Mein DNS Setup funktioniert eigentlich fast immer, nur dpaste.com will
irgendwie nicht richtig richtig gehen.
Ich hab 2 bind DNS Server in Reihe. 10.60.1.2 im DMZ Netz, 10.60.10.2 im
LAN netz. DNS queries von 10.60.10.2 zu 10.60.1.2, sowie externe wie
z.B. 8.8.8.8 gehen. DNS queries von 10.60.10.2 nach 10.60.1.2,
eigentlich jeder Verbindungsaufbau von 10.60.10.* nach 10.60.1.* (aber
nicht umgekehrt), ist gewollt unterbunden. Die 2 DNS Server sind als
rekursive Resolver fürs jeweilige Netz da, und für DHCP zeug, lokale
Zonen, und ein paar andere Sachen.
Eigentlich hab ich noch ein paar DNS Server für anderen kram, aber die
sind hier nicht relevant.
DMZ DNS Server, /etc/bind/named.conf.options:
1 | options {
|
2 | directory "/etc/bind/zones/";
|
3 |
|
4 | max-cache-ttl 300;
|
5 | max-ncache-ttl 300;
|
6 |
|
7 | dnssec-enable yes;
|
8 | dnssec-validation auto;
|
9 | dnssec-lookaside auto;
|
10 |
|
11 | recursion yes;
|
12 | allow-query { any; };
|
13 | allow-query-cache { any; };
|
14 | allow-recursion { any; };
|
15 |
|
16 | auth-nxdomain no; # conform to RFC1035
|
17 | listen-on { any; };
|
18 | allow-transfer {"none";};
|
19 | querylog yes;
|
20 | };
|
LAN DNS Server, /etc/bind/named.conf.options:
1 | options {
|
2 | directory "/etc/bind/zones/";
|
3 |
|
4 | forwarders {
|
5 | 10.60.1.2;
|
6 | };
|
7 | max-cache-ttl 1;
|
8 | max-ncache-ttl 1;
|
9 |
|
10 | dnssec-enable yes;
|
11 | dnssec-validation auto;
|
12 | dnssec-lookaside auto;
|
13 |
|
14 | recursion yes;
|
15 | allow-query { any; };
|
16 | allow-query-cache { any; };
|
17 | allow-recursion { any; };
|
18 |
|
19 | auth-nxdomain no; # conform to RFC1035
|
20 | listen-on { any; };
|
21 | allow-transfer {"none";};
|
22 | querylog yes;
|
23 | };
|
Vom LAN DNS Server aus:
1 | root@dog:~# dig dpaste.com @127.0.0.1
|
2 |
|
3 | ; <<>> DiG 9.11.5-P4-5.1+deb10u1-Debian <<>> dpaste.com @127.0.0.1
|
4 | ;; global options: +cmd
|
5 | ;; Got answer:
|
6 | ;; ->>HEADER<<- opcode: QUERY, status: SERVFAIL, id: 49469
|
7 | ;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 1
|
8 |
|
9 | ;; OPT PSEUDOSECTION:
|
10 | ; EDNS: version: 0, flags:; udp: 4096
|
11 | ; COOKIE: 320c0f945e14861e79c516b05f46b316f0d2354e394be827 (good)
|
12 | ;; QUESTION SECTION:
|
13 | ;dpaste.com. IN A
|
14 |
|
15 | ;; Query time: 0 msec
|
16 | ;; SERVER: 127.0.0.1#53(127.0.0.1)
|
17 | ;; WHEN: Wed Aug 26 19:08:06 UTC 2020
|
18 | ;; MSG SIZE rcvd: 67
|
19 |
|
20 | root@dog:~# dig dpaste.com @10.60.1.2
|
21 |
|
22 | ; <<>> DiG 9.11.5-P4-5.1+deb10u1-Debian <<>> dpaste.com @10.60.1.2
|
23 | ;; global options: +cmd
|
24 | ;; Got answer:
|
25 | ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 32078
|
26 | ;; flags: qr rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 4, ADDITIONAL: 2
|
27 |
|
28 | ;; OPT PSEUDOSECTION:
|
29 | ; EDNS: version: 0, flags:; udp: 4096
|
30 | ; COOKIE: f1f7f2f16c6309745e1aacf35f46b3bc6fcc92d2b6d80dc1 (good)
|
31 | ;; QUESTION SECTION:
|
32 | ;dpaste.com. IN A
|
33 |
|
34 | ;; ANSWER SECTION:
|
35 | dpaste.com. 300 IN CNAME webapp-837091.pythonanywhere.com.
|
36 | webapp-837091.pythonanywhere.com. 300 IN A 35.173.69.207
|
37 |
|
38 | ;; AUTHORITY SECTION:
|
39 | pythonanywhere.com. 124 IN NS ns-1351.awsdns-40.org.
|
40 | pythonanywhere.com. 124 IN NS ns-315.awsdns-39.com.
|
41 | pythonanywhere.com. 124 IN NS ns-775.awsdns-32.net.
|
42 | pythonanywhere.com. 124 IN NS ns-1888.awsdns-44.co.uk.
|
43 |
|
44 | ;; ADDITIONAL SECTION:
|
45 | ns-315.awsdns-39.com. 124 IN A 205.251.193.59
|
46 |
|
47 | ;; Query time: 243 msec
|
48 | ;; SERVER: 10.60.1.2#53(10.60.1.2)
|
49 | ;; WHEN: Wed Aug 26 19:10:52 UTC 2020
|
50 | ;; MSG SIZE rcvd: 279
|
51 |
|
52 | root@dog:~# dig dpaste.com @8.8.8.8
|
53 |
|
54 | ; <<>> DiG 9.11.5-P4-5.1+deb10u1-Debian <<>> dpaste.com @8.8.8.8
|
55 | ;; global options: +cmd
|
56 | ;; Got answer:
|
57 | ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 9191
|
58 | ;; flags: qr rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 4, ADDITIONAL: 2
|
59 |
|
60 | ;; OPT PSEUDOSECTION:
|
61 | ; EDNS: version: 0, flags:; udp: 4096
|
62 | ; COOKIE: 745d32cba9331a358a2e90265f46b4221ec0e7e547a32b34 (good)
|
63 | ;; QUESTION SECTION:
|
64 | ;dpaste.com. IN A
|
65 |
|
66 | ;; ANSWER SECTION:
|
67 | dpaste.com. 198 IN CNAME webapp-837091.pythonanywhere.com.
|
68 | webapp-837091.pythonanywhere.com. 198 IN A 35.173.69.207
|
69 |
|
70 | ;; AUTHORITY SECTION:
|
71 | pythonanywhere.com. 22 IN NS ns-1351.awsdns-40.org.
|
72 | pythonanywhere.com. 22 IN NS ns-1888.awsdns-44.co.uk.
|
73 | pythonanywhere.com. 22 IN NS ns-315.awsdns-39.com.
|
74 | pythonanywhere.com. 22 IN NS ns-775.awsdns-32.net.
|
75 |
|
76 | ;; ADDITIONAL SECTION:
|
77 | ns-315.awsdns-39.com. 22 IN A 205.251.193.59
|
78 |
|
79 | ;; Query time: 0 msec
|
80 | ;; SERVER: 8.8.8.8#53(8.8.8.8)
|
81 | ;; WHEN: Wed Aug 26 19:12:34 UTC 2020
|
82 | ;; MSG SIZE rcvd: 279
|
Im log vom LAN DNS Server steht noch:
1 | Aug 26 18:32:33 dog named[31921]: client @0x7f65a8041e90 127.0.0.1#56500 (dpaste.com): query: dpaste.com IN A +E(0)K (127.0.0.1)
|
2 | Aug 26 18:32:33 dog named[31921]: resolver priming query complete
|
3 | Aug 26 18:32:38 dog named[31921]: client @0x7f6570b21090 127.0.0.1#56500 (dpaste.com): query: dpaste.com IN A +E(0)K (127.0.0.1)
|
4 | Aug 26 18:32:38 dog named[31921]: client @0x7f657d0cac60 10.60.10.9#52656 (9.10.60.10.in-addr.arpa): query: 9.10.60.10.in-addr.arpa IN PTR + (10.60.10.2)
|
5 | Aug 26 18:32:38 dog named[31921]: client @0x7f657d0cac60 10.60.10.9#39064 (c.c.0.b.0.1.e.f.f.f.e.8.e.0.2.0.0.0.0.0.0.0.0.0.0.0.0.0.0.8.e.f.ip6.arpa): query: c.c.0.b.0.1.e.f.f.f.e.8.e.0.2.0.0.0.0.0.0.0.0.0.0.0.0.0.0.8.e.f.ip6.arpa IN PTR + (10.60.10.2)
|
6 | Aug 26 18:32:43 dog named[31921]: client @0x7f65a8041e90 127.0.0.1#56500 (dpaste.com): query failed (SERVFAIL) for dpaste.com/IN/A at ../../../bin/named/query.c:8579
|
7 | Aug 26 18:32:43 dog named[31921]: client @0x7f65790d2450 127.0.0.1#56500 (dpaste.com): query: dpaste.com IN A +E(0)K (127.0.0.1)
|
8 | Aug 26 18:32:43 dog named[31921]: client @0x7f65790d2450 127.0.0.1#56500 (dpaste.com): query failed (SERVFAIL) for dpaste.com/IN/A at ../../../bin/named/query.c:7037
|
9 | Aug 26 18:32:43 dog named[31921]: no valid DS resolving 'dpaste.com/DS/IN': 10.60.1.2#53
|
Der DMZ DNS Server hat nichts auffälliges im log. Dort geht es ja auch.
Merkwürdig, dass sich nur der LAN Server am fehlenden DS record stört,
aber der DMZ server nicht.
Andere Domains gehen problemlos. Auch webapp-837091.pythonanywhere.com.
auf die der dpaste.com. CNAME zeigt, läst sich auflösen. Und auch andere
CNAME Domains, sowie andere Domains ohne DNSSEC funktionieren. Nur die
hier nicht, woran könnte das liegen, und was kann ich dagegen tun?