bind перестаёт резолвить произвольные домены

0

1

Время от времени bind перестаёт резолвить некий произвольный домен. Вернее догадываюсь что их может быть много, но замечается один. Если не заметить (мониторинг проверяет ya.ru) то в течении 10 минут восстанавливается. Если просто перечитать конфиг: systemctl reload named то этого оказывается достаточно чтобы исправить.

Вот как это показывает dig:

$ dig @10.1.1.40 open.ru

; <<>> DiG 9.10.8-P1 <<>> @10.1.1.40 open.ru
; (1 server found)   
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: SERVFAIL, id: 37756
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION: 
;open.ru.                       IN      A

;; Query time: 36 msec
;; SERVER: 10.1.1.40#53(10.1.1.40)
;; WHEN: Wed Apr 15 13:22:13 +04 2020
;; MSG SIZE  rcvd: 36

$

При этом если сделать +trace то результат правильный.

Как можно такое попытаться диагностировать? В логах вроде всё как обычно.

Ссылка

←	Не работает nat в wireguard

Firefox can’t establish a connection to the server

→

Хотя возможно ему просто оперативной памяти не хватало.

sin_a ★★★★★
(15.04.20 18:22:26 MSK) автор топика

Ответ на: комментарий от sin_a 15.04.20 18:22:26 MSK

Нет, похоже память ни при чём.

sin_a ★★★★★
(15.04.20 21:03:07 MSK) автор топика

Ссылка

Трафика на этом DNS-е много? Если нет, попробуй включить querylog

Pinkbyte ★★★★★
(22.04.20 12:05:38 MSK)

Ответ на: комментарий от Pinkbyte 22.04.20 12:05:38 MSK

Если вывести первые поля причины, то картина примерно следующая:

[root@dns-int tmp]# cat google.errors.text | awk '{print ($3 " " $4 " " $5 " " $6 )}' | sort | uniq -c | sort -n | tail
      3 validating mw1.google.com/CNAME: bad cache
      3 validating www.google.com/A: bad cache
      4 no valid DS resolving
      7 validating clients4.google.com/CNAME: bad cache
     10 validating google.com/A: bad cache
     15 validating kh.google.com/CNAME: bad cache
     23 validating youtube-ui.l.google.com/CNAME: bad cache
     29 validating www-google-analytics.l.google.com/A: bad cache
     78 no valid RRSIG resolving
    103 broken trust chain resolving
[root@dns-int tmp]#

Где broken trust chain это:

Apr 22 13:00:35 dns-int named[13713]: broken trust chain resolving 'google.com/A/IN': 216.239.36.10#53

А no valid RRSIG:

Apr 22 13:57:29 dns-int named[13791]: no valid RRSIG resolving 'google.com/DS/IN': 192.43.172.30#53

Есть впечатление это это связано с dnssec

sin_a ★★★★★
(22.04.20 16:21:18 MSK) автор топика

Ответ на: комментарий от sin_a 22.04.20 16:21:18 MSK

Кажись кто-то вмешивается в твой DNS-трафик. Ибо сомнительно, что у гугла глючит DNSSec, хотя конечно всякое возможно.

Pinkbyte ★★★★★
(22.04.20 16:27:24 MSK)

Ответ на: комментарий от Pinkbyte 22.04.20 16:27:24 MSK

Возможно и не вмешивается. Есть некий источник dns запросов, такое впечатление что это оно даёт побочный эффект.

sin_a ★★★★★
(22.04.20 16:49:14 MSK) автор топика

Ссылка

Ответ на: комментарий от Pinkbyte 22.04.20 16:27:24 MSK

Возможно это вот это: Bind over OpenVPN - broken trust chain resolving (комментарий) . Но клиент не под моим контролем.

sin_a ★★★★★
(22.04.20 19:14:03 MSK) автор топика

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Не работает nat в wireguard

Admin

Firefox can’t establish a connection to the server

→

Похожие темы