Не работает dig TXT, dig +trace для некоторых доменов после апгрейда циска-роутера

0

1

Всем привет! Парни, нужен коллективный разум. Жила-была сетка с кошкой ISR4451 во главе под 15-м ИОСом и все было ок, но дернул меня черт обновить кошку до 16.9.7. Во время обновления никакие аксес-листы не потерялись и не добавились, пострадал только айписек, который сюда отношения не имеет. Т.е. роутинг, аксес-листы и пр. остались прежними. НО блин началась свистопляска с резолвом ДНС на внутренних ресурсах за кошкой.

Пример ресурса. Только что засетапленная виртуалка. Настройки:

root@oda-vm-ayakubov:~# cat /etc/resolv.conf | grep -v '^#.*'
nameserver 4.2.2.2
nameserver 8.8.8.8

root@oda-vm-ayakubov:~# ip ro
default via 172.16.0.1 dev ens160 proto static
172.16.0.0/20 dev ens160 proto kernel scope link src 172.16.0.213

root@oda-vm-ayakubov:~# netstat -i -u
Kernel Interface table
Iface      MTU    RX-OK RX-ERR RX-DRP RX-OVR    TX-OK TX-ERR TX-DRP TX-OVR Flg
ens160    1500    18474      0      0 0          5589      0      0      0 BMRU
lo       65536      382      0      0 0           382      0      0      0 LRU

root@oda-vm-ayakubov:/var/log# cat /etc/nsswitch.conf | grep hosts
hosts:          files dns
root@oda-vm-ayakubov:/var/log# nscd

Command 'nscd' not found, but can be installed with:

apt install nscd   # version 2.31-0ubuntu9.2, or
apt install unscd  # version 0.53-1build4

Суть проблемы:

root@oda-vm-ayakubov:~# ping perkinscoie.com
PING perkinscoie.com (198.22.100.111) 56(84) bytes of data.
64 bytes from 198-22-100-111.perkinscoie.com (198.22.100.111): icmp_seq=1 ttl=243 time=45.2 ms
64 bytes from 198-22-100-111.perkinscoie.com (198.22.100.111): icmp_seq=2 ttl=243 time=45.2 ms
^C
--- perkinscoie.com ping statistics ---
2 packets transmitted, 2 received, 0% packet loss, time 1002ms
rtt min/avg/max/mdev = 45.173/45.183/45.193/0.010 ms

root@oda-vm-ayakubov:~# dig perkinscoie.com
; <<>> DiG 9.16.1-Ubuntu <<>> perkinscoie.com
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 11154
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 8192
;; QUESTION SECTION:
;perkinscoie.com.               IN      A

;; ANSWER SECTION:
perkinscoie.com.        3600    IN      A       198.22.100.111

;; Query time: 20 msec
;; SERVER: 4.2.2.2#53(4.2.2.2)
;; WHEN: Sat Jun 26 07:36:12 MST 2021
;; MSG SIZE  rcvd: 60

root@oda-vm-ayakubov:~# dig mail.ru
; <<>> DiG 9.16.1-Ubuntu <<>> mail.ru
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 34167
;; flags: qr rd ra; QUERY: 1, ANSWER: 4, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;mail.ru.                       IN      A

;; ANSWER SECTION:
mail.ru.                1       IN      A       94.100.180.200
mail.ru.                1       IN      A       217.69.139.202
mail.ru.                1       IN      A       217.69.139.200
mail.ru.                1       IN      A       94.100.180.201

;; Query time: 8 msec
;; SERVER: 4.2.2.2#53(4.2.2.2)
;; WHEN: Sat Jun 26 07:36:22 MST 2021
;; MSG SIZE  rcvd: 100

root@oda-vm-ayakubov:~# dig infusionmail.com

; <<>> DiG 9.16.1-Ubuntu <<>> infusionmail.com
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 31540
;; flags: qr rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 8192
;; QUESTION SECTION:
;infusionmail.com.              IN      A

;; ANSWER SECTION:
infusionmail.com.       300     IN      A       208.76.26.8
infusionmail.com.       300     IN      A       208.76.26.7

;; Query time: 72 msec
;; SERVER: 4.2.2.2#53(4.2.2.2)
;; WHEN: Sat Jun 26 07:36:32 MST 2021
;; MSG SIZE  rcvd: 77

root@oda-vm-ayakubov:~# dig infusionmail.com TXT

; <<>> DiG 9.16.1-Ubuntu <<>> infusionmail.com TXT
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 41805
;; flags: qr rd ra; QUERY: 1, ANSWER: 7, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 8192
;; QUESTION SECTION:
;infusionmail.com.              IN      TXT

;; ANSWER SECTION:
infusionmail.com.       300     IN      TXT     "v=spf1 a:infusionsoft.com ip4:208.76.24.0/22 ip4:35.227.130.0/24 ip4:34.82.162.0/24 -all"
infusionmail.com.       300     IN      TXT     "google-site-verification=4xQNvC13eVCQ_1x1iNzwNMWHmBVE1WpoJ-jXRSLcuzk"
infusionmail.com.       300     IN      TXT     "google-site-verification=EpUyaR22MgO7Py1LBeE_ig6Nu_NZtxRLY8rcikzKnOc"
infusionmail.com.       300     IN      TXT     "google-site-verification=TI25JngNHg9IvruHs04SSagVLYbC9d7SNhXcLPv1vCM"
infusionmail.com.       300     IN      TXT     "google-site-verification=Tm9iaFgH7tuuIPJhBhIHK_mqf-r2atSZ3xJ1kHLLcGM"
infusionmail.com.       300     IN      TXT     "google-site-verification=PSyjHBMAZTRuG6a3q1AIN72Lm83r_k9n4-hsXinb8hE"
infusionmail.com.       300     IN      TXT     "google-site-verification=8lUJ7lV0ms4uswn7007h7wpYMNtTvOgNmnfmTJ8wZnU"

;; Query time: 64 msec
;; SERVER: 4.2.2.2#53(4.2.2.2)
;; WHEN: Sat Jun 26 07:36:39 MST 2021
;; MSG SIZE  rcvd: 632

root@oda-vm-ayakubov:~# dig perkinscoie.com TXT

; <<>> DiG 9.16.1-Ubuntu <<>> perkinscoie.com TXT
;; global options: +cmd
;; connection timed out; no servers could be reached

root@oda-vm-ayakubov:~# dig k2._domainkey.infusionmail.com TXT

; <<>> DiG 9.16.1-Ubuntu <<>> k2._domainkey.infusionmail.com TXT
;; global options: +cmd
;; connection timed out; no servers could be reached

root@oda-vm-ayakubov:~# dig +trace yahoo.com

; <<>> DiG 9.16.1-Ubuntu <<>> +trace yahoo.com
;; global options: +cmd
;; connection timed out; no servers could be reached

root@oda-vm-ayakubov:~# dig +trace ya.ru

; <<>> DiG 9.16.1-Ubuntu <<>> +trace ya.ru
;; global options: +cmd
;; connection timed out; no servers could be reached

root@oda-vm-ayakubov:~# dig @8.8.8.8 +trace ya.ru

; <<>> DiG 9.16.1-Ubuntu <<>> @8.8.8.8 +trace ya.ru
; (1 server found)
;; global options: +cmd
;; connection timed out; no servers could be reached

Бог с ней с этой кошкой - я их саппорт измучал, дописали в итоге разрешения в аксес-листы для 53-го порта снаружи и обратно. Вопрос у меня такой: что такого могло измениться на кошке, что началось ВОТ ЭТО? Провайдеров обоих спросил - ни потерь, ни ошибок, ни фрагментации на интерфейсах нет. Хост чистый, ДНСы гугла, никаких внутренних ДНСов на серверах и кошке не использую. Ощущение, что трейс не может получить список рутовых ДНС, а с ТХТ я вообще не понимаю как так может быть. Буду благодарен за любые идеи на тему и пришлю любую диагнозу.

Ссылка

←	ssh к виртуалке на selvpc.ru

Starting Cleanup of Temporary Directories

→

TXT может не работать из-за размера пакета (кто-то режет большие UDP-пакеты).
Там есть DNS inspection?
Попробуй по TCP (dig +tcp).

bigbit ★★★★★
(26.06.21 20:08:54 MSK)

Ответ на: комментарий от bigbit 26.06.21 20:08:54 MSK

Увы, в данном случае, но это не ASA - DNS inspection нет там. Все что есть - это банальный ресолв и все.

У меня тоже ощущение, что кошка режет пакеты, но вот что странно:

root@oda-vm-ayakubov:/var/log# dig +tcp @4.2.2.2 perkinscoie.com TXT

; <<>> DiG 9.16.1-Ubuntu <<>> +tcp @4.2.2.2 perkinscoie.com TXT
; (1 server found)
;; global options: +cmd
;; connection timed out; no servers could be reached

root@oda-vm-ayakubov:/var/log# dig @4.2.2.2 perkinscoie.com TXT

; <<>> DiG 9.16.1-Ubuntu <<>> @4.2.2.2 perkinscoie.com TXT
; (1 server found)
;; global options: +cmd
;; connection timed out; no servers could be reached

root@oda-vm-ayakubov:/var/log# dig @4.2.2.2 google.com TXT

; <<>> DiG 9.16.1-Ubuntu <<>> @4.2.2.2 google.com TXT
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 22428
;; flags: qr rd ra; QUERY: 1, ANSWER: 9, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 8192
;; QUESTION SECTION:
;google.com.                    IN      TXT

;; ANSWER SECTION:
google.com.             14      IN      TXT     "google-site-verification=wD8N7i1JTNTkezJ49swvWW48f8_9xveREV4oB-0Hf5o"
google.com.             14      IN      TXT     "docusign=05958488-4752-4ef2-95eb-aa7ba8a3bd0e"
google.com.             14      IN      TXT     "v=spf1 include:_spf.google.com ~all"
google.com.             14      IN      TXT     "globalsign-smime-dv=CDYX+XFHUw2wml6/Gb8+59BsH31KzUr6c1l2BPvqKX8="
google.com.             14      IN      TXT     "apple-domain-verification=30afIBcvSuDV2PLX"
google.com.             14      IN      TXT     "facebook-domain-verification=22rm551cu4k0ab0bxsw536tlds4h95"
google.com.             14      IN      TXT     "MS=E4A68B9AB2BB9670BCE15412F62916164C0B20BB"
google.com.             14      IN      TXT     "google-site-verification=TV9-DBe4R80X4v0M4U_bd_J9cpOJM0nikft0jAgjmsQ"
google.com.             14      IN      TXT     "docusign=1b0a6754-49b1-4db5-8540-d2c12664b289"

;; Query time: 11 msec
;; SERVER: 4.2.2.2#53(4.2.2.2)
;; WHEN: Sat Jun 26 10:59:56 MST 2021
;; MSG SIZE  rcvd: 625

С гугла-то (и не только) ТХТ записи получаются без проблем. А тут блин сразу SERVFAIL. iptables - пустой.

 root@oda-vm-ayakubov:/var/log# iptables -L -n
Chain INPUT (policy ACCEPT) target prot opt source destination
Chain FORWARD (policy ACCEPT) target prot opt source destination
Chain OUTPUT (policy ACCEPT) target prot opt source destination

wsdx
(26.06.21 21:06:57 MSK) автор топика

Ссылка

Ответ на: комментарий от bigbit 26.06.21 20:08:54 MSK

Еще забыл сказать. У меня роутер в провайдеров смотрит двумя короткими /29 роутинговыми сетками и вот в одной из них у меня живет сервачок, который напрямую к провайдеру ходит - и на нем-то все хорошо, все резолвится и TXT получается. То есть явно у кошки рыльце в пуху, но с другой стороны - только часть доменов с проблемами, остальные-то, вроде гугла, нормально себя ведут. Как так может быть? От хоста тоже не зависит - этот новый тестовый уже не первый по счету.

wsdx
(26.06.21 21:11:38 MSK) автор топика

Ссылка

Ответ на: комментарий от bigbit 26.06.21 20:08:54 MSK

Кажется я нашел больной зуб. Если это оно канеш. Смысл такой. Сервер, который рядом с роутером в провайдера ходит пишет в dig ; EDNS: version: 0, flags:; udp: 512, а серваки внутри сети по какой-то причине делают 8192 или 4096 байта. И эти 4-8кбайт и не пролезают через кошку. Осталось понять, как это пофиксить, если это оно канеш.

wsdx
(26.06.21 21:30:57 MSK) автор топика

Ответ на: комментарий от wsdx 26.06.21 21:30:57 MSK

Еще была такая вещь как DNS flag day (легко гуглится). Не факт, что это оно, но омжет натолкнет на мысли.

bigbit ★★★★★
(26.06.21 23:04:37 MSK)

Ответ на: комментарий от bigbit 26.06.21 23:04:37 MSK

Мысль годная, но к сожалению к моей ситуации отношения не имеет - я проверил. Факт в том, что DNS UDP не пролезают через кошку. Какая-то фигня все же после обновления. DNSSEC опять же не работает - тоже после обновления, пришлось выключить - видимо по той же причине.

wsdx
(27.06.21 22:25:31 MSK) автор топика

Ссылка

Ответ на: комментарий от bigbit 26.06.21 20:08:54 MSK

Настроил на кошке DNS spoofing и сделал кошку форвардом для внутренних ДНС. И блин - заработали ТХТ. Но диг трейс все так же не работает. Cisco support предлагает DF-бит сбрасывать через роут-мап, но что-то я сомневаюсь, что это поможет. :(

wsdx
(28.06.21 23:35:01 MSK) автор топика