Jump to content
Калькуляторы

Только DNS Google не резольвит PTR

Все привет.
Коллеги, соратники... Подскажите, в чем может быть проблема, может сталкивался кто.

С момента начала свистопляски с Ютубом начались проблемы с почтой гугла. Мой почтовый сервер (mail.baykonur.ru) перестал нормально взаимодействовать с @gmail.com.
Gmail.com стал ругаться, что у mail.baykonur.ru (217.199.217.202) отсутствует PTR. Проверил свои DNS сервера... Проблем не обнаружил.. Анонс обратных зон идет без проблем...
 

https://dns.google/query?name=217.199.217.202&rr_type=PTR&ecs=
https://dnschecker.org/#PTR/217.199.217.202

 

Получается только гугловкий публичный DNS отказывается работать с моими зонами.
Написал в гугл, но ответа от них нет

Подскажите куда копать???

Share this post


Link to post
Share on other sites

Наверно, НСы, ответственные за PTR

host -t NS 217.199.217.in-addr.arpa
217.199.217.in-addr.arpa name server ns1.baykonur.ru.
217.199.217.in-addr.arpa name server ns2.baykonur.ru.

не доступны/не отвечают гуглу, они в одной сети рядом (217.199.217.199, 217.199.217.200) что не очень хорошо. 

 

dns.google же так и пишет "Name servers did not respond [217.199.217.200, 217.199.217.199]".

Edited by yandrey

Share this post


Link to post
Share on other sites

5 часов назад, zig.d25 сказал:

Это понятно, что не отвечают... Почему именно гуглу?
Всем отвечают, а именно гуглу нет....

Сам гугл меня забанил?)))

 

1)Смотрите логи на своем ДНС сервере

2)Делайте дамп трафика, смотрите доходит ли запрос от Гугла до вашего ДНС, уходит ли ответ обратно в Гугл

 

Edited by Morty

Share this post


Link to post
Share on other sites

Логи в норме. Ничего подозрительного.

Запрос от серверов гугл приходит, обрабатывается и отдается.

74.125.*.* - подсеть гугла.
image.thumb.png.21a4376ab0d1fcaae182e0e13ad94173.png

Но ответ гуглом не принимается. Что-то по всей видимости модифицирует пакет, после гугл режектит модифицированный ответ моего днса.
 

Share this post


Link to post
Share on other sites

Интересно

Spoiler


dig -x 217.199.217.202 @8.8.8.8

; <<>> DiG 9.11.5-P4-5.1+deb10u2-Debian <<>> -x 217.199.217.202 @8.8.8.8
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: SERVFAIL, id: 24339
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 512
; OPT=15: 00 16 41 74 20 64 65 6c 65 67 61 74 69 6f 6e 20 32 31 37 2e 31 39 39 2e 32 31 37 2e 69 6e 2d 61 64 64 72 2e 61 72 70 61 20 66 6f 72 20 32 30 32 2e 32 31 37 2e 31 39 39 2e 32 31 37 2e 69 6e 2d 61 64 64 72 2e 61 72 70 61 2f 70 74 72 ("..At delegation 217.199.217.in-addr.arpa for 202.217.199.217.in-addr.arpa/ptr")
;; QUESTION SECTION:
;202.217.199.217.in-addr.arpa.	IN	PTR

;; Query time: 2186 msec
;; SERVER: 8.8.8.8#53(8.8.8.8)
;; WHEN: Пн окт 14 19:55:04 UTC 2024
;; MSG SIZE  rcvd: 138
dig -x 217.199.217.202 @1.1.1.1

; <<>> DiG 9.11.5-P4-5.1+deb10u2-Debian <<>> -x 217.199.217.202 @1.1.1.1
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 26405
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 1232
;; QUESTION SECTION:
;202.217.199.217.in-addr.arpa.	IN	PTR

;; ANSWER SECTION:
202.217.199.217.in-addr.arpa. 604800 IN	PTR	mail.baykonur.ru.

;; Query time: 286 msec
;; SERVER: 1.1.1.1#53(1.1.1.1)
;; WHEN: Пн окт 14 19:55:26 UTC 2024
;; MSG SIZE  rcvd: 87

 

dig -x 217.199.217.202 @8.8.8.8

; <<>> DiG 9.18.28-1~deb12u2-Debian <<>> -x 217.199.217.202 @8.8.8.8
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: SERVFAIL, id: 7053
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 512
; EDE: 22 (No Reachable Authority): (At delegation 217.199.217.in-addr.arpa for 202.217.199.217.in-addr.arpa/ptr)
;; QUESTION SECTION:
;202.217.199.217.in-addr.arpa.	IN	PTR

;; Query time: 2187 msec
;; SERVER: 8.8.8.8#53(8.8.8.8) (UDP)
;; WHEN: Mon Oct 14 19:55:49 UTC 2024
;; MSG SIZE  rcvd: 138

 

 

Интересный способ для не буду подсказывать...

Либо изменить исходящие маршруты через другой аплинк в сторону гугла, что врядли возможно с вашей стороны.

Либо добавить в вашу зону дополнительную парочку DNS-серверов, запущенных в совершенно другой локации и юрисдикции, и тогда через раз гугл сможет получать ответы.

Edited by naves

Share this post


Link to post
Share on other sites

Изменил исходящий маршрут, не помогло.

 

Знакомый сказал что ему помогло "причёсывание" запросов\ответов. Например вида gOoGle.com в вид google.com.

Как это сделать на бинд я так и не понял. 

Share this post


Link to post
Share on other sites

4 hours ago, korsakik said:

Знакомый сказал что ему помогло "причёсывание" запросов\ответов. Например вида gOoGle.com в вид google.com.

Рандомизация CASE используется для того чтобы расширить поле ID и сильно усложнить попытки отравить кеш днс по юдп.

 

unbound рекурсет умеет такое:

Quote

    # Use 0x20-encoded random bits in the query to foil spoof attempts.
    # This feature is an experimental implementation of draft dns-0x20.
    use-caps-for-id: no

 

но у меня некоторые домены с таким не работали, видимо как раз такие как ваш знакомый умники.

Share this post


Link to post
Share on other sites

В 18.10.2024 в 13:46, korsakik сказал:

Изменил исходящий маршрут, не помогло.

 

Знакомый сказал что ему помогло "причёсывание" запросов\ответов. Например вида gOoGle.com в вид google.com.

Как это сделать на бинд я так и не понял. 

    no-case-compress { 0.0.0.0/0;};
 

 

Share this post


Link to post
Share on other sites

В 20.10.2024 в 06:09, vurd сказал:

    no-case-compress { 0.0.0.0/0;};
 

 

Делал, гугло днс чекер говорит что мои NS сервера недоступны (???) оба имеют выход в сеть, оба с внешними адресами и без проксей. Я уже на ТСПУ грешить начинаю.

Share this post


Link to post
Share on other sites

В 12.11.2024 в 17:57, korsakik сказал:

Делал, гугло днс чекер говорит что мои NS сервера недоступны (???) оба имеют выход в сеть, оба с внешними адресами и без проксей. Я уже на ТСПУ грешить начинаю.

В общем моя проблема решилась изменением исходящего маршрута до подсети 172.253.0.0/16, запросы на нс сервера пытались приходить от туда. Почему на МТС это не работало, для меня пока не ясно. 

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.