Preparing for the rollover with bind and it’s DNSSEC policies

Make sure you have at least bind 9.16.0, because otherwise the policies are not available. To be able to use bind’s DNSSEC-policy feature first the current setup has to be migrated to a policy. The original setup was the following:

zone "t0d.nl" {
    ...
        auto-dnssec maintain;
        inline-signing yes;
    ...
};

And I converted this to the following custom policy :

dnssec-policy  "rsa_default" {
    dnskey-ttl 24h;
    keys {
        ksk lifetime unlimited algorithm RSASHA256 2560;
        zsk lifetime 90d algorithm RSASHA256 1536;
    };
    max-zone-ttl 3600;
    parent-ds-ttl 600;
    parent-propagation-delay 2d;
    publish-safety 14d;
    retire-safety 14d;
    signatures-refresh 5d;
    signatures-validity 15d;
    signatures-validity-dnskey 15d;
    zone-propagation-delay 2h;
};

And then using that policy on the zone definition.

zone "t0d.nl" {
        type master;
        dnssec-policy rsa_default;
        //auto-dnssec maintain;
        //inline-signing yes;
        ...
};

Toen ik wat dingen aan het opruimen was, Vond ik een paar stukken papier met daarop informatie hoe je SIP_SPOOF kan gebruiken bij een SpeedTouch modem. Voor historische redenen zet ik de tekst hieronder neer. Een aantal regels missen het eind van de regel omdat dit niet uitgeprint was.

SIP_SPOOF

ADSL van KPN (voorheen MXstream) zonder PPTP, DHCP en NAT, naar een tip van Tijs van Dam. SIP_SPOOF is een methode om SpeedTouch/Thomson ADSL modems te configureren. Het werkt alleen voor providers die PPPoA doen (ADSL van KPN en PowerADSL van XS4ALL). Het voordeel van deze methode is dat je geen PPP, PPTP en/of DHCP nodig hebt op je PC/router, terwijl die PC/router wel het externe ADSL IP krijgt. Het verschil met de gewone configuratie is het volgende: normaal krijgt de PPP interface van de modem het externe ADSL IP. Het gevolg hiervan is dat packets voor dat IP niet eenvoudig naar buiten willen routeren - dat lukt alleen met een ’truuk’ als NAT, of een tunnel (PPTP). Packets bestemd voor het externe ADSL IP worden als het ware ‘opgegeten’ door de modem’s PPP interface. Met SIP_SPOOF daarentegen krijgt de modem’s PPP interface niet het externe ADSL IP, maar 1.2.3.4 of helemaal geen IP (unnumbered). Nu kunnen packets bestemd voor het externe ADSL IP op een eenvoudige manier naar buiten gerouteerd worden, waardoor alle packets bestemd voor het externe ADSL IP naar je PC/router worden doorgestuurd. De ethernet kaart in die PC/router moet dan wel het externe ADSL IP toegewezen worden. Zo werkt SIP_SPOOF. Dit wordt door de SIP_SPOOF configuratie en de netwerkkaart instelling van je PC/router geregeld. Er zijn vijf SIP_SPOOF smaken:

Why using DMARC?

To be able to report DKIM or SPF errors to domain owners, RFC7489 has been written. Since I wanted to report these errors and prevent from spam reaching me, I decided to install OpenDMARC on my CentOS 7 system.

Why?

When I was using flatpress, there was a possibility to leave comments. But since hugo generates a static website, it does not support comments. But there is isso, which adds comments to a static site like hugo.

Untagged port seems broken

I bought a netgear prosafe GS108T switch to start using VLAN’s in my network. But when I tested the device, it seemed to me that it would not work when a port was set as untagged (or access port as it is called in some devices).

Even though a port is set to be untagged in a certain VLAN the netgear switch will treat the traffic as if it is received from that VLAN. In my opinion this is strange, because other switches I used, worked that way.