The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"проблема с DNSSEC и зоной org"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Открытые системы на сервере (DNS)
Изначальное сообщение [ Отслеживать ]

"проблема с DNSSEC и зоной org"  +/
Сообщение от Михрютка (ok) on 24-Фев-15, 11:18 
привет народы

<TLDR>
на свежеустановленном bind с включенным DNSSEC перестала резолвиться зона .org. Имена из остальных TLD резолвятся нормально. требуется помощь зала.
</TLDR>

с прошлой недели на паре свежеустановленных bind-ов наблюдается следующая картина:

[user@ns2 ~]$ sudo grep dnssec /etc/named.conf
    dnssec-enable yes;
    dnssec-validation yes;
    dnssec-lookaside auto;
[user@ns2 ~]$ dig centos.org @192.168.0.1

; <<>> DiG 9.8.2rc1-RedHat-9.8.2-0.30.rc1.el6_6.1 <<>> centos.org @192.168.0.1
;; global options: +cmd
;; connection timed out; no servers could be reached

[zmike@ns2 ~]$ dig centos.org @192.168.0.1 +cd

; <<>> DiG 9.8.2rc1-RedHat-9.8.2-0.30.rc1.el6_6.1 <<>> centos.org @192.168.0.1 +cd
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 4172
;; flags: qr rd ra cd; QUERY: 1, ANSWER: 1, AUTHORITY: 3, ADDITIONAL: 3

;; QUESTION SECTION:
;centos.org.            IN    A

;; ANSWER SECTION:
centos.org.        38    IN    A    85.12.30.227

;; AUTHORITY SECTION:
centos.org.        86020    IN    NS    ns4.centos.org.
centos.org.        86020    IN    NS    ns3.centos.org.
centos.org.        86020    IN    NS    ns1.centos.org.

;; ADDITIONAL SECTION:
ns1.centos.org.        86020    IN    A    199.187.126.93
ns3.centos.org.        86020    IN    A    88.208.217.170
ns4.centos.org.        86020    IN    A    62.141.54.220

;; Query time: 0 msec
;; SERVER: 192.168.0.1#53(192.168.0.1)
;; WHEN: Tue Feb 24 10:05:23 2015
;; MSG SIZE  rcvd: 146

эта проблема наблюдается только с зоной .org, с другими TLD такой проблемы не наблюдается:

[zmike@ns2 ~]$ dig microsoft.com @192.168.0.1

; <<>> DiG 9.8.2rc1-RedHat-9.8.2-0.30.rc1.el6_6.1 <<>> microsoft.com @192.168.0.1
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 20198
;; flags: qr rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 4, ADDITIONAL: 8

;; QUESTION SECTION:
;microsoft.com.            IN    A

;; ANSWER SECTION:
microsoft.com.        3595    IN    A    134.170.185.46
microsoft.com.        3595    IN    A    134.170.188.221

;; AUTHORITY SECTION:
microsoft.com.        172791    IN    NS    ns3.msft.net.
microsoft.com.        172791    IN    NS    ns1.msft.net.
microsoft.com.        172791    IN    NS    ns4.msft.net.
microsoft.com.        172791    IN    NS    ns2.msft.net.

;; ADDITIONAL SECTION:
ns3.msft.net.        172791    IN    A    193.221.113.53
ns3.msft.net.        172791    IN    AAAA    2620:0:34::53
ns1.msft.net.        172791    IN    A    208.84.0.53
ns1.msft.net.        172791    IN    AAAA    2620:0:30::53
ns2.msft.net.        172791    IN    A    208.84.2.53
ns2.msft.net.        172791    IN    AAAA    2620:0:32::53
ns4.msft.net.        172791    IN    A    208.76.45.53
ns4.msft.net.        172791    IN    AAAA    2620:0:37::53

;; Query time: 2 msec
;; SERVER: 192.168.0.1#53(192.168.0.1)
;; WHEN: Tue Feb 24 10:07:03 2015
;; MSG SIZE  rcvd: 319

Если в /etc/named.conf отключить DNSSEC, .org имена резолвятся как из пушки.

Я совершенно не знаком с DNSSEC и понятия не имею, в какую сторону тут начинать рыть. Если кто-нибудь ткнет пальцем в нужном направлении, буду заранее благодарен :)

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "проблема с DNSSEC и зоной org"  +/
Сообщение от lavr email on 24-Фев-15, 11:56 
> привет народы
> <TLDR>
> на свежеустановленном bind с включенным DNSSEC перестала резолвиться зона .org. Имена из
> остальных TLD резолвятся нормально. требуется помощь зала.
> </TLDR>
> с прошлой недели на паре свежеустановленных bind-ов наблюдается следующая картина:
> [user@ns2 ~]$ sudo grep dnssec /etc/named.conf
>  dnssec-enable yes;
>  dnssec-validation yes;

dnssec-validation auto;

попробуйте

> Я совершенно не знаком с DNSSEC и понятия не имею, в какую
> сторону тут начинать рыть. Если кто-нибудь ткнет пальцем в нужном направлении,
> буду заранее благодарен :)

в чем проблема посмотреть документацию и faq который идет с bind?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "проблема с DNSSEC и зоной org"  +/
Сообщение от Михрютка (ok) on 24-Фев-15, 13:05 
>> [user@ns2 ~]$ sudo grep dnssec /etc/named.conf
>>  dnssec-enable yes;
>>  dnssec-validation yes;
> dnssec-validation auto;
> попробуйте

попробовал, но как и ожидал, без толку

> в чем проблема посмотреть документацию и faq который идет с bind?

почему вы решили, что это не сделано? если вы видите в Bv9ARM или факе на kb.isc.org какое-то конкретное место, которое помогло бы в данном случае - ткните пальцем, возможно у меня глаз замылился. BIND DNSSEC Guide я смотрел поверхностно, только 5 главу, но там я не вижу ничего похожего.

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "проблема с DNSSEC и зоной org"  +/
Сообщение от Etch on 24-Фев-15, 14:02 
Что в логах бинда?
Включен ли на нём EDNS?
Не режет ли фаерволл большие UDP-пакеты на порт 53?
Что показывает tcpdump во время выполнения  dig centos.org @192.168.0.1 ??
Существует ли эта проблема, если делать этот запрос с этой же машины (192.168.0.1) ??
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей 		Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру