Forum: PC Hard- und Software Mysteriöses bind9 DNS resolver Problem, nur dpaste.com nicht auflösbar

Mysteriöses bind9 DNS resolver Problem, nur dpaste.com nicht auflösbar

von Daniel A. (daniel-a)

26.08.2020 21:41

Lesenswert?

•

Mein DNS Setup funktioniert eigentlich fast immer, nur dpaste.com will 
irgendwie nicht richtig richtig gehen.

Ich hab 2 bind DNS Server in Reihe. 10.60.1.2 im DMZ Netz, 10.60.10.2 im 
LAN netz. DNS queries von 10.60.10.2 zu 10.60.1.2, sowie externe wie 
z.B. 8.8.8.8 gehen. DNS queries von 10.60.10.2 nach 10.60.1.2, 
eigentlich jeder Verbindungsaufbau von 10.60.10.* nach 10.60.1.* (aber 
nicht umgekehrt), ist gewollt unterbunden. Die 2 DNS Server sind als 
rekursive Resolver fürs jeweilige Netz da, und für DHCP zeug, lokale 
Zonen, und ein paar andere Sachen.

Eigentlich hab ich noch ein paar DNS Server für anderen kram, aber die 
sind hier nicht relevant.

DMZ DNS Server, /etc/bind/named.conf.options:

options {
  directory "/etc/bind/zones/";
  max-cache-ttl 300;
  max-ncache-ttl 300;
        dnssec-enable yes;
        dnssec-validation auto;
        dnssec-lookaside auto;
  recursion yes;
  allow-query { any; };
  allow-query-cache { any; };
  allow-recursion { any; };
  auth-nxdomain no;    # conform to RFC1035
  listen-on { any; };
  allow-transfer {"none";};
  querylog yes;


LAN DNS Server, /etc/bind/named.conf.options:

options {
  directory "/etc/bind/zones/";
  forwarders {
    10.60.1.2;
  max-cache-ttl 1;
  max-ncache-ttl 1;
        dnssec-enable yes;
        dnssec-validation auto;
        dnssec-lookaside auto;
  recursion yes;
  allow-query { any; };
  allow-query-cache { any; };
  allow-recursion { any; };
  auth-nxdomain no;    # conform to RFC1035
  listen-on { any; };
  allow-transfer {"none";};
  querylog yes;


Vom LAN DNS Server aus:

root@dog:~# dig dpaste.com @127.0.0.1
; <<>> DiG 9.11.5-P4-5.1+deb10u1-Debian <<>> dpaste.com @127.0.0.1
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: SERVFAIL, id: 49469
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 1
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
; COOKIE: 320c0f945e14861e79c516b05f46b316f0d2354e394be827 (good)
;; QUESTION SECTION:
;dpaste.com.      IN  A
;; Query time: 0 msec
;; SERVER: 127.0.0.1#53(127.0.0.1)
;; WHEN: Wed Aug 26 19:08:06 UTC 2020
;; MSG SIZE  rcvd: 67
root@dog:~# dig dpaste.com @10.60.1.2
; <<>> DiG 9.11.5-P4-5.1+deb10u1-Debian <<>> dpaste.com @10.60.1.2
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 32078
;; flags: qr rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 4, ADDITIONAL: 2
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
; COOKIE: f1f7f2f16c6309745e1aacf35f46b3bc6fcc92d2b6d80dc1 (good)
;; QUESTION SECTION:
;dpaste.com.      IN  A
;; ANSWER SECTION:
dpaste.com.    300  IN  CNAME  webapp-837091.pythonanywhere.com.
webapp-837091.pythonanywhere.com. 300 IN A  35.173.69.207
;; AUTHORITY SECTION:
pythonanywhere.com.  124  IN  NS  ns-1351.awsdns-40.org.
pythonanywhere.com.  124  IN  NS  ns-315.awsdns-39.com.
pythonanywhere.com.  124  IN  NS  ns-775.awsdns-32.net.
pythonanywhere.com.  124  IN  NS  ns-1888.awsdns-44.co.uk.
;; ADDITIONAL SECTION:
ns-315.awsdns-39.com.  124  IN  A  205.251.193.59
;; Query time: 243 msec
;; SERVER: 10.60.1.2#53(10.60.1.2)
;; WHEN: Wed Aug 26 19:10:52 UTC 2020
;; MSG SIZE  rcvd: 279
root@dog:~# dig dpaste.com @8.8.8.8
; <<>> DiG 9.11.5-P4-5.1+deb10u1-Debian <<>> dpaste.com @8.8.8.8
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 9191
;; flags: qr rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 4, ADDITIONAL: 2
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
; COOKIE: 745d32cba9331a358a2e90265f46b4221ec0e7e547a32b34 (good)
;; QUESTION SECTION:
;dpaste.com.      IN  A
;; ANSWER SECTION:
dpaste.com.    198  IN  CNAME  webapp-837091.pythonanywhere.com.
webapp-837091.pythonanywhere.com. 198 IN A  35.173.69.207
;; AUTHORITY SECTION:
pythonanywhere.com.  22  IN  NS  ns-1351.awsdns-40.org.
pythonanywhere.com.  22  IN  NS  ns-1888.awsdns-44.co.uk.
pythonanywhere.com.  22  IN  NS  ns-315.awsdns-39.com.
pythonanywhere.com.  22  IN  NS  ns-775.awsdns-32.net.
;; ADDITIONAL SECTION:
ns-315.awsdns-39.com.  22  IN  A  205.251.193.59
;; Query time: 0 msec
;; SERVER: 8.8.8.8#53(8.8.8.8)
;; WHEN: Wed Aug 26 19:12:34 UTC 2020
;; MSG SIZE  rcvd: 279


Im log vom LAN DNS Server steht noch:

Aug 26 18:32:33 dog named[31921]: client @0x7f65a8041e90 127.0.0.1#56500 (dpaste.com): query: dpaste.com IN A +E(0)K (127.0.0.1)
Aug 26 18:32:33 dog named[31921]: resolver priming query complete
Aug 26 18:32:38 dog named[31921]: client @0x7f6570b21090 127.0.0.1#56500 (dpaste.com): query: dpaste.com IN A +E(0)K (127.0.0.1)
Aug 26 18:32:38 dog named[31921]: client @0x7f657d0cac60 10.60.10.9#52656 (9.10.60.10.in-addr.arpa): query: 9.10.60.10.in-addr.arpa IN PTR + (10.60.10.2)
Aug 26 18:32:38 dog named[31921]: client @0x7f657d0cac60 10.60.10.9#39064 (c.c.0.b.0.1.e.f.f.f.e.8.e.0.2.0.0.0.0.0.0.0.0.0.0.0.0.0.0.8.e.f.ip6.arpa): query: c.c.0.b.0.1.e.f.f.f.e.8.e.0.2.0.0.0.0.0.0.0.0.0.0.0.0.0.0.8.e.f.ip6.arpa IN PTR + (10.60.10.2)
Aug 26 18:32:43 dog named[31921]: client @0x7f65a8041e90 127.0.0.1#56500 (dpaste.com): query failed (SERVFAIL) for dpaste.com/IN/A at ../../../bin/named/query.c:8579
Aug 26 18:32:43 dog named[31921]: client @0x7f65790d2450 127.0.0.1#56500 (dpaste.com): query: dpaste.com IN A +E(0)K (127.0.0.1)
Aug 26 18:32:43 dog named[31921]: client @0x7f65790d2450 127.0.0.1#56500 (dpaste.com): query failed (SERVFAIL) for dpaste.com/IN/A at ../../../bin/named/query.c:7037
Aug 26 18:32:43 dog named[31921]: no valid DS resolving 'dpaste.com/DS/IN': 10.60.1.2#53


Der DMZ DNS Server hat nichts auffälliges im log. Dort geht es ja auch. 
Merkwürdig, dass sich nur der LAN Server am fehlenden DS record stört, 
aber der DMZ server nicht.

Andere Domains gehen problemlos. Auch webapp-837091.pythonanywhere.com. 
auf die der dpaste.com. CNAME zeigt, läst sich auflösen. Und auch andere 
CNAME Domains, sowie andere Domains ohne DNSSEC funktionieren. Nur die 
hier nicht, woran könnte das liegen, und was kann ich dagegen tun?

Beitrag melden Bearbeiten Thread verschieben Thread sperren Anmeldepflicht aktivieren Anpinnen Thread löschen Thread mit anderem zusammenführen Markierten Text zitieren Antwort Antwort mit Zitat

Re: Mysteriöses bind9 DNS resolver Problem, nur dpaste.com nicht auflösbar

von Markus M. (adrock)

26.08.2020 21:58

Lesenswert?

•

▲
▼

Funktioniert es wenn Du dnssec abschaltest?

Beitrag melden Bearbeiten Löschen Markierten Text zitieren Antwort Antwort mit Zitat

Re: Mysteriöses bind9 DNS resolver Problem, nur dpaste.com nicht auflösbar

von Daniel A. (daniel-a)

26.08.2020 22:17

Lesenswert?

•

▲
▼

Hab das mal testweise auf dem LAN DNS Server ausgeschaltet, aber auf dem 
DMZ Server eingeschaltet gelassen. Das geht schon, aber das kann ja 
nicht die Lösung sein.
Nach dem wieder einschalten geht es immer noch, aber nur bis ich mit 
"rndc flush" den Cache lösche.

Ich hab mir extra die Mühe gemacht, dass selbst meine lokalen und die 
von DHCP erstellten DNS Einträge gültiges DNSSEC haben, das will ich 
jetzt nicht einfach so wieder abstellen...

Beitrag melden Bearbeiten Löschen Markierten Text zitieren Antwort Antwort mit Zitat

Re: Mysteriöses bind9 DNS resolver Problem, nur dpaste.com nicht auflösbar

von Markus M. (adrock)

26.08.2020 23:16

Lesenswert?

•

▲
▼

Die Ausgabe vom dnssec check für dpaste.com sieht zumindest nicht so 
ganz ok aus:

https://dnssec-analyzer.verisignlabs.com/dpaste.com

Aber eigentlich sollte es ja trotzdem dann ohne dnssec funktionieren. 
Nur der interne Server scheint irgendwie darauf zu bestehen. Sehr 
merkwürdig.

26.08.2020 23:23: Bearbeitet durch User

Beitrag melden Bearbeiten Löschen Markierten Text zitieren Antwort Antwort mit Zitat

Re: Mysteriöses bind9 DNS resolver Problem, nur dpaste.com nicht auflösbar

von Theor (Gast)

28.08.2020 10:29

Lesenswert?

•

▲
▼

@ Daniel A.

Vielleicht hat Dein Problem, ja gar nichts damit zu tun, aber zufällig 
habe ich gestern ein Security-Advisory betreffs bind gesehen.

https://www.debian.org/security/2020/dsa-4752

Zitat:
CVE-2020-8619
It was discovered that an asterisk character in an empty non terminal 
can cause an assertion failure, resulting in denial of service.

CVE-2020-8622
Dave Feldman, Jeff Warren, and Joel Cunningham reported that a truncated 
TSIG response can lead to an assertion failure, resulting in denial of 
service.

CVE-2020-8623
Lyu Chiy reported that a flaw in the native PKCS#11 code can lead to a 
remotely triggerable assertion failure, resulting in denial of service.

CVE-2020-8624

Beitrag melden Bearbeiten Löschen Markierten Text zitieren Antwort Antwort mit Zitat

Re: Mysteriöses bind9 DNS resolver Problem, nur dpaste.com nicht auflösbar

von Daniel A. (daniel-a)

29.08.2020 17:19

Lesenswert?

•

▲
▼

Theor schrieb:
> Vielleicht hat Dein Problem, ja gar nichts damit zu tun, aber zufällig
> habe ich gestern ein Security-Advisory betreffs bind gesehen.

Nö, bind schmiert ja nicht komplett ab. Das Update hat auch keinen 
Unterschied gemacht.

Beitrag melden Bearbeiten Löschen Markierten Text zitieren Antwort Antwort mit Zitat

Thread beobachten |

Seitenaufteilung abschalten

Bitte melde dich an um einen Beitrag zu schreiben. Anmeldung ist kostenlos und dauert nur eine Minute.

Bestehender Account

Schon ein Account bei Google/GoogleMail? Keine Anmeldung erforderlich!
Mit Google-Account einloggen

Noch kein Account? Hier anmelden.

Kontakt/Impressum – Datenschutzerklärung – Nutzungsbedingungen – Werbung auf Mikrocontroller.net