Skip to main content

Hoi Allen,

We hebben geregeld met het probleem te maken dat domeinnamen niet geresolved worden via de DNS servers van KPN.

We hebben gezien dat zones die zijn voorzien van DNSSEC soms ineens niet meer/gedeeltelijk een A record niet kunnen resolven.

Dit komt alleen naar voren met de DNS servers van KPN, vanmorgen ook weer, het record van mail.******.com kan niet worden geresolved via KPN. Elke andere DNS server waar we het aan vroegen lukte het wel. Ook controles van de zone uitvoeren middels https://dnsviz.net/d/********.com/analyze/ laat geen issues zien.

We zien dit ook geregeld gebeuren met remote.+++++++.nl en vpn.+++++++.nl. Voor alle medewerkers met een laptop hebben we de hosts file aangepast zodat ze toch thuis kunnen werken en KPN gebruiken.

Iemand van KPN die hierin kan duiken en ik de details kan sturen via een DM?

Alvast bedankt,
Hugo

Welkom op het forum @Deltaman! Dat is een lastige vraag. En ik moet bekennen dat ik er zelf niet gelijk antwoord op heb.

Wat ik wel voor je kan doen is de vraag doorzetten naar iemand die de gevraagde kennis wel heeft.

Goed dat je persoonlijke gegevens hebt afgeschermd. Wel moet ik die voor het doorzetten toch weten. Wil je ze om die reden in je profiel zetten onder “Persoonlijke opmerkingen”?

Vermeld ook je klantnummer van KPN als je die hebt.

Ik hoor graag van je!

@Bram_ bedankt voor je reactie, ik kan je ook een DM sturen met het complete bericht?

 

@Deltaman als de tekst te lang is voor het veld “Persoonlijke opmerkingen” dan is dat in dit geval geen probleem. 🙂

@Bram_ Ik heb de tekst gepland in het persoonlijke stukje in mijn profiel.

@Deltaman ik heb ondertussen reactie gekregen. 

KPN doet al sinds geruime tijd, meer dan een jaar, DNSSEC validatie. DNSSEC is een methode waarmee de integriteit van het antwoord kan worden verzekerd en doet dat middels het zetten van handtekeningen (signatures) bij een antwoord. Dat betekent dat als een domein voorzien wordt van een DNSSEC handtekening de handtekening correct EN actueel moet zijn. En dat geldt niet alleen voor het domein dat gezocht wordt maar ook eventuele tussenliggende domeinen.

De specialisten hebben in de logging gekeken en kunnen zien dat op 15 september de tussenliggende zone niet meer correct gesigned was. Dit is later hersteld. De eerste en de laatste melding voor het domein mail.b.....com zijn: 

2022-09-15T09:17:07.268466+02:00  Answer to b……..com|A validates as Bogus - No valid RRSIG

2022-09-15T12:00:23.022272+02:00 Answer to b……...com|A validates as Bogus - No valid RRSIG

Daarna was het weer in orde. (RRSIG = Resource Record SIGnature) Hetzelfde geldt voor de andere domeinen die zijn aangegeven.

Ook daar was het tussenliggende domein enige tijd niet correct DNSSEC signed, maar dat was op 19 september. Het is de verantwoordelijkheid van de hoster van het betreffende domein om de signatures tijdig te voorzien van actuele signatures, anders krijg je het probleem dat klanten/gebruikers van het domein geen verbinding meer kunnen krijgen omdat de KPN resolver het antwoord niet meer terug geeft.

Door de adressen in een lokale host file op te nemen of andere DNS resolvers te configureren die het adres (nog) wel teruggeven omzeilt u nu juist de security die DNSSEC beoogt: Het antwoord dat gegeven is is integer. Potentieel loopt u daarmee het risico dat u verbindt met een malafide ip adres (al zal het zo’n vaart niet lopen).

Laat je hier weten of je nog verdere vragen hebt?

@Bram_ Bedankt voor de meldingen die komen uit de servers. Dit geeft in elk geval een zoekrichting waarin dit probleem gezocht moet worden.

De Kennisbank

Heb je vragen over diensten, producten of wil je weten hoe je modeminstellingen verandert? Vind het antwoord op de meest gestelde vragen in onze Kennisbank

...

Community voorwaarden