<div dir="ltr"><div><div><div><div><div><div><div><div>I think I have discovered what the problem is and it's unlikely to be dnsmasq.<br><br></div>What I do is that I have a setup which is basically a split horizon:<br></div>- users who are not on the service get A record for using.dnscrypt from a DNSSEC signed zone<br></div>- users who are on the service get *a different* A record for <a href="http://using.dnscrypt.pl">using.dnscrypt.pl</a> from unbound, without sigs!<br><br></div>A user on my service, who has dnssec-check-unsigned enabled gets an unsigned response from a signed zone and the intended reaction of dnsmasq kicks in.<br></div><br></div><div>Not a bug then. Is my understanding correct?<br></div></div><br>Best regards,<br></div>Maciej<br></div><div class="gmail_extra"><br><div class="gmail_quote">On Fri, Jun 12, 2015 at 10:19 AM, Maciej Soltysiak <span dir="ltr"><<a href="mailto:maciej@soltysiak.com" target="_blank">maciej@soltysiak.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr"><div><div><div><div>Hi,<br><br></div>One of my users raised an issue that <a href="http://using.dnscrypt.pl" target="_blank">using.dnscrypt.pl</a> does not resolve when dnssec-check-unsigned is turned on.<br></div>I replicated the issue with most recent openwrt Chaos Calmer package: dnsmasq-full.<br><br></div>When dnssec and trust anhcor are set and dnssec-check-unsigned is as well, dnsmasq says BOGUS DS:<br>Fri Jun 12 10:14:34 2015 <a href="http://daemon.info" target="_blank">daemon.info</a> dnsmasq[6769]: query[A] <a href="http://using.dnscrypt.pl" target="_blank">using.dnscrypt.pl</a> from fdea:7beb:d9e3:0:d928:e795:8461:1896<br>Fri Jun 12 10:14:34 2015 <a href="http://daemon.info" target="_blank">daemon.info</a> dnsmasq[6769]: forwarded <a href="http://using.dnscrypt.pl" target="_blank">using.dnscrypt.pl</a> to 127.0.0.1<br>Fri Jun 12 10:14:34 2015 <a href="http://daemon.info" target="_blank">daemon.info</a> dnsmasq[6769]: dnssec-query[DS] <a href="http://using.dnscrypt.pl" target="_blank">using.dnscrypt.pl</a> to 127.0.0.1<br>Fri Jun 12 10:14:34 2015 <a href="http://daemon.info" target="_blank">daemon.info</a> dnsmasq[6769]: reply <a href="http://using.dnscrypt.pl" target="_blank">using.dnscrypt.pl</a> is BOGUS DS<br>Fri Jun 12 10:14:34 2015 <a href="http://daemon.info" target="_blank">daemon.info</a> dnsmasq[6769]: validation <a href="http://using.dnscrypt.pl" target="_blank">using.dnscrypt.pl</a> is BOGUS<br>Fri Jun 12 10:14:34 2015 <a href="http://daemon.info" target="_blank">daemon.info</a> dnsmasq[6769]: reply <a href="http://using.dnscrypt.pl" target="_blank">using.dnscrypt.pl</a> is 178.62.233.48<br>Fri Jun 12 10:14:34 2015 <a href="http://daemon.info" target="_blank">daemon.info</a> dnsmasq[6769]: query[A] <a href="http://using.dnscrypt.pl" target="_blank">using.dnscrypt.pl</a> from 192.168.1.206<br>Fri Jun 12 10:14:34 2015 <a href="http://daemon.info" target="_blank">daemon.info</a> dnsmasq[6769]: forwarded <a href="http://using.dnscrypt.pl" target="_blank">using.dnscrypt.pl</a> to 127.0.0.1<br>Fri Jun 12 10:14:34 2015 <a href="http://daemon.info" target="_blank">daemon.info</a> dnsmasq[6769]: query[A] <a href="http://using.dnscrypt.pl" target="_blank">using.dnscrypt.pl</a> from fdea:7beb:d9e3:0:d928:e795:8461:1896<br>Fri Jun 12 10:14:34 2015 <a href="http://daemon.info" target="_blank">daemon.info</a> dnsmasq[6769]: forwarded <a href="http://using.dnscrypt.pl" target="_blank">using.dnscrypt.pl</a> to 127.0.0.1<br>Fri Jun 12 10:14:34 2015 <a href="http://daemon.info" target="_blank">daemon.info</a> dnsmasq[6769]: dnssec-query[DS] <a href="http://using.dnscrypt.pl" target="_blank">using.dnscrypt.pl</a> to 127.0.0.1<br>Fri Jun 12 10:14:34 2015 <a href="http://daemon.info" target="_blank">daemon.info</a> dnsmasq[6769]: dnssec-query[DS] <a href="http://using.dnscrypt.pl" target="_blank">using.dnscrypt.pl</a> to 127.0.0.1<br>Fri Jun 12 10:14:34 2015 <a href="http://daemon.info" target="_blank">daemon.info</a> dnsmasq[6769]: reply <a href="http://using.dnscrypt.pl" target="_blank">using.dnscrypt.pl</a> is BOGUS DS<br>Fri Jun 12 10:14:34 2015 <a href="http://daemon.info" target="_blank">daemon.info</a> dnsmasq[6769]: validation <a href="http://using.dnscrypt.pl" target="_blank">using.dnscrypt.pl</a> is BOGUS<br>Fri Jun 12 10:14:34 2015 <a href="http://daemon.info" target="_blank">daemon.info</a> dnsmasq[6769]: reply <a href="http://using.dnscrypt.pl" target="_blank">using.dnscrypt.pl</a> is 178.62.233.48<br>Fri Jun 12 10:14:34 2015 <a href="http://daemon.info" target="_blank">daemon.info</a> dnsmasq[6769]: reply <a href="http://using.dnscrypt.pl" target="_blank">using.dnscrypt.pl</a> is BOGUS DS<br>Fri Jun 12 10:14:34 2015 <a href="http://daemon.info" target="_blank">daemon.info</a> dnsmasq[6769]: validation <a href="http://using.dnscrypt.pl" target="_blank">using.dnscrypt.pl</a> is BOGUS<br>Fri Jun 12 10:14:34 2015 <a href="http://daemon.info" target="_blank">daemon.info</a> dnsmasq[6769]: reply <a href="http://using.dnscrypt.pl" target="_blank">using.dnscrypt.pl</a> is 178.62.233.48<br><br></div><div>Verisign dnssec check are ok: <a href="http://dnssec-debugger.verisignlabs.com/using.dnscrypt.pl" target="_blank">http://dnssec-debugger.verisignlabs.com/using.dnscrypt.pl</a><br><br></div><div>Oddly, <a href="http://dnscrypt.pl" target="_blank">dnscrypt.pl</a> resolves fine. It also works fine if dnssec-check-unsigned is turned off.<br><br></div><div>Not sure if rc10 fixes it, it's not in openwrt repo yet.<br></div><div>Any ideas?<br></div><div><br></div><div>Best regards,<br></div><div>Maciej Soltysiak<br></div><div>DNSCrypt Poland<br></div><div><a href="https://dnscrypt.pl" target="_blank">https://dnscrypt.pl</a><br><br></div><div><br></div></div>
</blockquote></div><br></div>