Bind a preklad adries - problemy

[zvukarmiso]

Ahojte mam nasledovný problém.

Spravil som si vlastny DNS server. Všetko mi ide. Len teraz som spozoroval, že niektore adresy mam problem prelozit.
napr:

C:\Users\Michal>ping pde.sh.gs
Hostitele pde.sh.gs se pomocí příkazu Ping nepodařilo najít.
Zkontrolujte název hostitele a akci opakujte.

Ale ked server vynecahm tak zrazu mi ide

Příkaz PING na pde.sh.gs [5.135.198.179] - 32 bajtů dat:
Odpověď od 5.135.198.179: bajty=32 čas=44ms TTL=50
Odpověď od 5.135.198.179: bajty=32 čas=46ms TTL=50
Odpověď od 5.135.198.179: bajty=32 čas=43ms TTL=50

Povodne som si myslel ze mi nerobi resolving ipv6 tak som to tam doplnil ale ani tym to nie je.

Takto nejak vyzera moje nastavenie BIND 9:

Kód: [Vybrat]

options {
directory "/var/cache/bind";

// forwarders {
// 0.0.0.0;
// };

auth-nxdomain no;    # conform to RFC1035

#Nasa konfiguracia
listen-on { 158.255.249.5; };
       listen-on-v6 { 158.255.249.5; };

allow-query { any; };

allow-recursion { any; };

version "Radsej pozeraj dievcatam do vystrihov.";

};

Neviem ani ako by som docielil aby mi bind robil nejake errorove logy. Ako patram tak patram stale sa z toho nejak neviem zorientovať. Viete mi poradit kde by mohol byt nejaky problém ? alebo co mam zle ?

Ked som to skusal priamo z DNS tak mi da

Kód: [Vybrat]

ping pde.sh.gs
ping: unknown host pde.sh.gs

pre inu stranku to ide

Kód: [Vybrat]

root@DNS-Hlavne:~# ping google.sk
PING google.sk (62.168.125.44) 56(84) bytes of data.
64 bytes from 62.168.125.44: icmp_req=1 ttl=58 time=5.45 ms
64 bytes from 62.168.125.44: icmp_req=2 ttl=58 time=4.56 ms

Poskytovatel netu my tvrdi ze nic neblokuje. Ale co pozorujem tak sa mi zda ze mam problem s IP smerujucimi do Francuzka, Ruska, Holanska. Aj pri inych ip alebo adresach to raz ide a raz nie.

Zaujimave je to ze ked dam google DNS tak zrazu vsetko ide. Za kazdu radu vam vopred Ďakujem

[Petr Merlin Vaněček]

Popravdě už jen řádek

Kód: [Vybrat]

listen-on-v6 { 158.255.249.5; };

ve mně vyvolává dávivý reflex ...

[Petr Merlin Vaněček]

Zkus to takhle:

Kód: [Vybrat]

acl goodclients {
        192.168.1.0/24;
        localhost;
        localnets;
};

options {
        directory "/var/cache/bind";

        recursion yes;
        allow-query { goodclients; };

        dnssec-enable yes;
        dnssec-validation yes;

        forwarders {
                ip.dns.serveru.1;
                ip.dns.serveru.2;
        };
        forward only;

        auth-nxdomain no;    # conform to RFC1035
        listen-on { any; };
        listen-on-v6 { any; };
};

Místo 192.168.1.0/24 si dej svůj subnet.

[zvukarmiso]

Popravdě už jen řádek

Kód: [Vybrat]

listen-on-v6 { 158.255.249.5; };

ve mně vyvolává dávivý reflex ...

Toto uz je odstránené

[zvukarmiso]

Kód: [Vybrat]

[quote author=Petr Merlin Vaněček link=topic=73492.msg529658#msg529658 date=1421341608]

        forwarders {
                ip.dns.serveru.1;
                ip.dns.serveru.2;
 

Ja nechcem sa odkazovať na nejaké DNS dalsie, ja by som chcel aby som mal vlastne DNS bez forwaders.

[ntz_reloaded]

ukaz nam z toho serveru:

dig @localhost nejaky.hostname.v.dns

[zvukarmiso]

Toto jedine mi islo, ak som pochopil co odomna chces spravne

Kód: [Vybrat]

dig www.google.sk

; <<>> DiG 9.7.3 <<>> www.google.sk
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 63174
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 4, ADDITIONAL: 0

;; QUESTION SECTION:
;www.google.sk.                 IN      A

;; ANSWER SECTION:
www.google.sk.          265     IN      A       74.125.195.94

;; AUTHORITY SECTION:
google.sk.              62406   IN      NS      ns2.google.com.
google.sk.              62406   IN      NS      ns4.google.com.
google.sk.              62406   IN      NS      ns1.google.com.
google.sk.              62406   IN      NS      ns3.google.com.

;; Query time: 1 msec
;; SERVER: 158.255.249.5#53(158.255.249.5)
;; WHEN: Fri Jan 16 16:11:34 2015
;; MSG SIZE  rcvd: 129


[Petr Merlin Vaněček]

Tedy na místo toho forwarderu dej 158.255.249.5.
Předpokládám, že víš, jak funguje protokol DNS, když nechceš forwardovat resp. maškarádovat ...

[ntz_reloaded]

ne, mas udelat

dig @localhost pde.sh.gs

^^ na tom nameserveru, kde mas tohodle hosta pridaneho v zaznamu

[zvukarmiso]

dig @localhost pde.sh.gs

Kód: [Vybrat]

dig @localhost pde.sh.gs

; <<>> DiG 9.7.3 <<>> @localhost pde.sh.gs
; (1 server found)
;; global options: +cmd
;; connection timed out; no servers could be reached

Neviem ci sa chápeme spravne. Toto ja nemam "pde.sh.gs" na svojom stroji. Ja mam problem ze niektore domeny a hostanme, ktoré smeruju do Francuzka, Ruska, Holanska nie vzdy prelozi.

Ten dig mi ide len s tymto pravidlom
 

Kód: [Vybrat]

dig @158.255.249.5 pde.sh.gs

; <<>> DiG 9.7.3 <<>> @158.255.249.5 pde.sh.gs
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: SERVFAIL, id: 17635
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 0

;; QUESTION SECTION:
;pde.sh.gs.                     IN      A

;; Query time: 0 msec
;; SERVER: 158.255.249.5#53(158.255.249.5)
;; WHEN: Sat Jan 17 09:29:42 2015
;; MSG SIZE  rcvd: 27

ale podla mojich info by to malo vyzerat asi takto nejak

Kód: [Vybrat]

dig @158.255.249.5 www.google.sk

; <<>> DiG 9.7.3 <<>> @158.255.249.5 www.google.sk
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 19381
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 4, ADDITIONAL: 4

;; QUESTION SECTION:
;www.google.sk.                 IN      A

;; ANSWER SECTION:
www.google.sk.          146     IN      A       74.125.195.94

;; AUTHORITY SECTION:
google.sk.              159     IN      NS      ns3.google.com.
google.sk.              159     IN      NS      ns4.google.com.
google.sk.              159     IN      NS      ns2.google.com.
google.sk.              159     IN      NS      ns1.google.com.

;; ADDITIONAL SECTION:
ns1.google.com.         308109  IN      A       216.239.32.10
ns2.google.com.         308109  IN      A       216.239.34.10
ns3.google.com.         308109  IN      A       216.239.36.10
ns4.google.com.         308109  IN      A       216.239.38.10

;; Query time: 1 msec
;; SERVER: 158.255.249.5#53(158.255.249.5)
;; WHEN: Sat Jan 17 09:29:01 2015
;; MSG SIZE  rcvd: 193


proste ako localhost to nejde.

Předpokládám, že víš, jak funguje protokol DNS, když nechceš forwardovat resp. maškarádovat ...

To bohuzial mam asi nejak popletene. Viem ako funguje DNS protokol, Viem ze zazanmy sa generuju do TLD a servery su primarne sekundarne a nejake reverzne. Ale ako presne nastavit DNS tak asi mi niekde unikla pointa. Ako DNS ako taky mi ide dlhe roky. Len teraz pozorujem ze nieco nie je dobre.
forwarders som mal vzdy vypnute pretoze som si myslel ze ked spravim zalozny alebo sa na nieco odkazujem v tedy to pouzivam na primarnom nie. Vies mi v skratke povedať čo by bolo teda vhodnejsie ?

[Petr Merlin Vaněček]

Myslím, že vzhledem k tomu, co chceš od svého systému, si nainstaluj dnsmasq a budeš mít po bolení hlavy.
Forward server funguje tak, že si od svého nadřazeného serveru (tedy od DNS ISP) vyžádá záznam a uloží si informaci o něm do cache a pokud se na záznam zeptáš znova, předhodí Ti jej z cache. Až do doby expirace TTL toho záznamu.

Znamená to tedy, že otravuješ jediný server a to server svého ISP, který je k tomu určený. Celý vtip je, že namísto aby požadavky šly na TLD a NS servery domény, kterou se snažíš kontaktovat, ptáš se serveru, který dost možná tuhle informaci už má. A pokud ne, zeptá se svého nadřazaného DNS (tedy za předpokladu, že jej má). Je to takový malý load balancing ...

V případě caching (nikoliv forwarding) serveru, provádíš vlastní recursive querying, tedy otravuješ prvně TLD, pak NS servery dané domény a teprve pak si do cache uložíš informaci o záznamu až do expirace TTL. Ok, tohle je pěkné řešení pro sítě, kdy z nějakého důvodu nechceš využívat DNS servery třetí strany a máš pod sebou tisíce klientů (ergo kladívko jsi ISP).

Takže - nainstaluj si dnsmasq, který dělá velice dobře to, co chceš a vzhledem k tomu, že ten PC dělá i NAT (jak bych tak tipl), tak nastav v DHCP (nebo natvrdo, co já vím, jak to máš) jen primární DNS server, protože když Ti nepojede GW, tak je ti sekundární DNS stejně k ničemu, neb to máš na jednom stroji.


PS:

Kód: [Vybrat]

whois sh.gs:
Name Server: ns1199.dns.dyn.com
Name Server: ns2161.dns.dyn.com
Name Server: ns3133.dns.dyn.com
Name Server: ns4155.dns.dyn.com
Name Server: dns1.cloudns.net
Name Server: dns2.cloudns.net

dig -t A pde.sh.gs @ns1199.dns.dyn.com:
;; QUESTION SECTION:
;pde.sh.gs. IN A

dig -t A pde.sh.gs @ns2161.dns.dyn.com ... timeout

dig -t A pde.sh.gs @ns3133.dns.dyn.com:
;; QUESTION SECTION:
;pde.sh.gs. IN A

dig -t A pde.sh.gs @ns4155.dns.dyn.com
;; QUESTION SECTION:
;pde.sh.gs. IN A


dig -t A pde.sh.gs @dns1.cloudns.net
;; ANSWER SECTION:
pde.sh.gs. 7200 IN A 5.135.198.179
;; AUTHORITY SECTION:
sh.gs. 7200 IN NS ns1.tvshka.net.

dig -t A pde.sh.gs @dns2.cloudns.net
;; ANSWER SECTION:
pde.sh.gs. 7200 IN A 5.135.198.179
;; AUTHORITY SECTION:
sh.gs. 7200 IN NS ns1.tvshka.net.

.... zřejmě slušnej oddíl

PSS: jen mně přijde divný, že má v auth IN jako NS jiný server než ve whois?

[zvukarmiso]

Asi sme sa nerozumeli dobre

Ta ip pde.sh.gs nie je moje ani nic nemam s tym spoločne. Len z mojej siete to opingam len v tedy ak si dam googlacke DNS.

Co potrebujem ?

V případě caching (nikoliv forwarding) serveru, provádíš vlastní recursive querying, tedy otravuješ prvně TLD, pak NS servery dané domény a teprve pak si do cache uložíš informaci o záznamu až do expirace TTL. Ok, tohle je pěkné řešení pro sítě, kdy z nějakého důvodu nechceš využívat DNS servery třetí strany a máš pod sebou tisíce klientů (ergo kladívko jsi ISP).

Kedže nevieme sa dopatrat spravnosti myslim si ze mam urcite zle nastavené DNS. Skusme hladat chybu teda tu.
Prilozim ti subory ako to mam nastavene ?

[Petr Merlin Vaněček]

TO je právě to o čem se bavíme. Buď nepotřebuješ DNS servery žádné, protože provádíš querying sám (vlastním DNS serverem), nebo využiješ servery ISP (a snížíš tím zátěž na dotazované domény, protože informace o záznamu budou až do TTL v cache, stejně tak jako na DNS serveru ISP) - pak jak jsem psal, vykašli se na bind a použij dnsmasq.

Ta doména má dle mého těžkou nekonzistenci mezi NS servery, takže bych ji vůbec nebral jako bernou minci.