Bonjour à tous

Je tente de créer une délégation de zone DNS avec Bind9 et je rencontre un petit souci.
Mes 2 serveurs n'arrivent à dialoguer que si je met l'option dnssec-validation=no sur le second.
Je trouve pas ça top et je n'arrive pas à trouver comment sécurisez cette communication. Tout les tuto que j'ai tester plante.

je suis sur Debian 9 et la dernière version de bind9.
mon domaine parent est exemple.lan géré par dns1 (192.168.10.240/24) et mon sous-domaine sous.exemple.lan géré par dns2 (192.168.10.241/24)

DNS1:
named.conf.options
Code : Sélectionner tout - Visualiser dans une fenêtre à part
1
2
3
4
5
6
7
 
...
forwarders {
8.8.8.8;
}
....
dnssec-validation=auto;
named.conf.local
Code : Sélectionner tout - Visualiser dans une fenêtre à part
1
2
3
4
5
6
7
8
9
10
 
zone "exemple.lan" {
type master;
file "db.exemple.lan";
allow-update{none;};
};
 
zone "10.168.192.in-addr.arpa" {
....
};
db.exemple.lan
Code : Sélectionner tout - Visualiser dans une fenêtre à part
1
2
3
4
5
6
7
8
9
10
11
 
@ IN SOA exemple.lan. root.exemple.lan. (
...
);
@                                IN     NS    dns1.exemple.lan.
sous.exemple.lan.           IN     NS    dns2.sous.exemple.lan.
 
dns1                            IN      A     192.168.10.240
dns2.sous.exemple.lan     IN      A     192.168.10.241
 
www                            IN      CNAME  dns1
je vous montre pas la zone revers, elle a peu d’intérêt je pense.

DNS2:
named.conf.options
Code : Sélectionner tout - Visualiser dans une fenêtre à part
1
2
3
4
5
6
7
 
...
forwarders {
192.168.10.240;
};
....
dnssec-validation=auto;
named.conf.local
Code : Sélectionner tout - Visualiser dans une fenêtre à part
1
2
3
4
5
6
 
zone "sous.exemple.lan" {
type master;
file "db.sous.exemple.lan";
allow-update{none;};
};
db.sous.exemple.lan:
Code : Sélectionner tout - Visualiser dans une fenêtre à part
1
2
3
4
5
6
 
...
 
@ IN NS dns2.sous.exemple.lan.
 
dns2 IN A 192.168.10.241
Code : Sélectionner tout - Visualiser dans une fenêtre à part
1
2
3
 
root@dns2:~# nslookup dns1.exemple.lan
** server can't find dns1.exemple.lan: NXDOMAIN
et le syslog:
Code : Sélectionner tout - Visualiser dans une fenêtre à part
1
2
3
 
validating exemple.lan/SOA: got insecure response; parent indicates it should be secure
no valid RRSIG resolving 'dns1.exemple.lan/DS/IN': 192.168.10.240#53
je voie bien que c'est un problème de clés, mais j'arrive pas à trouver un tuto correcte.
Quelqu'un pourrait-il m'aiguiller ?