ichthyandr Posted October 15, 2018 Народ, кто сталкивался м.б. Последние два дня через нас поломались как минимум два сайта dns-shop.ru и petrovich.ru. Как оказалось их css файлы лежат на алиасах xxxxx.gcdn.co Т.е. ни bind ни unbound не резолвят эти имена. Если сделать форвард на 8.8.8.8 все начинает работать, xxxxx.gcdn.co без подписей. Куда смотреть? спасибо Share this post Link to post Share on other sites More sharing options...
st_re Posted October 15, 2018 Если 2 дня назад, то таки начать с посмотреть на dnssec у себя... dig NS co отдается ? а dig kjlhkjghjkhkhjkhkhj ? второе должно отдать NXDOMAIN а не фейл... Share this post Link to post Share on other sites More sharing options...
Ivan_83 Posted October 15, 2018 Ну и нахер вам эти подписи сдались? У меня сейчас всё прекрасно открывается, через unbound - он подписи не валидирует, функционал выпилен. Может они там чего починили/перенесли, сами владельцы. Share this post Link to post Share on other sites More sharing options...
vlad11 Posted October 15, 2018 5 часов назад, ichthyandr сказал: Куда смотреть? спасибо Смена ключа подписания ключей DNSSEC пройдет 11 октября С этим связано. Share this post Link to post Share on other sites More sharing options...
ichthyandr Posted October 15, 2018 (edited) 7 минут назад, vlad11 сказал: Смена ключа подписания ключей DNSSEC пройдет 11 октября С этим связано. Хз хз, подписи там нет, для этого днс имени. [root@bill log]# dig gcdn.co @8.8.8.8 ; <<>> DiG 9.8.2rc1-RedHat-9.8.2-0.62.rc1.el6_9.4 <<>> gcdn.co @8.8.8.8 ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 47358 ;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0 ;; QUESTION SECTION: ;gcdn.co. IN A ;; ANSWER SECTION: gcdn.co. 3403 IN A 92.223.97.97 ;; Query time: 19 msec ;; SERVER: 8.8.8.8#53(8.8.8.8) ;; WHEN: Mon Oct 15 17:22:29 2018 ;; MSG SIZE rcvd: 41 2 часа назад, st_re сказал: Если 2 дня назад, то таки начать с посмотреть на dnssec у себя... dig NS co отдается ? а dig kjlhkjghjkhkhjkhkhj ? второе должно отдать NXDOMAIN а не фейл... [root@bill log]# dig NS co ; <<>> DiG 9.8.2rc1-RedHat-9.8.2-0.62.rc1.el6_9.4 <<>> NS co ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 29869 ;; flags: qr rd ra; QUERY: 1, ANSWER: 6, AUTHORITY: 0, ADDITIONAL: 12 ;; QUESTION SECTION: ;co. IN NS ;; ANSWER SECTION: co. 900 IN NS ns4.cctld.co. co. 900 IN NS ns3.cctld.co. co. 900 IN NS ns2.cctld.co. co. 900 IN NS ns1.cctld.co. co. 900 IN NS ns5.cctld.co. co. 900 IN NS ns6.cctld.co. ;; ADDITIONAL SECTION: ns1.cctld.co. 164775 IN A 156.154.100.25 ns1.cctld.co. 164775 IN AAAA 2001:502:2eda::21 ns2.cctld.co. 164775 IN A 156.154.101.25 ns2.cctld.co. 164775 IN AAAA 2001:502:ad09::21 ns5.cctld.co. 164775 IN A 156.154.104.25 ns5.cctld.co. 164775 IN AAAA 2610:a1:1011::21 ns3.cctld.co. 164775 IN A 156.154.102.25 ns3.cctld.co. 164775 IN AAAA 2610:a1:1009::21 ns4.cctld.co. 164775 IN A 156.154.103.25 ns4.cctld.co. 164775 IN AAAA 2610:a1:1010::21 ns6.cctld.co. 164775 IN A 156.154.105.25 ns6.cctld.co. 164775 IN AAAA 2610:a1:1012::21 ;; Query time: 33 msec ;; SERVER: 127.0.0.1#53(127.0.0.1) ;; WHEN: Mon Oct 15 16:55:40 2018 ;; MSG SIZE rcvd: 398 [root@bill log]# dig kjlhkjghjkhkhjkhkhj ; <<>> DiG 9.8.2rc1-RedHat-9.8.2-0.62.rc1.el6_9.4 <<>> kjlhkjghjkhkhjkhkhj ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NXDOMAIN, id: 65521 ;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 0 ;; QUESTION SECTION: ;kjlhkjghjkhkhjkhkhj. IN A ;; AUTHORITY SECTION: . 10800 IN SOA a.root-servers.net. nstld.verisign-grs.com. 2018101500 1800 900 604800 86400 ;; Query time: 5 msec ;; SERVER: 127.0.0.1#53(127.0.0.1) ;; WHEN: Mon Oct 15 16:56:16 2018 ;; MSG SIZE rcvd: 112 [root@bill log]# dig gcdn.co ; <<>> DiG 9.8.2rc1-RedHat-9.8.2-0.62.rc1.el6_9.4 <<>> gcdn.co ;; global options: +cmd ;; connection timed out; no servers could be reached Edited October 15, 2018 by ichthyandr Share this post Link to post Share on other sites More sharing options...
st_re Posted October 15, 2018 dig ns gcdn.co @92.223.100.100 c NSа ? у них все 4 NSа в одной /24 gns1.gcdn.co. 3600 IN A 92.223.100.100 gns2.gcdn.co. 3600 IN A 92.223.100.200 gns11.gcdn.co. 3600 IN A 92.223.100.101 gns22.gcdn.co. 3600 IN A 92.223.100.201 Может что со связностью.. зы, подпись самой зоны gcdn.co тут врядли, меняли именно рутовые ключи. Если они не обновлены на вашем NSе, то после прокисания в кеше NSов для co Ваш ресолвер не сможет получить новые записи, а до прокисания вам руто не интересен, вы берете ответы из кеша. Поэтому стрельнет не в 16.00 UTC 11 числа, а похже. Но судя по ответам, не это проблема... в таком случае dig <RANDOM> будет не NXDOMAIN а фейл Share this post Link to post Share on other sites More sharing options...
vlad11 Posted October 15, 2018 Из канала https://t.me/usher2 Цитата Что произойдет на самом деле Произойдет первая в истории ротация корневых ключей DNSSEC. Можно посмотреть например мой доклад опубликованный мною несколько минут назад на канале для общего понимания, что это. Это затронет ресолверы, которые делают проверку DNSSEC. При том, что проникновение DNSSEC в мире меньше 1%, понятно, что плохо натроенные ресолверы мало на что повлияют даже в случае огромного процента таких ресолверов.Я системный администратор. Как проверить, что мой ресолвер всё делает правильно? Волшебной командой: dig @127.0.0.1 dnssec-failed.org a +dnssec Если результат SERVFAIL, то всё ок, если домен NOERROR и отдал записи, то начинайте беспокоиться и искать, как это исправить. Share this post Link to post Share on other sites More sharing options...
st_re Posted October 15, 2018 Это как раз плохой совет.. Проверив это вы начнете включать DNSSEC если он выключен.. А и фейл он вернет и в случае если у вас ключи верные и если у вас ключи не верные... т.е. проблему что вы забыли обновить колючи, но у вас включен DNSSEC вы не продетектиите этой командой.. Мало того, если вы ключи не обновили, но сделаете чтобы у вас для того чтобы эта команда возвращала фейл, вы включите DNSSEC вы просто себе сломаете все. там, в оригинал откуда украдена команда была еще вторая, неё почему то в цитате нет... Как раз если эта команда не вернула фейл, то в общем можно расслабиться, на смену ключей вашему серверу пофиг.. DNSSEC у вас выключен. Share this post Link to post Share on other sites More sharing options...
ichthyandr Posted October 16, 2018 14 часов назад, vlad11 сказал: Из канала https://t.me/usher2 на unbound dnssec выключен и gcdn.co не резолвится 15 часов назад, st_re сказал: dig ns gcdn.co @92.223.100.100 c NSа ? у них все 4 NSа в одной /24 gns1.gcdn.co. 3600 IN A 92.223.100.100 gns2.gcdn.co. 3600 IN A 92.223.100.200 gns11.gcdn.co. 3600 IN A 92.223.100.101 gns22.gcdn.co. 3600 IN A 92.223.100.201 Может что со связностью.. зы, подпись самой зоны gcdn.co тут врядли, меняли именно рутовые ключи. Если они не обновлены на вашем NSе, то после прокисания в кеше NSов для co Ваш ресолвер не сможет получить новые записи, а до прокисания вам руто не интересен, вы берете ответы из кеша. Поэтому стрельнет не в 16.00 UTC 11 числа, а похже. Но судя по ответам, не это проблема... в таком случае dig <RANDOM> будет не NXDOMAIN а фейл спасибо, проверю Share this post Link to post Share on other sites More sharing options...
Ivan_83 Posted October 16, 2018 4 часа назад, ichthyandr сказал: на unbound dnssec выключен и gcdn.co не резолвится У вас плохой конфиг анбоунда :) Share this post Link to post Share on other sites More sharing options...
SyJet Posted October 18, 2018 В 16.10.2018 в 14:02, Ivan_83 сказал: У вас плохой конфиг анбоунда :) Поделитесь хорошим :) Share this post Link to post Share on other sites More sharing options...
Ivan_83 Posted October 18, 2018 3 часа назад, SyJet сказал: Поделитесь хорошим :) http://www.netlab.linkpc.net/download/software/unbound/unbound.conf Инклюды снизу или похерить или создать пустые файлы. С этим конфигом у меня уже давно никаких проблем не возникало, при домашнем использовании. Последнее что было - это из за qname minimisation пара доменов не резолвилось. Share this post Link to post Share on other sites More sharing options...
