DNSSEC and Request Routing for internal DNS Zone

Does the lookups for the internal zone break if I switch it on, or does DNSSec only work on the configured dns resolvers (and not for the request routing)?

Did you find it out?

I do have an issue with exacly the same configuration in an Windows network usinf the UTM as DNS proxy.

(WAN) -- (UTM) -- (Win DC + DNS) -- (Win client)

- UTM (9.350-12) using ISP DNS as forwarder
- running DNS on DC (Win Server 2012 R2)
- Win DNS is hosting internal name space
- on UTM setup route of internal name space DNS on DC
- DNS on DC forwarding all requests to UTM
- clients connected to DNS on DC

If DNSEC on UTM is disabled everthing is working fine in all directions. 

If DNSEC on UTM is enabled, DNS resolving and DNSEC in direction WAN is working. I get positive DNSSEC check on Win clients. But UTM and clients directly using the UTM ans DNS server cannot resolv internal name space any longer.

I do not need DNSEC on internal name space. But adding an option that UTM should ignore DNSEC validation on routes would solve my issue.

Or is there an easy way to enable DNSEC on Win Server 2012 R2 for internal name space in a way that it is getting accepted by UTM (trust chain)?

Hi Tobi,

After I did not get any answere here ( [:(] ) i just switched it on [[;)]]

First of all, you too, will not have a problem if you switch it on [:)]

If your internal namespace is not signed your UTM will ignore the DNSSec validation since it will only validate if it is signed.

Next thing is, that your clients do not resolve your internal namespace wth the UTM DNS, but instead with your DC server, so your UTM will not handle these request, except if you point your Clients DNS directly to the UTM which will then need "Request Routing".

For external namespaces your DC server will forward the requests to the UTM. I do not know if your Win DNS server also has DNSSec validation enabled. This is important, because if your Win DNS is not DNSSec enabled the all of your DNS request will not be validated, even if the server to which the requests are forwarded (UTM) will do DNSSec.

In short, you will not gain any more security by enabling UTM DNSSec validation if your first DNS resolver is not DNSSec enabled.

(You can check this behaviour if you enable DNSSec on your UTM, but not on your Win DNS server. Now brows to Broken DNSSEC Validation Test Site - Part of Comcast's DNSSEC Project. You will see the website, so DNSSec is not working properly. Now point a client directly to your UTM DNS and check the website again. Now you will not see the page, which is good, so DNSSec validation is working correctly [[;)]] )

Hope this helps.

Hi Tobi,

After I did not get any answere here ( [:(] ) i just switched it on [[;)]]

First of all, you too, will not have a problem if you switch it on [:)]

If your internal namespace is not signed your UTM will ignore the DNSSec validation since it will only validate if it is signed.

Next thing is, that your clients do not resolve your internal namespace wth the UTM DNS, but instead with your DC server, so your UTM will not handle these request, except if you point your Clients DNS directly to the UTM which will then need "Request Routing".

For external namespaces your DC server will forward the requests to the UTM. I do not know if your Win DNS server also has DNSSec validation enabled. This is important, because if your Win DNS is not DNSSec enabled the all of your DNS request will not be validated, even if the server to which the requests are forwarded (UTM) will do DNSSec.

In short, you will not gain any more security by enabling UTM DNSSec validation if your first DNS resolver is not DNSSec enabled.

(You can check this behaviour if you enable DNSSec on your UTM, but not on your Win DNS server. Now brows to Broken DNSSEC Validation Test Site - Part of Comcast's DNSSEC Project. You will see the website, so DNSSec is not working properly. Now point a client directly to your UTM DNS and check the website again. Now you will not see the page, which is good, so DNSSec validation is working correctly [[;)]] )

Hope this helps.

First of all, you too, will not have a problem if you switch it on [:)]

Actually I do have (see below). 
That is the reason why I started to do research to find a solution.

If your internal namespace is not signed your UTM will ignore the DNSSec validation since it will only validate if it is signed.

This is the behavior I expected. But UTM will not resolve the internal lan acc. the route to DC when DNSSEC is enabled on UTM. Internal LAN is not signed.

Next thing is, that your clients do not resolve your internal namespace wth the UTM DNS, but instead with your DC server, so your UTM will not handle these request, except if you point your Clients DNS directly to the UTM which will then need "Request Routing"..

This is right. The clients do not have an issue. Internal and external resolving over DC works.

But for different UTM functions (filter, firewall, reporting) I am using "dynamic DNS hosts". Specially to catch temporarily IPv6 address of the host. But dynamic host function only is working when UTM is able to resolve the internal LAN over the defined route to DC.

In short, you will not gain any more security by enabling UTM DNSSec validation if your first DNS resolver is not DNSSec enabled.

(You can check this behaviour if you enable DNSSec on your UTM, but not on your Win DNS server. Now brows to [url=http://www.dnssec-failed.org/]Broken DNSSEC Validation Test Site

Now I am confused. I am not server specialists and DNSSEC is a new topic to me. I run this set-up in a home environment and I am mainly interested in to understand the technical background.

All test pages I used so far on the client (e. g. http://dnssec.vs.uni-due.de/ and http://dnssectest.sidnlabs.nl/test.php) gave a positive DNSSEC result in case of the function was enable on UTM and a negative result in case of the function was disabled on UTM.  But with your test site I always get a negative test result. 

Here I have to step in a little bit deeper.

But with your test site I always get a negative test result.

This issue is solved. It was not UTM related but Windows DNS related. When the UTM reported "www.dnssec-failed.org" not found to Windows DNS the Windows DNS server was using the root servers for search. By blocking this and restricting Windows DNS to forward to UTM only the DNSSEC test is positive.


As next I found this in the DNS log files:

2015:10:18-21:29:22 ABCDE named[4468]: error (no valid RRSIG) resolving 'ABCDE.lan/DNSKEY/IN': 192.168.2.20#53 
2015:10:18-21:29:22 ABCDE named[4468]: error (broken trust chain) resolving 'server.ABCDE.lan/A/IN': 192.168.2.20#53 
2015:10:18-21:29:22 ABCDE named[4468]: validating @0x8a77a08: server.ABCDE.lan AAAA: bad cache hit (ABCDE.lan/DNSKEY) 


192.168.2.20 is my DNS server. The domain ABCDE.lan is my local domain on Windows Network. This is not signed by DNSSEC but the UTM believes it is. Therefore, the forwarding from UTM to Windows DNS fails.

On Windows DNS I added s second domain UVWXYZ.lan for testing. Here the forwarding from UTM works and resolving of host is possible from UTM when DNSSEC is enabled. 

Strange behavior. In one case it is working and in one case not. 
But why?