<div dir="ltr"><div> Hello Simon,<br><br></div><blockquote style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex" class="gmail_quote">What version of dnsmasq are you using?<br></blockquote><div><br></div><div>Shibby's changelog states that an update to dnsmaq 2.72+ occurred in his Tomato version 1.25. Presumably that is also in the Tomato 1.28 on my router.<br><br> – dnsmasq 2.72+ up to December 9 2014 – thx @toastman<br><br></div><blockquote style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex" class="gmail_quote">
<br>
Are you saying that dnsmasq strips the signatures from the answers<br>
which arrive from upstream?<br></blockquote><div><br></div><div>Yes. My zone defines AAAA records for some local hosts behind NAT. Those records do not validate on local validating resolvers when using the Tomato router for DNS.<br><br>Quering dnsmasq shows the signatures are not forwarded. (Other record types such as SSH fingerprints are apparently also not forwarded.) The AAAA record is forwarded. <br><br></div><div>dig @tomato-router -t any host-behind-nat-with-global-aaaa-record<br><br></div><div>shows the local A record and the global AAAA records, but no RRSIG, NSEC or SSHFP records.<br><br>dig @tomato-router -t any host-outside-nat-with-global-a-and-aaaa-records<br><br></div><div>shows global A, AAAA, RRSIG, NSEC and SSHFP records.<br><br>dig @authoritative-server -t any host-behind-nat-with-global-aaaa-record<br><br>shows global AAAA, RRSIG, NSEC and SSHFP records, but of course no local A record.<br></div><div> <br></div><div>I could avoid the router for DNS, but then I lose the local A records, which I need because some devices autoconfigure via DHCP but do not support IPv6.<br></div><div><br></div><blockquote style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex" class="gmail_quote">
<br>
Do you have DNSSEC validation enabled in dnsmasq?<br></blockquote><div><br></div><div>I don't think it would be enabled in Tomato. I did not modify the default configuration.<br> <br></div><blockquote style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex" class="gmail_quote">
 </blockquote><blockquote style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex" class="gmail_quote">
<br>
Cheers,<br>
<br>
Simon.<br>
<br>
<br>
On 30/06/15 04:07, Felix Lechner wrote:<br>
> Hi,<br>
><br>
> My tomato router does not forward DNSSEC signatures for AAAA<br>
> records when also serving local A records for the same hostnames<br>
> from DHCP.<br>
><br>
> A local validating resolver which uses dnsmasq for caching will<br>
> then not show the AAAA records from the signed zone.<br>
><br>
> Can I turn off the local DHCP hostname resolution (or the<br>
> signature masking, if it is intentional), please?<br>
><br>
> Thank you!<br>
><br>
> Tomato firmware version is 1.28.</blockquote></div>