<div dir="ltr">Hi Remi,<br><div><br>On Sun, Apr 16, 2017 at 8:42 PM, Remi Gacogne <span dir="ltr"><<a href="mailto:remi.gacogne@powerdns.com" target="_blank">remi.gacogne@powerdns.com</a>></span> wrote:<br><div class="gmail_extra"><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Hi,<br>
<span class=""><br>
On 04/16/2017 07:03 PM, Maciej Soltysiak wrote:<br>
> dnsdist doesn't serve the dnscrypt cert for me.<br>
><br>
> I set it up first with:<br>
> generateDNSCryptProviderKey("/<wbr>opt/dnscrypt/etc/<wbr>providerPublic.key",<br>
> "/opt/dnscrypt/etc/<wbr>providerPrivate.key")<br>
> generateDNSCryptCertificate("/<wbr>opt/dnscrypt/etc/<wbr>providerPrivate.key",<br>
> "/opt/dnscrypt/etc/resolver.<wbr>cert", "/run/dnscryptPrivate.key", 1,<br>
> 1492355593, 1492398793)<br>
><br>
> Then I added the bind with:<br>
</span>> addDNSCryptBind("<a href="http://0.0.0.0:443" rel="noreferrer" target="_blank">0.0.0.0:443</a> <<a href="http://0.0.0.0:443" rel="noreferrer" target="_blank">http://0.0.0.0:443</a>>",<br>
> "<a href="http://2.dnscrypt-cert.poz.dnscrypt.pl" rel="noreferrer" target="_blank">2.dnscrypt-cert.poz.dnscrypt.<wbr>pl</a><br>
> <<a href="http://2.dnscrypt-cert.poz.dnscrypt.pl" rel="noreferrer" target="_blank">http://2.dnscrypt-cert.poz.<wbr>dnscrypt.pl</a>>",<br>
<span class="">> "/opt/dnscrypt/etc/resolver.<wbr>cert", "/run/dnscryptPrivate.key")<br>
><br>
> I made sure the permissions are that _dnsdist user can read the files.<br>
><br>
> When I connect using dnscrypt-proxy with <a href="http://2.dnscrypt-cert.poz.dnscrypt.pl" rel="noreferrer" target="_blank">2.dnscrypt-cert.poz.dnscrypt.<wbr>pl</a><br>
</span>> <<a href="http://2.dnscrypt-cert.poz.dnscrypt.pl" rel="noreferrer" target="_blank">http://2.dnscrypt-cert.poz.<wbr>dnscrypt.pl</a>> as provider name, it sends the<br>
<span class="">> packet to fetch the cert but dnsdist doesn't reply.<br>
><br>
> I'd normally think this means provider name mismatch, but it's the same.<br>
<br>
</span>Even if the provider name did not match, I believe dnsdist should send a<br>
certificate response. Could you look at the output of the "dumpStats()"<br>
command to see if any counter increases? Oh, did you configure the ACL<br>
properly, because by default queries from non-rfc1918 addresses are dropped?<br></blockquote><div>You're right! It was the ACL...<br><br>Funny, I added addACL("0/0") to the config assuming it would work.<br></div><div>I was surprised to see that dnsdist wouldn't accept it and It worked when I used<br><a href="http://0.0.0.0/0">0.0.0.0/0</a><br><br></div><div>btw. dumpStats() is really cool, thanks!<br></div><div></div><div> <br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
Regards,<br>
<span class="HOEnZb"><font color="#888888"><br>
--<br>
Remi Gacogne<br>
PowerDNS.COM BV - <a href="https://www.powerdns.com/" rel="noreferrer" target="_blank">https://www.powerdns.com</a></font></span></blockquote><div>Best regards,<br>Maciej <br><br></div></div></div></div></div>