Регистрация Войти
Рейтинг:0
avatar Server

Проблемы с разрешением нашей обратной зоны DNS

флаг id
Marki555

Несколько дней назад мы заметили, что некоторые из наших исходящих писем задерживаются из-за того, что удаленные почтовые серверы не могут разрешить наш IP-адрес (например, Хост клиента отклонен: не удается найти ваше имя хоста, [92.240.244.176]). В последнее время мы не вносили никаких изменений в наш DNS, и наш интернет-провайдер также говорит, что они его не трогали.

У нас есть 92.240.244.128/25, делегированные с их ns1/ns2.lightstorm.sk на наш ns1/n2.mojhosting.sk (наш ns1 работает под управлением BIND 9.10, ns2 работает под управлением PowerDNS 4.0).

Они утверждают, что ошибка на нашей стороне, потому что наши DNS-серверы возвращают REFUSED на этот запрос. хост 92.240.244.202 ns1.mojhosting.sk, но это, должно быть, было так в течение долгого времени. Может быть, это потому, что эта команда запрашивает 202.244.240.92.in-addr.arpa., который является только CNAME в DNS нашего интернет-провайдера, но не существует в нашем делегированном 128/25.244.240.92.in-addr.arpa. поддерево)? Бег копать +следить поскольку обе записи, кажется, работают для меня каждый раз.

MXToolbox говорит: Предупреждение: получен неавторитетный (хромой) ответ от: 'ns1.lightstorm.sk', но я понятия не имею, как это проверить. Глобальная проверка распространения DNS показывает, что наш IP неразрешим из большинства местоположений.

Кроме того, у нашего интернет-провайдера довольно плохое подключение к IPv6, и я вижу, что их ns1 / ns2 также имеют адреса IPv6, может ли это также усугубить проблему?

134
0 + 0
Patrick Mevzek avatar
флаг cn
Patrick Mevzek
См. https://dnsviz.net/d/202.244.240.92.in-addr.arpa/dnssec/ У вас действительно неправильная конфигурация в каком-то делегировании, поэтому вы видите хромой ответ.
0
Ответить
флаг id
Marki555
Таким образом, проблема, кажется, между 92.in-addr.arpa и 244.240.92.in-addr.arpa.? Чтобы через DNSSEC говорили, что 244.240.92.in-addr.arpa. не существует, но без DNSSEC (хотя бы через `dig`) все еще работает?
0
Ответить
флаг id
Marki555
@PatrickMevzek хорошо, после сна мне кажется, что NSEC существует только потому, что ns1.lightstorm.sk не использует DNSSEC, и это не мешает разрешению (и помечен только как предупреждение в dnsviz). Настоящая проблема в том, что они возвращают ответ без флага AA (помеченного как ошибка в dnsviz), верно?
0
Ответить
Patrick Mevzek avatar
флаг cn
Patrick Mevzek
Правильно, на самом деле здесь нет ничего, связанного с DNSSEC. Смотрите мой более длинный ответ.
0
Ответить
Рейтинг:1
Patrick Mevzek avatar Server
флаг cn
Patrick Mevzek

Ваша конфигурация DNS как-то «работает», но она не совсем верна, поэтому в некоторых случаях может создавать проблемы.

Вот почему.

Если вы запросите напрямую, вы получите ответ:

$ dig -x 92.240.244.176 +noall +ans +nottlunits
176.244.240.92.in-addr.arpa. 3590 В CNAME 176.128/25.244.240.92.in-addr.arpa.
176.128/25.244.240.92.in-addr.arpa. 43191 В PTR bill3.hostio.sk.

Итак, мы получили финал PTR запись и мы должны быть счастливы.

Однако, если мы продиагностируем весь путь от . (корень) до 176.244.240.92.in-addr.arpa. мы видим проблему.

DNSViz в https://dnsviz.net/d/202.244.240.92.in-addr.arpa/YYzr-A/dnssec/ показывает это, если вы посмотрите на часть ошибок:

202.244.240.92.in-addr.arpa/CNAME: в ответе не установлен флаг авторитетного ответа (AA). (92.240.232.232, 92.240.232.242, 2a00:10d8:11::1:0:1, 2a00:10d8:11::2:0:1, UDP_-_EDNS0_4096_D_KN)

Вы можете увидеть то же самое, используя копать +трассировка 202.244.240.92.in-addr.arpa. PTR +nottluits +nodnssec что дает ниже (обрезка первых шагов в корне и 2 домена):

[..]

92.in-addr.arpa. 86400 В NS ns3.afrinic.net.
92.in-addr.arpa. 86400 В NS pri.authdns.ripe.net.
92.in-addr.arpa. 86400 IN NS ns3.lacnic.net.
92.in-addr.arpa. 86400 В NS ns4.apnic.net.
92.in-addr.arpa. 86400 В НС rirns.arin.net.
;; Получено 245 байт от 200.10.60.53#53(d.in-addr-servers.arpa) за 199 мс.

244.240.92.in-addr.arpa. 172800 В NS ns1.lightstorm.sk.
244.240.92.in-addr.arpa. 172800 В НС ns2.lightstorm.sk.
;; Получено 133 байта от 199.253.249.53#53(rirns.arin.net) за 142 мс

;; ожидаемая запись opt в ответ
202.244.240.92.in-addr.arpa. 3600 В CNAME 202.128/25.244.240.92.in-addr.arpa.
128/25.244.240.92.in-addr.arpa. 3600 В НС ns1.mojhosting.sk.
128/25.244.240.92.in-addr.arpa. 3600 В НС ns2.mojhosting.sk.
;; Получено 119 байт от 92.240.232.242#53(ns2.lightstorm.sk) за 173 мс

Но у последнего ответа есть проблема, в нем отсутствует флаг «АА» (авторитетный ответ). Этот окончательный сервер имен (ns1.lightstorm.sk) дает некоторые данные ( CNAME запись), но не говорит, что он авторитетен там, где должен.

См. этот ответ без ненужных деталей:

$ dig @ns1.lightstorm.sk. 202.244.240.92.in-addr.arpa. PTR

[..]

;; Получил ответ:
;; ->>HEADER<<- код операции: QUERY, статус: NOERROR, id: 32312
;; флаги: qr rd ra; ЗАПРОС: 1, ОТВЕТ: 1, АВТОРИЗАЦИЯ: 2, ДОПОЛНИТЕЛЬНО: 0

;; РАЗДЕЛ ВОПРОСОВ:
;202.244.240.92.in-addr.arpa. В ПТР

;; РАЗДЕЛ ОТВЕТОВ:
202.244.240.92.in-addr.arpa.1h IN CNAME 202.128/25.244.240.92.in-addr.arpa.

;; ОТДЕЛ ПОЛНОМОЧИЙ:
128/25.244.240.92.in-addr.arpa. 1ч В НС ns1.mojhosting.sk.
128/25.244.240.92.in-addr.arpa. 1ч В NS ns2.mojhosting.sk.

Обратите внимание на часть «flags», она должна иметь флаг «AA». Также тот факт, что у него есть «RA» (доступная рекурсия), кажется, показывает, что этот сервер имен является как авторитетным, так и рекурсивным, что в большинстве случаев является плохой идеей, обе службы должны быть отдельными.

Рекурсивный сервер имен увидит это и откажется идти дальше, отсюда и различные ошибки, которые вы получаете. Владелец ns1.lightstorm.sk. + нс2 нужно исправить его конфигурацию, проблема именно в нем, а не где-то еще.

Если вы хотите сравнить, это аналогичная установка, но работающая для IP. 162.202.233.81.

Обратите внимание, что DNSViz не показывает никаких ошибок: https://dnsviz.net/d/81.233.202.162.in-addr.arpa/YY1_ag/dnssec/

а также если вы повторите последний шаг, чтобы сравнить с выше:

$ копать @ns2.swbell.net. 81.233.202.162.in-addr.arpa. PTR

[..]

;; Получил ответ:
;; ->>HEADER<<- код операции: QUERY, статус: NOERROR, id: 24342
;; флаги: qr aa rd; ЗАПРОС: 1, ОТВЕТ: 1, ВЛАСТЬ: 2, ДОПОЛНИТЕЛЬНО: 1
;; ВНИМАНИЕ: рекурсия запрошена, но недоступна

;; ДОПОЛНИТЕЛЬНЫЙ ПСЕВДОРАЗДЕЛ:
; ЭДНС: версия: 0, флаги:; UDP: 4096
;; РАЗДЕЛ ВОПРОСОВ:
;81.233.202.162.in-addr.arpa. В ПТР

;; РАЗДЕЛ ОТВЕТОВ:
81.233.202.162.in-addr.arpa. 2h IN CNAME 81.80/29.233.202.162.in-addr.arpa.

;; ОТДЕЛ ПОЛНОМОЧИЙ:
80/29.233.202.162.in-addr.arpa. 2 часа В NS ns2.archaxis.net.
80/29.233.202.162.in-addr.arpa. 2 часа В NS ns1.archaxis.net.

Обратите внимание, что часть «флаги» отличается.

FWIW, этот тип настройки в обратном дереве разработан в RFC 2317 «Бесклассовое делегирование IN-ADDR.ARPA» с использованием CNAME чтобы иметь возможность делегировать части дерева.

0 + 0
флаг id
Marki555
Вы имеете в виду, что владелец ns1.lightstorm.sk (наш интернет-провайдер, который делегирует нам наш диапазон IP-адресов) должен это исправить? Поскольку вы написали `ns1.mojhosting.sk`...
0
Ответить
Patrick Mevzek avatar
флаг cn
Patrick Mevzek
Да, вы правы, извините за это, я отредактировал. Больше, чем моим письмам, просто доверяйте результатам раскопок или тому, что говорит DNSViz, оба говорят, что проблема связана с сервером по адресу «92.240.232.232» (+ IPv6 + его компаньон), так что это действительно lightstorm.sk.
0
Ответить
флаг id
Marki555
Наш интернет-провайдер что-то исправил, теперь разрешение работает (ошибок в журналах почтового сервера нет), но dnswiz по-прежнему показывает ошибку, так что я не уверен, что изменилось...
0
Ответить
Patrick Mevzek avatar
флаг cn
Patrick Mevzek
URL-адрес DNSviz, который я дал, имеет «отметку времени», он показывает конфигурацию на определенную дату, поэтому содержимое никогда не изменится (он не запускает новый анализ). Вы должны запустить новую диагностику, чтобы увидеть текущую конфигурацию. Я только что сделал это, он дает следующий новый URL-адрес с отметкой времени: https://dnsviz.net/d/202.244.240.92.in-addr.arpa/YZ60tQ/dnssec/; однако он все еще показывает ту же проблему. Понятия не имею, что ваш провайдер "исправил", но он явно не показывает. Итак, опять же, в зависимости от многих других внешних факторов разрешение может работать или нет, но конфигурация DNS нарушена.
0
Ответить
флаг Moldova
Admin
Этот вопрос на других языках:

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.