Vadic Опубликовано 28 февраля, 2021 · Жалоба Ну тогда не знаю. Скорее всего я их готовить не умею. Подожду что ответят с НСДИ. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
taf_321 Опубликовано 1 марта, 2021 · Жалоба В схеме с применением stub-зоны в unbound перестали резолвится хосты в зоне .sk что-то криво у них там все же работает. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
aneye Опубликовано 1 марта, 2021 · Жалоба On 2/26/2021 at 8:38 PM, Ivan_83 said: Да закопай ты уже свой pdns, поставь unbound, тоже самое только конфиг текстовый Зачем я буду закапывать pdns, если это "тоже самое"? :) И пересобирать pdns для правки конфига не нужно. Здесь вопрос не в выборе dns-рекурсора, вопрос про конкретную его реализацию и поведение в определенной ситуации. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Vadic Опубликовано 1 марта, 2021 · Жалоба 4 часа назад, taf_321 сказал: В схеме с применением stub-зоны в unbound перестали резолвится хосты в зоне .sk что-то криво у них там все же работает. С forward тоже не все гладко. Так как если есть другие forward, он их будет игнорить. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
remos Опубликовано 1 марта, 2021 · Жалоба 19 часов назад, Ilya сказал: Ну забрал я с указанного РКН IP root зону. Она отдается ровно такая же, как c любого из нормальных root серверов. Пока война не началась, так и будет. А как начнется, нам будет уже пофиг. РКН не регламентирует как часто я должен обновлять root.hints, механизма проверки тоже нет. Идиотизм - да. Опасный ? Не особо. (речь только о варианте c root.hints конечно. Ставить клиентам резолвер от РКН понятное дело на трезвую голову никто не станет. ) Или я чего то не догоняю? Они прописали вам разрешение забрать зону? Письмо отправляли им? На какой адрес? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ilya Опубликовано 1 марта, 2021 · Жалоба 3 hours ago, remos said: Они прописали вам разрешение забрать зону? Письмо отправляли им? На какой адрес? А зачем мне разрешение? dig . ns @194.85.254.37 ; <<>> DiG 9.16.9 <<>> . ns @194.85.254.37 ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 30502 ;; flags: qr aa rd; QUERY: 1, ANSWER: 13, AUTHORITY: 0, ADDITIONAL: 27 ;; WARNING: recursion requested but not available ;; OPT PSEUDOSECTION: ; EDNS: version: 0, flags:; udp: 1232 ;; QUESTION SECTION: ;. IN NS ;; ANSWER SECTION: . 518400 IN NS m.root-servers.net. . 518400 IN NS h.root-servers.net. . 518400 IN NS l.root-servers.net. . 518400 IN NS i.root-servers.net. . 518400 IN NS f.root-servers.net. . 518400 IN NS k.root-servers.net. . 518400 IN NS d.root-servers.net. . 518400 IN NS g.root-servers.net. . 518400 IN NS b.root-servers.net. . 518400 IN NS e.root-servers.net. . 518400 IN NS j.root-servers.net. . 518400 IN NS c.root-servers.net. . 518400 IN NS a.root-servers.net. ;; ADDITIONAL SECTION: m.root-servers.net. 518400 IN AAAA 2001:dc3::35 g.root-servers.net. 518400 IN AAAA 2001:500:12::d0d l.root-servers.net. 518400 IN AAAA 2001:500:9f::42 g.root-servers.net. 518400 IN A 192.112.36.4 l.root-servers.net. 518400 IN A 199.7.83.42 m.root-servers.net. 518400 IN A 202.12.27.33 e.root-servers.net. 518400 IN A 192.203.230.10 f.root-servers.net. 518400 IN A 192.5.5.241 j.root-servers.net. 518400 IN A 192.58.128.30 i.root-servers.net. 518400 IN AAAA 2001:7fe::53 k.root-servers.net. 518400 IN AAAA 2001:7fd::1 b.root-servers.net. 518400 IN A 199.9.14.201 b.root-servers.net. 518400 IN AAAA 2001:500:200::b i.root-servers.net. 518400 IN A 192.36.148.17 c.root-servers.net. 518400 IN AAAA 2001:500:2::c d.root-servers.net. 518400 IN AAAA 2001:500:2d::d d.root-servers.net. 518400 IN A 199.7.91.13 c.root-servers.net. 518400 IN A 192.33.4.12 a.root-servers.net. 518400 IN A 198.41.0.4 k.root-servers.net. 518400 IN A 193.0.14.129 a.root-servers.net. 518400 IN AAAA 2001:503:ba3e::2:30 e.root-servers.net. 518400 IN AAAA 2001:500:a8::e h.root-servers.net. 518400 IN AAAA 2001:500:1::53 f.root-servers.net. 518400 IN AAAA 2001:500:2f::f h.root-servers.net. 518400 IN A 198.97.190.53 j.root-servers.net. 518400 IN AAAA 2001:503:c27::2:30 ;; Query time: 71 msec ;; SERVER: 194.85.254.37#53(194.85.254.37) ;; WHEN: Mon Mar 01 15:17:42 MSK 2021 ;; MSG SIZE rcvd: 811 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
remos Опубликовано 1 марта, 2021 (изменено) · Жалоба 56 минут назад, Ilya сказал: А зачем мне разрешение? dig . ns @194.85.254.37 Все верно, но NSD синхронизироваться не хочет. error: xfrd: zone . received error code SERVER NOT AUTHORITATIVE FOR ZONE from 194.85.254.37 Изменено 1 марта, 2021 пользователем remos Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Умник Опубликовано 1 марта, 2021 (изменено) · Жалоба 2 часа назад, Ilya сказал: А зачем мне разрешение? Чтобы запросить трансфер зоны "." (AXFR), как это подразумевается, а не NS-записи. Изменено 1 марта, 2021 пользователем Умник Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
boco Опубликовано 1 марта, 2021 · Жалоба а зачем ломать существующие системы? они же на выбор предлагают один из 4 вариантов, причем первый (поднять у себя авторитетный отдельно стоящий bind) - наименее инвазивный. пусть развлекаются. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
remos Опубликовано 1 марта, 2021 · Жалоба 1 час назад, boco сказал: а зачем ломать существующие системы? они же на выбор предлагают один из 4 вариантов, причем первый (поднять у себя авторитетный отдельно стоящий bind) - наименее инвазивный. пусть развлекаются. Потому что, первый вариант в ближайшем будущем будут реализовывать все, зачем откладывать на потом, то что можно сделать сейчас. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
boco Опубликовано 1 марта, 2021 · Жалоба 2 часа назад, remos сказал: Потому что, первый вариант в ближайшем будущем будут реализовывать все, зачем откладывать на потом, то что можно сделать сейчас. я, честно говоря, ваш ответ не понял. зачем добровольно ломать то, что не сломано? при том что ркн сам предлагает вариант не ломать. или вы что-то знаете, чего нет в записке от ркн? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ilya Опубликовано 2 марта, 2021 (изменено) · Жалоба 15 hours ago, Умник said: Чтобы запросить трансфер зоны "." (AXFR), как это подразумевается, а не NS-записи. Так они разве не для этого собирают IP адреса, откуда мы зону будем просить ? В любом случае отдадут то тоже самое. Изменено 2 марта, 2021 пользователем Ilya Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Стич Опубликовано 2 марта, 2021 · Жалоба Что будет если 194.85.254.37 умрет? Срочно руками на нормальные настройки возвращать или костыль писать. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Andrei Опубликовано 2 марта, 2021 · Жалоба 1 час назад, Стич сказал: Что будет если 194.85.254.37 умрет? Трассировка маршрута к 194.85.254.37 с максимальным числом прыжков 30 1 2 ms 1 ms <1 мс 192.168.1.1 2 3 ms 1 ms 1 ms 10.1.1.1 3 1 ms 1 ms 1 ms 188.xxx.xxx.xxx 4 8 ms 6 ms 8 ms 89.xxx.xxx.xxx 5 22 ms 7 ms 6 ms 217.150.62.70 6 28 ms 37 ms 28 ms 217.150.44.70 7 28 ms 27 ms 29 ms 217.150.44.69 8 28 ms 36 ms 27 ms 193.232.226.166 9 193.232.226.166 сообщает: Заданная сеть недоступна. Трассировка завершена. Т.е. по пингам его живость не определить. Там только 53й порт и открыт: nmap -Pn 194.85.254.37 Starting Nmap 6.00 ( http://nmap.org ) at 2021-03-02 12:55 +05 Nmap scan report for mu-lb.cmu.msk-ix.ru (194.85.254.37) Host is up (0.026s latency). Not shown: 999 filtered ports PORT STATE SERVICE 53/tcp open domain Nmap done: 1 IP address (1 host up) scanned in 6.77 seconds Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
whyberg Опубликовано 2 марта, 2021 · Жалоба 1 hour ago, Стич said: Что будет если 194.85.254.37 умрет? Срочно руками на нормальные настройки возвращать или костыль писать. 7 дней ничего :) потом все перестанет резолвиться :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Умник Опубликовано 2 марта, 2021 · Жалоба 4 часа назад, Ilya сказал: Так они разве не для этого собирают IP адреса, откуда мы зону будем просить ? IP-адреса собирают, что разрешить с этих адресов делать AXFR. Вы должны мочь получить с их сервера аналог этого: dig . @k.root-servers.net axfr Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Стич Опубликовано 2 марта, 2021 · Жалоба 6 часов назад, Andrei сказал: Т.е. по пингам его живость не определить. Там только 53й порт и открыт ну живость можно определять попыткой делать нормальный запрос или по логам днс'а это всё равно костыль Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Andrei Опубликовано 2 марта, 2021 · Жалоба 10 минут назад, Стич сказал: костыль telnet 194.85.254.37 53 Trying 194.85.254.37... Connected to 194.85.254.37. Escape character is '^]'. Connection closed by foreign host. тоже вобщем-то костыль. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
MMM Опубликовано 3 марта, 2021 · Жалоба Про что речь вообще? Это?https://en.wikipedia.org/wiki/Alternative_DNS_root#Russian_National_Domain_Name_System Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ilya Опубликовано 4 марта, 2021 · Жалоба On 3/2/2021 at 2:08 PM, Умник said: IP-адреса собирают, что разрешить с этих адресов делать AXFR. Вы должны мочь получить с их сервера аналог этого: Это был риторический вопрос если вы не поняли) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
bike Опубликовано 13 марта, 2021 · Жалоба В 28.02.2021 в 18:35, Vadic сказал: Ну тогда не знаю. Скорее всего я их готовить не умею. Подожду что ответят с НСДИ. Что то ответили из ЦМУ ССОП? [root@UnboundDNS log]# dig mp. ns @8.8.8.8 ; <<>> DiG 9.11.4-P2-RedHat-9.11.4-26.P2.el7_9.4 <<>> mp. ns @8.8.8.8 ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 2536 ;; flags: qr rd ra; QUERY: 1, ANSWER: 4, AUTHORITY: 0, ADDITIONAL: 1 ;; OPT PSEUDOSECTION: ; EDNS: version: 0, flags:; udp: 512 ;; QUESTION SECTION: ;mp. IN NS ;; ANSWER SECTION: mp. 20578 IN NS ns4.nic.mp. mp. 20578 IN NS ns2.nic.mp. mp. 20578 IN NS ns3.nic.mp. mp. 20578 IN NS ns1.nic.mp. ;; Query time: 20 msec ;; SERVER: 8.8.8.8#53(8.8.8.8) ;; WHEN: Sat Mar 13 21:20:12 MSK 2021 ;; MSG SIZE rcvd: 107 [root@UnboundDNS log]# dig mp. ns @127.0.0.1 ; <<>> DiG 9.11.4-P2-RedHat-9.11.4-26.P2.el7_9.4 <<>> mp. ns @127.0.0.1 ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: SERVFAIL, id: 4606 ;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 1 ;; OPT PSEUDOSECTION: ; EDNS: version: 0, flags:; udp: 4096 ;; QUESTION SECTION: ;mp. IN NS ;; Query time: 1 msec ;; SERVER: 127.0.0.1#53(127.0.0.1) ;; WHEN: Sat Mar 13 21:20:18 MSK 2021 ;; MSG SIZE rcvd: 31 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Vadic Опубликовано 13 марта, 2021 · Жалоба А ответа так и нет. Глухо как в танке. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
bike Опубликовано 13 марта, 2021 · Жалоба 33 минуты назад, Vadic сказал: А ответа так и нет. Глухо как в танке. Это как всегда, не понятно другое - В 01.03.2021 в 05:39, taf_321 сказал: В схеме с применением stub-зоны в unbound перестали резолвится хосты в зоне .sk что-то криво у них там все же работает. [root@UnboundDNS log]# dig sk. ns @127.0.0.1 ; <<>> DiG 9.11.4-P2-RedHat-9.11.4-26.P2.el7_9.4 <<>> sk. ns @127.0.0.1 ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 55094 ;; flags: qr rd ra ad; QUERY: 1, ANSWER: 7, AUTHORITY: 0, ADDITIONAL: 1 ;; OPT PSEUDOSECTION: ; EDNS: version: 0, flags:; udp: 4096 ;; QUESTION SECTION: ;sk. IN NS ;; ANSWER SECTION: sk. 83169 IN NS f.tld.sk. sk. 83169 IN NS g.tld.sk. sk. 83169 IN NS h.tld.sk. sk. 83169 IN NS a.tld.sk. sk. 83169 IN NS b.tld.sk. sk. 83169 IN NS c.tld.sk. sk. 83169 IN NS e.tld.sk. ;; Query time: 2 msec ;; SERVER: 127.0.0.1#53(127.0.0.1) ;; WHEN: Sat Mar 13 22:06:45 MSK 2021 ;; MSG SIZE rcvd: 147 Почему не работает зона "mp.",а "sk." работает не у всех - как это вылавливать и дебажить? Спасает только 2й DNS без "скреп". П.С. А какие у кого версии unbound, включен ли DNSSEC? version: 1.10.1 modules: 2 [ validator iterator ] Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Vadic Опубликовано 13 марта, 2021 (изменено) · Жалоба Я пока не получив ответа сделал по другому. Закоментировал строчку с root-hints и добавил в конфигурацию: stub-zone: name: "." stub-addr: 195.208.6.1 stub-addr: 195.208.7.1 stub-addr: 2a0c:a9c7:a::1 stub-addr: 2a0c:a9c7:b::1 stub-addr: 198.41.0.4 stub-addr: 2001:503:ba3e::2:30 stub-addr: 199.9.14.201 stub-addr: 2001:500:200::b stub-addr: 192.33.4.12 stub-addr: 2001:500:2::c stub-addr: 199.7.91.13 stub-addr: 2001:500:2d::d stub-addr: 192.203.230.10 stub-addr: 2001:500:a8::e stub-addr: 192.5.5.241 stub-addr: 2001:500:2f::f stub-addr: 192.112.36.4 stub-addr: 2001:500:12::d0d stub-addr: 198.97.190.53 stub-addr: 2001:500:1::53 stub-addr: 192.36.148.17 stub-addr: 2001:7fe::53 stub-addr: 192.58.128.30 stub-addr: 2001:503:c27::2:30 stub-addr: 193.0.14.129 stub-addr: 2001:7fd::1 stub-addr: 199.7.83.42 stub-addr: 2001:500:9f::42 stub-addr: 202.12.27.33 stub-addr: 2001:dc3::35 stub-prime: no stub-first: no stub-ssl-upstream: no Корневики не так часто меняют свои адреса поэтому думаю это будет работать еще долго. Все что не знает НСДИ unbound спрашивает у корневиков как положено. В такой конфигурации абоненты перестали жаловаться на неработающие ресурсы. P.S. init module 0: ipsecmod init module 1: validator init module 2: iterator start of service (unbound 1.6.6) Изменено 13 марта, 2021 пользователем Vadic Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
bike Опубликовано 23 марта, 2021 · Жалоба Апну тему. Письмо в ndr@noc.gov.ru написано, а в ответ тишина. Завтра продублирую. Это мелочи - [root@UnboundDNS ~]# dig mp. ns @127.0.0.1 ; <<>> DiG 9.11.4-P2-RedHat-9.11.4-26.P2.el7_9.4 <<>> mp. ns @127.0.0.1 ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: SERVFAIL, id: 33466 Тут веселей - [root@UnboundDNS ~]# dig st. ns @127.0.0.1 ; <<>> DiG 9.11.4-P2-RedHat-9.11.4-26.P2.el7_9.4 <<>> st. ns @127.0.0.1 ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: SERVFAIL, id: 48062 ;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 1 ;; OPT PSEUDOSECTION: ; EDNS: version: 0, flags:; udp: 4096 ;; QUESTION SECTION: ;st. IN NS ;; Query time: 502 msec ;; SERVER: 127.0.0.1#53(127.0.0.1) ;; WHEN: Tue Mar 23 18:34:59 MSK 2021 ;; MSG SIZE rcvd: 31 В части - [root@UnboundDNS ~]# dig avito.st ; <<>> DiG 9.11.4-P2-RedHat-9.11.4-26.P2.el7_9.4 <<>> avito.st ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: SERVFAIL, id: 27546 ;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 1 ;; OPT PSEUDOSECTION: ; EDNS: version: 0, flags:; udp: 4096 ;; QUESTION SECTION: ;avito.st. IN A ;; Query time: 0 msec ;; SERVER: 127.0.0.1#53(127.0.0.1) ;; WHEN: Tue Mar 23 18:36:44 MSK 2021 ;; MSG SIZE rcvd: 37 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...