[ROZWIĄZANO] BIND lokalny: SERVFAIL unexpected RCODE resolving

adir · Post autor: **adir** » 16 lis 2021, 22:52

Witam

ROZWIĄZANO:
Wczoraj bez uprzedzenia serwerownia skonfigurowała na Fortigate "Security Profile AV, IPS , DNS"
I Fortigate nasze zapytania DNS blokował. Wyłączyli te reguły po zgłoszeniu.
Super 10 h nerwów i debugowania.... w piach.
Przepraszam, że zawracałem Wam głowę i dziękuję za poświęcony czas.

Kod: Zaznacz cały

host -tA wp.pl
wp.pl has address 212.77.98.9

Jak pięknie znów to widzieć

-------

Postawiłem na serwerze, BINDa cachującego (głównie na potrzeby serwera pocztowego - znajdującego się na tej samej maszynie co BIND).
Wszystko działo ok przez kilka dni. Gdy nagle praktycznie przestał resolvować jakąkolwiek domenę.

Kod: Zaznacz cały

ping onet.pl
ping: onet.pl: Temporary failure in name resolution

Kod: Zaznacz cały

host -tA wp.pl
Host wp.pl not found: 2(SERVFAIL)

Logi:

Kod: Zaznacz cały

Nov 16 22:25:05 atena named[2824]: client @0x7f4f040104c8 127.0.0.1#36200 (ntp.ubuntu.com): query: ntp.ubuntu.com IN A + (127.0.0.1)
Nov 16 22:25:05 atena named[2824]: client @0x7f4f04017228 127.0.0.1#36200 (ntp.ubuntu.com): query: ntp.ubuntu.com IN AAAA + (127.0.0.1)
Nov 16 22:25:05 atena named[2824]: SERVFAIL unexpected RCODE resolving '_.com/A/IN': 199.9.14.201#53
Nov 16 22:25:05 atena named[2824]: SERVFAIL unexpected RCODE resolving '_.com/A/IN': 198.97.190.53#53
[..]
Nov 16 22:25:05 atena named[2824]: SERVFAIL unexpected RCODE resolving 'ntp.ubuntu.com/A/IN': 199.9.14.201#53
Nov 16 22:25:05 atena named[2824]: SERVFAIL unexpected RCODE resolving 'ntp.ubuntu.com/AAAA/IN': 199.9.14.201#53
[..]

Serwer odpalony jest na maszynie wirtualnej w serwerowni (zanim zacznę do nich uderzać może pomożecie mi znaleźć rozwiązanie

Ubuntu 21.10 (potrzebowałem PHP 8.0 stąd taki wybór a nie LTS)

Kod: Zaznacz cały

BIND 9.16.15-Ubuntu (Stable Release) <id:4469e3e>
running on Linux x86_64 5.13.0-21-generic #21-Ubuntu SMP Tue Oct 19 08:59:28 UTC 2021
built by make with '--build=x86_64-linux-gnu' '--prefix=/usr' '--includedir=/usr/include' '--mandir=/usr/share/man' '--infodir=/usr/share/info' '--sysconfdir=/etc' '--localstatedir=/var' '--disable-option-checking' '--disable-silent-rules' '--libdir=/usr/lib/x86_64-linux-gnu' '--runstatedir=/run' '--disable-maintainer-mode' '--disable-dependency-tracking' '--libdir=/usr/lib/x86_64-linux-gnu' '--sysconfdir=/etc/bind' '--with-python=python3' '--localstatedir=/' '--enable-threads' '--enable-largefile' '--with-libtool' '--enable-shared' '--enable-static' '--with-gost=no' '--with-openssl=/usr' '--with-gssapi=/usr' '--with-libidn2' '--with-json-c' '--with-lmdb=/usr' '--with-gnu-ld' '--with-maxminddb' '--with-atf=no' '--enable-ipv6' '--enable-rrl' '--enable-filter-aaaa' '--disable-native-pkcs11' 'build_alias=x86_64-linux-gnu' 'CFLAGS=-g -O2 -ffile-prefix-map=/build/bind9-Q8tYQJ/bind9-9.16.15=. -flto=auto -ffat-lto-objects -fstack-protector-strong -Wformat -Werror=format-security -fno-strict-aliasing -fno-delete-null-pointer-checks -DNO_VERSION_DATE -DDIG_SIGCHASE' 'LDFLAGS=-Wl,-Bsymbolic-functions -flto=auto -Wl,-z,relro -Wl,-z,now' 'CPPFLAGS=-Wdate-time -D_FORTIFY_SOURCE=2'
compiled by GCC 11.2.0
compiled with OpenSSL version: OpenSSL 1.1.1l  24 Aug 2021
linked to OpenSSL version: OpenSSL 1.1.1l  24 Aug 2021
compiled with libuv version: 1.40.0
linked to libuv version: 1.40.0
compiled with libxml2 version: 2.9.12
linked to libxml2 version: 20912
compiled with json-c version: 0.15
linked to json-c version: 0.15
compiled with zlib version: 1.2.11
linked to zlib version: 1.2.11
linked to maxminddb version: 1.5.2
threads support is enabled

default paths:
  named configuration:  /etc/bind/named.conf
  rndc configuration:   /etc/bind/rndc.conf
  DNSSEC root key:      /etc/bind/bind.keys
  nsupdate session key: //run/named/session.key
  named PID file:       //run/named/named.pid
  named lock file:      //run/named/named.lock
  geoip-directory:      /usr/share/GeoIP

/etc/bind/named.conf.options

Kod: Zaznacz cały

 dnssec-validation auto;

        listen-on-v6 { any; };
        // hide version number from clients for security reasons.
         version "not currently available";
        // optional - BIND default behavior is recursion
        recursion yes;

        // provide recursion service to trusted clients only
        allow-recursion { 127.0.0.1; };
        // enable the query log
        querylog yes;
        max-cache-size 5%;

Restart maszyny oczywiście nie pomógł.

Z ciekawości ubiłem BINDa. to w logach było:
Nov 16 22:24:35 atena systemd-resolved[2639]: Using degraded feature set UDP instead of TCP for DNS server 127.0.0.1.
Nov 16 22:24:35 atena systemd-resolved[2639]: Using degraded feature set TCP instead of UDP for DNS server 127.0.0.1.

Jak BIND startuje:

Kod: Zaznacz cały

Nov 16 22:24:43 atena named[2824]: BIND 9 is maintained by Internet Systems Consortium,
Nov 16 22:24:43 atena named[2824]: Inc. (ISC), a non-profit 501(c)(3) public-benefit.
Nov 16 22:24:43 atena named[2824]: corporation.  Support and training for BIND 9 are.
Nov 16 22:24:43 atena named[2824]: available at https://www.isc.org/support
Nov 16 22:24:43 atena named[2824]: ----------------------------------------------------
Nov 16 22:24:43 atena named[2824]: adjusted limit on open files from 524288 to 1048576
Nov 16 22:24:43 atena named[2824]: found 4 CPUs, using 4 worker threads
Nov 16 22:24:43 atena named[2824]: using 4 UDP listeners per interface
Nov 16 22:24:43 atena named[2824]: using up to 21000 sockets
Nov 16 22:24:43 atena named[2824]: loading configuration from '/etc/bind/named.conf'
Nov 16 22:24:43 atena named[2824]: reading built-in trust anchors from file '/etc/bind/bind.keys'
Nov 16 22:24:43 atena named[2824]: looking for GeoIP2 databases in '/usr/share/GeoIP'
Nov 16 22:24:43 atena named[2824]: using default UDP/IPv4 port range: [32768, 60999]
Nov 16 22:24:43 atena named[2824]: listening on IPv4 interface lo, 127.0.0.1#53
Nov 16 22:24:43 atena named[2824]: listening on IPv4 interface ens160, 10.7.50.100#53
Nov 16 22:24:43 atena named[2824]: generating session key for dynamic DNS
Nov 16 22:24:43 atena named[2824]: sizing zone task pool based on 5 zones
Nov 16 22:24:43 atena named[2824]: /etc/bind/named.conf.options:39: 'max-cache-size 5%' - setting to 800MB (out of 16003MB)
Nov 16 22:24:43 atena named[2824]: obtaining root key for view _default from '/etc/bind/bind.keys'
Nov 16 22:24:43 atena named[2824]: set up managed keys zone for view _default, file 'managed-keys.bind'
Nov 16 22:24:43 atena named[2824]: automatic empty zone: 10.IN-ADDR.ARPA
Nov 16 22:24:43 atena named[2824]: automatic empty zone: 16.172.IN-ADDR.ARPA
Nov 16 22:24:43 atena named[2824]: automatic empty zone: 17.172.IN-ADDR.ARPA
Nov 16 22:24:43 atena named[2824]: automatic empty zone: 18.172.IN-ADDR.ARPA
[..]
Nov 16 22:24:43 atena named[2824]: automatic empty zone: 100.51.198.IN-ADDR.ARPA
Nov 16 22:24:43 atena named[2824]: automatic empty zone: 113.0.203.IN-ADDR.ARPA
Nov 16 22:24:43 atena named[2824]: automatic empty zone: 255.255.255.255.IN-ADDR.ARPA
Nov 16 22:24:43 atena named[2824]: automatic empty zone: 0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.IP6.ARPA
Nov 16 22:24:43 atena named[2824]: automatic empty zone: 1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.IP6.ARPA
Nov 16 22:24:43 atena named[2824]: automatic empty zone: D.F.IP6.ARPA
Nov 16 22:24:43 atena named[2824]: automatic empty zone: 8.E.F.IP6.ARPA
Nov 16 22:24:43 atena named[2824]: automatic empty zone: 9.E.F.IP6.ARPA
Nov 16 22:24:43 atena named[2824]: automatic empty zone: A.E.F.IP6.ARPA
Nov 16 22:24:43 atena named[2824]: automatic empty zone: B.E.F.IP6.ARPA
Nov 16 22:24:43 atena named[2824]: automatic empty zone: 8.B.D.0.1.0.0.2.IP6.ARPA
Nov 16 22:24:43 atena named[2824]: automatic empty zone: EMPTY.AS112.ARPA
Nov 16 22:24:43 atena named[2824]: automatic empty zone: HOME.ARPA
Nov 16 22:24:43 atena named[2824]: /etc/bind/named.conf.options:39: 'max-cache-size 5%' - setting to 800MB (out of 16003MB)
Nov 16 22:24:43 atena named[2824]: configuring command channel from '/etc/bind/rndc.key'
Nov 16 22:24:43 atena named[2824]: command channel listening on 127.0.0.1#953
Nov 16 22:24:43 atena named[2824]: managed-keys-zone: loaded serial 30
Nov 16 22:24:43 atena named[2824]: zone 0.in-addr.arpa/IN: loaded serial 1
Nov 16 22:24:43 atena named[2824]: zone 127.in-addr.arpa/IN: loaded serial 1
Nov 16 22:24:43 atena named[2824]: zone 255.in-addr.arpa/IN: loaded serial 1
Nov 16 22:24:43 atena named[2824]: zone localhost/IN: loaded serial 2
Nov 16 22:24:43 atena named[2824]: all zones loaded
Nov 16 22:24:43 atena named[2824]: running
Nov 16 22:24:43 atena systemd[1]: Started BIND Domain Name Server.
Nov 16 22:24:43 atena systemd[1]: Starting local BIND 9 via resolvconf...

Czy można jakoś dokładniej zdiagnozować co się dzieje?

Możliwe jest połączenie się na port 53 do b.root-servers.net [TDP]

Kod: Zaznacz cały

telnet 199.9.14.201 53
Trying 199.9.14.201...
Connected to 199.9.14.201.
Escape character is '^]'.
^]

Więc problemem raczej nie jest FW.

Kod: Zaznacz cały

 dig google.com @199.9.14.201

; <<>> DiG 9.16.15-Ubuntu <<>> google.com @199.9.14.201
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: SERVFAIL, id: 56579
;; flags: qr rd ad; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 1
;; WARNING: recursion requested but not available

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
; COOKIE: 37cd31ec47762f02 (echoed)
;; QUESTION SECTION:
;google.com.                    IN      A

;; Query time: 0 msec
;; SERVER: 199.9.14.201#53(199.9.14.201)
;; WHEN: Tue Nov 16 22:48:01 CET 2021
;; MSG SIZE  rcvd: 51

Wyłączyłem BIND i przywróciłem resolver
/etc/systemd/resolved.conf

Kod: Zaznacz cały

DNS=8.8.8.8 8.8.4.4
DNSSEC=no

i

Kod: Zaznacz cały

 dig wp.pl

; <<>> DiG 9.16.15-Ubuntu <<>> wp.pl
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: SERVFAIL, id: 24521
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 65494
;; QUESTION SECTION:
;wp.pl.                         IN      A

;; Query time: 0 msec
;; SERVER: 127.0.0.53#53(127.0.0.53)
;; WHEN: Tue Nov 16 23:29:35 CET 2021
;; MSG SIZE  rcvd: 34

Kod: Zaznacz cały

dig +trace wp.pl

; <<>> DiG 9.16.15-Ubuntu <<>> +trace wp.pl
;; global options: +cmd
.                       30500   IN      NS      m.root-servers.net.
.                       30500   IN      NS      b.root-servers.net.
.                       30500   IN      NS      c.root-servers.net.
.                       30500   IN      NS      d.root-servers.net.
.                       30500   IN      NS      e.root-servers.net.
.                       30500   IN      NS      f.root-servers.net.
.                       30500   IN      NS      g.root-servers.net.
.                       30500   IN      NS      h.root-servers.net.
.                       30500   IN      NS      a.root-servers.net.
.                       30500   IN      NS      i.root-servers.net.
.                       30500   IN      NS      j.root-servers.net.
.                       30500   IN      NS      k.root-servers.net.
.                       30500   IN      NS      l.root-servers.net.
couldn't get address for 'm.root-servers.net': failure
couldn't get address for 'b.root-servers.net': failure
couldn't get address for 'c.root-servers.net': failure
couldn't get address for 'd.root-servers.net': failure
couldn't get address for 'e.root-servers.net': failure
couldn't get address for 'f.root-servers.net': failure
couldn't get address for 'g.root-servers.net': failure
couldn't get address for 'h.root-servers.net': failure
couldn't get address for 'a.root-servers.net': failure
couldn't get address for 'i.root-servers.net': failure
couldn't get address for 'j.root-servers.net': failure
couldn't get address for 'k.root-servers.net': failure
couldn't get address for 'l.root-servers.net': failure
dig: couldn't get address for 'm.root-servers.net': no more

Post autor: **mario_7** » 17 lis 2021, 09:09

Zdaję się, ze można ustawić jakiś szczegółowy poziom logowania BIND-a, żeby móc prześledzić co tam się dzieje. Może to da jakąś podpowiedź.

adir · Post autor: **adir** » 17 lis 2021, 10:10

mario_7 pisze: ↑17 lis 2021, 09:09 Zdaję się, ze można ustawić jakiś szczegółowy poziom logowania BIND-a, żeby móc prześledzić co tam się dzieje. Może to da jakąś podpowiedź.

Spróbuję. Niestety po wyłączeniu binda i przywrócenia resolvera, Tez nie działa, więc problem jakby leżał ponad BINDem.

/etc/resolv,conf
nameserver 127.0.0.53

W tej chwili nameservery mam zdefiniowane przez /etc/netplan/99-netcfg-vmware.yaml

Kod: Zaznacz cały

# Generated by VMWare customization engine.
network:
  version: 2
  renderer: networkd
  ethernets:
    ens160:
      dhcp4: no
      dhcp6: no
      addresses:
        - 10.x.x.x/24
      gateway4: 10.x.x.1
      nameservers:
        addresses:
#          - 127.0.0.1
          - 8.8.8.8
          - 8.8.4.4

w /etc/systemd/resolved.conf zahashowałem #DNS=8.8.8.8 8.8.4.4

cat /run/systemd/resolve/stub-resolv.conf

Kod: Zaznacz cały

#[..]
nameserver 127.0.0.53
options edns0 trust-ad
search .

cat /run/systemd/resolve/resolv.conf

Kod: Zaznacz cały

#[..]
nameserver 8.8.8.8
nameserver 8.8.4.4
search .

Kod: Zaznacz cały

ls -al /etc/resolv.conf
lrwxrwxrwx 1 root root 27 Nov 17 01:16 /etc/resolv.conf -> /run/resolvconf/resolv.conf

Kod: Zaznacz cały

cat /run/resolvconf/resolv.conf
#[..]
nameserver 127.0.0.53

systemd-resolve --status
Global
Protocols: -LLMNR -mDNS -DNSOverTLS DNSSEC=no/unsupported
resolv.conf mode: foreign

Link 2 (ens160)
Current Scopes: DNS
Protocols: +DefaultRoute +LLMNR -mDNS -DNSOverTLS DNSSEC=no/unsupported
Current DNS Server: 8.8.4.4
DNS Servers: 8.8.8.8 8.8.4.4

Jedynie działa zapytanie.
dig . ns

Kod: Zaznacz cały

; <<>> DiG 9.16.15-Ubuntu <<>> . ns
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 47562
;; flags: qr rd ra; QUERY: 1, ANSWER: 13, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 65494
;; QUESTION SECTION:
;.                              IN      NS

;; ANSWER SECTION:
.                       76223   IN      NS      m.root-servers.net.
.                       76223   IN      NS      b.root-servers.net.
.                       76223   IN      NS      c.root-servers.net.
.                       76223   IN      NS      d.root-servers.net.
.                       76223   IN      NS      e.root-servers.net.
.                       76223   IN      NS      f.root-servers.net.
.                       76223   IN      NS      g.root-servers.net.
.                       76223   IN      NS      h.root-servers.net.
.                       76223   IN      NS      a.root-servers.net.
.                       76223   IN      NS      i.root-servers.net.
.                       76223   IN      NS      j.root-servers.net.
.                       76223   IN      NS      k.root-servers.net.
.                       76223   IN      NS      l.root-servers.net.

;; Query time: 4 msec
;; SERVER: 127.0.0.53#53(127.0.0.53)
;; WHEN: Wed Nov 17 09:47:02 CET 2021
;; MSG SIZE  rcvd: 239

jacekalex · Post autor: **jacekalex** » 17 lis 2021, 10:17

Na takim konfigu (/etc/bind/named.conf):

Kod: Zaznacz cały


acl "xfer" {
	none;
};


 
acl "trusted" {
    192.168.0.0/24;
    192.168.1.0/24;
    10.0.0.0/8;
    127.0.0.0/8;
    ::1/128;
};

options {
	directory "/var/bind";
	pid-file "/run/named/named.pid";
    version "dns.localhost";

	listen-on-v6 { any; };
	listen-on { any; };

	allow-query {
		trusted;
		};

	allow-query-cache {
		/* Use the cache for the "trusted" ACL. */
		trusted;
	};

	allow-transfer {
		none;
		};

	allow-update {
		none;
	};

	forwarders {
                    1.1.1.1;
                    208.67.222.222;
                    1.0.0.1;
                    208.67.220.220;
                    8.8.4.4;
                    8.8.8.8;
                    2620:0:ccc::2;
                    2620:0:ccd::2;
                    2001:4860:4860::8888;
                    2001:4860:4860::8844;
		};

	dnssec-enable yes;
	dnssec-validation yes;
     minimal-responses yes ;


logging {
	channel default_log {
		file "/var/log/named/named.log" versions 5 size 2M;
		print-time yes;
		print-severity yes;
		print-category yes;
	};

	category default { default_log; };
	category general { default_log; };
};


include "/etc/bind/rndc.key";
controls {
	inet 127.0.0.1 port 953 allow { 127.0.0.1; } keys { rndc-key; };
};




trusted-keys {
	dlv.isc.org. 257 3 5 "BEAAAAPHMu/5onzrEE7z1egmhg/WPO0+juoZrW3euWEn4MxDCE1+lLy2brhQv5rN32RKtMzX6Mj70jdzeND4XknW58dnJNPCxn8+jAGl2FZLK8t+1uq4W+nnA3qO2+DL+k6BD4mewMLbIYFwe0PG73Te9fZ2kJb56dhgMde5ymX4BI/oQ+cAK50/xvJv00Frf8kw6ucMTwFlgPe+jnGxPPEmHAte/URkY62ZfkLoBAADLHQ9IrS2tryAe7mbBZVcOwIeU/Rw/mRx/vwwMCTgNboMQKtUdvNXDrYJDSHZws3xiRXF1Rf+al9UmZfSav/4NWLKjHzpT59k/VStTDN0YUuWrBNh";
	};
	


zone "localhost" {
	type master;
	file "/etc/bind/localhost.zone";
	};
zone "0.0.127.in-addr.arpa" {
    type master;
    file "/etc/bind/0.0.127.zone";
};
zone "127.in-addr.arpa" {
    type master;
    file "/etc/bind/0.0.127.zone";
};

Bind u mnie chodzi dosyć grzecznie.

Kod: Zaznacz cały

dig +dnssec -t ns  ubuntu.pl @::1

; <<>> DiG 9.16.15 <<>> +dnssec -t ns ubuntu.pl @box6
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 47434
;; flags: qr rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags: do; udp: 1232
; COOKIE: 7c016792a93542b4010000006194c8056017f96bf249ea9c (good)
;; QUESTION SECTION:
;ubuntu.pl.			IN	NS

;; ANSWER SECTION:
ubuntu.pl.		75252	IN	NS	fns2.42.pl.
ubuntu.pl.		75252	IN	NS	fns1.42.pl.

;; Query time: 28 msec
;; SERVER: ::1#53(::1)
;; WHEN: śro lis 17 10:14:45 CET 2021
;; MSG SIZE  rcvd: 109

to akurat po Ipv6.

Kod: Zaznacz cały

dig +dnssec -t ns  ubuntu.pl @localhost

; <<>> DiG 9.16.15 <<>> +dnssec -t ns ubuntu.pl @localhost
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 25696
;; flags: qr rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags: do; udp: 1232
; COOKIE: b94611b16ba09275010000006194c83b7926f4db13946aa8 (good)
;; QUESTION SECTION:
;ubuntu.pl.			IN	NS

;; ANSWER SECTION:
ubuntu.pl.		75198	IN	NS	fns2.42.pl.
ubuntu.pl.		75198	IN	NS	fns1.42.pl.

;; Query time: 0 msec
;; SERVER: 127.0.0.1#53(127.0.0.1)
;; WHEN: śro lis 17 10:15:39 CET 2021
;; MSG SIZE  rcvd: 109

to po Ipv4.

Jedyny potencjalny problem jest taki, że chodzi na systemie Gentoo, a nie Ubuntu,
ale plik konfiguracyjny Binda jest zawsze mniej więcej taki sam.

Drugi problem jest taki, że nie używam Systemd tylko OpenRC,
a Binda podnosi u mnie Daemontools.

Poza tym /etc/resolv.conf musi wskazywać na adres Binda, czyli pewnie 127.0.0.1
a nie jakieś bzdury od Systemd.

Zobacz też, jakie demony słuchają na porcie 53, np poleceniem:

Kod: Zaznacz cały

lsof -n -i :53 | grep LISTEN

Bo być może Bind i Systemd bohatersko walczą o kontrolę nad portem 53.

Pozdro

adir · Post autor: **adir** » 17 lis 2021, 10:33

Ok dzięki za odpowiedź. U mnie wygląda na to, że problem jest ponad BINDem. Chyba będę musiał zapytać serwerownię.
Choć teraz mocno namieszałem w konfiguracji...

ens160 chodzi na IP 10.x.x.x
maszyna jest wirtualna z dostępem via VPN. Tylko część portów jest dostępna z zewnątrz na publicznym IP (może coś przycięli. ale niby się łączy do 8.8.8.

.

Zrobiłem SYSTEMD_LOG_LEVEL=debug /lib/systemd/systemd-resolved

przy host -tA wp.pl

Kod: Zaznacz cały

SELinux enabled state cached to: disabled
Positive Trust Anchors:
. IN DS 20326 8 2 e06d44b80b8f1d39a95c0b0d7c65d08458e880409bbc683457104237c7f8ec8d
Negative trust anchors: home.arpa 10.in-addr.arpa 16.172.in-addr.arpa 17.172.in-addr.arpa 18.172.in-addr.arpa 19.172.in-addr.arpa 20.172.in-addr.arpa 21.172.in-addr.arpa 22.172.in-addr.arpa 23.172.in-addr.arpa 24.172.in-addr.arpa 25.172.in-addr.arpa 26.172.in-addr.arpa 27.172.in-addr.arpa 28.172.in-addr.arpa 29.172.in-addr.arpa 30.172.in-addr.arpa 31.172.in-addr.arpa 168.192.in-addr.arpa d.f.ip6.arpa corp home internal intranet lan local private test
Using system hostname 'atena.yyyyyyyyyyyy.pl'.
New scope on link *, protocol dns, family *
Found new link 2/ens160
Found new link 1/lo
New scope on link ens160, protocol dns, family *
Bus bus-api-resolve: changing state UNSET → OPENING
sd-bus: starting bus bus-api-resolve by connecting to /run/dbus/system_bus_socket...
Bus bus-api-resolve: changing state OPENING → AUTHENTICATING
Registering bus object implementation for path=/org/freedesktop/resolve1 iface=org.freedesktop.resolve1.Manager
Registering bus object implementation for path=/org/freedesktop/resolve1/link iface=org.freedesktop.resolve1.Link
Registering bus object implementation for path=/org/freedesktop/resolve1/dnssd iface=org.freedesktop.resolve1.DnssdService
Registering bus object implementation for path=/org/freedesktop/LogControl1 iface=org.freedesktop.LogControl1
Creating stub listener using UDP/TCP.
Bus bus-api-resolve: changing state AUTHENTICATING → HELLO
Sent message type=method_call sender=n/a destination=org.freedesktop.DBus path=/org/freedesktop/DBus interface=org.freedesktop.DBus member=Hello cookie=1 reply_cookie=0 signature=n/a error-name=n/a error-message=n/a
Sent message type=method_call sender=n/a destination=org.freedesktop.DBus path=/org/freedesktop/DBus interface=org.freedesktop.DBus member=RequestName cookie=2 reply_cookie=0 signature=su error-name=n/a error-message=n/a
Sent message type=method_call sender=n/a destination=org.freedesktop.DBus path=/org/freedesktop/DBus interface=org.freedesktop.DBus member=AddMatch cookie=3 reply_cookie=0 signature=s error-name=n/a error-message=n/a
Got message type=method_return sender=org.freedesktop.DBus destination=:1.64 path=n/a interface=n/a member=n/a cookie=1 reply_cookie=1 signature=s error-name=n/a error-message=n/a
Bus bus-api-resolve: changing state HELLO → RUNNING
Got message type=signal sender=org.freedesktop.DBus.Local destination=n/a path=/org/freedesktop/DBus/Local interface=org.freedesktop.DBus.Local member=Connected cookie=4294967295 reply_cookie=0 signature=n/a error-name=n/a error-message=n/a
Got message type=signal sender=org.freedesktop.DBus destination=:1.64 path=/org/freedesktop/DBus interface=org.freedesktop.DBus member=NameAcquired cookie=2 reply_cookie=0 signature=s error-name=n/a error-message=n/a
Got message type=signal sender=org.freedesktop.DBus destination=:1.64 path=/org/freedesktop/DBus interface=org.freedesktop.DBus member=NameAcquired cookie=3 reply_cookie=0 signature=s error-name=n/a error-message=n/a
Got message type=method_return sender=org.freedesktop.DBus destination=:1.64 path=n/a interface=n/a member=n/a cookie=4 reply_cookie=2 signature=u error-name=n/a error-message=n/a
Successfully acquired requested service name.
Got message type=method_return sender=org.freedesktop.DBus destination=:1.64 path=n/a interface=n/a member=n/a cookie=5 reply_cookie=3 signature=n/a error-name=n/a error-message=n/a
Match type='signal',sender='org.freedesktop.login1',path='/org/freedesktop/login1',interface='org.freedesktop.login1.Manager',member='PrepareForSleep' successfully installed.
Received dns UDP packet of size 23, ifindex=0, ttl=64, fragsize=0
Got DNS stub UDP query packet for id 40027
Looking up RR for wp.pl IN A.
Switching to DNS server 8.8.8.8 for interface ens160.
Cache miss for wp.pl IN A
Firing regular transaction 36946 for <wp.pl IN A> scope dns on ens160/* (validate=yes).
Using feature level UDP+EDNS0 for transaction 36946.
Using DNS server 8.8.8.8 for transaction 36946.
Announcing packet size 512 in egress EDNS(0) packet.
Emitting UDP, link MTU is 1500, socket MTU is 0, minimal MTU is 40
Sending query packet with id 36946 of size 34.
Processing query...
Received dns UDP packet of size 34, ifindex=2, ttl=0, fragsize=0
Processing incoming packet of size 34 on transaction 36946 (rcode=SERVFAIL).
Server returned error SERVFAIL, retrying transaction with reduced feature level UDP.
Retrying transaction 36946.
Cache miss for wp.pl IN A
Firing regular transaction 36946 for <wp.pl IN A> scope dns on ens160/* (validate=yes).
Using feature level UDP for transaction 36946.
Emitting UDP, link MTU is 1500, socket MTU is 1500, minimal MTU is 40
Sending query packet with id 36946 of size 23.
Received dns UDP packet of size 23, ifindex=2, ttl=0, fragsize=0
Processing incoming packet of size 23 on transaction 36946 (rcode=SERVFAIL).
Retrying transaction 36946, after switching servers.
Switching to DNS server 8.8.4.4 for interface ens160.
Cache miss for wp.pl IN A
Firing regular transaction 36946 for <wp.pl IN A> scope dns on ens160/* (validate=yes).
Using feature level UDP+EDNS0 for transaction 36946.
Using DNS server 8.8.4.4 for transaction 36946.
Added socket 15 to graveyard
Announcing packet size 512 in egress EDNS(0) packet.
Emitting UDP, link MTU is 1500, socket MTU is 0, minimal MTU is 40
Sending query packet with id 36946 of size 34.
Received dns UDP packet of size 34, ifindex=2, ttl=0, fragsize=0
Processing incoming packet of size 34 on transaction 36946 (rcode=SERVFAIL).
Server returned error SERVFAIL, retrying transaction with reduced feature level UDP.

jacekalex · Post autor: **jacekalex** » 17 lis 2021, 10:44

DDOSujesz sobie robotę, najpierw zobacz, co wisi na porcie 53.

A potem po nitce do kłębka.

Jak próbujesz równocześnie zajmować się równocześnie całym systemem,
to się tylko zakręcisz jak słoik z konfiturami.

adir · Post autor: **adir** » 17 lis 2021, 11:02

teraz
lsof -n -i :53 | grep LISTEN
systemd-r 8752 systemd-resolve 14u IPv4 165922 0t0 TCP 127.0.0.53:domain (LISTEN)

bind obecnie jest wyłączony.

Być może problem jest w serwerowni. Rozmawiałem z gościem, który ma tam podobną maszynę i też mu nie resolvuje.

Właśnie do niego piszę, on przekaże do serwerowni i dam znać. Być może niepotrzebnie Wam zawracałem głowę - ale po kilku h motania przez dziwny/nieoczekiwany błąd
z Bindem i resolverem zacząłem szukać pomocy na forum

Bardzo dziękuję za odpowiedzi i Wasz czas.

jacekalex · Post autor: **jacekalex** » 17 lis 2021, 11:30

teraz
lsof -n -i :53 | grep LISTEN
systemd-r 8752 systemd-resolve 14u IPv4 165922 0t0 TCP 127.0.0.53:domain (LISTEN)

Jeżeli port jest blokowany przez systemd-resolver, to trudno wymagać działania od Binda.
Jeśli nie potrafisz wyłączyć usługi blokującej działanie Binda, a ta usługa Binda nie zastępuje,
to problem nie jest w serwerowni, ani w systemie, tylko między krzesłem a klawiaturą.

Wyłącz systemd-resolver, włącz Binda i zobacz, czy działa.

PS.
Naucz się używać znaczników CODE.

EDIT:
Za uwagę dziękuje:

Kod: Zaznacz cały

[I] net-dns/bind
     Available versions:  9.16.15-r2{tbz2} ~9.16.18 ~9.16.21 9.16.22-r1{tbz2} {berkdb +caps +dlz dnsrps dnstap doc fixed-rrset geoip geoip2 gssapi json ldap lmdb mysql odbc postgres python selinux static-libs xml +zlib PYTHON_TARGETS="python3_8 python3_9"}
     Installed versions:  9.16.22-r1{tbz2}(07:34:23 12.11.2021)(berkdb caps dlz geoip mysql python selinux static-libs xml zlib -dnsrps -dnstap -doc -fixed-rrset -geoip2 -gssapi -json -ldap -lmdb -odbc -postgres PYTHON_TARGETS="python3_9 -python3_8")
     Homepage:            https://www.isc.org/software/bind
     Description:         Berkeley Internet Name Domain - Name Server

Który jest teraz "bardzo zajęty":

Kod: Zaznacz cały

named     3159 named   24u  IPv4    14236      0t0  TCP 127.0.0.1:domain (LISTEN)
named     3159 named   25u  IPv4    14237      0t0  TCP 127.0.0.1:domain (LISTEN)
named     3159 named   30u  IPv4    14240      0t0  TCP 192.168.9.10:domain (LISTEN)
named     3159 named   31u  IPv4    14241      0t0  TCP 192.168.9.10:domain (LISTEN)
named     3159 named   34u  IPv6    14899      0t0  TCP [::1]:domain (LISTEN)
named     3159 named   35u  IPv6    14900      0t0  TCP [::1]:domain (LISTEN)
named     3159 named   38u  IPv6    13266      0t0  TCP [fe80::f64c:ab41:8ef3:a1d9]:domain (LISTEN)
named     3159 named   39u  IPv6    13267      0t0  TCP [fe80::f64c:ab41:8ef3:a1d9]:domain (LISTEN)
named     3159 named   42u  IPv6    13270      0t0  TCP [fe80::f64c:ab41:8ef3:a1d9]:domain (LISTEN)
named     3159 named   43u  IPv6    13271      0t0  TCP [fe80::f64c:ab41:8ef3:a1d9]:domain (LISTEN)
named     3159 named   46u  IPv6 12553291      0t0  TCP [fd2c:9fd7:c7c1:0:4936:bcb5:2804:cf9b]:domain (LISTEN)
named     3159 named   47u  IPv6 12553292      0t0  TCP [fd2c:9fd7:c7c1:0:4936:bcb5:2804:cf9b]:domain (LISTEN)
named     3159 named   50u  IPv6    14244      0t0  TCP [fd2c:9fd7:c7c1:0:b21f:a4f4:b5c1:9280]:domain (LISTEN)
named     3159 named   51u  IPv6    14245      0t0  TCP [fd2c:9fd7:c7c1:0:b21f:a4f4:b5c1:9280]:domain (LISTEN)
named     3159 named   62u  IPv6    14256      0t0  TCP [fe80::9718:9868:3092:c747]:domain (LISTEN)
named     3159 named   63u  IPv6    14257      0t0  TCP [fe80::9718:9868:3092:c747]:domain (LISTEN)
named     3159 named   66u  IPv6    14260      0t0  TCP [fe80::443d:4c19:3d1a:5ad5]:domain (LISTEN)
named     3159 named   67u  IPv6    14261      0t0  TCP [fe80::443d:4c19:3d1a:5ad5]:domain (LISTEN)
named     3159 named   71u  IPv4    18177      0t0  TCP 172.17.0.1:domain (LISTEN)
named     3159 named   72u  IPv4    18178      0t0  TCP 172.17.0.1:domain (LISTEN)
named     3159 named   83u  IPv6 10454251      0t0  TCP [fd2c:9fd7:c7c1:0:2c10:bc11:3a55:2a74]:domain (LISTEN)
named     3159 named   84u  IPv6 10454252      0t0  TCP [fd2c:9fd7:c7c1:0:2c10:bc11:3a55:2a74]:domain (LISTEN)
named     3159 named   91u  IPv6 11053991      0t0  TCP [fd2c:9fd7:c7c1:0:52:32b4:b29a:550a]:domain (LISTEN)
named     3159 named   92u  IPv6 11053992      0t0  TCP [fd2c:9fd7:c7c1:0:52:32b4:b29a:550a]:domain (LISTEN)
named     3159 named  103u  IPv6 11311750      0t0  TCP [fd2c:9fd7:c7c1:0:d2f0:766e:a5b3:30d7]:domain (LISTEN)
named     3159 named  104u  IPv6 11311751      0t0  TCP [fd2c:9fd7:c7c1:0:d2f0:766e:a5b3:30d7]:domain (LISTEN)
named     3159 named  111u  IPv6 12031110      0t0  TCP [fd2c:9fd7:c7c1:0:df02:5ec6:8c59:1a5a]:domain (LISTEN)
named     3159 named  112u  IPv6 12031111      0t0  TCP [fd2c:9fd7:c7c1:0:df02:5ec6:8c59:1a5a]:domain (LISTEN)
named     3159 named  115u  IPv6 12284529      0t0  TCP [fd2c:9fd7:c7c1:0:73a8:3801:b5de:9179]:domain (LISTEN)
named     3159 named  116u  IPv6 12284530      0t0  TCP [fd2c:9fd7:c7c1:0:73a8:3801:b5de:9179]:domain (LISTEN)

Pozro

adir · Post autor: **adir** » 17 lis 2021, 11:57

Witaj

Jeżeli port jest blokowany przez systemd-resolver, to trudno wymagać działania od Binda.

1. Wcześniej bind działał OK. Nasłuchiwał na 53 i resolver wskazywał na 127.0.0.1
IMHO inaczej w logach by nie było:

Kod: Zaznacz cały

Nov 16 22:25:05 atena named[2824]: SERVFAIL unexpected RCODE resolving '_.com/A/IN': 198.97.190.53#53
[..]
Nov 16 22:25:05 atena named[2824]: SERVFAIL unexpected RCODE resolving 'ntp.ubuntu.com/A/IN': 199.9.14.201#53

2. Na innej maszynie (której nie dotykałem

) też jest problem z resolvovaniem.

Jeśli nie potrafisz wyłączyć usługi blokującej działanie Binda, a ta usługa Binda nie zastępuje,

Ale ja Binda wyłączyłem specjalnie, aby zobaczyć czy to problem Binda czy resolvera.
OK przywróciłem konfiguracje:

Kod: Zaznacz cały

 lsof -n -i :53 | grep LISTEN
named     9283            bind   42u  IPv4 173820      0t0  TCP 127.0.0.1:domain (LISTEN)
named     9283            bind   44u  IPv4 173821      0t0  TCP 127.0.0.1:domain (LISTEN)
named     9283            bind   46u  IPv4 173822      0t0  TCP 127.0.0.1:domain (LISTEN)
named     9283            bind   48u  IPv4 173823      0t0  TCP 127.0.0.1:domain (LISTEN)
named     9283            bind   54u  IPv4 173828      0t0  TCP 10.x.x.100:domain (LISTEN)
named     9283            bind   55u  IPv4 173829      0t0  TCP 10.x.x.100:domain (LISTEN)
named     9283            bind   56u  IPv4 173830      0t0  TCP 10.x.x.100:domain (LISTEN)
named     9283            bind   57u  IPv4 173831      0t0  TCP 10.x.x.100:domain (LISTEN)
systemd-r 9405 systemd-resolve   14u  IPv4 177476      0t0  TCP 127.0.0.53:domain (LISTEN)

resolver nasłuchuje n 127.0.0.53, a nie 127.0.0.1

Kod: Zaznacz cały

 cat /etc/resolv.conf
# Dynamic resolv.conf(5) file for glibc resolver(3) generated by resolvconf(8)
#     DO NOT EDIT THIS FILE BY HAND -- YOUR CHANGES WILL BE OVERWRITTEN
# 127.0.0.53 is the systemd-resolved stub resolver.
# run "systemd-resolve --status" to see details about the actual nameservers.

nameserver 127.0.0.1

Całkowicie usunąłem Googlewe NSy z /etc/netplan
i configu systemd-resolve

Kod: Zaznacz cały

systemd-resolve --status
Global
         Protocols: -LLMNR -mDNS -DNSOverTLS DNSSEC=no/unsupported
  resolv.conf mode: foreign
Current DNS Server: 127.0.0.1
       DNS Servers: 127.0.0.1

Link 2 (ens160)
Current Scopes: DNS
     Protocols: +DefaultRoute +LLMNR -mDNS -DNSOverTLS DNSSEC=no/unsupported
   DNS Servers: 127.0.0.1

Kod: Zaznacz cały

dig wp.pl

; <<>> DiG 9.16.15-Ubuntu <<>> wp.pl
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: SERVFAIL, id: 15647
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 1232
; COOKIE: 19a4ebed33710105010000006194deac8b65d1680f2d4ac8 (good)
;; QUESTION SECTION:
;wp.pl.                         IN      A

;; Query time: 12 msec
;; SERVER: 127.0.0.1#53(127.0.0.1)
;; WHEN: Wed Nov 17 11:51:24 CET 2021
;; MSG SIZE  rcvd: 62

Kod: Zaznacz cały

Nov 17 11:51:26 atena named[9283]: SERVFAIL unexpected RCODE resolving 'ntp.ubuntu.com/A/IN': 192.203.230.10#53
Nov 17 11:51:26 atena named[9283]: SERVFAIL unexpected RCODE resolving 'ntp.ubuntu.com/AAAA/IN': 192.203.230.10#53
Nov 17 11:51:26 atena named[9283]: client @0x7fb6ac000cc8 127.0.0.1#50929 (ntp.ubuntu.com): query failed (failure) for ntp.ubuntu.com/IN/A at query.c:7360
Nov 17 11:51:26 atena named[9283]: client @0x7fb6ac008018 127.0.0.1#50929 (ntp.ubuntu.com): query failed (failure) for ntp.ubuntu.com/IN/AAAA at query.c:7360

adir · Post autor: **adir** » 17 lis 2021, 13:30

Wczoraj bez uprzedzenia serwerownia skonfigurowała na Fortigate "Security Profile AV, IPS , DNS"
I Fortigate nasze zapytania DNS blokował. Po zgłoszeniu wyłączyli te reguły.
Super 10+ h nerwów i debugowania.... w piach.
Przepraszam, że zawracałem Wam głowę i dziękuję za poświęcony czas.

host -tA wp.pl
wp.pl has address 212.77.98.9
Jak pięknie znów to widzieć

jacekalex · Post autor: **jacekalex** » 17 lis 2021, 13:37

adir pisze: ↑17 lis 2021, 13:30 Wczoraj bez uprzedzenia serwerownia skonfigurowała na Fortigate "Security Profile AV, IPS , DNS"
I Fortigate nasze zapytania DNS blokował. Po zgłoszeniu wyłączyli te reguły.
Super 10+ h nerwów i debugowania.... w piach.
Przepraszam, że zawracałem Wam głowę i dziękuję za poświęcony czas.

host -tA wp.pl
wp.pl has address 212.77.98.9
Jak pięknie znów to widzieć

To nie serwerownia tylko lamerownia, banda kretynów, nic więcej.

Lepiej napisz, co to za firma ma taką serwerownię, żeby parę tysi potencjalnych klientów wiedziało, czego należy unikać.

Ja pewnie bym tam i tak nigdy nie trafił, bo najpierw sprawdzam,
czy dana serwerownia ma wsparcie Ipv6, co u kretynów jest niewykonalne.
Ale setkę innych ludzi warto ostrzec.

Pozdro

adir · Post autor: **adir** » 17 lis 2021, 13:59

jacekalex pisze: ↑17 lis 2021, 13:37 To nie serwerownia tylko lamerownia, banda kretynów, nic więcej.
Lepiej napisz, co to za firma ma taką serwerownię, żeby parę tysi potencjalnych klientów wiedziało, czego należy unikać.

Niestety z pewnych względów nie mogę powiedzieć. Jest to spora serwerownia w PL z dużą liczbą certyfikatów

Ale standardowy użytkownik tam raczej rzadko trafia.

Ten serwer postawiony jest nie jest do końca na zasadach komercyjnych, więc może ma mniejszy priorytet.
Ale mój poziom zaufania mocno się obniżył. Błędy się zdarzają, mam nadzieję, że następnym razem będą ostrożniejsi.

Dzięki za pomoc.

[ROZWIĄZANO] BIND lokalny: SERVFAIL unexpected RCODE resolving

[ROZWIĄZANO] BIND lokalny: SERVFAIL unexpected RCODE resolving

Re: BIND lokalny: SERVFAIL unexpected RCODE resolving

Re: BIND lokalny: SERVFAIL unexpected RCODE resolving

Re: BIND lokalny: SERVFAIL unexpected RCODE resolving

Re: BIND lokalny: SERVFAIL unexpected RCODE resolving

Re: BIND lokalny: SERVFAIL unexpected RCODE resolving

Re: BIND lokalny: SERVFAIL unexpected RCODE resolving

Re: BIND lokalny: SERVFAIL unexpected RCODE resolving

Re: BIND lokalny: SERVFAIL unexpected RCODE resolving

Re: [ROZWIĄZANO] BIND lokalny: SERVFAIL unexpected RCODE resolving

Re: [ROZWIĄZANO] BIND lokalny: SERVFAIL unexpected RCODE resolving

Re: [ROZWIĄZANO] BIND lokalny: SERVFAIL unexpected RCODE resolving

Kto jest online