ichthyandr Опубликовано 15 октября, 2018 · Жалоба Народ, кто сталкивался м.б. Последние два дня через нас поломались как минимум два сайта dns-shop.ru и petrovich.ru. Как оказалось их css файлы лежат на алиасах xxxxx.gcdn.co Т.е. ни bind ни unbound не резолвят эти имена. Если сделать форвард на 8.8.8.8 все начинает работать, xxxxx.gcdn.co без подписей. Куда смотреть? спасибо Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
st_re Опубликовано 15 октября, 2018 · Жалоба Если 2 дня назад, то таки начать с посмотреть на dnssec у себя... dig NS co отдается ? а dig kjlhkjghjkhkhjkhkhj ? второе должно отдать NXDOMAIN а не фейл... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 15 октября, 2018 · Жалоба Ну и нахер вам эти подписи сдались? У меня сейчас всё прекрасно открывается, через unbound - он подписи не валидирует, функционал выпилен. Может они там чего починили/перенесли, сами владельцы. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vlad11 Опубликовано 15 октября, 2018 · Жалоба 5 часов назад, ichthyandr сказал: Куда смотреть? спасибо Смена ключа подписания ключей DNSSEC пройдет 11 октября С этим связано. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ichthyandr Опубликовано 15 октября, 2018 (изменено) · Жалоба 7 минут назад, vlad11 сказал: Смена ключа подписания ключей DNSSEC пройдет 11 октября С этим связано. Хз хз, подписи там нет, для этого днс имени. [root@bill log]# dig gcdn.co @8.8.8.8 ; <<>> DiG 9.8.2rc1-RedHat-9.8.2-0.62.rc1.el6_9.4 <<>> gcdn.co @8.8.8.8 ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 47358 ;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0 ;; QUESTION SECTION: ;gcdn.co. IN A ;; ANSWER SECTION: gcdn.co. 3403 IN A 92.223.97.97 ;; Query time: 19 msec ;; SERVER: 8.8.8.8#53(8.8.8.8) ;; WHEN: Mon Oct 15 17:22:29 2018 ;; MSG SIZE rcvd: 41 2 часа назад, st_re сказал: Если 2 дня назад, то таки начать с посмотреть на dnssec у себя... dig NS co отдается ? а dig kjlhkjghjkhkhjkhkhj ? второе должно отдать NXDOMAIN а не фейл... [root@bill log]# dig NS co ; <<>> DiG 9.8.2rc1-RedHat-9.8.2-0.62.rc1.el6_9.4 <<>> NS co ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 29869 ;; flags: qr rd ra; QUERY: 1, ANSWER: 6, AUTHORITY: 0, ADDITIONAL: 12 ;; QUESTION SECTION: ;co. IN NS ;; ANSWER SECTION: co. 900 IN NS ns4.cctld.co. co. 900 IN NS ns3.cctld.co. co. 900 IN NS ns2.cctld.co. co. 900 IN NS ns1.cctld.co. co. 900 IN NS ns5.cctld.co. co. 900 IN NS ns6.cctld.co. ;; ADDITIONAL SECTION: ns1.cctld.co. 164775 IN A 156.154.100.25 ns1.cctld.co. 164775 IN AAAA 2001:502:2eda::21 ns2.cctld.co. 164775 IN A 156.154.101.25 ns2.cctld.co. 164775 IN AAAA 2001:502:ad09::21 ns5.cctld.co. 164775 IN A 156.154.104.25 ns5.cctld.co. 164775 IN AAAA 2610:a1:1011::21 ns3.cctld.co. 164775 IN A 156.154.102.25 ns3.cctld.co. 164775 IN AAAA 2610:a1:1009::21 ns4.cctld.co. 164775 IN A 156.154.103.25 ns4.cctld.co. 164775 IN AAAA 2610:a1:1010::21 ns6.cctld.co. 164775 IN A 156.154.105.25 ns6.cctld.co. 164775 IN AAAA 2610:a1:1012::21 ;; Query time: 33 msec ;; SERVER: 127.0.0.1#53(127.0.0.1) ;; WHEN: Mon Oct 15 16:55:40 2018 ;; MSG SIZE rcvd: 398 [root@bill log]# dig kjlhkjghjkhkhjkhkhj ; <<>> DiG 9.8.2rc1-RedHat-9.8.2-0.62.rc1.el6_9.4 <<>> kjlhkjghjkhkhjkhkhj ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NXDOMAIN, id: 65521 ;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 0 ;; QUESTION SECTION: ;kjlhkjghjkhkhjkhkhj. IN A ;; AUTHORITY SECTION: . 10800 IN SOA a.root-servers.net. nstld.verisign-grs.com. 2018101500 1800 900 604800 86400 ;; Query time: 5 msec ;; SERVER: 127.0.0.1#53(127.0.0.1) ;; WHEN: Mon Oct 15 16:56:16 2018 ;; MSG SIZE rcvd: 112 [root@bill log]# dig gcdn.co ; <<>> DiG 9.8.2rc1-RedHat-9.8.2-0.62.rc1.el6_9.4 <<>> gcdn.co ;; global options: +cmd ;; connection timed out; no servers could be reached Изменено 15 октября, 2018 пользователем ichthyandr Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
st_re Опубликовано 15 октября, 2018 · Жалоба dig ns gcdn.co @92.223.100.100 c NSа ? у них все 4 NSа в одной /24 gns1.gcdn.co. 3600 IN A 92.223.100.100 gns2.gcdn.co. 3600 IN A 92.223.100.200 gns11.gcdn.co. 3600 IN A 92.223.100.101 gns22.gcdn.co. 3600 IN A 92.223.100.201 Может что со связностью.. зы, подпись самой зоны gcdn.co тут врядли, меняли именно рутовые ключи. Если они не обновлены на вашем NSе, то после прокисания в кеше NSов для co Ваш ресолвер не сможет получить новые записи, а до прокисания вам руто не интересен, вы берете ответы из кеша. Поэтому стрельнет не в 16.00 UTC 11 числа, а похже. Но судя по ответам, не это проблема... в таком случае dig <RANDOM> будет не NXDOMAIN а фейл Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vlad11 Опубликовано 15 октября, 2018 · Жалоба Из канала https://t.me/usher2 Цитата Что произойдет на самом деле Произойдет первая в истории ротация корневых ключей DNSSEC. Можно посмотреть например мой доклад опубликованный мною несколько минут назад на канале для общего понимания, что это. Это затронет ресолверы, которые делают проверку DNSSEC. При том, что проникновение DNSSEC в мире меньше 1%, понятно, что плохо натроенные ресолверы мало на что повлияют даже в случае огромного процента таких ресолверов.Я системный администратор. Как проверить, что мой ресолвер всё делает правильно? Волшебной командой: dig @127.0.0.1 dnssec-failed.org a +dnssec Если результат SERVFAIL, то всё ок, если домен NOERROR и отдал записи, то начинайте беспокоиться и искать, как это исправить. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
st_re Опубликовано 15 октября, 2018 · Жалоба Это как раз плохой совет.. Проверив это вы начнете включать DNSSEC если он выключен.. А и фейл он вернет и в случае если у вас ключи верные и если у вас ключи не верные... т.е. проблему что вы забыли обновить колючи, но у вас включен DNSSEC вы не продетектиите этой командой.. Мало того, если вы ключи не обновили, но сделаете чтобы у вас для того чтобы эта команда возвращала фейл, вы включите DNSSEC вы просто себе сломаете все. там, в оригинал откуда украдена команда была еще вторая, неё почему то в цитате нет... Как раз если эта команда не вернула фейл, то в общем можно расслабиться, на смену ключей вашему серверу пофиг.. DNSSEC у вас выключен. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ichthyandr Опубликовано 16 октября, 2018 · Жалоба 14 часов назад, vlad11 сказал: Из канала https://t.me/usher2 на unbound dnssec выключен и gcdn.co не резолвится 15 часов назад, st_re сказал: dig ns gcdn.co @92.223.100.100 c NSа ? у них все 4 NSа в одной /24 gns1.gcdn.co. 3600 IN A 92.223.100.100 gns2.gcdn.co. 3600 IN A 92.223.100.200 gns11.gcdn.co. 3600 IN A 92.223.100.101 gns22.gcdn.co. 3600 IN A 92.223.100.201 Может что со связностью.. зы, подпись самой зоны gcdn.co тут врядли, меняли именно рутовые ключи. Если они не обновлены на вашем NSе, то после прокисания в кеше NSов для co Ваш ресолвер не сможет получить новые записи, а до прокисания вам руто не интересен, вы берете ответы из кеша. Поэтому стрельнет не в 16.00 UTC 11 числа, а похже. Но судя по ответам, не это проблема... в таком случае dig <RANDOM> будет не NXDOMAIN а фейл спасибо, проверю Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 16 октября, 2018 · Жалоба 4 часа назад, ichthyandr сказал: на unbound dnssec выключен и gcdn.co не резолвится У вас плохой конфиг анбоунда :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SyJet Опубликовано 18 октября, 2018 · Жалоба В 16.10.2018 в 14:02, Ivan_83 сказал: У вас плохой конфиг анбоунда :) Поделитесь хорошим :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 18 октября, 2018 · Жалоба 3 часа назад, SyJet сказал: Поделитесь хорошим :) http://www.netlab.linkpc.net/download/software/unbound/unbound.conf Инклюды снизу или похерить или создать пустые файлы. С этим конфигом у меня уже давно никаких проблем не возникало, при домашнем использовании. Последнее что было - это из за qname minimisation пара доменов не резолвилось. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...