Перейти к содержимому
Калькуляторы

Ну тогда не знаю. Скорее всего я их готовить не умею. Подожду что ответят с НСДИ. 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В схеме с применением stub-зоны в unbound перестали резолвится хосты в зоне .sk что-то криво у них там все же работает.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

On 2/26/2021 at 8:38 PM, Ivan_83 said:

Да закопай ты уже свой pdns, поставь unbound, тоже самое только конфиг текстовый

Зачем я буду закапывать pdns, если это "тоже самое"? :) И пересобирать pdns для правки конфига не нужно. Здесь вопрос не в выборе dns-рекурсора, вопрос про конкретную его реализацию и поведение в определенной ситуации.

 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

4 часа назад, taf_321 сказал:

В схеме с применением stub-зоны в unbound перестали резолвится хосты в зоне .sk что-то криво у них там все же работает.

С forward тоже не все гладко. Так как если есть другие forward, он их будет игнорить.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

19 часов назад, Ilya сказал:

Ну забрал я с указанного РКН IP root зону. Она отдается ровно такая же, как c любого из нормальных root серверов.
Пока война не началась, так и будет. А как начнется, нам будет уже пофиг. РКН не регламентирует как часто я должен обновлять
root.hints, механизма проверки тоже нет. Идиотизм - да. Опасный ? Не особо. (речь только о варианте c root.hints конечно. Ставить клиентам резолвер от РКН понятное дело на трезвую голову никто не станет. )

 

Или я чего то не догоняю?

Они прописали вам разрешение забрать зону? Письмо отправляли им? На какой адрес? 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

3 hours ago, remos said:

Они прописали вам разрешение забрать зону? Письмо отправляли им? На какой адрес? 

А зачем мне разрешение?

dig . ns @194.85.254.37

; <<>> DiG 9.16.9 <<>> . ns @194.85.254.37
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 30502
;; flags: qr aa rd; QUERY: 1, ANSWER: 13, AUTHORITY: 0, ADDITIONAL: 27
;; WARNING: recursion requested but not available

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 1232
;; QUESTION SECTION:
;.                              IN      NS

;; ANSWER SECTION:
.                       518400  IN      NS      m.root-servers.net.
.                       518400  IN      NS      h.root-servers.net.
.                       518400  IN      NS      l.root-servers.net.
.                       518400  IN      NS      i.root-servers.net.
.                       518400  IN      NS      f.root-servers.net.
.                       518400  IN      NS      k.root-servers.net.
.                       518400  IN      NS      d.root-servers.net.
.                       518400  IN      NS      g.root-servers.net.
.                       518400  IN      NS      b.root-servers.net.
.                       518400  IN      NS      e.root-servers.net.
.                       518400  IN      NS      j.root-servers.net.
.                       518400  IN      NS      c.root-servers.net.
.                       518400  IN      NS      a.root-servers.net.

;; ADDITIONAL SECTION:
m.root-servers.net.     518400  IN      AAAA    2001:dc3::35
g.root-servers.net.     518400  IN      AAAA    2001:500:12::d0d
l.root-servers.net.     518400  IN      AAAA    2001:500:9f::42
g.root-servers.net.     518400  IN      A       192.112.36.4
l.root-servers.net.     518400  IN      A       199.7.83.42
m.root-servers.net.     518400  IN      A       202.12.27.33
e.root-servers.net.     518400  IN      A       192.203.230.10
f.root-servers.net.     518400  IN      A       192.5.5.241
j.root-servers.net.     518400  IN      A       192.58.128.30
i.root-servers.net.     518400  IN      AAAA    2001:7fe::53
k.root-servers.net.     518400  IN      AAAA    2001:7fd::1
b.root-servers.net.     518400  IN      A       199.9.14.201
b.root-servers.net.     518400  IN      AAAA    2001:500:200::b
i.root-servers.net.     518400  IN      A       192.36.148.17
c.root-servers.net.     518400  IN      AAAA    2001:500:2::c
d.root-servers.net.     518400  IN      AAAA    2001:500:2d::d
d.root-servers.net.     518400  IN      A       199.7.91.13
c.root-servers.net.     518400  IN      A       192.33.4.12
a.root-servers.net.     518400  IN      A       198.41.0.4
k.root-servers.net.     518400  IN      A       193.0.14.129
a.root-servers.net.     518400  IN      AAAA    2001:503:ba3e::2:30
e.root-servers.net.     518400  IN      AAAA    2001:500:a8::e
h.root-servers.net.     518400  IN      AAAA    2001:500:1::53
f.root-servers.net.     518400  IN      AAAA    2001:500:2f::f
h.root-servers.net.     518400  IN      A       198.97.190.53
j.root-servers.net.     518400  IN      AAAA    2001:503:c27::2:30

;; Query time: 71 msec
;; SERVER: 194.85.254.37#53(194.85.254.37)
;; WHEN: Mon Mar 01 15:17:42 MSK 2021
;; MSG SIZE  rcvd: 811

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

56 минут назад, Ilya сказал:

А зачем мне разрешение?

dig . ns @194.85.254.37

 

 

Все верно, но NSD синхронизироваться не хочет.

 

 error: xfrd: zone . received error code SERVER NOT AUTHORITATIVE FOR ZONE from 194.85.254.37

Изменено пользователем remos

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

2 часа назад, Ilya сказал:

А зачем мне разрешение?

 

Чтобы запросить трансфер зоны "." (AXFR), как это подразумевается, а не NS-записи.

Изменено пользователем Умник

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

а зачем ломать существующие системы? они же на выбор предлагают один из 4 вариантов, причем первый (поднять у себя авторитетный отдельно стоящий bind) - наименее инвазивный. пусть развлекаются.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

1 час назад, boco сказал:

а зачем ломать существующие системы? они же на выбор предлагают один из 4 вариантов, причем первый (поднять у себя авторитетный отдельно стоящий bind) - наименее инвазивный. пусть развлекаются.

Потому что, первый вариант в ближайшем будущем будут реализовывать все, зачем откладывать на потом, то что можно сделать сейчас.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

2 часа назад, remos сказал:

Потому что, первый вариант в ближайшем будущем будут реализовывать все, зачем откладывать на потом, то что можно сделать сейчас.

я, честно говоря, ваш ответ не понял. зачем добровольно ломать то, что не сломано? при том что ркн сам предлагает вариант не ломать. или вы что-то знаете, чего нет в записке от ркн?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

15 hours ago, Умник said:

Чтобы запросить трансфер зоны "." (AXFR), как это подразумевается, а не NS-записи.

 

Так они разве не для этого собирают IP адреса, откуда мы зону будем просить ?  В любом случае отдадут то тоже самое.

Изменено пользователем Ilya

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Что будет если 194.85.254.37 умрет?

Срочно руками на нормальные настройки возвращать или костыль писать.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

1 час назад, Стич сказал:

Что будет если 194.85.254.37 умрет?

Трассировка маршрута к 194.85.254.37 с максимальным числом прыжков 30

  1     2 ms     1 ms    <1 мс  192.168.1.1 
  2     3 ms     1 ms     1 ms  10.1.1.1 
  3     1 ms     1 ms     1 ms  188.xxx.xxx.xxx
  4     8 ms     6 ms     8 ms  89.xxx.xxx.xxx 
  5    22 ms     7 ms     6 ms  217.150.62.70 
  6    28 ms    37 ms    28 ms  217.150.44.70 
  7    28 ms    27 ms    29 ms  217.150.44.69 
  8    28 ms    36 ms    27 ms  193.232.226.166 
  9  193.232.226.166  сообщает: Заданная сеть недоступна.

Трассировка завершена.

Т.е. по пингам его живость не определить. Там только 53й порт и открыт:

 nmap -Pn 194.85.254.37

Starting Nmap 6.00 ( http://nmap.org ) at 2021-03-02 12:55 +05
Nmap scan report for mu-lb.cmu.msk-ix.ru (194.85.254.37)
Host is up (0.026s latency).
Not shown: 999 filtered ports
PORT   STATE SERVICE
53/tcp open  domain

Nmap done: 1 IP address (1 host up) scanned in 6.77 seconds

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

1 hour ago, Стич said:

Что будет если 194.85.254.37 умрет?

Срочно руками на нормальные настройки возвращать или костыль писать. 

7 дней ничего :) потом все перестанет резолвиться :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

4 часа назад, Ilya сказал:

Так они разве не для этого собирают IP адреса, откуда мы зону будем просить ?

IP-адреса собирают, что разрешить с этих адресов делать AXFR. Вы должны мочь получить с их сервера аналог этого:



dig . @k.root-servers.net axfr

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

6 часов назад, Andrei сказал:

Т.е. по пингам его живость не определить. Там только 53й порт и открыт

ну живость можно определять попыткой делать нормальный запрос или по логам днс'а

это всё равно костыль

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

10 минут назад, Стич сказал:

костыль

telnet 194.85.254.37 53
Trying 194.85.254.37...
Connected to 194.85.254.37.
Escape character is '^]'.
Connection closed by foreign host.

тоже вобщем-то костыль.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

On 3/2/2021 at 2:08 PM, Умник said:

IP-адреса собирают, что разрешить с этих адресов делать AXFR. Вы должны мочь получить с их сервера аналог этого:

 

 

Это был риторический вопрос если вы не поняли)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В 28.02.2021 в 18:35, Vadic сказал:

Ну тогда не знаю. Скорее всего я их готовить не умею. Подожду что ответят с НСДИ. 

Что то ответили из ЦМУ ССОП?
 

[root@UnboundDNS log]# dig mp. ns @8.8.8.8

; <<>> DiG 9.11.4-P2-RedHat-9.11.4-26.P2.el7_9.4 <<>> mp. ns @8.8.8.8
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 2536
;; flags: qr rd ra; QUERY: 1, ANSWER: 4, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 512
;; QUESTION SECTION:
;mp.                            IN      NS

;; ANSWER SECTION:
mp.                     20578   IN      NS      ns4.nic.mp.
mp.                     20578   IN      NS      ns2.nic.mp.
mp.                     20578   IN      NS      ns3.nic.mp.
mp.                     20578   IN      NS      ns1.nic.mp.

;; Query time: 20 msec
;; SERVER: 8.8.8.8#53(8.8.8.8)
;; WHEN: Sat Mar 13 21:20:12 MSK 2021
;; MSG SIZE  rcvd: 107

[root@UnboundDNS log]# dig mp. ns @127.0.0.1

; <<>> DiG 9.11.4-P2-RedHat-9.11.4-26.P2.el7_9.4 <<>> mp. ns @127.0.0.1
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: SERVFAIL, id: 4606
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;mp.                            IN      NS

;; Query time: 1 msec
;; SERVER: 127.0.0.1#53(127.0.0.1)
;; WHEN: Sat Mar 13 21:20:18 MSK 2021
;; MSG SIZE  rcvd: 31

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

33 минуты назад, Vadic сказал:

А ответа так и нет. Глухо как в танке.

 

Это как всегда, не понятно другое -

В 01.03.2021 в 05:39, taf_321 сказал:

В схеме с применением stub-зоны в unbound перестали резолвится хосты в зоне .sk что-то криво у них там все же работает.

[root@UnboundDNS log]# dig sk. ns @127.0.0.1

; <<>> DiG 9.11.4-P2-RedHat-9.11.4-26.P2.el7_9.4 <<>> sk. ns @127.0.0.1
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 55094
;; flags: qr rd ra ad; QUERY: 1, ANSWER: 7, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;sk.                            IN      NS

;; ANSWER SECTION:
sk.                     83169   IN      NS      f.tld.sk.
sk.                     83169   IN      NS      g.tld.sk.
sk.                     83169   IN      NS      h.tld.sk.
sk.                     83169   IN      NS      a.tld.sk.
sk.                     83169   IN      NS      b.tld.sk.
sk.                     83169   IN      NS      c.tld.sk.
sk.                     83169   IN      NS      e.tld.sk.

;; Query time: 2 msec
;; SERVER: 127.0.0.1#53(127.0.0.1)
;; WHEN: Sat Mar 13 22:06:45 MSK 2021
;; MSG SIZE  rcvd: 147

Почему не работает зона "mp.",а "sk." работает не у всех - как это вылавливать и дебажить?

Спасает только 2й DNS без "скреп".

 

П.С. А какие у кого версии unbound, включен ли DNSSEC?

version: 1.10.1
modules: 2 [ validator iterator ]

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Я пока не получив ответа сделал по другому.

Закоментировал строчку с root-hints и добавил в конфигурацию:

 stub-zone:
        name: "."
        stub-addr: 195.208.6.1
        stub-addr: 195.208.7.1
        stub-addr: 2a0c:a9c7:a::1
        stub-addr: 2a0c:a9c7:b::1
        stub-addr: 198.41.0.4
        stub-addr: 2001:503:ba3e::2:30
        stub-addr: 199.9.14.201
        stub-addr: 2001:500:200::b
        stub-addr: 192.33.4.12
        stub-addr: 2001:500:2::c
        stub-addr: 199.7.91.13
        stub-addr: 2001:500:2d::d
        stub-addr: 192.203.230.10
        stub-addr: 2001:500:a8::e
        stub-addr: 192.5.5.241
        stub-addr: 2001:500:2f::f
        stub-addr: 192.112.36.4
        stub-addr: 2001:500:12::d0d
        stub-addr: 198.97.190.53
        stub-addr: 2001:500:1::53
        stub-addr: 192.36.148.17
        stub-addr: 2001:7fe::53
        stub-addr: 192.58.128.30
        stub-addr: 2001:503:c27::2:30
        stub-addr: 193.0.14.129
        stub-addr: 2001:7fd::1
        stub-addr: 199.7.83.42
        stub-addr: 2001:500:9f::42
        stub-addr: 202.12.27.33
        stub-addr: 2001:dc3::35
        stub-prime: no
        stub-first: no
        stub-ssl-upstream: no
 

Корневики не так часто меняют свои адреса поэтому думаю это будет работать еще долго. Все что не знает НСДИ unbound спрашивает у корневиков как положено. В такой конфигурации абоненты перестали жаловаться на неработающие ресурсы.

 

P.S.

init module 0: ipsecmod
init module 1: validator
init module 2: iterator
start of service (unbound 1.6.6)
 

Изменено пользователем Vadic

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Апну тему.

Письмо в ndr@noc.gov.ru написано, а в ответ тишина. Завтра продублирую.

 

Это мелочи -

[root@UnboundDNS ~]# dig mp. ns @127.0.0.1

; <<>> DiG 9.11.4-P2-RedHat-9.11.4-26.P2.el7_9.4 <<>> mp. ns @127.0.0.1
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: SERVFAIL, id: 33466

 

Тут веселей -

 

[root@UnboundDNS ~]# dig st. ns @127.0.0.1

; <<>> DiG 9.11.4-P2-RedHat-9.11.4-26.P2.el7_9.4 <<>> st. ns @127.0.0.1
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: SERVFAIL, id: 48062
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;st.                            IN      NS

;; Query time: 502 msec
;; SERVER: 127.0.0.1#53(127.0.0.1)
;; WHEN: Tue Mar 23 18:34:59 MSK 2021
;; MSG SIZE  rcvd: 31

 

В части -

 

[root@UnboundDNS ~]# dig avito.st

; <<>> DiG 9.11.4-P2-RedHat-9.11.4-26.P2.el7_9.4 <<>> avito.st
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: SERVFAIL, id: 27546
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;avito.st.                      IN      A

;; Query time: 0 msec
;; SERVER: 127.0.0.1#53(127.0.0.1)
;; WHEN: Tue Mar 23 18:36:44 MSK 2021
;; MSG SIZE  rcvd: 37

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.