LOG IN

Cloudflare de DNSSEC

by otsuka752

2019/10/08

欲しい、楽しそうな Android アプリを思い付いた。

通勤で使うバス停は、自宅側に 3つ、会社側に 2つ。それぞれのバス停までの所要時間はほぼ一定。

家か会社を出る時にスタート。対象のバス停までの徒歩での移動時間経過後からの、全てのバス経路および乗り換え経路ごとの目的地までの移動状況をトラッキングしたい。それぞれの到着時間を記録したい。

移動中は、乗ってない別の経路のバスの移動状況もリアルタイムで分かって比較できるの。「やはりこっちが早いだろ」とか「意外にあっちが早かった」とか「やはり向こうは渋滞に捕まったか」とかとか。

そんな Android アプリを作ってくれる方〜?(作る気は無い)

DNSSEC on GCP で DS どうすんの?ってツッコミを観測したので・・・

試してみようかと思ってます。

試してなくドキュメント読んだだけですが、そしてご興味ある訳でもないかと思いますが...Cloudflare 上で ZSK/KSK 作成されて、Cloudflare から DS 提供されて、エンドユーザーがレジストラに DS アップロードのようでした。(更新については不明です)

.ch .cz だと CDS と CDNSKEY 使って自動セットアップですか。

ヤバイ、お楽しみは来週末以降にしないといけないんだった。

昨日のめんどくさそうな話題の話。

当初の予想では「皆さん、お給料を一律 2倍にします。雇用契約書更新します。面倒ですがご協力ください。」かと思ったんだけど違った。

...

あっという間に DNSSEC 対応できてしまった気がする。(まだ pending だけど) DNSSEC is pending while we wait for the DS to be added to your registrar. This usually takes ten minutes, but can take up to an hour.

・アカウント作成 : メアドと好きなパスワード入力してリターン

・メアド認証 : 届いたメールのリンク踏むだけ

・DNSレコード登録 : NS は Cloudflare に

・DNSSEC 有効化 : (ZSK/KSK 生成して) DS 生成

・DS 登録 : DS をレジストラ(Route 53)から登録

イマココ。この間、5分くらい。

まだだ。まだ焦る時間じゃない。

$ dig +rec +nocd +noall +comm tcpreplay\.net. @\1.1.1.1

;; Got answer:

;; ->>HEADER<<- opcode: QUERY, status: SERVFAIL, id: 42652

;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 0

$ dig +norec +nocd +dnssec +noall +ans tcpreplay\.net. @\art.ns.cloudflare\.com.

tcpreplay\.net.600INA52.213.2.196

tcpreplay\.net.600INRRSIGA 13 2 600 20191009204350 20191007184350 34505 tcpreplay\.net. dp/hbdDwWrNCzd0(snip)n4GA==

アカウント作成からここまで 20分。

Route 53 で登録できるのは .ch か。.cz はダメポ。CDS とか CDNSKEY ってやつを試してみるか...来週末以降に。

まだ

明日はこいつの続きをやらない。やらない。やっちゃだめだ。他にやることが、が、が。

明日はやらないので、今日やる。やったった。繋がった。

Route 53 さん、DS 登録のデフォルトが ZSK ってのがアカンでしょ! プルダウンから KSK を選んでアップロードしなおし。

bind で繋げるよりは簡単だった。

明日は遊ばない。他にやることがあるので。やらない。

Cloudflare さん、面白かった。再びベッドへ。

ビールの感想はブレる。

EXTRA PALE なかなか良い

2019/10/09

起きた。始動。

通勤のバスの中からスマフォで試せるじゃん。

Cloudflare さんで「Add site」すると、指定したドメイン名の旧NS が持ってる多数の(ほぼ全ての?)レコードを検出して、自動的に Cloudflare さんの NS に自動登録してくれる。何これコワイ。(例: css dns doc ftp im tools t web wiki c\.mx.m mx.m 0.example\.jp)

全てのタイプでクエリー投げてる? 既存の NS 側で見てみる(来週末以降に)

Cloudflare さんで「Add site」するの、サブドメインは許可されてない理由が分からない。example.(com,net,org,jp) とか example.(co,ac,ne,or).jp とか以外はダメ。サービスの仕様?

cloudflare\.com を作ってみます、今日。リストの分は来週末以降にします。

cloudflare\.com はエラーでした。

This zone is banned and cannot be added to Cloudflare at this time, please contact Cloudflare Support.

com (TLD) は invalid domain でエラー。

amazonaws\.com

We were unable to identify amazonaws\.com as a registered domain. Please ensure you are providing the root domain and not any subdomains (e.g., example\.com, not subdomain.example\.com)

新規登録登録時の、旧NS というか現NS へのクエリ・パケット見てみます。

委任先に色々クエリー投げてるっぽくも見えました。

毎日、こんなことして遊んでいたいんだけどなぁ。

chime\.aws 作れそう

サブドメイン作成しようとした時のエラーメッセージです。

Please ensure you are providing the root domain and not any subdomains (e.g., example\.com, not subdomain.example\.com)

スマフォでポチポチはつらい。PC ブラウザでポチポチも数が多いとつらい。

free plan で試してるから NS ごと向けないと駄目っぽい。business plan 以上なら行けそう。試せないけど。 Changing nameservers is not required for Business and Enterprise domains on CNAME setups.

紛らわしくない単語で独自サービス?独自の仕組み?を命名すれば良いのに。(Cloudflare さん以外も)

Be careful not to confuse CNAME setup terminology with CNAME records which are available in the DNS app for all plan types.

qiita 辺りで日本語の記事を読むと、大枠が見えてきそうな気がするけど後で。公式をちゃんと読むのも後で。

Type:CNAME でなく、CNAME setup と言う Cloudflare さんの仕組みを使う時は、Cloudflare さんでサービスする(サブ)ドメイン名の所有者確認が必要っぽい。TXT RRs に文字列指定だけど、人が介在してるようにも見える。

なるほど、これか。

「www.example\.com CNAME www.example\.com.cdn.cloudflare\.net」

サブドメインが使えないのは、free plan の制限のようです。business plan のアカウントは持ってないです。

色々な名前で A AAAA CNAME MX NS SRV TXT を問い合わせてきました。その数なんと 420以上。

DNS query from Cloudflare at "add site"

https://gist.github.com/otsuka752/feddb876aa650471d8df7acaf0b2c9e0

おや? TXT? _amazonses.example\.net.

Cloudflare さんで "add site" したサイト?ゾーン? を削除する方法が分からず困った。途中キャンセルはできなくて、最後まで突き進んでから remove できた。

Cloudflare さんが使ってそうな NS 一覧です。394個見つけました。

https://gist.github.com/otsuka752/17cd989c4c5b6c55f49473fbfe238d92

本日の営業は終了しました(ビール飲み始めたの意)

ELEVATION PALE ALE (1杯目)

17:00 前に帰る奴らも多数です!

ラグビー!

こっそり渡された。

隣の人も同じ番号が記載(というか印刷)されるのをもらってて、電話するとお店にかかるっぽいです! やったぜ!

2杯目

同じもので 3杯目

今日も今日とて、本当にやらなきゃいけないことをやらずに、楽しいことばかりやっつけて一日が溶けました。きっと明日も同じノリで。

ラーメン食べたい

catalina って言ったら catalina.out に決まってんだろ?

オフィス、ここだったのか。一度、

https://g.page/Cloudflare-UK?share

2019/10/10

起きた。パブで飲んだ後、帰宅してからはビール飲まずにお水だけ飲んだら体調良い。なお、トイレに 2回起きた。

Cloudflare periodically checks whether you have pointed your nameservers to Cloudflare. To perform an immediate nameserver check, click Re-check now.

brau\.jp is now queued up to be re-checked. Please check back in a few hours. You'll also be notified by email once your site becomes active.

あっという間の 30days

Your Oracle Cloud Free Trial expires in 7 days

女子校(secondary school) 潜り込んできた(見学してきたの意)

校長先生の話を聞いてきました。(全然聞き取れず)

€1.9 220円 の美味しい IPA (220円だと 350ml 普通のビールくらいだったっけ?)

我が家は、ケーキ食べる時にラジアン法が出てきます。「何ラジアン食べる?」「う〜ん、3分のπ」

娘(8) にバレずに調整できるのがメリット。昔は英語で(英単語で)話せばバレなかったけど、今ではもう無理...。

Cloud/flare の tweet が多かったからか、転職どうですか?のお誘いが 2件。う〜ん、今はいいです、ゴメンナサイ。

お給料倍増ならハンコ押します!(ハンコ???)

Akamai さんより Cloudflare さんのが好印象。何でだろうか。

lua nginx module の方が Cloudflare だったはず...

ECS (EDNS Client Subnet) で、scope prefix length > source prefix length (scope < source) の場合に NS が何をどう返すかの話題、rfc7871 さんは deaggregate して multi answer 返すとか言ってて驚いた。その発想は無かったぜ。

ECS 対応のリゾルバ 8888/8844 から見た NS のガイドラインの記事 Google さんの「EDNS Client Subnet (ECS) Guidelines」が参考になる。なるほど。

scope /0 を返す必要性とか、scope /0 と source /0 と区別する理由とか。

answer でなく referral は scope /0 で、だけど、その A/AAAA は not /0 でも良いと。確かに。

足回りが v4 only でも、source に v6 が含まれることがある。(ここまでは個人的に想定内) でも、それに正しく ECS で応答しないと、その NS は ECS 対応「ではない」と判断される。なるほど。

2019/10/11

ECS (EDNS Client Subnet)機能が実装された open source なソフトウェアをご存知の方はいらっしゃらないだろうか。manual を読みたいです。experimental な実装だった bind-9.11 の ARM は読みました。9.14 だと機能が取られたように見えます...。

PowerDNS Auth Server を軽くチェック。Backend が GeoIP(YAML) の場合に使えるっぽい。GeoIP の DB を手で書き換えれば、今回やりたいことを実現できるのか・・・?

すいません、書き忘れました。権威サーバ側を探してます。話題の!? Unbound の権威サーバ確認します〜。

scope > source の時の挙動、どう設定する(できる)のかなーって所が気になっているのです。

ECS さん、キャッシュ側のキャッシュの話も気になる所ではあるけど。

R53 は ECS で応答を変える仕組みがあります。応答は直接指定できず、geolocation やら latency やらで自動的に応答が決まるものですが。とあるレンジ全体を source /32 にして確認して、応答が変わった前後を /31 /30 /29 ... で確認しています。

「ライトついてますか」は、処分しないでどちらかの実家に保管してある。

OTHER SNAPS