DNS-сервер не отвечает на входящие запросы

0

1

Добрый день

Вопрос из разряда дебильных

На чистой ubuntu 14.04 поднят dns-сервер для обслуживания зоны (домена). Ничего, кроме настройки bind9 в системе не производилось, то есть система девственно чистая. С роутера проброшены порты 53 TCP и 53 UDP на локальный адрес сервера.

В той же локальной сети имеется вторичный dns-сервер, который использует другой шлюз, и соответственно, другой внешний адрес на другом роутере, на котором также проброшены порты 53 TCP и 53 UDP на локальный адрес вторичного сервера.

Внутри локальной сети все работает, зоны передаются и т.д. Но извне оба сервера упорно недоступны для udp-запросов. И при этом никаких диагностических записей в логах!!!!!

Оба сервера крутятся на KVM виртуальных машинах. Подключаются к мосту br0 хоста, сеть белая (не virbr0), сетевой адаптер virtio, ну то есть самые стандартные параметры. Хостовая система также девственно чистая, поднималась только для KVM.

Подскажите, в чем причина недоступности dns-серверов, может быть в KVM? Уже не знаю куда дальше копать

Ссылка

←	Debian + Mobile WiFi Huawei E355

Переключение между двумя провайдерами

→

Что прописано в дтрективе listen в конфигурационном файле bind (named)?

kostik87 ★★★★★
(17.06.14 14:42:05 MSK)
Последнее исправление: kostik87 17.06.14 14:42:30 MSK (всего исправлений: 1)

Ответ на: комментарий от kostik87 17.06.14 14:42:05 MSK

root@web:~# cat /etc/bind/named.conf.options | grep listen

listen-on-v6 { none; };

listen-on port 53 { 192.168.1.100; 127.0.0.1; };

ufayan
(17.06.14 14:53:14 MSK) автор топика

Ссылка

очевидно же, что проброс с роутера не работает

anonymous
(17.06.14 15:33:26 MSK)

Ответ на: комментарий от anonymous 17.06.14 15:33:26 MSK

два совершенно разных роутера, на обоих не работает? и почему только udp

ufayan
(17.06.14 15:41:00 MSK) автор топика

Ответ на: комментарий от ufayan 17.06.14 15:41:00 MSK

ну, раз в локалке работает, а извне — нет? два совершенно разных роутера могут быть настроены совершенно одинаковым (т.е. одним и тем же) криворуким админом

короче, запускай tcpdump и смотри, что там откуда и куда приходит/уходит

anonymous
(17.06.14 16:57:17 MSK)

Ссылка

allow_query не указано случайно?

Toten_Kopf ★
(17.06.14 17:05:40 MSK)

Ответ на: комментарий от Toten_Kopf 17.06.14 17:05:40 MSK

указано только в internal view

view «internal» {

...

allow-query { 192.168.1.0/24; 127.0.0.0/8; };

...

};

view «external» {

...

здесь allow-query не указано

...

};

ufayan
(17.06.14 17:36:41 MSK) автор топика

Ответ на: комментарий от ufayan 17.06.14 17:36:41 MSK

попробовал добавить allow-query { «any»; }; во view «external» - не помогло

ufayan
(17.06.14 17:41:19 MSK) автор топика

Ссылка

Ответ на: комментарий от ufayan 17.06.14 17:36:41 MSK

Ну так, для приличия - iptables на серваках выключен/настроен, фаерволл на роутере выключен/настроен?

Toten_Kopf ★
(17.06.14 17:52:52 MSK)

Ответ на: комментарий от Toten_Kopf 17.06.14 17:52:52 MSK

iptables на серваках выключен, на роутере настроен проброс 53 tcp порта и 53 udp порта, так вот - проброс tcp работает, а udp - не работает. На обоих роутерах такая же история (один роутер tp-link, второй - d-link), ну то есть 100% дело не в роутерах... Думаю на KVM может грешить стоит?

ufayan
(17.06.14 18:10:02 MSK) автор топика

давай выхлоп

# tcpdump -nn udp port 53

во время выполнения DNS-запроса

anonymous
(17.06.14 18:31:39 MSK)

Ответ на: комментарий от anonymous 17.06.14 18:31:39 MSK

на вторичном сервере делаю:

root@web2:~# dig @25.25.25.25 mydomain.ru ns

; <<>> DiG 9.9.5-3-Ubuntu <<>> @25.25.25.25 mydomain.ru ns

; (1 server found)

;; global options: +cmd

;; connection timed out; no servers could be reached

в это время на первичном сервере делаю:

root@web:~# tcpdump -nn udp port 53

tcpdump: verbose output suppressed, use -v or -vv for full protocol decode

listening on eth0, link-type EN10MB (Ethernet), capture size 65535 bytes

<... и больше никакого вывода нет ...>

25.25.25.25 - внешний адрес первичного сервера

ufayan
(17.06.14 19:45:29 MSK) автор топика

Ответ на: комментарий от ufayan 17.06.14 19:45:29 MSK

а вот если сделать с первичного сервера (самому себе):

dig @25.25.25.25 mydomain.ru ns

то вывод зоны будет в порядке

ufayan
(17.06.14 19:48:01 MSK) автор топика

Ссылка

Ответ на: комментарий от anonymous 17.06.14 18:31:39 MSK

Оставил на ночь выполнение tcpdump -nn udp port 53, и вот какой выхлоп:

=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=

root@web:~# tcpdump -nn udp port 53

tcpdump: verbose output suppressed, use -v or -vv for full protocol decode

listening on eth0, link-type EN10MB (Ethernet), capture size 65535 bytes

23:16:26.413536 IP 192.168.1.101.52135 > 192.168.1.100.53: 26857 [1au] SOA? mydomain.test. (40)

23:16:26.414059 IP 192.168.1.100.53 > 192.168.1.101.52135: 26857 Refused- 0/0/1 (40)

23:56:58.413430 IP 192.168.1.101.29088 > 192.168.1.100.53: 773 [1au] SOA? mydomain.ru. (38)

23:56:58.413850 IP 192.168.1.100.53 > 192.168.1.101.29088: 773*- 1/2/3 SOA (159)

00:06:16.413816 IP 192.168.1.101.25038 > 192.168.1.100.53: 48728 [1au] SOA? mydomain.test. (40)

00:06:16.414255 IP 192.168.1.100.53 > 192.168.1.101.25038: 48728 Refused- 0/0/1 (40)

00:42:39.413567 IP 192.168.1.101.25758 > 192.168.1.100.53: 13355 [1au] SOA? mydomain.ru. (38)

00:42:39.413926 IP 192.168.1.100.53 > 192.168.1.101.25758: 13355*- 1/2/3 SOA (159)

01:06:13.414080 IP 192.168.1.101.59682 > 192.168.1.100.53: 46107 [1au] SOA? mydomain.test. (40)

01:06:13.414498 IP 192.168.1.100.53 > 192.168.1.101.59682: 46107 Refused- 0/0/1 (40)

01:07:59.410926 IP 192.168.1.101.53036 > 192.168.1.100.53: 5163 [1au] SOA? 192.in-addr.arpa. (45)

01:07:59.411272 IP 192.168.1.100.53 > 192.168.1.101.53036: 5163 Refused- 0/0/1 (45)

01:40:40.413855 IP 192.168.1.101.30045 > 192.168.1.100.53: 26542 [1au] SOA? mydomain.ru. (38)

01:40:40.414206 IP 192.168.1.100.53 > 192.168.1.101.30045: 26542*- 1/2/3 SOA (159)

01:57:13.414334 IP 192.168.1.101.43248 > 192.168.1.100.53: 64250 [1au] SOA? mydomain.test. (40)

01:57:13.414851 IP 192.168.1.100.53 > 192.168.1.101.43248: 64250 Refused- 0/0/1 (40)

02:33:47.413352 IP 192.168.1.101.7769 > 192.168.1.100.53: 39915 [1au] SOA? mydomain.ru. (38)

02:33:47.413523 IP 192.168.1.100.53 > 192.168.1.101.7769: 39915*- 1/2/3 SOA (159)

02:49:50.414367 IP 192.168.1.101.13410 > 192.168.1.100.53: 51447 [1au] SOA? mydomain.test. (40)

02:49:50.414799 IP 192.168.1.100.53 > 192.168.1.101.13410: 51447 Refused- 0/0/1 (40)

03:18:57.414281 IP 192.168.1.101.21244 > 192.168.1.100.53: 62187 [1au] SOA? mydomain.ru. (38)

03:18:57.414683 IP 192.168.1.100.53 > 192.168.1.101.21244: 62187*- 1/2/3 SOA (159)

03:48:08.414832 IP 192.168.1.101.56758 > 192.168.1.100.53: 24561 [1au] SOA? mydomain.test. (40)

03:48:08.415320 IP 192.168.1.100.53 > 192.168.1.101.56758: 24561 Refused- 0/0/1 (40)

04:18:30.414558 IP 192.168.1.101.34859 > 192.168.1.100.53: 41828 [1au] SOA? mydomain.ru. (38)

04:18:30.414920 IP 192.168.1.100.53 > 192.168.1.101.34859: 41828*- 1/2/3 SOA (159)

04:33:31.414707 IP 192.168.1.101.49358 > 192.168.1.100.53: 44893 [1au] SOA? mydomain.test. (40)

04:33:31.415190 IP 192.168.1.100.53 > 192.168.1.101.49358: 44893 Refused- 0/0/1 (40)

05:06:39.413825 IP 192.168.1.101.12434 > 192.168.1.100.53: 28986 [1au] SOA? mydomain.ru. (38)

05:06:39.413955 IP 192.168.1.100.53 > 192.168.1.101.12434: 28986*- 1/2/3 SOA (159)

05:32:34.415237 IP 192.168.1.101.16147 > 192.168.1.100.53: 52266 [1au] SOA? mydomain.test. (40)

05:32:34.415686 IP 192.168.1.100.53 > 192.168.1.101.16147: 52266 Refused- 0/0/1 (40)

06:01:26.414791 IP 192.168.1.101.15810 > 192.168.1.100.53: 51681 [1au] SOA? mydomain.ru. (38)

06:01:26.415210 IP 192.168.1.100.53 > 192.168.1.101.15810: 51681*- 1/2/3 SOA (159)

06:22:58.415483 IP 192.168.1.101.44092 > 192.168.1.100.53: 36831 [1au] SOA? mydomain.test. (40)

06:22:58.415923 IP 192.168.1.100.53 > 192.168.1.101.44092: 36831 Refused- 0/0/1 (40)

06:28:10.034369 IP 192.168.1.100.43098 > 192.168.1.101.53: 28343+ A? security.ubuntu.com. (37)

06:28:10.034387 IP 192.168.1.100.43098 > 192.168.1.101.53: 145+ AAAA? security.ubuntu.com. (37)

06:28:10.035382 IP 192.168.1.100.51443 > 192.168.1.101.53: 3793+ A? ru.archive.ubuntu.com. (39)

06:28:10.035440 IP 192.168.1.100.51443 > 192.168.1.101.53: 10171+ AAAA? ru.archive.ubuntu.com. (39)

06:28:10.140295 IP 192.168.1.101.53 > 192.168.1.100.43098: 28343 5/13/0 A 91.189.91.14, A 91.189.91.13, A 91.189.92.201, A 91.189.92.200, A 91.189.91.15 (328)

06:28:10.140474 IP 192.168.1.101.53 > 192.168.1.100.43098: 145 5/13/0 AAAA 2001:67c:1360:8c01::18, AAAA 2001:67c:1562::15, AAAA 2001:67c:1562::13, AAAA 2001:67c:1562::14, AAAA 2001:67c:1360:8c01::19 (388)

06:28:10.216749 IP 192.168.1.101.53 > 192.168.1.100.51443: 3793 2/13/0 CNAME mirror.yandex.ru., A 213.180.204.183 (296)

06:28:10.216835 IP 192.168.1.101.53 > 192.168.1.100.51443: 10171 2/13/0 CNAME mirror.yandex.ru., AAAA 2a02:6b8::183 (308)

06:50:26.415064 IP 192.168.1.101.31240 > 192.168.1.100.53: 25090 [1au] SOA? mydomain.ru. (38)

06:50:26.415442 IP 192.168.1.100.53 > 192.168.1.101.31240: 25090*- 1/2/3 SOA (159)

07:21:46.415668 IP 192.168.1.101.24181 > 192.168.1.100.53: 63440 [1au] SOA? mydomain.test. (40)

07:21:46.416124 IP 192.168.1.100.53 > 192.168.1.101.24181: 63440 Refused- 0/0/1 (40)

07:39:34.414908 IP 192.168.1.101.6115 > 192.168.1.100.53: 53573 [1au] SOA? mydomain.ru. (38)

07:39:34.415265 IP 192.168.1.100.53 > 192.168.1.101.6115: 53573*- 1/2/3 SOA (159)

08:12:22.415557 IP 192.168.1.101.58568 > 192.168.1.100.53: 57750 [1au] SOA? mydomain.test. (40)

08:12:22.415953 IP 192.168.1.100.53 > 192.168.1.101.58568: 57750 Refused- 0/0/1 (40)

08:27:51.415449 IP 192.168.1.101.36646 > 192.168.1.100.53: 16377 [1au] SOA? mydomain.ru. (38)

08:27:51.415812 IP 192.168.1.100.53 > 192.168.1.101.36646: 16377*- 1/2/3 SOA (159)

=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=

192.168.1.100 - локальный адрес первичного сервера

192.168.1.101 - локальный адрес вторичного сервера

mydomain.ru. и mydomain.test. - обслуживаемые зоны

ufayan
(18.06.14 07:04:01 MSK) автор топика

Ответ на: комментарий от anonymous 17.06.14 18:31:39 MSK

named.conf:

// 192.168.1.100; 192.168.1.101 - локальные адреса первичного и вторичного серверов

// 26.26.26.26 - внешний адрес вторичного сервера

// 39.39.39.39; 41.41.41.41 - DNS провайдера

options {

directory «/var/cache/bind»;

dnssec-validation auto;

auth-nxdomain no;

listen-on-v6 { none; };

listen-on { 192.168.1.100; 127.0.0.1; };

interface-interval 0;

zone-statistics yes;

};

view «internal» {

match-clients { 192.168.1.0/24; 127.0.0.0/8; };

allow-query { 192.168.1.0/24; 127.0.0.0/8; };

allow-recursion { 192.168.1.0/24; 127.0.0.0/8; };

allow-transfer { 192.168.1.101; };

query-source address 192.168.1.100;

transfer-source 192.168.1.100;

notify-source 192.168.1.100;

also-notify { 192.168.1.101; };

notify explicit;

forwarders { 39.39.39.39; 41.41.41.41; };

zone "." {

type hint;

file «/etc/bind/db.root»;

};

zone «localhost» {

type master;

file «/etc/bind/db.local»;

};

zone «127.in-addr.arpa» {

type master;

file «/etc/bind/db.127»;

};

zone «0.in-addr.arpa» {

type master;

file «/etc/bind/db.0»;

};

zone «255.in-addr.arpa» {

type master;

file «/etc/bind/db.255»;

};

zone «192.in-addr.arpa» {

type master;

file «/etc/bind/db.192»;

};

zone «mydomain.test» {

type master;

file «/etc/bind/db.mydomain.test»;

};

zone «mydomain.ru» {

type master;

file «/etc/bind/db.mydomain.ru-forward-int»;

};

view «external» {

match-clients { «any»; };

recursion no;

allow-transfer { 26.26.26.26; };

notify yes;

zone "." {

type hint;

file «/etc/bind/db.root»;

};

zone «mydomain.ru» {

type master;

file «/etc/bind/db.mydomain.ru-forward»;

};

ufayan
(18.06.14 07:17:26 MSK) автор топика

Ссылка

Ответ на: комментарий от ufayan 17.06.14 18:10:02 MSK

так вот - проброс tcp работает, а udp - не работает

скриншоты как nat настроен на роутерах скинь, ну либо если есть доступ туда в консоль (вдруг ddwrt или openwrt?) то вывод iptables-save...

ei-grad ★★★★★
(18.06.14 07:24:58 MSK)

Ответ на: комментарий от ei-grad 18.06.14 07:24:58 MSK

---------------------------

tp-link:

http://c2n.me/ikO9Jp

http://c2n.me/ikOapC

---------------------------

D-Link:

http://c2n.me/ikObyV

---------------------------

ufayan
(18.06.14 07:51:54 MSK) автор топика

Ссылка

Ответ на: комментарий от ufayan 17.06.14 19:45:29 MSK

ну, говорил же, что проблема с роутерами! пробуй из внешнего инета, а не с вторичника, чтобы исключить проблемы второго роутера

anonymous
(18.06.14 12:38:46 MSK)

Ссылка

Ответ на: комментарий от ufayan 18.06.14 07:04:01 MSK

здесь нет ни одного запроса извне, все общение между твоими двумя серверами, с чем проблем, как ты говорил, не было, хотя мы то видим, что вторичник не может получить обе зоны (Refused- 0/0/1), поскольку ходит на первичник через локалку, хотя там разрешен трансфер зоны только с белого адреса, т.е., видимо, предполагалось, что вторичник будет ходить за зонами извне

возможно на втором роутере не настроен NAT, и поэтому трафик на 25.25.25.25 приходит на первый роутер с внешнего интерфейса, но src-адрес у него 192.168.1.101, т.е. такой, который должен быть на внутреннем интерфейсе этого роутера, и у него сносит крышу

короче, рано тебе еще самостоятельно такие нетривиальные конфигурации настраивать — все через жопу получается

anonymous
(18.06.14 12:55:04 MSK)

Ответ на: комментарий от anonymous 18.06.14 12:55:04 MSK

насчет сноса крыши мысль понятна, так бывает при неправильной настройке iptables на шлюзе, когда интернет-кабель в сервак воткнут. Здесь же мы имеем дело с роутером, на котором работает NAT, посему для данной ситуации это предположение неуместно. И о какой нафик настройке NAT идет речь на роутере со стоковой прошивкой??? )))))

ufayan
(18.06.14 13:27:12 MSK) автор топика

Ответ на: комментарий от anonymous 18.06.14 12:55:04 MSK

конфигурация то на самом деле самая что ни на есть тривиальная

ufayan
(18.06.14 13:30:08 MSK) автор топика

Ответ на: комментарий от ufayan 18.06.14 13:30:08 MSK

ну и ещё раз, для уверенности - роутер у которого 26.26.26.26 знает как дойти до 25.25.25.25? между ними ведь есть роутер/туннель/сеть? И 25.25.25.25 тоже знает как дойти до 26.26.26.26?

Toten_Kopf ★
(18.06.14 13:34:49 MSK)

А провайдер не может блокировать траффик? Ну типа как многие порт 25 закрывают.

Mr_Alone ★★★★★
(18.06.14 13:38:27 MSK)

Ссылка

Ответ на: комментарий от Toten_Kopf 18.06.14 13:34:49 MSK

я почему такой дурной вопрос спрашиваю - у тебя все адреса какие-то ну очень красивые. Закралось подозрение, что ты просто железки сам подключаешь, что-то там моделируешь.

Toten_Kopf ★
(18.06.14 13:40:43 MSK)

Ссылка

Ответ на: комментарий от ufayan 18.06.14 13:27:12 MSK

И о какой нафик настройке NAT идет речь на роутере со стоковой прошивкой???

т.е. NAT'а нет?

anonymous
(18.06.14 13:50:45 MSK)

Ссылка

Ответ на: комментарий от Toten_Kopf 18.06.14 13:34:49 MSK

ну и ещё раз, для уверенности - роутер у которого 26.26.26.26 знает как дойти до 25.25.25.25? между ними ведь есть роутер/туннель/сеть? И 25.25.25.25 тоже знает как дойти до 26.26.26.26?

25.25.25.25 и 26.26.26.26 - это внешние интерфейсы (WAN-порты на роутерах);

192.168.1.100 и 192.168.1.101 - это локальные адреса роутеров, оба роутера находятся в локальной сети и разумеется видят друг друга

А провайдер не может блокировать траффик? Ну типа как многие порт 25 закрывают.

а вот это фик знает, но очень врядли

я почему такой дурной вопрос спрашиваю - у тебя все адреса какие-то ну очень красивые

это не настоящие адреса ))) для форума заменяю

т.е. NAT'а нет?

NAT есть конечно, но единственная его настройка - включить/выключить плюс виртуальные сервера (проброс портов)

Сейчас заменил один из роутеров на другой, та же фигня!! Проблема не в роутерах...

ufayan
(18.06.14 13:57:04 MSK) автор топика

Ответ на: комментарий от ufayan 18.06.14 13:57:04 MSK

ты задрал уже! сделай запрос из инета (не из локалки!):

# dig @25.25.25.25 mydomain.ru ns

и смотри tcpdump'ом на первичнике, что пришло на UDP-53
что, так сложно это сделать?

если ничего не пришло, то проблема в роутере, если что-то пришло, покажи здесь

anonymous
(18.06.14 14:33:55 MSK)

Ответ на: комментарий от anonymous 18.06.14 14:33:55 MSK

сделай запрос из инета (не из локалки!):
# dig @25.25.25.25 mydomain.ru ns

я уже писал что делал это и ничего не приходит!

если ничего не пришло, то проблема в роутере

это совсем не означает что проблема в роутере. Точнее в данном случае она точно не в роутере. Возможно трафик блокируется на kvm-хосте, не знаю почему еще tcpdump его может не видеть..

ufayan
(18.06.14 14:48:18 MSK) автор топика

Ответ на: комментарий от ufayan 18.06.14 14:48:18 MSK

сделай запрос из инета (не из локалки!):
я уже писал что делал это

ты неадекватен!
язабан

anonymous
(18.06.14 14:55:44 MSK)

Ответ на: комментарий от anonymous 18.06.14 14:55:44 MSK

сделай запрос из инета (не из локалки!):

да конечно не из локалки я делал!!!!!!!!!

ufayan
(18.06.14 15:13:54 MSK) автор топика

Ответ на: комментарий от ufayan 18.06.14 15:13:54 MSK

и где про это написано? как мы должны про это узнать? какой результат?

anonymous
(18.06.14 15:17:36 MSK)

Ответ на: комментарий от anonymous 18.06.14 15:17:36 MSK

Всем откликнувшимся спасибо за участие. Проблема решена. Как я и предполагал, резал udp трафик KVM-хост, была проблема в настройках bonding'а, мать его! всю голову мне сломал, ларчик как всегда просто открывался.

ufayan
(18.06.14 15:29:50 MSK) автор топика

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Debian + Mobile WiFi Huawei E355

Admin

Переключение между двумя провайдерами

→

Похожие темы