Jump to content
Калькуляторы

НСДИ и pdns-recursor

On 2/26/2021 at 8:38 PM, Ivan_83 said:

Да закопай ты уже свой pdns, поставь unbound, тоже самое только конфиг текстовый

Зачем я буду закапывать pdns, если это "тоже самое"? :) И пересобирать pdns для правки конфига не нужно. Здесь вопрос не в выборе dns-рекурсора, вопрос про конкретную его реализацию и поведение в определенной ситуации.

 

 

Share this post


Link to post
Share on other sites

4 часа назад, taf_321 сказал:

В схеме с применением stub-зоны в unbound перестали резолвится хосты в зоне .sk что-то криво у них там все же работает.

С forward тоже не все гладко. Так как если есть другие forward, он их будет игнорить.

Share this post


Link to post
Share on other sites

19 часов назад, Ilya сказал:

Ну забрал я с указанного РКН IP root зону. Она отдается ровно такая же, как c любого из нормальных root серверов.
Пока война не началась, так и будет. А как начнется, нам будет уже пофиг. РКН не регламентирует как часто я должен обновлять
root.hints, механизма проверки тоже нет. Идиотизм - да. Опасный ? Не особо. (речь только о варианте c root.hints конечно. Ставить клиентам резолвер от РКН понятное дело на трезвую голову никто не станет. )

 

Или я чего то не догоняю?

Они прописали вам разрешение забрать зону? Письмо отправляли им? На какой адрес? 

Share this post


Link to post
Share on other sites

3 hours ago, remos said:

Они прописали вам разрешение забрать зону? Письмо отправляли им? На какой адрес? 

А зачем мне разрешение?

dig . ns @194.85.254.37

; <<>> DiG 9.16.9 <<>> . ns @194.85.254.37
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 30502
;; flags: qr aa rd; QUERY: 1, ANSWER: 13, AUTHORITY: 0, ADDITIONAL: 27
;; WARNING: recursion requested but not available

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 1232
;; QUESTION SECTION:
;.                              IN      NS

;; ANSWER SECTION:
.                       518400  IN      NS      m.root-servers.net.
.                       518400  IN      NS      h.root-servers.net.
.                       518400  IN      NS      l.root-servers.net.
.                       518400  IN      NS      i.root-servers.net.
.                       518400  IN      NS      f.root-servers.net.
.                       518400  IN      NS      k.root-servers.net.
.                       518400  IN      NS      d.root-servers.net.
.                       518400  IN      NS      g.root-servers.net.
.                       518400  IN      NS      b.root-servers.net.
.                       518400  IN      NS      e.root-servers.net.
.                       518400  IN      NS      j.root-servers.net.
.                       518400  IN      NS      c.root-servers.net.
.                       518400  IN      NS      a.root-servers.net.

;; ADDITIONAL SECTION:
m.root-servers.net.     518400  IN      AAAA    2001:dc3::35
g.root-servers.net.     518400  IN      AAAA    2001:500:12::d0d
l.root-servers.net.     518400  IN      AAAA    2001:500:9f::42
g.root-servers.net.     518400  IN      A       192.112.36.4
l.root-servers.net.     518400  IN      A       199.7.83.42
m.root-servers.net.     518400  IN      A       202.12.27.33
e.root-servers.net.     518400  IN      A       192.203.230.10
f.root-servers.net.     518400  IN      A       192.5.5.241
j.root-servers.net.     518400  IN      A       192.58.128.30
i.root-servers.net.     518400  IN      AAAA    2001:7fe::53
k.root-servers.net.     518400  IN      AAAA    2001:7fd::1
b.root-servers.net.     518400  IN      A       199.9.14.201
b.root-servers.net.     518400  IN      AAAA    2001:500:200::b
i.root-servers.net.     518400  IN      A       192.36.148.17
c.root-servers.net.     518400  IN      AAAA    2001:500:2::c
d.root-servers.net.     518400  IN      AAAA    2001:500:2d::d
d.root-servers.net.     518400  IN      A       199.7.91.13
c.root-servers.net.     518400  IN      A       192.33.4.12
a.root-servers.net.     518400  IN      A       198.41.0.4
k.root-servers.net.     518400  IN      A       193.0.14.129
a.root-servers.net.     518400  IN      AAAA    2001:503:ba3e::2:30
e.root-servers.net.     518400  IN      AAAA    2001:500:a8::e
h.root-servers.net.     518400  IN      AAAA    2001:500:1::53
f.root-servers.net.     518400  IN      AAAA    2001:500:2f::f
h.root-servers.net.     518400  IN      A       198.97.190.53
j.root-servers.net.     518400  IN      AAAA    2001:503:c27::2:30

;; Query time: 71 msec
;; SERVER: 194.85.254.37#53(194.85.254.37)
;; WHEN: Mon Mar 01 15:17:42 MSK 2021
;; MSG SIZE  rcvd: 811

 

Share this post


Link to post
Share on other sites

56 минут назад, Ilya сказал:

А зачем мне разрешение?

dig . ns @194.85.254.37

 

 

Все верно, но NSD синхронизироваться не хочет.

 

 error: xfrd: zone . received error code SERVER NOT AUTHORITATIVE FOR ZONE from 194.85.254.37

Edited by remos

Share this post


Link to post
Share on other sites

2 часа назад, Ilya сказал:

А зачем мне разрешение?

 

Чтобы запросить трансфер зоны "." (AXFR), как это подразумевается, а не NS-записи.

Edited by Умник

Share this post


Link to post
Share on other sites

а зачем ломать существующие системы? они же на выбор предлагают один из 4 вариантов, причем первый (поднять у себя авторитетный отдельно стоящий bind) - наименее инвазивный. пусть развлекаются.

Share this post


Link to post
Share on other sites

1 час назад, boco сказал:

а зачем ломать существующие системы? они же на выбор предлагают один из 4 вариантов, причем первый (поднять у себя авторитетный отдельно стоящий bind) - наименее инвазивный. пусть развлекаются.

Потому что, первый вариант в ближайшем будущем будут реализовывать все, зачем откладывать на потом, то что можно сделать сейчас.

Share this post


Link to post
Share on other sites

2 часа назад, remos сказал:

Потому что, первый вариант в ближайшем будущем будут реализовывать все, зачем откладывать на потом, то что можно сделать сейчас.

я, честно говоря, ваш ответ не понял. зачем добровольно ломать то, что не сломано? при том что ркн сам предлагает вариант не ломать. или вы что-то знаете, чего нет в записке от ркн?

Share this post


Link to post
Share on other sites

15 hours ago, Умник said:

Чтобы запросить трансфер зоны "." (AXFR), как это подразумевается, а не NS-записи.

 

Так они разве не для этого собирают IP адреса, откуда мы зону будем просить ?  В любом случае отдадут то тоже самое.

Edited by Ilya

Share this post


Link to post
Share on other sites

1 час назад, Стич сказал:

Что будет если 194.85.254.37 умрет?

Трассировка маршрута к 194.85.254.37 с максимальным числом прыжков 30

  1     2 ms     1 ms    <1 мс  192.168.1.1 
  2     3 ms     1 ms     1 ms  10.1.1.1 
  3     1 ms     1 ms     1 ms  188.xxx.xxx.xxx
  4     8 ms     6 ms     8 ms  89.xxx.xxx.xxx 
  5    22 ms     7 ms     6 ms  217.150.62.70 
  6    28 ms    37 ms    28 ms  217.150.44.70 
  7    28 ms    27 ms    29 ms  217.150.44.69 
  8    28 ms    36 ms    27 ms  193.232.226.166 
  9  193.232.226.166  сообщает: Заданная сеть недоступна.

Трассировка завершена.

Т.е. по пингам его живость не определить. Там только 53й порт и открыт:

 nmap -Pn 194.85.254.37

Starting Nmap 6.00 ( http://nmap.org ) at 2021-03-02 12:55 +05
Nmap scan report for mu-lb.cmu.msk-ix.ru (194.85.254.37)
Host is up (0.026s latency).
Not shown: 999 filtered ports
PORT   STATE SERVICE
53/tcp open  domain

Nmap done: 1 IP address (1 host up) scanned in 6.77 seconds

 

Share this post


Link to post
Share on other sites

1 hour ago, Стич said:

Что будет если 194.85.254.37 умрет?

Срочно руками на нормальные настройки возвращать или костыль писать. 

7 дней ничего :) потом все перестанет резолвиться :)

Share this post


Link to post
Share on other sites

4 часа назад, Ilya сказал:

Так они разве не для этого собирают IP адреса, откуда мы зону будем просить ?

IP-адреса собирают, что разрешить с этих адресов делать AXFR. Вы должны мочь получить с их сервера аналог этого:



dig . @k.root-servers.net axfr

Share this post


Link to post
Share on other sites

6 часов назад, Andrei сказал:

Т.е. по пингам его живость не определить. Там только 53й порт и открыт

ну живость можно определять попыткой делать нормальный запрос или по логам днс'а

это всё равно костыль

Share this post


Link to post
Share on other sites

10 минут назад, Стич сказал:

костыль

telnet 194.85.254.37 53
Trying 194.85.254.37...
Connected to 194.85.254.37.
Escape character is '^]'.
Connection closed by foreign host.

тоже вобщем-то костыль.

Share this post


Link to post
Share on other sites

On 3/2/2021 at 2:08 PM, Умник said:

IP-адреса собирают, что разрешить с этих адресов делать AXFR. Вы должны мочь получить с их сервера аналог этого:

 

 

Это был риторический вопрос если вы не поняли)

Share this post


Link to post
Share on other sites

В 28.02.2021 в 18:35, Vadic сказал:

Ну тогда не знаю. Скорее всего я их готовить не умею. Подожду что ответят с НСДИ. 

Что то ответили из ЦМУ ССОП?
 

[root@UnboundDNS log]# dig mp. ns @8.8.8.8

; <<>> DiG 9.11.4-P2-RedHat-9.11.4-26.P2.el7_9.4 <<>> mp. ns @8.8.8.8
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 2536
;; flags: qr rd ra; QUERY: 1, ANSWER: 4, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 512
;; QUESTION SECTION:
;mp.                            IN      NS

;; ANSWER SECTION:
mp.                     20578   IN      NS      ns4.nic.mp.
mp.                     20578   IN      NS      ns2.nic.mp.
mp.                     20578   IN      NS      ns3.nic.mp.
mp.                     20578   IN      NS      ns1.nic.mp.

;; Query time: 20 msec
;; SERVER: 8.8.8.8#53(8.8.8.8)
;; WHEN: Sat Mar 13 21:20:12 MSK 2021
;; MSG SIZE  rcvd: 107

[root@UnboundDNS log]# dig mp. ns @127.0.0.1

; <<>> DiG 9.11.4-P2-RedHat-9.11.4-26.P2.el7_9.4 <<>> mp. ns @127.0.0.1
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: SERVFAIL, id: 4606
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;mp.                            IN      NS

;; Query time: 1 msec
;; SERVER: 127.0.0.1#53(127.0.0.1)
;; WHEN: Sat Mar 13 21:20:18 MSK 2021
;; MSG SIZE  rcvd: 31

 

Share this post


Link to post
Share on other sites

33 минуты назад, Vadic сказал:

А ответа так и нет. Глухо как в танке.

 

Это как всегда, не понятно другое -

В 01.03.2021 в 05:39, taf_321 сказал:

В схеме с применением stub-зоны в unbound перестали резолвится хосты в зоне .sk что-то криво у них там все же работает.

[root@UnboundDNS log]# dig sk. ns @127.0.0.1

; <<>> DiG 9.11.4-P2-RedHat-9.11.4-26.P2.el7_9.4 <<>> sk. ns @127.0.0.1
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 55094
;; flags: qr rd ra ad; QUERY: 1, ANSWER: 7, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;sk.                            IN      NS

;; ANSWER SECTION:
sk.                     83169   IN      NS      f.tld.sk.
sk.                     83169   IN      NS      g.tld.sk.
sk.                     83169   IN      NS      h.tld.sk.
sk.                     83169   IN      NS      a.tld.sk.
sk.                     83169   IN      NS      b.tld.sk.
sk.                     83169   IN      NS      c.tld.sk.
sk.                     83169   IN      NS      e.tld.sk.

;; Query time: 2 msec
;; SERVER: 127.0.0.1#53(127.0.0.1)
;; WHEN: Sat Mar 13 22:06:45 MSK 2021
;; MSG SIZE  rcvd: 147

Почему не работает зона "mp.",а "sk." работает не у всех - как это вылавливать и дебажить?

Спасает только 2й DNS без "скреп".

 

П.С. А какие у кого версии unbound, включен ли DNSSEC?

version: 1.10.1
modules: 2 [ validator iterator ]

 

Share this post


Link to post
Share on other sites

Я пока не получив ответа сделал по другому.

Закоментировал строчку с root-hints и добавил в конфигурацию:

 stub-zone:
        name: "."
        stub-addr: 195.208.6.1
        stub-addr: 195.208.7.1
        stub-addr: 2a0c:a9c7:a::1
        stub-addr: 2a0c:a9c7:b::1
        stub-addr: 198.41.0.4
        stub-addr: 2001:503:ba3e::2:30
        stub-addr: 199.9.14.201
        stub-addr: 2001:500:200::b
        stub-addr: 192.33.4.12
        stub-addr: 2001:500:2::c
        stub-addr: 199.7.91.13
        stub-addr: 2001:500:2d::d
        stub-addr: 192.203.230.10
        stub-addr: 2001:500:a8::e
        stub-addr: 192.5.5.241
        stub-addr: 2001:500:2f::f
        stub-addr: 192.112.36.4
        stub-addr: 2001:500:12::d0d
        stub-addr: 198.97.190.53
        stub-addr: 2001:500:1::53
        stub-addr: 192.36.148.17
        stub-addr: 2001:7fe::53
        stub-addr: 192.58.128.30
        stub-addr: 2001:503:c27::2:30
        stub-addr: 193.0.14.129
        stub-addr: 2001:7fd::1
        stub-addr: 199.7.83.42
        stub-addr: 2001:500:9f::42
        stub-addr: 202.12.27.33
        stub-addr: 2001:dc3::35
        stub-prime: no
        stub-first: no
        stub-ssl-upstream: no
 

Корневики не так часто меняют свои адреса поэтому думаю это будет работать еще долго. Все что не знает НСДИ unbound спрашивает у корневиков как положено. В такой конфигурации абоненты перестали жаловаться на неработающие ресурсы.

 

P.S.

init module 0: ipsecmod
init module 1: validator
init module 2: iterator
start of service (unbound 1.6.6)
 

Edited by Vadic

Share this post


Link to post
Share on other sites

Апну тему.

Письмо в ndr@noc.gov.ru написано, а в ответ тишина. Завтра продублирую.

 

Это мелочи -

[root@UnboundDNS ~]# dig mp. ns @127.0.0.1

; <<>> DiG 9.11.4-P2-RedHat-9.11.4-26.P2.el7_9.4 <<>> mp. ns @127.0.0.1
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: SERVFAIL, id: 33466

 

Тут веселей -

 

[root@UnboundDNS ~]# dig st. ns @127.0.0.1

; <<>> DiG 9.11.4-P2-RedHat-9.11.4-26.P2.el7_9.4 <<>> st. ns @127.0.0.1
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: SERVFAIL, id: 48062
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;st.                            IN      NS

;; Query time: 502 msec
;; SERVER: 127.0.0.1#53(127.0.0.1)
;; WHEN: Tue Mar 23 18:34:59 MSK 2021
;; MSG SIZE  rcvd: 31

 

В части -

 

[root@UnboundDNS ~]# dig avito.st

; <<>> DiG 9.11.4-P2-RedHat-9.11.4-26.P2.el7_9.4 <<>> avito.st
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: SERVFAIL, id: 27546
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;avito.st.                      IN      A

;; Query time: 0 msec
;; SERVER: 127.0.0.1#53(127.0.0.1)
;; WHEN: Tue Mar 23 18:36:44 MSK 2021
;; MSG SIZE  rcvd: 37

 

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.