-ipv6.com. IN AAAA

;; Query time: 3 msec
;; SERVER: 185.93.175.47#53(185.93.175.47) (UDP)
;; WHEN: Mon Apr 15 17:21:14 CEST 2024
;; MSG SIZE rcvd: 95

server: 2a10:3780:2:52:185:93:175:47

; <<>> DiG 9.19.21-1-Debian <<>> +nsid @2a10:3780:2:52:185:93:175:47 aaaa aaaa.v6ns.test-ipv6.com
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: SERVFAIL, id: 11851
;; flags: qr rd ra ad; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 512
; NSID: 64 6e 73 34 (“dns4”)
; EDE: 22 (No Reachable Authority): (delegation v6ns.test-ipv6.com)
;; QUESTION SECTION:
;aaaa.v6ns.test-ipv6.com. IN AAAA

;; Query time: 3 msec
;; SERVER: 2a10:3780:2:52:185:93:175:47#53(2a10:3780:2:52:185:93:175:47) (UDP)
;; WHEN: Mon Apr 15 17:21:14 CEST 2024
;; MSG SIZE rcvd: 95

server: 185.232.98.83

; <<>> DiG 9.19.21-1-Debian <<>> +nsid @185.232.98.83 aaaa aaaa.v6ns.test-ipv6.com
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: SERVFAIL, id: 58861
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 512
; NSID: 64 6e 73 33 (“dns3”)
;; QUESTION SECTION:
;aaaa.v6ns.test-ipv6.com. IN AAAA

;; Query time: 0 msec
;; SERVER: 185.232.98.83#53(185.232.98.83) (UDP)
;; WHEN: Mon Apr 15 17:21:14 CEST 2024
;; MSG SIZE rcvd: 60

server: 2a10:3780:2:53:185:232:98:83

; <<>> DiG 9.19.21-1-Debian <<>> +nsid @2a10:3780:2:53:185:232:98:83 aaaa aaaa.v6ns.test-ipv6.com
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: SERVFAIL, id: 26234
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 512
; NSID: 64 6e 73 33 (“dns3”)
;; QUESTION SECTION:
;aaaa.v6ns.test-ipv6.com. IN AAAA

;; Query time: 3 msec
;; SERVER: 2a10:3780:2:53:185:232:98:83#53(2a10:3780:2:53:185:232:98:83) (UDP)
;; WHEN: Mon Apr 15 17:21:14 CEST 2024
;; MSG SIZE rcvd: 60

server: 185.93.175.43

; <<>> DiG 9.19.21-1-Debian <<>> +nsid @185.93.175.43 aaaa aaaa.v6ns.test-ipv6.com
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 2701
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 512
; NSID: 72 70 64 6e 73 32 2e 70 78 30 32 2e 66 69 30 30 31 2e 6e 6c 2e 66 72 65 65 64 6f 6d 6e 65 74 2e 6e 6c (“rpdns2.px02.fi001.nl.freedomnet.nl”)
;; QUESTION SECTION:
;aaaa.v6ns.test-ipv6.com. IN AAAA

;; ANSWER SECTION:
aaaa.v6ns.test-ipv6.com. 272 IN AAAA 2001:470:1:18::115

;; Query time: 3 msec
;; SERVER: 185.93.175.43#53(185.93.175.43) (UDP)
;; WHEN: Mon Apr 15 17:21:14 CEST 2024
;; MSG SIZE rcvd: 118

server: 2a10:3780:2:52:185:93:175:43

; <<>> DiG 9.19.21-1-Debian <<>> +nsid @2a10:3780:2:52:185:93:175:43 aaaa aaaa.v6ns.test-ipv6.com
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 5209
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 512
; NSID: 72 70 64 6e 73 32 2e 70 78 30 32 2e 66 69 30 30 31 2e 6e 6c 2e 66 72 65 65 64 6f 6d 6e 65 74 2e 6e 6c (“rpdns2.px02.fi001.nl.freedomnet.nl”)
;; QUESTION SECTION:
;aaaa.v6ns.test-ipv6.com. IN AAAA

;; ANSWER SECTION:
aaaa.v6ns.test-ipv6.com. 272 IN AAAA 2001:470:1:18::115

;; Query time: 3 msec
;; SERVER: 2a10:3780:2:52:185:93:175:43#53(2a10:3780:2:52:185:93:175:43) (UDP)
;; WHEN: Mon Apr 15 17:21:14 CEST 2024
;; MSG SIZE rcvd: 118
$

In de bovenstaande uitvoer viel het me ook op dat dns4 (185.93.175.47 of 2a10:3780:2:52:185:93:175:47) een AD-bit terug geeft, terwijl de anderen dit niet doen. En aangezien test-ipv6.com geen DS in de .com zone heeft vind ik dat gek.

subbink · 15 april 2024 om 15:33

Het lijkt me ook goed om dit nog even per e-mail te melden zoals in het eerste bericht vermeld staat.

jonathan · 15 april 2024 om 15:54

Bedankt, ik heb bovenstaande samengevat in een feedback-mail

Drs_W · 29 april 2024 om 06:28

Lezer,
help JIJ ook mee om onze Freedom-installatie te verbeteren door te testen?

Een groep is al een maand blij bezig op de nieuwe DNS-servers.
Als JIJ ook mee gaat doen, dan krijgen die machines het tenminste een beetje drukker (en wordt dàt aspect van de test ook bekeken).

Hierboven zie je hoe in te stellen (zie mijn eerder schermafdruk) en de items waarin @bastiaan de tijdelijke IP-adressen noemt.

Zodra Freedom en wij de boel voldoende hebben getest, krijgen deze DNS-servers hun definitieve IP-adres en mag “de hele wereld” er gebruik van gaan maken.
Dat zal dan hier worden gemeld.

Doe je mee?

Erik · 29 april 2024 om 09:50

Ik heb vandaag ook even de gegevens in de Fritzbox gezet.

DoT
dnsdist3.freedomnet.nl
dnsdist4.freedomnet.nl

Werkt niet.

Lidwien · 29 april 2024 om 10:20

Wellicht werkt het wel als je de N van Net met een hoofdletter schrijft.

Erik · 29 april 2024 om 10:35

Ik heb het ook geprobeerd met de schrijfwijze in de afbeelding van @Drs_W
Dat werkt ook niet.
@arien schrijft het ook plat.

@Drs_W Werkt het bij jou wel? zou zoiets als onderstaande moeten weergeven.

WoSp · 29 april 2024 om 12:11

Nee, hostnames / domeinen zijn nooit hoofdletter gevoelig. Het werkt zowel met kleine letters als hoofdletters en geeft hetzelfde resultaat. Zelfde voor e-mailadressen, je ziet weleens e-mailadressen met hoofdletters in de domeinnaam, dat is (behalve eventueel voor leesbaarheid) onzin.

mlohnen · 29 april 2024 om 13:06

Lidwien gebruikt wel Linux dus misschien dat daar de verwarring vandaan komt
Daar is DIT toch anders dan dit in het OS

Erik · 29 april 2024 om 14:49

Ik verwacht ook dat het geen verschil maakt.
Windows gaat er inderdaad slordig mee om.

In een URL kan het wel wat uit maken.
hostname.example/Plaatje.jpg is wat anders dan hostname.example/plaatje.jpg

Drs_W · 29 april 2024 om 15:26

Beste allemaal,

zelf gebruik ik in namen vaak Hoofd-En-Kleine-Letters voor de leesbaarheid.
Op het internet wordt (al vanaf het begin) alles omgezet naar kleine letters.
Dus tik in wat voor JOU het beste uitkomt.

Even het antwoord op @Erik in 2 scherm-afdrukken:

( ik zit dus niet meteen met de Fritz aan een glasvezel)

Nu zie ik dat ook bij mij in de (huidige) test-omgeving géén DoT achter de DNS-servers staat, terwijl ik dat wèl aan heb staan in mijn FritzBox

… of …
we “vallen terug” op de openbare DNS-servers, dat kan - omdat ik dat vinkje aan heb staan.

Ik maak een melding over deze test (op de manier die @arien eerder aangaf),
en meld natuurlijk de bevindingen hier weer.

(off topic: de resolv-snelheid is nu OK, was in het begin soms traag in de ochtend)

Noci · 29 april 2024 om 16:41

Ehm nee: de hoofdletter ongevoeligheid is in de DNS RFC’s… en was al op Uinx/Linux (idd. een hoofdletter gevoelig systeem voor filesystems) sinds het ontstaan van DNS begin '80-er jaren.
Domain namen zijn hoofdletter ongevoelig, op alle systemen die aand e RFC’s voldoen. (Firtzbox is onderwater ook gewoon Linux).
http://HOSTNAAM.ExAmPlE.org/plaatje.png is gelijk aan http://hostnaam.example.org/plaatje.png
alleen URI deel is hoofdletter gevoelig zoals Erik al aangaf.

Het is gebruikelijk dat van resolvers niet de naam maar het IP adres moet worden opgegeven. (/etc/resolv.conf etc.).
Omdat je ergens moet beginnen met vertalingen en in de eerste stap is een IP adres nodig.
(Hostnamen etc. zijn er alleen ten behoeve van de Mensheid, voor Internet en machines zijn alleen adressen van belang, namen zijn nodig om een gebrek van Mensen te compenseren… het onthouden van namen vs. nummers).

mlohnen · 29 april 2024 om 18:34

Dank je dat is precies wat ik bedoelde hoor, het OS is HOOFDletter gevoelig
Jammer genoeg is het internet zelfs ongevoelig voor de mooie ö in mijn naam…
Maar ja Amerikanen kwamen niet verder dan 128 ASCII karakters natuurlijk

Erik · 29 april 2024 om 20:28

<ot>
Ik vind het duf, dat zelfs banken dat niet goed kunnen doen.
Namen met een ü krijgen gewoon een spatie.
Ook zijn hele volksstammen nog niet op de UTF-8 met de mail.
En ö als oe typen, is ook antiek.
</ot>

WoSp · 29 april 2024 om 20:42

Zijn wel mogelijkheden voor:

kkn · 29 april 2024 om 20:44

xn–mlhnen-xxa.nl

IDN omzetter

net · 29 april 2024 om 22:29

Terug ontopic, de oorzaak dat DoT niet werkt is omdat het certificaat van de productie server is gebruikt. Er kan hierdoor geen veilige verbinding worden opgezet.

CN = dns.freedom.nl

Noci · 29 april 2024 om 23:48

Dat is omdat de meeste bank systemen intern een nog achterlijker character systeem gebruiken nl: EBCDIC.
Dan is ook simpel sorteren een andere uitdaging.

Drs_W · 30 april 2024 om 07:01

heb ik ondertussen doorgegeven aan Freedom via mail,
als aanvulling op mijn mail gisteren.
( dat scheelt hen zoeken )