DNSSEC and Request Routing for internal DNS Zone

Does the lookups for the internal zone break if I switch it on, or does DNSSec only work on the configured dns resolvers (and not for the request routing)?

Did you find it out?

I do have an issue with exacly the same configuration in an Windows network usinf the UTM as DNS proxy.

(WAN) -- (UTM) -- (Win DC + DNS) -- (Win client)

- UTM (9.350-12) using ISP DNS as forwarder
- running DNS on DC (Win Server 2012 R2)
- Win DNS is hosting internal name space
- on UTM setup route of internal name space DNS on DC
- DNS on DC forwarding all requests to UTM
- clients connected to DNS on DC

If DNSEC on UTM is disabled everthing is working fine in all directions. 

If DNSEC on UTM is enabled, DNS resolving and DNSEC in direction WAN is working. I get positive DNSSEC check on Win clients. But UTM and clients directly using the UTM ans DNS server cannot resolv internal name space any longer.

I do not need DNSEC on internal name space. But adding an option that UTM should ignore DNSEC validation on routes would solve my issue.

Or is there an easy way to enable DNSEC on Win Server 2012 R2 for internal name space in a way that it is getting accepted by UTM (trust chain)?

Hi Tobi,

After I did not get any answere here ( [:(] ) i just switched it on [[;)]]

First of all, you too, will not have a problem if you switch it on [:)]

If your internal namespace is not signed your UTM will ignore the DNSSec validation since it will only validate if it is signed.

Next thing is, that your clients do not resolve your internal namespace wth the UTM DNS, but instead with your DC server, so your UTM will not handle these request, except if you point your Clients DNS directly to the UTM which will then need "Request Routing".

For external namespaces your DC server will forward the requests to the UTM. I do not know if your Win DNS server also has DNSSec validation enabled. This is important, because if your Win DNS is not DNSSec enabled the all of your DNS request will not be validated, even if the server to which the requests are forwarded (UTM) will do DNSSec.

In short, you will not gain any more security by enabling UTM DNSSec validation if your first DNS resolver is not DNSSec enabled.

(You can check this behaviour if you enable DNSSec on your UTM, but not on your Win DNS server. Now brows to Broken DNSSEC Validation Test Site - Part of Comcast's DNSSEC Project. You will see the website, so DNSSec is not working properly. Now point a client directly to your UTM DNS and check the website again. Now you will not see the page, which is good, so DNSSec validation is working correctly [[;)]] )

Hope this helps.

First of all, you too, will not have a problem if you switch it on [:)]

Actually I do have (see below). 
That is the reason why I started to do research to find a solution.

If your internal namespace is not signed your UTM will ignore the DNSSec validation since it will only validate if it is signed.

This is the behavior I expected. But UTM will not resolve the internal lan acc. the route to DC when DNSSEC is enabled on UTM. Internal LAN is not signed.

Next thing is, that your clients do not resolve your internal namespace wth the UTM DNS, but instead with your DC server, so your UTM will not handle these request, except if you point your Clients DNS directly to the UTM which will then need "Request Routing"..

This is right. The clients do not have an issue. Internal and external resolving over DC works.

But for different UTM functions (filter, firewall, reporting) I am using "dynamic DNS hosts". Specially to catch temporarily IPv6 address of the host. But dynamic host function only is working when UTM is able to resolve the internal LAN over the defined route to DC.

In short, you will not gain any more security by enabling UTM DNSSec validation if your first DNS resolver is not DNSSec enabled.

(You can check this behaviour if you enable DNSSec on your UTM, but not on your Win DNS server. Now brows to [url=http://www.dnssec-failed.org/]Broken DNSSEC Validation Test Site

Now I am confused. I am not server specialists and DNSSEC is a new topic to me. I run this set-up in a home environment and I am mainly interested in to understand the technical background.

All test pages I used so far on the client (e. g. http://dnssec.vs.uni-due.de/ and http://dnssectest.sidnlabs.nl/test.php) gave a positive DNSSEC result in case of the function was enable on UTM and a negative result in case of the function was disabled on UTM.  But with your test site I always get a negative test result. 

Here I have to step in a little bit deeper.

But with your test site I always get a negative test result.

This issue is solved. It was not UTM related but Windows DNS related. When the UTM reported "www.dnssec-failed.org" not found to Windows DNS the Windows DNS server was using the root servers for search. By blocking this and restricting Windows DNS to forward to UTM only the DNSSEC test is positive.


As next I found this in the DNS log files:

2015:10:18-21:29:22 ABCDE named[4468]: error (no valid RRSIG) resolving 'ABCDE.lan/DNSKEY/IN': 192.168.2.20#53 
2015:10:18-21:29:22 ABCDE named[4468]: error (broken trust chain) resolving 'server.ABCDE.lan/A/IN': 192.168.2.20#53 
2015:10:18-21:29:22 ABCDE named[4468]: validating @0x8a77a08: server.ABCDE.lan AAAA: bad cache hit (ABCDE.lan/DNSKEY) 


192.168.2.20 is my DNS server. The domain ABCDE.lan is my local domain on Windows Network. This is not signed by DNSSEC but the UTM believes it is. Therefore, the forwarding from UTM to Windows DNS fails.

On Windows DNS I added s second domain UVWXYZ.lan for testing. Here the forwarding from UTM works and resolving of host is possible from UTM when DNSSEC is enabled. 

Strange behavior. In one case it is working and in one case not. 
But why?

Hi Tobi,

sorry that I didn't read your first post carefully..and a really big thank you for repoting back, because now I have to correct my statment about the broken security chain, when the first DNS Server is not DNSSEC enabled and therefore does not vailidate even if the DNS server, the request is forwarded to, is DNSSEC enabled. So this ist not true!

I also had the "use root zones when forwarding fails" enabled and this was the culprit of why I always got a page loaded and with that a negativ result on dnssec-failed.org.

So it seems like this, that the WIN DNS server does not get a reply to the request from the UTM (because of DNSEC validation on the UTM). It therefore seems for the WIN DNS server to fail. So the WIN DNS server uses the root zone without DNSSEC vaildation in my case (not enabled in 2008 R2) and got a reply back and the page loaded.

So by disabling the "use root zone" I am also safe behind my UTM DNSSEC even if in WIN DNS it is disabled [[:)]]

Now back to your problem:

First I would try and clear DNS cache on UTM because of "bad cache hit" log (could it be, that you played a bit around with DNSEC an tried signing your zone and this got cached by the UTM? [:P] )
Second, please make sure, that there is really no DNSSEC relatet record in your internal zone. (because of your provided log entires, it seems there is something still left, and also because a new configured zone is working correctly)
Third, reload your internal zone in WIN DNS server and after that clear cache on UTM again.

Hope this helps. Please keep me informed [[:)]]