Bonjour la liste : je suis confronté à un problème de récursion DNS que
je ne sais pas comprendre, et donc que je n'arrive pas à résoudre,
lorsque des clients de mon réseau local tentent d'accéder à
'outlook.office.com' :
$ dig @172.16.81.10 outlook.office.com
; <<>> DiG 9.11.5-P4-5.1+deb10u1-Debian <<>> @172.16.81.10
outlook.office.com
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: SERVFAIL, id: 53342
;; flags: qr rd ra; QUERY: 1, ANSWER: 6, AUTHORITY: 0, ADDITIONAL: 1
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 512
;; QUESTION SECTION:
;outlook.office.com. IN A
;; ANSWER SECTION:
outlook.office.com. 9 IN CNAME substrate.office.com.
substrate.office.com. 300 IN CNAME substrate.ms-acdc.office.com.
substrate.ms-acdc.office.com. 8 IN CNAME afd-k.office.com.
afd-k.office.com. 8 IN CNAME
outlook-office-com.k-0002.k-msedge.net.
outlook-office-com.k-0002.k-msedge.net. 188 IN CNAME
outlook.ha.office365.com.
outlook.ha.office365.com. 60 IN CNAME outlook.ms-acdc.office.com.
;; Query time: 213 msec
;; SERVER: 172.16.81.10#53(172.16.81.10)
;; WHEN: Wed Jun 24 08:10:19 CEST 2020
;; MSG SIZE rcvd: 232
On se mange un SERVFAIL la plupart du temps (mais pas tout le temps, il
y a des fois où àa arrive à passer, là non plus, je ne sais pas par quel
miracle)
Le serveur DNS en 172.16.81.10 est un PowerDNS--recursor 4.3.1, qui
tourne sur une Debian 10. Sa configuration spécifique ce résume à ces
quelques primitives:
allow-from=127.0.0.0/8, 172.16.80.0/23, ::1/128, fc00::/7, fe80::/10
api-key=uotCEgO01KQYX2W1dHXfOsmhnPgcwGOl
forward-zones-file=/etc/powerdns/forward-zones.conf
local-address=0.0.0.0
max-recursion-depth=0
J'ai rajouté le "max-recursion-depth=0" pour tenter de résoudre mon
présent problème (la limite de récursion étant par défaut de 40)
J'ai tracé coté pdns les questions-réponses générées par le dig plus
haut, ça m'a craché plus de 800 lignes de log que je ne sais pas
interpréter. J'ai collé ça sur pastiebin ici :
https://www.pastiebin.com/5ef30139ea1ee
J'ai bien compris qu'il y a moult indirections de CNAME en CNAME, je
vois bien dans les logs que pdns remonte la piste jusqu'à ce qu'il en
ait marre en ligne 809 et lache l'affaire en retournant un SERVFAIL. Le
message est clair: "but recursing too deep"
Pourtant j'ai désactivé la limite de profondeur de récursion
Pourtant si je demande aux DNS de cloudflare ou de google, eux savent
résoudre :
$ dig @1.1.1.1 outlook.office.com
; <<>> DiG 9.11.5-P4-5.1+deb10u1-Debian <<>> @1.1.1.1 outlook.office.com
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 47479
;; flags: qr rd ra; QUERY: 1, ANSWER: 10, AUTHORITY: 0, ADDITIONAL: 1
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 1452
;; QUESTION SECTION:
;outlook.office.com. IN A
;; ANSWER SECTION:
outlook.office.com. 52 IN CNAME substrate.office.com.
substrate.office.com. 292 IN CNAME substrate.ms-acdc.office.com.
substrate.ms-acdc.office.com. 52 IN CNAME afd-k.office.com.
afd-k.office.com. 52 IN CNAME
outlook-office-com.k-0002.k-msedge.net.
outlook-office-com.k-0002.k-msedge.net. 232 IN CNAME
outlook.ha.office365.com.
outlook.ha.office365.com. 52 IN CNAME outlook.ms-acdc.office.com.
outlook.ms-acdc.office.com. 52 IN CNAME CDG-efz.ms-acdc.office.com.
CDG-efz.ms-acdc.office.com. 2 IN A 52.97.233.66
CDG-efz.ms-acdc.office.com. 2 IN A 40.101.136.242
CDG-efz.ms-acdc.office.com. 2 IN A 52.97.150.2
;; Query time: 25 msec
;; SERVER: 1.1.1.1#53(1.1.1.1)
;; WHEN: Wed Jun 24 09:45:01 CEST 2020
;; MSG SIZE rcvd: 320
Alors, je me doute bien que je dois être un sombre idiot à rester planté
sur un truc praeil, mais là je suis sec, alors une âme charitable
pouvait me mettre sur la piste, je lui en serait vraiement reconnaissant :)
--
Rico
---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/
