zig.d25 Posted October 10 · Report post Все привет. Коллеги, соратники... Подскажите, в чем может быть проблема, может сталкивался кто. С момента начала свистопляски с Ютубом начались проблемы с почтой гугла. Мой почтовый сервер (mail.baykonur.ru) перестал нормально взаимодействовать с @gmail.com. Gmail.com стал ругаться, что у mail.baykonur.ru (217.199.217.202) отсутствует PTR. Проверил свои DNS сервера... Проблем не обнаружил.. Анонс обратных зон идет без проблем... https://dns.google/query?name=217.199.217.202&rr_type=PTR&ecs= https://dnschecker.org/#PTR/217.199.217.202 Получается только гугловкий публичный DNS отказывается работать с моими зонами. Написал в гугл, но ответа от них нет Подскажите куда копать??? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
yandrey Posted October 10 (edited) · Report post Наверно, НСы, ответственные за PTR host -t NS 217.199.217.in-addr.arpa 217.199.217.in-addr.arpa name server ns1.baykonur.ru. 217.199.217.in-addr.arpa name server ns2.baykonur.ru. не доступны/не отвечают гуглу, они в одной сети рядом (217.199.217.199, 217.199.217.200) что не очень хорошо. dns.google же так и пишет "Name servers did not respond [217.199.217.200, 217.199.217.199]". Edited October 10 by yandrey Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
zig.d25 Posted October 12 · Report post Это понятно, что не отвечают... Почему именно гуглу? Всем отвечают, а именно гуглу нет.... Сам гугл меня забанил?))) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Morty Posted October 13 (edited) · Report post 5 часов назад, zig.d25 сказал: Это понятно, что не отвечают... Почему именно гуглу? Всем отвечают, а именно гуглу нет.... Сам гугл меня забанил?))) 1)Смотрите логи на своем ДНС сервере 2)Делайте дамп трафика, смотрите доходит ли запрос от Гугла до вашего ДНС, уходит ли ответ обратно в Гугл Edited October 13 by Morty Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
zig.d25 Posted October 13 · Report post Логи в норме. Ничего подозрительного. Запрос от серверов гугл приходит, обрабатывается и отдается. 74.125.*.* - подсеть гугла. Но ответ гуглом не принимается. Что-то по всей видимости модифицирует пакет, после гугл режектит модифицированный ответ моего днса. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
naves Posted October 14 (edited) · Report post Интересно Spoiler dig -x 217.199.217.202 @8.8.8.8 ; <<>> DiG 9.11.5-P4-5.1+deb10u2-Debian <<>> -x 217.199.217.202 @8.8.8.8 ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: SERVFAIL, id: 24339 ;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 1 ;; OPT PSEUDOSECTION: ; EDNS: version: 0, flags:; udp: 512 ; OPT=15: 00 16 41 74 20 64 65 6c 65 67 61 74 69 6f 6e 20 32 31 37 2e 31 39 39 2e 32 31 37 2e 69 6e 2d 61 64 64 72 2e 61 72 70 61 20 66 6f 72 20 32 30 32 2e 32 31 37 2e 31 39 39 2e 32 31 37 2e 69 6e 2d 61 64 64 72 2e 61 72 70 61 2f 70 74 72 ("..At delegation 217.199.217.in-addr.arpa for 202.217.199.217.in-addr.arpa/ptr") ;; QUESTION SECTION: ;202.217.199.217.in-addr.arpa. IN PTR ;; Query time: 2186 msec ;; SERVER: 8.8.8.8#53(8.8.8.8) ;; WHEN: Пн окт 14 19:55:04 UTC 2024 ;; MSG SIZE rcvd: 138 dig -x 217.199.217.202 @1.1.1.1 ; <<>> DiG 9.11.5-P4-5.1+deb10u2-Debian <<>> -x 217.199.217.202 @1.1.1.1 ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 26405 ;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1 ;; OPT PSEUDOSECTION: ; EDNS: version: 0, flags:; udp: 1232 ;; QUESTION SECTION: ;202.217.199.217.in-addr.arpa. IN PTR ;; ANSWER SECTION: 202.217.199.217.in-addr.arpa. 604800 IN PTR mail.baykonur.ru. ;; Query time: 286 msec ;; SERVER: 1.1.1.1#53(1.1.1.1) ;; WHEN: Пн окт 14 19:55:26 UTC 2024 ;; MSG SIZE rcvd: 87 dig -x 217.199.217.202 @8.8.8.8 ; <<>> DiG 9.18.28-1~deb12u2-Debian <<>> -x 217.199.217.202 @8.8.8.8 ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: SERVFAIL, id: 7053 ;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 1 ;; OPT PSEUDOSECTION: ; EDNS: version: 0, flags:; udp: 512 ; EDE: 22 (No Reachable Authority): (At delegation 217.199.217.in-addr.arpa for 202.217.199.217.in-addr.arpa/ptr) ;; QUESTION SECTION: ;202.217.199.217.in-addr.arpa. IN PTR ;; Query time: 2187 msec ;; SERVER: 8.8.8.8#53(8.8.8.8) (UDP) ;; WHEN: Mon Oct 14 19:55:49 UTC 2024 ;; MSG SIZE rcvd: 138 Интересный способ для не буду подсказывать... Либо изменить исходящие маршруты через другой аплинк в сторону гугла, что врядли возможно с вашей стороны. Либо добавить в вашу зону дополнительную парочку DNS-серверов, запущенных в совершенно другой локации и юрисдикции, и тогда через раз гугл сможет получать ответы. Edited October 14 by naves Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
roma33rus Posted October 16 · Report post А на чем служба DNS собрана? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
zig.d25 Posted October 16 · Report post BIND 9 Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
korsakik Posted October 18 · Report post Изменил исходящий маршрут, не помогло. Знакомый сказал что ему помогло "причёсывание" запросов\ответов. Например вида gOoGle.com в вид google.com. Как это сделать на бинд я так и не понял. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Ivan_83 Posted October 18 · Report post 4 hours ago, korsakik said: Знакомый сказал что ему помогло "причёсывание" запросов\ответов. Например вида gOoGle.com в вид google.com. Рандомизация CASE используется для того чтобы расширить поле ID и сильно усложнить попытки отравить кеш днс по юдп. unbound рекурсет умеет такое: Quote # Use 0x20-encoded random bits in the query to foil spoof attempts. # This feature is an experimental implementation of draft dns-0x20. use-caps-for-id: no но у меня некоторые домены с таким не работали, видимо как раз такие как ваш знакомый умники. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
vurd Posted October 19 · Report post В 18.10.2024 в 13:46, korsakik сказал: Изменил исходящий маршрут, не помогло. Знакомый сказал что ему помогло "причёсывание" запросов\ответов. Например вида gOoGle.com в вид google.com. Как это сделать на бинд я так и не понял. no-case-compress { 0.0.0.0/0;}; Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
korsakik Posted November 12 · Report post В 20.10.2024 в 06:09, vurd сказал: no-case-compress { 0.0.0.0/0;}; Делал, гугло днс чекер говорит что мои NS сервера недоступны (???) оба имеют выход в сеть, оба с внешними адресами и без проксей. Я уже на ТСПУ грешить начинаю. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
korsakik Posted November 19 · Report post В 12.11.2024 в 17:57, korsakik сказал: Делал, гугло днс чекер говорит что мои NS сервера недоступны (???) оба имеют выход в сеть, оба с внешними адресами и без проксей. Я уже на ТСПУ грешить начинаю. В общем моя проблема решилась изменением исходящего маршрута до подсети 172.253.0.0/16, запросы на нс сервера пытались приходить от туда. Почему на МТС это не работало, для меня пока не ясно. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...