Не работает dig TXT, dig +trace для некоторых доменов после апгрейда циска-роутера
Всем привет! Парни, нужен коллективный разум. Жила-была сетка с кошкой ISR4451 во главе под 15-м ИОСом и все было ок, но дернул меня черт обновить кошку до 16.9.7. Во время обновления никакие аксес-листы не потерялись и не добавились, пострадал только айписек, который сюда отношения не имеет. Т.е. роутинг, аксес-листы и пр. остались прежними. НО блин началась свистопляска с резолвом ДНС на внутренних ресурсах за кошкой.
Пример ресурса. Только что засетапленная виртуалка. Настройки:
root@oda-vm-ayakubov:~# cat /etc/resolv.conf | grep -v '^#.*'
nameserver 4.2.2.2
nameserver 8.8.8.8
root@oda-vm-ayakubov:~# ip ro
default via 172.16.0.1 dev ens160 proto static
172.16.0.0/20 dev ens160 proto kernel scope link src 172.16.0.213
root@oda-vm-ayakubov:~# netstat -i -u
Kernel Interface table
Iface MTU RX-OK RX-ERR RX-DRP RX-OVR TX-OK TX-ERR TX-DRP TX-OVR Flg
ens160 1500 18474 0 0 0 5589 0 0 0 BMRU
lo 65536 382 0 0 0 382 0 0 0 LRU
root@oda-vm-ayakubov:/var/log# cat /etc/nsswitch.conf | grep hosts
hosts: files dns
root@oda-vm-ayakubov:/var/log# nscd
Command 'nscd' not found, but can be installed with:
apt install nscd # version 2.31-0ubuntu9.2, or
apt install unscd # version 0.53-1build4
Суть проблемы:
root@oda-vm-ayakubov:~# ping perkinscoie.com
PING perkinscoie.com (198.22.100.111) 56(84) bytes of data.
64 bytes from 198-22-100-111.perkinscoie.com (198.22.100.111): icmp_seq=1 ttl=243 time=45.2 ms
64 bytes from 198-22-100-111.perkinscoie.com (198.22.100.111): icmp_seq=2 ttl=243 time=45.2 ms
^C
--- perkinscoie.com ping statistics ---
2 packets transmitted, 2 received, 0% packet loss, time 1002ms
rtt min/avg/max/mdev = 45.173/45.183/45.193/0.010 ms
root@oda-vm-ayakubov:~# dig perkinscoie.com
; <<>> DiG 9.16.1-Ubuntu <<>> perkinscoie.com
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 11154
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 8192
;; QUESTION SECTION:
;perkinscoie.com. IN A
;; ANSWER SECTION:
perkinscoie.com. 3600 IN A 198.22.100.111
;; Query time: 20 msec
;; SERVER: 4.2.2.2#53(4.2.2.2)
;; WHEN: Sat Jun 26 07:36:12 MST 2021
;; MSG SIZE rcvd: 60
root@oda-vm-ayakubov:~# dig mail.ru
; <<>> DiG 9.16.1-Ubuntu <<>> mail.ru
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 34167
;; flags: qr rd ra; QUERY: 1, ANSWER: 4, AUTHORITY: 0, ADDITIONAL: 1
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;mail.ru. IN A
;; ANSWER SECTION:
mail.ru. 1 IN A 94.100.180.200
mail.ru. 1 IN A 217.69.139.202
mail.ru. 1 IN A 217.69.139.200
mail.ru. 1 IN A 94.100.180.201
;; Query time: 8 msec
;; SERVER: 4.2.2.2#53(4.2.2.2)
;; WHEN: Sat Jun 26 07:36:22 MST 2021
;; MSG SIZE rcvd: 100
root@oda-vm-ayakubov:~# dig infusionmail.com
; <<>> DiG 9.16.1-Ubuntu <<>> infusionmail.com
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 31540
;; flags: qr rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 1
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 8192
;; QUESTION SECTION:
;infusionmail.com. IN A
;; ANSWER SECTION:
infusionmail.com. 300 IN A 208.76.26.8
infusionmail.com. 300 IN A 208.76.26.7
;; Query time: 72 msec
;; SERVER: 4.2.2.2#53(4.2.2.2)
;; WHEN: Sat Jun 26 07:36:32 MST 2021
;; MSG SIZE rcvd: 77
root@oda-vm-ayakubov:~# dig infusionmail.com TXT
; <<>> DiG 9.16.1-Ubuntu <<>> infusionmail.com TXT
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 41805
;; flags: qr rd ra; QUERY: 1, ANSWER: 7, AUTHORITY: 0, ADDITIONAL: 1
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 8192
;; QUESTION SECTION:
;infusionmail.com. IN TXT
;; ANSWER SECTION:
infusionmail.com. 300 IN TXT "v=spf1 a:infusionsoft.com ip4:208.76.24.0/22 ip4:35.227.130.0/24 ip4:34.82.162.0/24 -all"
infusionmail.com. 300 IN TXT "google-site-verification=4xQNvC13eVCQ_1x1iNzwNMWHmBVE1WpoJ-jXRSLcuzk"
infusionmail.com. 300 IN TXT "google-site-verification=EpUyaR22MgO7Py1LBeE_ig6Nu_NZtxRLY8rcikzKnOc"
infusionmail.com. 300 IN TXT "google-site-verification=TI25JngNHg9IvruHs04SSagVLYbC9d7SNhXcLPv1vCM"
infusionmail.com. 300 IN TXT "google-site-verification=Tm9iaFgH7tuuIPJhBhIHK_mqf-r2atSZ3xJ1kHLLcGM"
infusionmail.com. 300 IN TXT "google-site-verification=PSyjHBMAZTRuG6a3q1AIN72Lm83r_k9n4-hsXinb8hE"
infusionmail.com. 300 IN TXT "google-site-verification=8lUJ7lV0ms4uswn7007h7wpYMNtTvOgNmnfmTJ8wZnU"
;; Query time: 64 msec
;; SERVER: 4.2.2.2#53(4.2.2.2)
;; WHEN: Sat Jun 26 07:36:39 MST 2021
;; MSG SIZE rcvd: 632
root@oda-vm-ayakubov:~# dig perkinscoie.com TXT
; <<>> DiG 9.16.1-Ubuntu <<>> perkinscoie.com TXT
;; global options: +cmd
;; connection timed out; no servers could be reached
root@oda-vm-ayakubov:~# dig k2._domainkey.infusionmail.com TXT
; <<>> DiG 9.16.1-Ubuntu <<>> k2._domainkey.infusionmail.com TXT
;; global options: +cmd
;; connection timed out; no servers could be reached
root@oda-vm-ayakubov:~# dig +trace yahoo.com
; <<>> DiG 9.16.1-Ubuntu <<>> +trace yahoo.com
;; global options: +cmd
;; connection timed out; no servers could be reached
root@oda-vm-ayakubov:~# dig +trace ya.ru
; <<>> DiG 9.16.1-Ubuntu <<>> +trace ya.ru
;; global options: +cmd
;; connection timed out; no servers could be reached
root@oda-vm-ayakubov:~# dig @8.8.8.8 +trace ya.ru
; <<>> DiG 9.16.1-Ubuntu <<>> @8.8.8.8 +trace ya.ru
; (1 server found)
;; global options: +cmd
;; connection timed out; no servers could be reached
Бог с ней с этой кошкой - я их саппорт измучал, дописали в итоге разрешения в аксес-листы для 53-го порта снаружи и обратно. Вопрос у меня такой: что такого могло измениться на кошке, что началось ВОТ ЭТО? Провайдеров обоих спросил - ни потерь, ни ошибок, ни фрагментации на интерфейсах нет. Хост чистый, ДНСы гугла, никаких внутренних ДНСов на серверах и кошке не использую. Ощущение, что трейс не может получить список рутовых ДНС, а с ТХТ я вообще не понимаю как так может быть. Буду благодарен за любые идеи на тему и пришлю любую диагнозу.