Re: [swinog] swinog Digest, Vol 65, Issue 13

2010-06-16 Diskussionsfäden shibu shibu 

Check on VOl 45 issue 13
 
> From: swinog-requ...@lists.swinog.ch
> Subject: swinog Digest, Vol 65, Issue 13
> To: swinog@lists.swinog.ch
> Date: Wed, 16 Jun 2010 12:00:01 +0200
> 
> Send swinog mailing list submissions to
> swinog@lists.swinog.ch
> 
> To subscribe or unsubscribe via the World Wide Web, visit
> http://lists.swinog.ch/cgi-bin/mailman/listinfo/swinog
> or, via email, send a message with subject or body 'help' to
> swinog-requ...@lists.swinog.ch
> 
> You can reach the person managing the list at
> swinog-ow...@lists.swinog.ch
> 
> When replying, please edit your Subject line so it is more specific
> than "Re: Contents of swinog digest..."
> 
> 
> Today's Topics:
> 
> 1. Re: www.eda.admin.ch down? (Peter Keel)
> 2. Probleme mit Resolving nic.ch (Klaus Ethgen)
> 3. Re: Probleme mit Resolving nic.ch (Pim van Pelt)
> 4. Re: Probleme mit Resolving nic.ch (Steven Glogger)
> 5. Re: Probleme mit Resolving nic.ch (Beat Siegenthaler)
> 
> 
> --
> 
> Message: 1
> Date: Wed, 16 Jun 2010 07:01:04 +0200
> From: Peter Keel 
> Subject: Re: [swinog] www.eda.admin.ch down?
> To: swi...@swinog.ch
> Message-ID: <20100616050104.gb24...@discordia.ch>
> Content-Type: text/plain; charset=iso-8859-1
> 
> * on the Wed, Jun 16, 2010 at 02:11:30AM +0200, Linus Wegmann wrote:
> > I understand now about the ICMP blocking... i guess it's because they 
> > wanna protect from DoS attacks (or other frauds)
> 
> Actually, it's because they don't understand IP. 
> http://www.phildev.net/mss/mss-talk.pdf
> 
> Cheers
> Seegras
> -- 
> "Those who give up essential liberties for temporary safety deserve 
> neither liberty nor safety." -- Benjamin Franklin
> "It's also true that those who would give up privacy for security are 
> likely to end up with neither." -- Bruce Schneier
> 
> 
> 
> --
> 
> Message: 2
> Date: Wed, 16 Jun 2010 09:22:41 +0100
> From: Klaus Ethgen 
> Subject: [swinog] Probleme mit Resolving nic.ch
> To: swi...@swinog.ch
> Message-ID: <20100616082241.ga15...@tha.ethgen.de>
> Content-Type: text/plain; charset=iso-8859-1; x-action=pgp-signed
> 
> -BEGIN PGP SIGNED MESSAGE-
> Hash: SHA1
> 
> Hi,
> 
> ich habe seit einiger Zeit auf allen meinen Nameservern Probleme, die
> komplette Zone nic.ch zu resolven. Diese Probleme beschr?nken sich
> ausschlie?lich auf nic.ch, mir ist keine andere Zone aufgefallen, die
> Probleme macht. Vermutlich treten die Probleme seit September 2009, also
> mit Umstellung auf DNSSec, auf. (Ich kann es leider nicht hundertprozent
> genau datieren.)
> 
> Nach einigen Debuggingschritten bin ich etwas ratlos. Meine Firewall
> l??t in beiden F?llen (bei jeweils auch einem komplett anderen Provider)
> alles durch, was Port 53 anbelangt. Auch ein Ausschalten der Firewall
> bringt die selben ergebnisse. Auch ein Test mit verschiedenen anderen
> DNSSec-Domainen, auch solchen, die gro? sind und somit fragmentiert
> werden (sollten, meine MTU ist 1500), stellen keine Probleme dar. Ein
> tcpdump zeigt aber recht schnell, da? von den UDP-Paketen von nic.ch
> immer nur das erste ankommt und alle weiteren nicht auf meinem
> Netzwerkinterface aufschlagen.
> 
> Nun meine Frage: Hat oder hatte jemand von euch schon ?hnliche Probleme
> und wie wurden sie behoben? Wenn es sich bei nic.ch um eine unwichtige
> Domain handeln w?rde, w?re es mir ja egal, aber sie ist ja doch nicht
> ganz so unwichtig.
> 
> Gru?
> Klaus Ethgen
> - -- 
> Klaus Ethgen http://www.ethgen.de/
> pub 2048R/D1A4EDE5 2000-02-26 Klaus Ethgen 
> Fingerprint: D7 67 71 C4 99 A6 D4 FE EA 40 30 57 3C 88 26 2B
> -BEGIN PGP SIGNATURE-
> Version: GnuPG v1.4.10 (GNU/Linux)
> 
> iQEVAwUBTBiJ0Z+OKpjRpO3lAQKt6gf/W9+ftdXlrmK8jaW1zgGEhZvu0oOm/tpl
> Wq+7u3GhlA08lIFSNeZxYQrs2Fea4rDVHQkxQvAHZogwvmIqNm7DemgnB1REKUD+
> gUI4OPtE29npnUdKEUUSLm/XsL8bSpbKX1ESTAx44uWegVS5LDHy+1lnjOfF29In
> L91VUroTvfbu5Odm5/82sR7UrYMbJeR2X/3oEtONbFR8xXOW4Eguxx1eOszUS7DQ
> BFN+AT6+A3g+ECn1WDCvrposYIC3YLu3V1qLSY5RzoDmuGxonbJv6zRCrTODp/9i
> KATfUPQvvVdh6FFwc4WA7pSYZHmTnl6+YFWk7lIhU5F1pGBHbSiYtA==
> =DVDj
> -END PGP SIGNATURE-
> 
> 
> 
> --
> 
> Message: 3
> Date: Wed, 16 Jun 2010 10:39:24 +0200
> From: Pim van Pelt 
> Subject: Re: [swinog] Probleme mit Resolving nic.ch
> To: Klaus Ethgen 
> Cc: swi...@swinog.ch
> Message-ID:
> 
> Content-Type: text/plain; charset="iso-8859-1"
> 
> Does your firewall also allow egress tcp sessions on port 53?
> Can you run tcpdump

Re: [swinog] Probleme mit Resolving nic.ch

2010-06-16 Diskussionsfäden Beat Siegenthaler 
On 16.06.10 10:22, Klaus Ethgen wrote:

Maybe You want try this for debugging...

https://www.dns-oarc.net/oarc/services/replysizetest

Beat



___
swinog mailing list
swinog@lists.swinog.ch
http://lists.swinog.ch/cgi-bin/mailman/listinfo/swinog

Re: [swinog] Probleme mit Resolving nic.ch

2010-06-16 Diskussionsfäden Steven Glogger 

DNSSEC issue?
TCP port 53 erlaubt?
Firewall Inspection bug? (does your fw knows about DNSSec packets?)

-steven

Klaus Ethgen wrote:

Hi,

ich habe seit einiger Zeit auf allen meinen Nameservern Probleme, die
komplette Zone nic.ch zu resolven. Diese Probleme beschränken sich
ausschließlich auf nic.ch, mir ist keine andere Zone aufgefallen, die
Probleme macht. Vermutlich treten die Probleme seit September 2009, also
mit Umstellung auf DNSSec, auf. (Ich kann es leider nicht hundertprozent
genau datieren.)

Nach einigen Debuggingschritten bin ich etwas ratlos. Meine Firewall
läßt in beiden Fällen (bei jeweils auch einem komplett anderen Provider)
alles durch, was Port 53 anbelangt. Auch ein Ausschalten der Firewall
bringt die selben ergebnisse. Auch ein Test mit verschiedenen anderen
DNSSec-Domainen, auch solchen, die groß sind und somit fragmentiert
werden (sollten, meine MTU ist 1500), stellen keine Probleme dar. Ein
tcpdump zeigt aber recht schnell, daß von den UDP-Paketen von nic.ch
immer nur das erste ankommt und alle weiteren nicht auf meinem
Netzwerkinterface aufschlagen.

Nun meine Frage: Hat oder hatte jemand von euch schon ähnliche Probleme
und wie wurden sie behoben? Wenn es sich bei nic.ch um eine unwichtige
Domain handeln würde, wäre es mir ja egal, aber sie ist ja doch nicht
ganz so unwichtig.

Gruß
   Klaus Ethgen


___
swinog mailing list
swinog@lists.swinog.ch
http://lists.swinog.ch/cgi-bin/mailman/listinfo/swinog



___
swinog mailing list
swinog@lists.swinog.ch
http://lists.swinog.ch/cgi-bin/mailman/listinfo/swinog

Re: [swinog] Probleme mit Resolving nic.ch

2010-06-16 Diskussionsfäden Pim van Pelt 
Does your firewall also allow egress tcp sessions on port 53?
Can you run tcpdump while trying to resolve? And what address(es)
specifically fail for you?

___
swinog mailing list
swinog@lists.swinog.ch
http://lists.swinog.ch/cgi-bin/mailman/listinfo/swinog

[swinog] Probleme mit Resolving nic.ch

2010-06-16 Diskussionsfäden Klaus Ethgen 
-BEGIN PGP SIGNED MESSAGE-
Hash: SHA1

Hi,

ich habe seit einiger Zeit auf allen meinen Nameservern Probleme, die
komplette Zone nic.ch zu resolven. Diese Probleme beschränken sich
ausschließlich auf nic.ch, mir ist keine andere Zone aufgefallen, die
Probleme macht. Vermutlich treten die Probleme seit September 2009, also
mit Umstellung auf DNSSec, auf. (Ich kann es leider nicht hundertprozent
genau datieren.)

Nach einigen Debuggingschritten bin ich etwas ratlos. Meine Firewall
läßt in beiden Fällen (bei jeweils auch einem komplett anderen Provider)
alles durch, was Port 53 anbelangt. Auch ein Ausschalten der Firewall
bringt die selben ergebnisse. Auch ein Test mit verschiedenen anderen
DNSSec-Domainen, auch solchen, die groß sind und somit fragmentiert
werden (sollten, meine MTU ist 1500), stellen keine Probleme dar. Ein
tcpdump zeigt aber recht schnell, daß von den UDP-Paketen von nic.ch
immer nur das erste ankommt und alle weiteren nicht auf meinem
Netzwerkinterface aufschlagen.

Nun meine Frage: Hat oder hatte jemand von euch schon ähnliche Probleme
und wie wurden sie behoben? Wenn es sich bei nic.ch um eine unwichtige
Domain handeln würde, wäre es mir ja egal, aber sie ist ja doch nicht
ganz so unwichtig.

Gruß
   Klaus Ethgen
- -- 
Klaus Ethgenhttp://www.ethgen.de/
pub  2048R/D1A4EDE5 2000-02-26 Klaus Ethgen 
Fingerprint: D7 67 71 C4 99 A6 D4 FE  EA 40 30 57 3C 88 26 2B
-BEGIN PGP SIGNATURE-
Version: GnuPG v1.4.10 (GNU/Linux)

iQEVAwUBTBiJ0Z+OKpjRpO3lAQKt6gf/W9+ftdXlrmK8jaW1zgGEhZvu0oOm/tpl
Wq+7u3GhlA08lIFSNeZxYQrs2Fea4rDVHQkxQvAHZogwvmIqNm7DemgnB1REKUD+
gUI4OPtE29npnUdKEUUSLm/XsL8bSpbKX1ESTAx44uWegVS5LDHy+1lnjOfF29In
L91VUroTvfbu5Odm5/82sR7UrYMbJeR2X/3oEtONbFR8xXOW4Eguxx1eOszUS7DQ
BFN+AT6+A3g+ECn1WDCvrposYIC3YLu3V1qLSY5RzoDmuGxonbJv6zRCrTODp/9i
KATfUPQvvVdh6FFwc4WA7pSYZHmTnl6+YFWk7lIhU5F1pGBHbSiYtA==
=DVDj
-END PGP SIGNATURE-


___
swinog mailing list
swinog@lists.swinog.ch
http://lists.swinog.ch/cgi-bin/mailman/listinfo/swinog