Well the zone doesn't use TSIG so I removed that part of the config and that has done the trick.<div><br></div><div>Thanks for pointing out my error :)</div><div><br></div><div>Brett</div><div><br></div><div><br><br><div class="gmail_quote">
On Fri, Nov 6, 2009 at 1:19 PM, Matthijs Mekking <span dir="ltr"><<a href="mailto:matthijs@nlnetlabs.nl">matthijs@nlnetlabs.nl</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex;">
-----BEGIN PGP SIGNED MESSAGE-----<br>
Hash: SHA1<br>
<br>
Hi,<br>
<br>
Is the TSIG name/algorithm/secret in the zonefetch.xml correct?<br>
<br>
Best regards,<br>
<br>
Matthijs<br>
<div class="im"><br>
B C wrote:<br>
> So I changed my config file to read:<br>
><br>
> <NotifyListen><IPv4>213.248.208.95</IPv4><Port>53</Port></NotifyListen><br>
><br>
> Nov  6 13:06:20 test-signer1 ods-signerd: Run command:<br>
> '/usr/libexec/opendnssec/zone_fetcher -c /etc/opendnssec/zonefetch.xml<br>
> -z /etc/opendnssec/zonelist.xml -d -f local0'<br>
> Nov  6 13:06:21 OpenDNSSEC signer engine: zone fetcher started<br>
> Nov  6 13:06:21 OpenDNSSEC signer engine: zone fetcher AXFR for uk failed<br>
><br>
> The zonefetcher is now running but is not fetching the zone<br>
><br>
> I see the following when a notify arrives:<br>
><br>
> Nov  6 13:09:20 OpenDNSSEC signer engine: zone fetcher received NOTIFY<br>
> for zone uk<br>
> Nov  6 13:09:20 OpenDNSSEC signer engine: zone fetcher AXFR for uk failed<br>
><br>
> Brett<br>
><br>
</div>> 2009/11/6 Antti Ristimäki <<a href="mailto:aristima@csc.fi">aristima@csc.fi</a> <mailto:<a href="mailto:aristima@csc.fi">aristima@csc.fi</a>>><br>
<div class="im">><br>
>     Hi,<br>
><br>
>     I had previously also some problems with zone fetcher. Now I have<br>
>     explicitly configured the interface, on which the zone fetcher should<br>
>     listen for notify messages. This can be done by adding the <IPv4><br>
>     statement between the <NotifyListen> statements. For example:<br>
><br>
>     <NotifyListen><IPv4>a.b.c.d</IPv4><Port>53</Port></NotifyListen><br>
><br>
>     Could it be possible that you have a name server instance running on<br>
>     port 53? That might be the reason why zone fetcher fails to bind the<br>
>     interface.<br>
><br>
>     Regards,<br>
>     Antti<br>
><br>
>     On Fri, 2009-11-06 at 14:38 +0200, B C wrote:<br>
>     > Today is the first day that I've tried to use zonefetcher so it<br>
>     could be something I am doing wrong :)<br>
>     ><br>
>     > I have this in my config:<br>
>     ><br>
>     > <?xml version="1.0" encoding="UTF-8"?><br>
>     ><br>
>     > <!-- $Id: <a href="http://zonefetch.xml.in" target="_blank">zonefetch.xml.in</a><br>
</div>>     <<a href="http://zonefetch.xml.in" target="_blank">http://zonefetch.xml.in</a>><<a href="http://zonefetch.xml.in" target="_blank">http://zonefetch.xml.in</a>> 1920 2009-09-30<br>
<div class="im">>     07:49:39Z matthijs $ --><br>
>     ><br>
>     > <ZoneFetch><br>
>     >         <!-- where to listen for notifies --><br>
>     >         <!-- DEFAULT: do not listen to notify on specific address --><br>
>     >         <NotifyListen><Port>53</Port></NotifyListen><br>
>     ><br>
>     >         <!-- default inbound AXFR settings<br>
>     >              (per zone setting not yet implemented) --><br>
>     >         <Default><br>
>     >                 <!-- TSIG secret for inbound AXFR --><br>
>     >                 <!-- DEFAULT: don't use TSIG --><br>
>     >                 <TSIG><br>
>     >                         <Name><a href="http://secret.example.com" target="_blank">secret.example.com</a><br>
</div>>     <<a href="http://secret.example.com" target="_blank">http://secret.example.com</a>><<a href="http://secret.example.com" target="_blank">http://secret.example.com</a>>.</Name><br>
<div><div></div><div class="h5">>     ><br>
>     >                         <!--<br>
>     <a href="http://www.iana.org/assignments/tsig-algorithm-names" target="_blank">http://www.iana.org/assignments/tsig-algorithm-names</a> --><br>
>     >                         <Algorithm>hmac-sha256</Algorithm><br>
>     ><br>
>     >                         <!-- base64 encoded secret --><br>
>     ><br>
>     <Secret>sw0nMPCswVbes1tmQTm1pcMmpNRK+oGMYN+qKNR/BwQ=</Secret><br>
>     >                 </TSIG><br>
>     ><br>
>     >                 <!-- address of host to request AXFR from --><br>
>     >                 <!-- incoming NOTIFY has to match this address as<br>
>     well --><br>
>     >                 <!-- DEFAULT: none --><br>
>     >                 <RequestTransfer><br>
>     >                         <IPv4>213.248.208.91</IPv4><Port>53</Port><br>
>     >                 </RequestTransfer><br>
>     >         </Default><br>
>     > </ZoneFetch><br>
>     ><br>
>     ><br>
>     > There is nothing using port53 on this box but when I run ods-start<br>
>     I see the following in the error log:<br>
>     ><br>
>     > Nov  6 12:34:30 test-signer1 ods-signerd: Run command:<br>
>     '/usr/libexec/opendnssec/zone_fetcher -c<br>
>     /etc/opendnssec/zonefetch.xml -z /etc/opendnssec/zonelist.xml -d -f<br>
>     local0'<br>
>     > Nov  6 12:34:30 OpenDNSSEC signer engine: zone fetcher started<br>
>     > Nov  6 12:34:30 OpenDNSSEC signer engine: zone fetcher AXFR for uk<br>
>     failed<br>
>     > Nov  6 12:34:30 OpenDNSSEC signer engine: zone fetcher can't bind<br>
>     UDP socket: Address already in use<br>
>     > Nov  6 12:34:30 OpenDNSSEC signer engine: zone fetcher failed to<br>
>     initialize sockets<br>
>     > Nov  6 12:34:30 OpenDNSSEC signer engine: zone fetcher exiting...<br>
>     ><br>
>     > After this I do see:<br>
>     ><br>
>     > -rw-r--r-- 1 root root 0 Nov  6 12:34 uk.axfr.29621<br>
>     ><br>
>     > in<br>
>     ><br>
>     > /var/opendnssec/unsigned/<br>
>     ><br>
>     ><br>
>     > If I do a dig @<a href="http://213.248.208.91" target="_blank">213.248.208.91</a><br>
</div></div>>     <<a href="http://213.248.208.91" target="_blank">http://213.248.208.91</a>><<a href="http://213.248.208.91" target="_blank">http://213.248.208.91</a>> uk axfr all is fine<br>
<div class="im">>     ><br>
>     ><br>
>     > Did i miss something or is there a bug here?<br>
>     ><br>
>     ><br>
>     > Brett<br>
><br>
><br>
><br>
><br>
</div>> ------------------------------------------------------------------------<br>
><br>
> _______________________________________________<br>
> Opendnssec-user mailing list<br>
> <a href="mailto:Opendnssec-user@lists.opendnssec.org">Opendnssec-user@lists.opendnssec.org</a><br>
> <a href="https://lists.opendnssec.org/mailman/listinfo/opendnssec-user" target="_blank">https://lists.opendnssec.org/mailman/listinfo/opendnssec-user</a><br>
<br>
-----BEGIN PGP SIGNATURE-----<br>
Version: GnuPG v1.4.9 (GNU/Linux)<br>
Comment: Using GnuPG with Mozilla - <a href="http://enigmail.mozdev.org" target="_blank">http://enigmail.mozdev.org</a><br>
<br>
iQEcBAEBAgAGBQJK9CJgAAoJEA8yVCPsQCW5StoH/2xnduQiYchh3EY8Arovq6Du<br>
glRTFktvjU3gwT6HPgmGGcLuWXLvovxpf+ENU+Km8LmOWpiACvLLAarin8Uyvpzg<br>
1vavzmXusr6X46wQilFt9c24kyPHm06cTqgHN5VnpzEdgleLOAbHXYrNF/fv+has<br>
eUZQJUqVy986s8MAjfpPvMFBVKJ+fqHBknUUfzY40xURC9pv3F1IVzq/NjVitoev<br>
cWWAWn9wmaXinEAO44z9roKhRkFsgoUo27fSNHtQriUiVpYQ/RjwA1KkgW7vkqQo<br>
CTdeFFuvIPDrWXy1Tyafx/V5oDqHGPGNfbbHpR3iuU5llAYocv95fErZAsM/ApM=<br>
=0SHY<br>
-----END PGP SIGNATURE-----<br>
</blockquote></div><br></div>