Re: [swinog] Probleme mit Resolving nic.ch - Aufl ösung
-BEGIN PGP SIGNED MESSAGE- Hash: SHA512 Hi, mittlerweile ist das Problem mit tatkräftiger Hilfe von Alexander gelöst. Das Problem war, daß Switch recht zeitnah letztes Jahr kurz vor der Einführung von dnssec auch noch eine andere Änderung gemacht hatte, die mit der vor Jahren nötig gewordenen Option root-delegation-only kollidierte, wo ich ch nicht in der Ausnahme drin hatte (was auch bisher nicht notwendig war). Sollte also noch wer außer mir diese Option verwenden, müßte ch in die Liste der Ausnahmen aufgenommen werden. Das Problem hatte nichts mit DNSSEC als solches zu tun, äußerte sich nur so. Gruß Klaus - -- Klaus Ethgenhttp://www.ethgen.de/ pub 2048R/D1A4EDE5 2000-02-26 Klaus Ethgen kl...@ethgen.de Fingerprint: D7 67 71 C4 99 A6 D4 FE EA 40 30 57 3C 88 26 2B -BEGIN PGP SIGNATURE- Version: GnuPG v1.4.10 (GNU/Linux) iQEVAwUBTITD9J+OKpjRpO3lAQqeOwf9G9Uj5//sip9YwOyBNzYGV0TPocuT/UML BIQsBzGHWodu6QMh7v8Q/HTGYTd9SrCsmLiQ74+HGcoYnjCvSlnYRvcKeCq6Hm7Y zJwe+e6yWvFYG2N1kKi9t9/T2bs1XbrwAuwlx11tqUxH4eb/0mSC5RnzpdT+N5Zr FPhg5MOGIRi5nNl4n19DRx+q239p/OCzYhySatw/JqqcaFZlqcbg0HdV8BfBhLhD gV1MsktUUdEKhDXSIW6T+fRWyFawRXhYof89TFSZoGcdyG2EA661rhs/pgB1qYjG D8rnwbcw089ru9gqEFhS52+XXjuuUh0D1wH/jxMJZvk/wv5KyQ/UbQ== =ZA2c -END PGP SIGNATURE- ___ swinog mailing list swinog@lists.swinog.ch http://lists.swinog.ch/cgi-bin/mailman/listinfo/swinog
Re: [swinog] Probleme mit Resolving nic.ch
You might want to search for layer 2 problems such as MTU problems e.g. imagine Jumbo Frames on a network, where one switch/router doesn't support them. I once had a lng headache because of such a silly misconfiguration... Cheers, Viktor On 06.07.2010 11:13, Klaus Ethgen wrote: -BEGIN PGP SIGNED MESSAGE- Hash: SHA512 Hi, langsam zeigt das Problem seine Facetten und fängt an, haarig zu werden. Ich habe nun weiter an dem Problem gefeilt, aber einen Namensauflösung von nic.ch bekomme ich nicht hin. Bisher hatte ich übersehen, daß auf einem meiner zwei betroffenen Systeme wirklich die Firewall das Problem ist, obwohl ich hätte schwören können, das ich dies geprüft hatte. Wie auch immer, mein zweites System, das bei hetzner, hat keine Probleme mit fragmentierten (UDP-)Paketen. Dort ist also dieses Problem schonmal auszuschließen. (dig +norec +dnssec nic.ch @130.59.1.80 geht) Wie auch immer, der verdammte bind weigert sich jedoch beharrlich, die Zone auch nur ansatzweise aufzulösen! Witzigerweise sehe ich, wenn ich die Auflösung über bind mache, nur jeweils ein fragmentiertes Paket im tcpdump während ich bei dig das vollständige Paket sehe. Bind habe ich nun auch auf eine aktuellere Version upgedated, nachdem ich Hinweise bekommen habe, daß möglicherweise die Version 9.3 nen Problem haben könnte. Aber auch das hat nix geholfen. Leider kann ich keines der beiden Systeme mal so eben schnell auf nen unstablen 2.6'er Kernel updaten um zu sehen, ob es am Kernel liegt. Aber ich kann mir nicht vorstellen, das der Kernel 2.4 Probleme mit Fragmentierten Paketen hätte, zumal ja die Anfragen per dig direkt oder auch per ping mit großen Paketen durchgehen. Wenn hier noch irgendwer eine Idee hat, mittlerweile würde ich fast alles probieren. Gruß Klaus - -- Klaus Ethgenhttp://www.ethgen.de/ pub 2048R/D1A4EDE5 2000-02-26 Klaus Ethgenkl...@ethgen.de Fingerprint: D7 67 71 C4 99 A6 D4 FE EA 40 30 57 3C 88 26 2B -BEGIN PGP SIGNATURE- Version: GnuPG v1.4.10 (GNU/Linux) iQEVAwUBTDOcYJ+OKpjRpO3lAQqV9ggAnFZ+VOIV1CMorEzEL4xWe8QY4vHEUony FkbiqcZiZaBKfKW93ZwWiUk4g48wnQvwe2i2Pka8chIoexC/mKiFbsFMwJ30/WNI ewzXazoTlniRiVGV7tMwsw3UtnnHjnRIJHmcGdfTXOuZa4aKtsfxeb7Z1ZKUQR82 VRJMP328D3zXx+5lhi7dqxKdDsGbVI+0UA6hi3LtuFdfUD+hrhT8easkYW3BgO5c qSpKrpXw+PhH0EBBfS7E1gqzn0W/p/DYUxUVPRv5iDCwyu/O28dbQ4yaznFswj/E 5rreMkl9WXa7u09uGcahx4Vvj83QfTmUKOxizbsfZ0aLdKUJVUmt0g== =pGdn -END PGP SIGNATURE- ___ swinog mailing list swinog@lists.swinog.ch http://lists.swinog.ch/cgi-bin/mailman/listinfo/swinog ___ swinog mailing list swinog@lists.swinog.ch http://lists.swinog.ch/cgi-bin/mailman/listinfo/swinog
[swinog] Probleme mit Resolving nic.ch
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Hi, ich habe seit einiger Zeit auf allen meinen Nameservern Probleme, die komplette Zone nic.ch zu resolven. Diese Probleme beschränken sich ausschließlich auf nic.ch, mir ist keine andere Zone aufgefallen, die Probleme macht. Vermutlich treten die Probleme seit September 2009, also mit Umstellung auf DNSSec, auf. (Ich kann es leider nicht hundertprozent genau datieren.) Nach einigen Debuggingschritten bin ich etwas ratlos. Meine Firewall läßt in beiden Fällen (bei jeweils auch einem komplett anderen Provider) alles durch, was Port 53 anbelangt. Auch ein Ausschalten der Firewall bringt die selben ergebnisse. Auch ein Test mit verschiedenen anderen DNSSec-Domainen, auch solchen, die groß sind und somit fragmentiert werden (sollten, meine MTU ist 1500), stellen keine Probleme dar. Ein tcpdump zeigt aber recht schnell, daß von den UDP-Paketen von nic.ch immer nur das erste ankommt und alle weiteren nicht auf meinem Netzwerkinterface aufschlagen. Nun meine Frage: Hat oder hatte jemand von euch schon ähnliche Probleme und wie wurden sie behoben? Wenn es sich bei nic.ch um eine unwichtige Domain handeln würde, wäre es mir ja egal, aber sie ist ja doch nicht ganz so unwichtig. Gruß Klaus Ethgen - -- Klaus Ethgenhttp://www.ethgen.de/ pub 2048R/D1A4EDE5 2000-02-26 Klaus Ethgen kl...@ethgen.de Fingerprint: D7 67 71 C4 99 A6 D4 FE EA 40 30 57 3C 88 26 2B -BEGIN PGP SIGNATURE- Version: GnuPG v1.4.10 (GNU/Linux) iQEVAwUBTBiJ0Z+OKpjRpO3lAQKt6gf/W9+ftdXlrmK8jaW1zgGEhZvu0oOm/tpl Wq+7u3GhlA08lIFSNeZxYQrs2Fea4rDVHQkxQvAHZogwvmIqNm7DemgnB1REKUD+ gUI4OPtE29npnUdKEUUSLm/XsL8bSpbKX1ESTAx44uWegVS5LDHy+1lnjOfF29In L91VUroTvfbu5Odm5/82sR7UrYMbJeR2X/3oEtONbFR8xXOW4Eguxx1eOszUS7DQ BFN+AT6+A3g+ECn1WDCvrposYIC3YLu3V1qLSY5RzoDmuGxonbJv6zRCrTODp/9i KATfUPQvvVdh6FFwc4WA7pSYZHmTnl6+YFWk7lIhU5F1pGBHbSiYtA== =DVDj -END PGP SIGNATURE- ___ swinog mailing list swinog@lists.swinog.ch http://lists.swinog.ch/cgi-bin/mailman/listinfo/swinog
Re: [swinog] Probleme mit Resolving nic.ch
Does your firewall also allow egress tcp sessions on port 53? Can you run tcpdump while trying to resolve? And what address(es) specifically fail for you? ___ swinog mailing list swinog@lists.swinog.ch http://lists.swinog.ch/cgi-bin/mailman/listinfo/swinog
Re: [swinog] Probleme mit Resolving nic.ch
DNSSEC issue? TCP port 53 erlaubt? Firewall Inspection bug? (does your fw knows about DNSSec packets?) -steven Klaus Ethgen wrote: Hi, ich habe seit einiger Zeit auf allen meinen Nameservern Probleme, die komplette Zone nic.ch zu resolven. Diese Probleme beschränken sich ausschließlich auf nic.ch, mir ist keine andere Zone aufgefallen, die Probleme macht. Vermutlich treten die Probleme seit September 2009, also mit Umstellung auf DNSSec, auf. (Ich kann es leider nicht hundertprozent genau datieren.) Nach einigen Debuggingschritten bin ich etwas ratlos. Meine Firewall läßt in beiden Fällen (bei jeweils auch einem komplett anderen Provider) alles durch, was Port 53 anbelangt. Auch ein Ausschalten der Firewall bringt die selben ergebnisse. Auch ein Test mit verschiedenen anderen DNSSec-Domainen, auch solchen, die groß sind und somit fragmentiert werden (sollten, meine MTU ist 1500), stellen keine Probleme dar. Ein tcpdump zeigt aber recht schnell, daß von den UDP-Paketen von nic.ch immer nur das erste ankommt und alle weiteren nicht auf meinem Netzwerkinterface aufschlagen. Nun meine Frage: Hat oder hatte jemand von euch schon ähnliche Probleme und wie wurden sie behoben? Wenn es sich bei nic.ch um eine unwichtige Domain handeln würde, wäre es mir ja egal, aber sie ist ja doch nicht ganz so unwichtig. Gruß Klaus Ethgen ___ swinog mailing list swinog@lists.swinog.ch http://lists.swinog.ch/cgi-bin/mailman/listinfo/swinog ___ swinog mailing list swinog@lists.swinog.ch http://lists.swinog.ch/cgi-bin/mailman/listinfo/swinog
Re: [swinog] Probleme mit Resolving nic.ch
On 16.06.10 10:22, Klaus Ethgen wrote: Maybe You want try this for debugging... https://www.dns-oarc.net/oarc/services/replysizetest Beat ___ swinog mailing list swinog@lists.swinog.ch http://lists.swinog.ch/cgi-bin/mailman/listinfo/swinog
