[roma33rus]

Всем привет. Есть машина с Freebsd 11.3 на борту. на нем стоит bind 9.11. И иногда на некоторые сайты хром выдает ошибку dns_probe_finished_nxdomain. Как ее можно поправить и с какой стороны вообще может быть проблема? В логах бинда при этом ошибок нет.

Изменено 1 июня, 2020 пользователем roma33rus

[roma33rus]

Смотрю digом и иногда сервер не получается адрес сайта:

[root@backup ~]# dig @localhost mb77.ru

; <<>> DiG 9.16.3 <<>> @localhost mb77.ru
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: SERVFAIL, id: 57421
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
; COOKIE: 6fc1221e51c3e7ba0494ab945ed4eb633f57f7310ac312b2 (good)
;; QUESTION SECTION:
;mb77.ru.                       IN      A

;; Query time: 0 msec
;; SERVER: 127.0.0.1#53(127.0.0.1)
;; WHEN: Mon Jun 01 14:49:55 MSK 2020
;; MSG SIZE  rcvd: 64

 

По логам так, первые запросы безуспешные, последние два нормально выполнились:

01-Jun-2020 14:54:46.129 queries: info: client @0x802c76e00 127.0.0.1#57663 (mb77.ru): query: mb77.ru IN A +E(0)K (127.0.0.1)
01-Jun-2020 14:54:49.528 queries: info: client @0x805211000 127.0.0.1#16045 (mb77.ru): query: mb77.ru IN A +E(0)K (127.0.0.1)
01-Jun-2020 14:54:50.584 queries: info: client @0x802c76e00 127.0.0.1#30196 (mb77.ru): query: mb77.ru IN A +E(0)K (127.0.0.1)
01-Jun-2020 14:54:51.592 queries: info: client @0x805211000 127.0.0.1#17806 (mb77.ru): query: mb77.ru IN A +E(0)K (127.0.0.1)
01-Jun-2020 14:54:52.664 queries: info: client @0x802c76e00 127.0.0.1#47263 (mb77.ru): query: mb77.ru IN A +E(0)K (127.0.0.1)
01-Jun-2020 14:54:53.720 queries: info: client @0x805211000 127.0.0.1#59593 (mb77.ru): query: mb77.ru IN A +E(0)K (127.0.0.1)
01-Jun-2020 14:54:55.256 queries: info: client @0x802c76e00 127.0.0.1#19077 (mb77.ru): query: mb77.ru IN A +E(0)K (127.0.0.1)
01-Jun-2020 14:54:56.944 queries: info: client @0x805211000 127.0.0.1#42575 (mb77.ru): query: mb77.ru IN A +E(0)K (127.0.0.1)
01-Jun-2020 14:54:58.952 queries: info: client @0x802c76e00 127.0.0.1#42804 (mb77.ru): query: mb77.ru IN A +E(0)K (127.0.0.1)

 

Изменено 1 июня, 2020 пользователем roma33rus

[roma33rus]

Вот, поймал такую строчку:

01-Jun-2020 15:09:02.287 query-errors: info: client @0x802c70a00 127.0.0.1#54360 (mb77.ru): query failed (SERVFAIL) for mb77.ru/IN/A at query.c:8629

[alibek]

Видимо некорректный ответ.

А почему Unbound не используете? Вроде бы он штатно в FreeBSD 11 идет.

Или авторитетный нужен?

[roma33rus]

10 минут назад, alibek сказал:

Видимо некорректный ответ.

А почему Unbound не используете? Вроде бы он штатно в FreeBSD 11 идет.

Или авторитетный нужен?

 

Странно, а на соседнем сервере все нормально, таких ситуаций не попадается.  и такая проблема когда запрос адреса сайта идет впервые, когда в кеш попадает, то некоторое время все нормально.

Unbound никогда не пробовал. Вообще да, нужен авторитетный для зоны нашего сайта, ее я могу перенести на внешний. 

А вот как быть с PTR записями, там же тоже нужен авторитетный днс?

[roma33rus]

Кстати, при этом могут ли быть какие-то проблемы на стороне днс, где хостится это доменное имя?

[alibek]

У меня похожие ошибки были, когда памяти для Unbound было мало.

На BIND с такими ошибками не сталкивался (но там были другие).

 

Я у себя сейчас использую связку NSD+Unbound.

NSD висит на петлевых интерфейсах и с помощью правил iptables на него перенаправляются внешние запросы (и некоторые внутренние).

А для внутренних используется Unbound.

В последних версиях Unbound для локальных зон можно выставлять флаг авторитетности.

В моей версии этого нет (то есть для внутренних запросов ответы не авторитетны), но за все то время это мне ни разу не потребовалось.

[roma33rus]

Странно, что постоянное поведение только с доменом mb77.ru, может еще конечно какие-то есть, ну я не замечал, сервер тестовый, через него только моя машина пользуется. Остальные домены нормально работают.

 

Это получается unbound используется для абонентов, а все зоны надо держать на nsd? ptr получается тоже на nsd надо держать?

[alibek]

Нужно подробные логи смотреть.

Может быть ответ слишком длинный.

[roma33rus]

15 минут назад, alibek сказал:

Нужно подробные логи смотреть.

Может быть ответ слишком длинный.

 

Поставил для default и логов запросов severity debug:

01-Jun-2020 16:30:45.014 general: info: received control channel command 'flush'
01-Jun-2020 16:30:45.014 database: debug 1: calling free_rbtdb(.)
01-Jun-2020 16:30:45.014 database: debug 1: adjust_quantum: old=100, new=325
01-Jun-2020 16:30:45.014 database: debug 1: calling free_rbtdb(.)
01-Jun-2020 16:30:45.014 database: debug 1: done free_rbtdb(.)
01-Jun-2020 16:30:45.015 general: info: flushing caches in all views succeeded
01-Jun-2020 16:30:45.015 database: debug 1: done free_rbtdb(.)
01-Jun-2020 16:30:46.290 resolver: debug 1: fetch: mb77.ru/A
01-Jun-2020 16:30:46.291 resolver: debug 1: fetch: ./NS
01-Jun-2020 16:30:46.440 resolver: info: resolver priming query complete
01-Jun-2020 16:30:46.704 resolver: debug 1: fetch: ns1.baz-on.ru/A
01-Jun-2020 16:30:46.704 resolver: debug 1: fetch: ns1.baz-on.ru/AAAA
01-Jun-2020 16:30:46.704 resolver: debug 1: fetch: ns2.baz-on.ru/A
01-Jun-2020 16:30:46.704 resolver: debug 1: fetch: ns2.baz-on.ru/AAAA
01-Jun-2020 16:30:46.775 resolver: debug 1: fetch: ns1.selectel.org/A
01-Jun-2020 16:30:46.775 resolver: debug 1: fetch: ns1.selectel.org/AAAA
01-Jun-2020 16:30:46.775 resolver: debug 1: fetch: ns2.selectel.org/A
01-Jun-2020 16:30:46.775 resolver: debug 1: fetch: ns2.selectel.org/AAAA
01-Jun-2020 16:30:46.775 resolver: debug 1: fetch: ns3.selectel.org/A
01-Jun-2020 16:30:46.775 resolver: debug 1: fetch: ns3.selectel.org/AAAA
01-Jun-2020 16:30:46.775 resolver: debug 1: fetch: ns4.selectel.org/A
01-Jun-2020 16:30:46.775 resolver: debug 1: fetch: ns4.selectel.org/AAAA
01-Jun-2020 16:30:47.107 query-errors: info: client @0x802c72800 127.0.0.1#12029 (mb77.ru): query failed (SERVFAIL) for mb77.ru/IN/A at query.c:8629

 

Можно еще детальнее логи включить?

Изменено 1 июня, 2020 пользователем roma33rus

[GrandPr1de]

Уходи с бинда и разноси сервисы. 

Уже 100 раз обсуждали что авторитарник и рекурсор в одном флаконе - херня.

[TheUser]

2 часа назад, roma33rus сказал:

Кстати, при этом могут ли быть какие-то проблемы на стороне днс, где хостится это доменное имя?

Скорее всего, оттуда и растут уши.

Снимите pcap-дамп с интерфейса с фильтром по IP авторитативных серверов.

[jffulcrum]

2 часа назад, roma33rus сказал:

01-Jun-2020 16:30:47.107 query-errors: info: client @0x802c72800 127.0.0.1#12029 (mb77.ru): query failed (SERVFAIL) for mb77.ru/IN/A at query.c:8629

named-checkzone на файл зоны mb77.ru выполните (если это ваш сервер для нее)

[roma33rus]

14 часов назад, jffulcrum сказал:

named-checkzone на файл зоны mb77.ru выполните (если это ваш сервер для нее)

 

Не, это не моя зона. сторонняя.

 

Вчера от безысходности переставил bind на версию 9.12. И теперь с этим доменом все хорошо. Не знаю в чем проблема была.

 

16 часов назад, GrandPr1de сказал:

Уходи с бинда и разноси сервисы. 

Уже 100 раз обсуждали что авторитарник и рекурсор в одном флаконе - херня.

 

Я это понимаю и желание есть так сделать. только катастрофически знаний не хватает, надо изучать, а чтобы изучать время надо, которого тоже нет. Разрываюсь на все. Сейчас напарника мне искать и после этого набираться знаний.

[st_re]

9.12 ? а 9.11 тогда какая была ? вообщето 9.12 давно EOL. Может того, обновить на что то актуальное ? 9.11.19, 9.14.12, 9.16.3 ? ну или почитать что там от вашей версии 9.11 до 9.11.19 пофикшено https://downloads.isc.org/isc/bind9/9.11.19/RELEASE-NOTES-bind-9.11.19.html ?

[jffulcrum]

8 часов назад, roma33rus сказал:

Не знаю в чем проблема была.

С высокой вероятностью у этих граждан в SOA ошибки были. Может просто догадались исправить. Томми BIND очень чувствительный мальчик...

[roma33rus]

22 часа назад, st_re сказал:

9.12 ? а 9.11 тогда какая была ? вообщето 9.12 давно EOL. Может того, обновить на что то актуальное ? 9.11.19, 9.14.12, 9.16.3 ? ну или почитать что там от вашей версии 9.11 до 9.11.19 пофикшено https://downloads.isc.org/isc/bind9/9.11.19/RELEASE-NOTES-bind-9.11.19.html ?

 

Я изначально 9.16 ветку и ставил. Потом откатился на 9.11. На них обеих была эта проблема. Потом воткнул 9.12 и там проблемы нет пару дней уже как. Решил на ней и остаться.

 

15 часов назад, jffulcrum сказал:

С высокой вероятностью у этих граждан в SOA ошибки были. Может просто догадались исправить. Томми BIND очень чувствительный мальчик...

 

Какой бинд проказник этот. Выходит все на 100% советуют с него слезать?

[pppoetest]

3 минуты назад, roma33rus сказал:

Выходит все на 100% советуют с него слезать?

Я слез 2 года назад, бинд действительно слишком чувствительный неповоротливый слон.

[roma33rus]

Только что, pppoetest сказал:

Я слез 2 года назад, бинд действительно слишком чувствительный неповоротливый слон.

 

Я понял. Сейчас надо все равно эту железку запустить, а на будущее надо планировать переезд.

 

Всем спасибо. В инете поищу статейки.

[roma33rus]

А еще такой вопросик есть. В dig есть такой показатель, как Query time, он значит время выполнения запроса, то есть туда входить и обработка данных моим сервером и запрос к удаленному серверу, выполнение каких-либо действий на удаленном ns и соответственно время доставки этих данных по сети?

Когда запрос у меня не в кеше, то время запроса для этого сайта такое приблизительно, бывает меньше, в кеш попадает и время уже 0ms. Для сравнения привел запрос к домену yandex.ru, там это время в разы меньше. Это же тоже может влиять? и есть ли у бинда какие-то таймауты на этот момент?

 

[root@backup ~]# dig @localhost mb77.ru

; <<>> DiG 9.12.4-P1 <<>> @localhost mb77.ru
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 7089
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
; COOKIE: da9a16d589bb92685a93d18b5ed74f1e8d8ee7e67a6195bd (good)
;; QUESTION SECTION:
;mb77.ru.                       IN      A

;; ANSWER SECTION:
mb77.ru.                3600    IN      A       212.109.222.215

;; Query time: 1212 msec
;; SERVER: 127.0.0.1#53(127.0.0.1)
;; WHEN: Wed Jun 03 10:19:58 MSK 2020
;; MSG SIZE  rcvd: 80

[root@backup ~]#

[root@backup ~]# dig @localhost yandex.ru

; <<>> DiG 9.12.4-P1 <<>> @localhost yandex.ru
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 13617
;; flags: qr rd ra; QUERY: 1, ANSWER: 4, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
; COOKIE: 7c8d8f07b8311fb45492a1cb5ed74ff5f4be45557bf243ff (good)
;; QUESTION SECTION:
;yandex.ru.                     IN      A

;; ANSWER SECTION:
yandex.ru.              300     IN      A       5.255.255.60
yandex.ru.              300     IN      A       5.255.255.70
yandex.ru.              300     IN      A       77.88.55.60
yandex.ru.              300     IN      A       77.88.55.66

;; Query time: 15 msec
;; SERVER: 127.0.0.1#53(127.0.0.1)
;; WHEN: Wed Jun 03 10:23:33 MSK 2020
;; MSG SIZE  rcvd: 130

 

[jffulcrum]

14 минут назад, roma33rus сказал:

есть ли у бинда какие-то таймауты на этот момент?

У BIND было 4 секунды плюс 2x RTT на запрос, по два запроса к каждому NS, 45 секунд на всю попытку.

[roma33rus]

1 час назад, jffulcrum сказал:

У BIND было 4 секунды плюс 2x RTT на запрос, по два запроса к каждому NS, 45 секунд на всю попытку.

 

Понял, спасибо. Значит не в этом дело.

[st_re]

вообще у ребят конечно описание зоны кривое

dig mb77.ru @a.dns.ripn.net.

;; AUTHORITY SECTION:
mb77.ru.                345600  IN      NS      ns1.baz-on.ru.  <<<<<<<<<<<<<------
mb77.ru.                345600  IN      NS      ns2.baz-on.ru. <<<<<<<<<<<<<-------
 

dig ns1.baz-on.ru. @a.dns.ripn.net.

;; AUTHORITY SECTION:
baz-on.ru.              345600  IN      NS      ns1.selectel.org.
baz-on.ru.              345600  IN      NS      ns2.selectel.org.
baz-on.ru.              345600  IN      NS      ns3.selectel.org.
baz-on.ru.              345600  IN      NS      ns4.selectel.org.
 

dig ns1.baz-on.ru. @ns1.selectel.org.

;; ANSWER SECTION:
ns1.baz-on.ru.          3600    IN      A       31.131.255.10

 

 dig ns mb77.ru @31.131.255.10

;; ANSWER SECTION:
mb77.ru.                86400   IN      NS      ns4.selectel.org. <<<<<<----
mb77.ru.                86400   IN      NS      ns3.selectel.org.
mb77.ru.                86400   IN      NS      ns2.selectel.org.
mb77.ru.                86400   IN      NS      ns1.selectel.org.

;; ADDITIONAL SECTION:
ns1.selectel.org.       3600    IN      A       31.131.255.10
ns2.selectel.org.       3600    IN      A       31.131.254.5
ns1.selectel.org.       600     IN      AAAA    2a00:ab00:800::53
ns4.selectel.org.       3600    IN      AAAA    2a00:ab00:803::53
ns4.selectel.org.       86400   IN      A       31.131.254.10
ns3.selectel.org.       3600    IN      AAAA    2a00:ab00:802::53
ns3.selectel.org.       3600    IN      A       31.131.255.5
ns2.selectel.org.       600     IN      AAAA    2a00:ab00:801::53
 

NSы в зоне RU и в зоне mb77.ru разные.. IP конечно у первых 2-х совпадают, но вообще так неправильно. Возможно в бинде какихто версий чтото сносит от такого. Опять же лишний подзапрос при ресолве для выяснения сначала ns1.baz-on.ru. а потом ns1.selectel.org. хотя если бы в описании зоны указать сразу nsХ.selectel.org. то -1 подзапрос. Но в целом вроде как все сервера отзываются нормально.

[roma33rus]

спасибо. Ясно одно, что с бинда надо слазить, ибо мне вообще надо логику своих днс серверов поменять и поставить нормальное ПО под дальнейшую нагрузку.

[roma33rus]

ребят, а это вообще нормально. что бинд такую нагрузку дает?