Re: [freebsd] DNS problem
15.01.2019 17:02, Mikhail Golub пишет: > > > 15.01.2019 11:48, Valentin Nechayev пишет: >>> Да, я вижу с доменом не все хорошо, >> >> А видно, в чём именно? А то я пока явных диверсий не увидел. > > Смотрел через https://intodns.com/ - удобно. > https://intodns.com/ua.energy > https://intodns.com/namebrightdns.com > >> Согласно BIND ARM есть опция resolver-query-timeout в options. >> Поднял навскидку до 30, стало резолвить ua.energy MX. >> Если у вас резолвер для клиентов, стоит таки подумать поднять её... > > Спасибо. Вот эту опцию искал и не нашел :( > Но, к сожалению, не помогло увеличение и до 60. > unbound на том же хосте резолвит. Думает долго, но резолвит. named пишет в лог: edns-disabled: info: success resolving 'ns2.namebrightdns.com/A' (in 'com'?) after reducing the advertised EDNS UDP packet size to 512 octets ___ freebsd mailing list freebsd@uafug.org.ua http://mailman.uafug.org.ua/mailman/listinfo/freebsd
Re: [freebsd] DNS problem
> On Jan 15, 2019, at 13:44, Mikhail Golub wrote: > > Может причина в этом? BIND в качестве невалидирующего рекурсивного резолвера отвечает "на ура". Ну и такой красоты я раньше не видел http://dnsviz.net/d/namebrightdns.com/dnssec/ 12 ошибок, 16 предупреждений > > # dig ns namebrightdns.com +trace +nodnssec > > namebrightdns.com. 172800 IN NS nbd1.namebrightdns.com. > namebrightdns.com. 172800 IN NS nbd2.namebrightdns.com. > ;; Received 292 bytes from 192.41.162.30#53(l.gtld-servers.net) in 62 ms > > ;; expected opt record in response > namebrightdns.com. 10800 IN NS ns1.namebrightdns.com. > namebrightdns.com. 10800 IN NS ns2.namebrightdns.com. > ;; Received 178 bytes from 52.45.98.158#53(nbd2.namebrightdns.com) in 4324 ms > > Об этом говорит и https://intodns.com/namebrightdns.com > > You should already know that your NS records at your nameservers are missing, > so here it is again: > > nbd1.namebrightdns.com. > nbd2.namebrightdns.com. > > Похоже, что да :( > > > Даже гугловский ДНС затрудняется ответить. > > # dig ns namebrightdns.com @8.8.8.8 +nodnssec > > ; <<>> DiG 9.12.3-P1 <<>> ns namebrightdns.com @8.8.8.8 +nodnssec > ;; global options: +cmd > ;; Got answer: > ;; ->>HEADER<<- opcode: QUERY, status: SERVFAIL, id: 18214 > ;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 1 > > ;; OPT PSEUDOSECTION: > ; EDNS: version: 0, flags:; udp: 512 > ;; QUESTION SECTION: > ;namebrightdns.com. IN NS > > ;; Query time: 0 msec > ;; SERVER: 8.8.8.8#53(8.8.8.8) > ;; WHEN: вт янв. 15 13:42:07 EET 2019 > ;; MSG SIZE rcvd: 46 > > > P.S. Прошу прощения что написал в эту рассылку подобный вопрос. > В след. раз будет в freebsd-beer. uanog пожалуй более уместно для таких вопросов, чем beer > > > ___ > freebsd mailing list > freebsd@uafug.org.ua > http://mailman.uafug.org.ua/mailman/listinfo/freebsd -- Taras Heichenko ta...@academ.kiev.ua ___ freebsd mailing list freebsd@uafug.org.ua http://mailman.uafug.org.ua/mailman/listinfo/freebsd
Re: [freebsd] DNS problem
Может причина в этом? # dig ns namebrightdns.com +trace +nodnssec namebrightdns.com. 172800 IN NS nbd1.namebrightdns.com. namebrightdns.com. 172800 IN NS nbd2.namebrightdns.com. ;; Received 292 bytes from 192.41.162.30#53(l.gtld-servers.net) in 62 ms ;; expected opt record in response namebrightdns.com. 10800 IN NS ns1.namebrightdns.com. namebrightdns.com. 10800 IN NS ns2.namebrightdns.com. ;; Received 178 bytes from 52.45.98.158#53(nbd2.namebrightdns.com) in 4324 ms Об этом говорит и https://intodns.com/namebrightdns.com You should already know that your NS records at your nameservers are missing, so here it is again: nbd1.namebrightdns.com. nbd2.namebrightdns.com. Похоже, что да :( Даже гугловский ДНС затрудняется ответить. # dig ns namebrightdns.com @8.8.8.8 +nodnssec ; <<>> DiG 9.12.3-P1 <<>> ns namebrightdns.com @8.8.8.8 +nodnssec ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: SERVFAIL, id: 18214 ;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 1 ;; OPT PSEUDOSECTION: ; EDNS: version: 0, flags:; udp: 512 ;; QUESTION SECTION: ;namebrightdns.com. IN NS ;; Query time: 0 msec ;; SERVER: 8.8.8.8#53(8.8.8.8) ;; WHEN: вт янв. 15 13:42:07 EET 2019 ;; MSG SIZE rcvd: 46 P.S. Прошу прощения что написал в эту рассылку подобный вопрос. В след. раз будет в freebsd-beer. ___ freebsd mailing list freebsd@uafug.org.ua http://mailman.uafug.org.ua/mailman/listinfo/freebsd
Re: [freebsd] DNS problem
Tue, Jan 15, 2019 at 12:17:35, oleg wrote about "Re: [freebsd] DNS problem": > Не видать glue records у > > namebrightdns.com. 172800 IN NS nbd1.namebrightdns.com. > namebrightdns.com. 172800 IN NS nbd2.namebrightdns.com. > > Можно догадаться что это регистратор regery.net > > Вряд ли что-то кардинально поможет. glue records как раз есть. А вот дальше интересно. Бо̀льшая часть IP nbd[12].namebrightdns.com. не отвечает. Но IP'шники для ns1, ns2 отдаются с gtld-servers.net, который ведёт и com, и net, в additional section. Дальше зависит от логики намеда, а она в этом аспекте как раз в районе 9.9, 9.10 заметно менялась. А именно, восприятие "попутно" переданных записей из additional section было сильно ужесточено, и многие ранее работавшие подходы перестали работать. В частности, тут получается, что новая версия named те IP для ns[12].namebrightdns.com, которые gtld-servers.net отдают в additional при запросе для ns[123].regery.net, проигнорирует по новому подходу - named пойдёт дальше искать и заново оттрейсит эти NS'ы по авторитетной цепочке. И вот тут он и натыкается на то, что nbd[12] в основном не отвечают, не позволяя получить авторитетный ответ даже для собственных IP. А те старые, которые всё из additional принимали на веру, пройдут спокойно по цепочке, получат IP для ns[123].regery.net и в них найдут финальную цель. Что там с unbound, надо смотреть - раз тормозит, он тоже пытается найти финально авторитетный ответ, но, может, он параллельно запускает поиск. -netch- ___ freebsd mailing list freebsd@uafug.org.ua http://mailman.uafug.org.ua/mailman/listinfo/freebsd
Re: [freebsd] DNS problem
15.01.2019 16:39, Mikhail Golub пишет: > FreeBSD 11.2-RELEASE-p8 > BIND 9.12.3-P1 (9.11 та же ситуация) > unbound 1.5.10 > > 15.01.2019 11:37, Eugene Grosbein пишет: >> 15.01.2019 16:23, Mikhail Golub пишет: >>> Доброго времени суток. >>> >>> Проблема "околоBSD-шная" ... >>> Прошу помощи знающих админов. Заранее спасибо. >>> >>> Есть такой домен - ua.energy >>> bind никак не может получить для него MX-записи (любые записи). >> >>> Unbound "думает" секунд 20, но дает результат. >> >> В таких случаях надо *начинать* с указания версий софта и операционки. > FreeBSD 11.2-RELEASE-p8 > BIND 9.12.3-P1 (9.11 та же ситуация) > unbound 1.5.10 У unbound данные могут быть просто в кеше (возможно, с протухшим TTL) или таймауты дефолтные выше. Или ему повезло спросить у того из первичных серверов зоны первого уровня energy, в кеше которого были нужные записи по зоне ua.energy и он по доброте душевной их отдал из своего кеша, несмотря на запрет рекурсии. Я, собственно говоря, именно это и наблюдаю со своим bind911-9.11.5_1 - при "удачном" запросе MX содержательный ответ приходит от demand.gamma.aridns.net.au. ___ freebsd mailing list freebsd@uafug.org.ua http://mailman.uafug.org.ua/mailman/listinfo/freebsd
Re: [freebsd] DNS problem
On Tuesday, January 15, 2019 11:23:04 AM EET Mikhail Golub wrote: > Доброго времени суток. > > Проблема "околоBSD-шная" ... > Прошу помощи знающих админов. Заранее спасибо. > > Есть такой домен - ua.energy > bind никак не может получить для него MX-записи (любые записи). > Да, я вижу с доменом не все хорошо, но тот же unbound все же дает результат. > Тяжело, "со скрипом", но результат есть. Подскажите, плиз, что подкрутить в > bind, чтобы он обработал запрос. > > Может timeout рекурсора - не нашел такого параметра. > Или чтобы он пытался выполнить поиск на всех ДНС-серверах зоны. А то такое > впечатление, что он видит что все сервера имен в одной зоне и если с зоной > проблемы, то после первого не удачного запроса отваливается с ошибкой. > > # dig ua.energy mx +trace > > energy. 172800 IN NS demand.beta.aridns.net.au. > energy. 172800 IN NS demand.alpha.aridns.net.au. > energy. 172800 IN NS demand.delta.aridns.net.au. > energy. 172800 IN NS demand.gamma.aridns.net.au. > ;; Received 334 bytes from 192.5.5.241#53(f.root-servers.net) in 1 ms > > ua.energy. 86400 IN NS ns1.regery.net. > ua.energy. 86400 IN NS ns2.regery.net. > ua.energy. 86400 IN NS ns3.regery.net. > couldn't get address for 'ns1.regery.net': not found > couldn't get address for 'ns2.regery.net': not found > couldn't get address for 'ns3.regery.net': not found > dig: couldn't get address for 'ns1.regery.net': no more Не видать glue records у namebrightdns.com. 172800 IN NS nbd1.namebrightdns.com. namebrightdns.com. 172800 IN NS nbd2.namebrightdns.com. Можно догадаться что это регистратор regery.net Вряд ли что-то кардинально поможет. > > > > Unbound "думает" секунд 20, но дает результат. > > energy. 172800 IN NS demand.alpha.aridns.net.au. > energy. 172800 IN NS demand.gamma.aridns.net.au. > energy. 172800 IN NS demand.beta.aridns.net.au. > energy. 172800 IN NS demand.delta.aridns.net.au. > ;; Received 334 bytes from 192.33.4.12#53(c.root-servers.net) in 27 ms > > ua.energy. 86400 IN NS ns2.regery.net. > ua.energy. 86400 IN NS ns3.regery.net. > ua.energy. 86400 IN NS ns1.regery.net. > couldn't get address for 'ns2.regery.net': not found > ;; Received 102 bytes from 37.209.194.7#53(demand.beta.aridns.net.au) in 34 > ms > > ua.energy. 10800 IN MX 30 relay2.ua.energy. > ua.energy. 10800 IN MX 5 mainrelay.energy.gov.ua. > ua.energy. 10800 IN MX 20 relay1.ua.energy. > ua.energy. 10800 IN MX 10 mainrelay.ua.energy. > ;; Received 197 bytes from 35.170.166.132#53(ns1.regery.net) in 129 ms ___ freebsd mailing list freebsd@uafug.org.ua http://mailman.uafug.org.ua/mailman/listinfo/freebsd
Re: [freebsd] DNS problem
Tue, Jan 15, 2019 at 11:23:04, gmn wrote about "[freebsd] DNS problem": > Проблема "околоBSD-шная" ... > Прошу помощи знающих админов. Заранее спасибо. > > Есть такой домен - ua.energy > bind никак не может получить для него MX-записи (любые записи). У меня SERVFAIL'ится на 9.9.4 на центоси. Значит, BSD не очень при чём. Я бы лог включил, да давно забыл, как это делается. :) > Да, я вижу с доменом не все хорошо, А видно, в чём именно? А то я пока явных диверсий не увидел. > ua.energy. 86400 IN NS ns1.regery.net. > ua.energy. 86400 IN NS ns2.regery.net. > ua.energy. 86400 IN NS ns3.regery.net. > couldn't get address for 'ns1.regery.net': not found > couldn't get address for 'ns2.regery.net': not found > couldn't get address for 'ns3.regery.net': not found > dig: couldn't get address for 'ns1.regery.net': no more У меня эти по отдельности резолвятся (подумав секунды 2). Согласно BIND ARM есть опция resolver-query-timeout в options. Поднял навскидку до 30, стало резолвить ua.energy MX. Если у вас резолвер для клиентов, стоит таки подумать поднять её... -netch- ___ freebsd mailing list freebsd@uafug.org.ua http://mailman.uafug.org.ua/mailman/listinfo/freebsd
Re: [freebsd] DNS problem
FreeBSD 11.2-RELEASE-p8 BIND 9.12.3-P1 (9.11 та же ситуация) unbound 1.5.10 15.01.2019 11:37, Eugene Grosbein пишет: 15.01.2019 16:23, Mikhail Golub пишет: Доброго времени суток. Проблема "околоBSD-шная" ... Прошу помощи знающих админов. Заранее спасибо. Есть такой домен - ua.energy bind никак не может получить для него MX-записи (любые записи). Unbound "думает" секунд 20, но дает результат. В таких случаях надо *начинать* с указания версий софта и операционки. ___ freebsd mailing list freebsd@uafug.org.ua http://mailman.uafug.org.ua/mailman/listinfo/freebsd
[freebsd] DNS problem
Доброго времени суток. Проблема "околоBSD-шная" ... Прошу помощи знающих админов. Заранее спасибо. Есть такой домен - ua.energy bind никак не может получить для него MX-записи (любые записи). Да, я вижу с доменом не все хорошо, но тот же unbound все же дает результат. Тяжело, "со скрипом", но результат есть. Подскажите, плиз, что подкрутить в bind, чтобы он обработал запрос. Может timeout рекурсора - не нашел такого параметра. Или чтобы он пытался выполнить поиск на всех ДНС-серверах зоны. А то такое впечатление, что он видит что все сервера имен в одной зоне и если с зоной проблемы, то после первого не удачного запроса отваливается с ошибкой. # dig ua.energy mx +trace ... energy. 172800 IN NS demand.beta.aridns.net.au. energy. 172800 IN NS demand.alpha.aridns.net.au. energy. 172800 IN NS demand.delta.aridns.net.au. energy. 172800 IN NS demand.gamma.aridns.net.au. ;; Received 334 bytes from 192.5.5.241#53(f.root-servers.net) in 1 ms ua.energy. 86400 IN NS ns1.regery.net. ua.energy. 86400 IN NS ns2.regery.net. ua.energy. 86400 IN NS ns3.regery.net. couldn't get address for 'ns1.regery.net': not found couldn't get address for 'ns2.regery.net': not found couldn't get address for 'ns3.regery.net': not found dig: couldn't get address for 'ns1.regery.net': no more Unbound "думает" секунд 20, но дает результат. ... energy. 172800 IN NS demand.alpha.aridns.net.au. energy. 172800 IN NS demand.gamma.aridns.net.au. energy. 172800 IN NS demand.beta.aridns.net.au. energy. 172800 IN NS demand.delta.aridns.net.au. ;; Received 334 bytes from 192.33.4.12#53(c.root-servers.net) in 27 ms ua.energy. 86400 IN NS ns2.regery.net. ua.energy. 86400 IN NS ns3.regery.net. ua.energy. 86400 IN NS ns1.regery.net. couldn't get address for 'ns2.regery.net': not found ;; Received 102 bytes from 37.209.194.7#53(demand.beta.aridns.net.au) in 34 ms ua.energy. 10800 IN MX 30 relay2.ua.energy. ua.energy. 10800 IN MX 5 mainrelay.energy.gov.ua. ua.energy. 10800 IN MX 20 relay1.ua.energy. ua.energy. 10800 IN MX 10 mainrelay.ua.energy. ;; Received 197 bytes from 35.170.166.132#53(ns1.regery.net) in 129 ms ___ freebsd mailing list freebsd@uafug.org.ua http://mailman.uafug.org.ua/mailman/listinfo/freebsd
