<div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Thu, Apr 18, 2019 at 10:39 AM Jackson Yap <<a href="mailto:jackson@apc.sg">jackson@apc.sg</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div lang="EN-SG"><div class="gmail-m_-3144312089830267544WordSection1"><p class="MsoNormal"><span></span></p><p class="MsoNormal"><span>Yes, I’m trying to do AXFR of DNSSEC zones from source powerdns (cpanel) to another powerdns server.</span></p><p class="MsoNormal"><span> </span></p><ol style="margin-top:0cm" start="1" type="1"><li class="gmail-m_-3144312089830267544MsoListParagraph" style="margin-left:0cm">Do you mean I just need it secured at source server that’s all?</li><li class="gmail-m_-3144312089830267544MsoListParagraph" style="margin-left:0cm">I’m using notify to send the DNSSEC zones to the destination powerdns server. Is there still need to set presigned on the destination powerdns server?</li></ol></div></div></blockquote><div>It should all be automatic, really, as per [1]. Does your backend support storing metadata? For example, if you use the BIND backend on the destination server, this requires you to set a SQLite DNSSEC database as per [2].</div><div>(I suggested to run `pdnsutil set-presigned`, because it has shown me helpful errors when I forgot to correctly configure the backend and also I am not sure if it autodetects DNSSEC on zones that were not secured before.)<br></div><div> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div lang="EN-SG"><div class="gmail-m_-3144312089830267544WordSection1"><ol style="margin-top:0cm" start="1" type="1"><li class="gmail-m_-3144312089830267544MsoListParagraph" style="margin-left:0cm">Cpanel mentioned there seems to be narrow mode on powerdns at their end which prevent the zone transfer of DNSSEC. I am trying to confirm that with them.</li></ol></div></div></blockquote><div>NSEC3 narrow mode is stopping you from AXFR'ing the domain, indeed. It cannot transfer a zone presigned in that mode by design, because it requires active interaction with the secret key to provide hashed denial of existence, as per [3]. Ask your operator of the primary site to use inclusive NSEC3 mode instead.<br></div><div><br></div><div><div>[1]: <a href="https://doc.powerdns.com/authoritative/domainmetadata.html#presigned">https://doc.powerdns.com/authoritative/domainmetadata.html#presigned</a></div><div>[2]: <a href="https://doc.powerdns.com/authoritative/backends/bind.html#bind-dnssec-db">https://doc.powerdns.com/authoritative/backends/bind.html#bind-dnssec-db</a></div></div><div>[3]: <a href="https://doc.powerdns.com/authoritative/dnssec/modes-of-operation.html#hashed-denial-of-existence">https://doc.powerdns.com/authoritative/dnssec/modes-of-operation.html#hashed-denial-of-existence</a></div><div><br></div>HTH</div></div></div></div></div>