Рейтинг:0

Внезапно копать +nocmd pop3.pauperis.org аааа +noall +ответ ничего не возвращает

флаг cn

команда копать +nocmd pop3.pauperis.org аааа +noall +ответ возвращает следующее на моем ноутбуке:

pop3.pauperis.org. 3111 В CNAME pauperis.org.
pauperis.org. 3111 В АААА 2001:41d0:1:8ade::1

но та же команда на моем сервере внезапно, после очевидного изменения конфигурации, ничего не возвращает:

# копать +nocmd pop3.pauperis.org аааа +noall +ответ
#

Это ответ на моем сервере, но с +след вариант:

копать +nocmd pop3.pauperis.org аааа +noall +ответ +трассировка
. 44679 В NS e.root-servers.net.
. 44679 В NS m.root-servers.net.
. 44679 В NS l.root-servers.net.
. 44679 В NS b.root-servers.net.
. 44679 В NS g.root-servers.net.
. 44679 В NS i.root-servers.net.
. 44679 В NS a.root-servers.net.
. 44679 В NS d.root-servers.net.
. 44679 В NS h.root-servers.net.
. 44679 В NS f.root-servers.net.
. 44679 В NS j.root-servers.net.
. 44679 В NS k.root-servers.net.
. 44679 В NS c.root-servers.net.
. 44679 IN RRSIG NS 8 0 518400 20220316050000 20220303040000 9799 . WHZ//zKcRc0aFze+haFiC5a0GwaCwCsopDkMLzMZrOTTvejeb96R01h+ 2mlnsd4qivrbop0a7fBz+Vs/m+YVOPku+vCO/fnZ+NW/KgrtXpHoPopE WayXrfwtEC+Iu/G7gD1bePIhXqeEMSYlfLD84g7ezASeXc4q3Yrfw3+s SnKkG/vwlZ3IFcSw90bqyYoV597fRLZYdEoUzDjp9onU/NcwqmWJ6muV Ms2IO7kHTaUfMO7z6mgf5PGC2ylTywz+4WZLFd6t8QvZypEMGFwPSxJ2 W86Sdh2QJSDznW3V5CFW3tW+59ZzKsJHuGlHTwqem+egipZMXoMW9y+F 08ZVlg==
;; Получено 1137 байт от 127.0.0.1#53(127.0.0.1) за 0 мс

орг. 172800 В NS b2.org.afilias-nst.org.
орг. 172800 В NS a2.org.afilias-nst.info.
орг. 172800 В NS d0.org.afilias-nst.org.
орг. 172800 В NS a0.org.afilias-nst.info.
орг. 172800 В NS b0.org.afilias-nst.org.
орг. 172800 В NS c0.org.afilias-nst.info.
орг.           86400 В ДС 26974 8 2 4FEDE294C53F438A158C41D39489CD78A86BEB0D8A0AEAFF14745C0D 16E1DE32
орг. 86400 IN RRSIG DS 8 1 86400 20220321170000 20220308160000 9799 . m3lulShGydigMRJiRixpAFeO9YBBkntgr2Gk42/sts9JLeGVavWmrAyd 5uFDMPf+DqWjgz65BCR1kipEpJAbETmqiwf17rrk9yDIXYGDfrdv04tg w5+4LjANeRzCqr9CH2FFokRt5cl2AdCSn2kNonndSM72Zfhots5ggn8G nTXyt3Aj3Hg4xagS1ZqPhodM15r95NVWw4ozPywSt76vI/oOgEBF6ckw Hz9AEg5i4MdSoLTwiT9fLE51KfiJQO6Xfp8ZANUFtwrydLb0pqJtXMbC BoJnhXjyjWzlOA5/ze5PR3nCh7tbtbTdxdowiB2Jrc3j5Cirfw7dAske TAjiiQ==
;; Получено 817 байт от 192.36.148.17#53(i.root-servers.net) за 3 мс

pauperis.org. 86400 В НС ns111.ovh.net.
pauperis.org. 86400 В НС dns111.ovh.net.
pauperis.org. 86400 В ДС 18975 7 2 9CE6DA2D7883298D589BDBD5DFD29BB76FB24329C12B453A055F06F6 4EEC0C0C
pauperis.org. 86400 IN RRSIG DS 8 2 86400 20220322152315 20220301142315 30573 орг. mE8EiULvqr8ZBCDb6rQnXHlxVoZtaTzbLjMtRi9w2jyGYYcKbX0m8N7R +b4NmqrsiQa7nz3DBbDDwt8IbXZfEIqVmGLJrx7Gp+uMDECa54mz06kG Xz1LWb6j/B6CA+1+fa+MyDBJt7A6inBLZQix8Fr9xkWRYznsQqyeeHnW YYo=
;; Получено 305 байт от 199.19.57.1#53(d0.org.afilias-nst.org) за 83 мс.

pop3.pauperis.org. 3600 В CNAME pauperis.org.
pop3.pauperis.org. 3600 IN RRSIG CNAME 8 3 3600 20220403112323 20220304112323 37698 pauperis.org. OhXaHFQ1xfLU2T3zjUIBpKsW6k62NZVlnCf4aQKUhbtDcVTGbWDNbwo7 MkpsDh2zpwG3vIqzqdw9t0Uuq7A1U+TDH0SetnBDVvlR1dNNZRbEiWBd C1dJiNuItE37iDNexAebRBvSnM/9hfjDUwDaX7Q78iQS836gxkTSV/g7 Bys=
pauperis.org. 3600 В АААА 2001:41d0:1:8ade::1
pauperis.org. 3600 IN RRSIG AAAA 8 2 3600 20220403112323 20220304112323 37698 pauperis.org. dZP/Vxls3u1x8lMQ4A4NULX/UMrf7M+YkBNim4pJ/O9qkHCHn3N19Fku JciU5LCsWd4dw856ejt6CLBDy1c5RSADfrP+q3O3x9kstsgrH+Wf0pP8 cU2y/mTJRSQWPp+6jBUITzelX7UcJvcuV+3GNFp0AX9+X1Fp0A
;; Получено 432 байта от 2001:41d0:1:4a9b::1#53(dns111.ovh.net) за 3 мс

Может кто-нибудь сказать, что может пойти не так?

Заранее большое спасибо :)

Рейтинг:1
флаг cn

Видеть https://dnsviz.net/d/pop3.pauperis.org/YifJYQ/dnssec/ это имя имеет огромную неверную конфигурацию DNSSEC (типичный случай несоответствия ДС запись в родительском реестре, а также DNSKEY записи, обнаруженные у ребенка). Это необходимо решить, прежде чем весь домен заработает правильно.

Также легко обнаружить, сравнив нормальный ответ с помощью проверяющего преобразователя (следовательно, с проверкой DNSSEC), а затем явно запретив проверку DNSSEC:

$ копать pop3.pauperis.org @9.9.9.9

; <<>> DiG 9.18.0 <<>> pop3.pauperis.org @9.9.9.9
;; глобальные параметры: +cmd
;; Отправка:
;; ->>HEADER<<- код операции: QUERY, статус: NOERROR, id: 39260
;; флаги: объявление rd; ЗАПРОС: 1, ОТВЕТ: 0, АВТОРИЗАЦИЯ: 0, ДОПОЛНИТЕЛЬНО: 1

;; ДОПОЛНИТЕЛЬНЫЙ ПСЕВДОРАЗДЕЛ:
; ЭДНС: версия: 0, флаги:; UDP: 4096
; КУКИ: c145784edda54901
;; РАЗДЕЛ ВОПРОСОВ:
;pop3.pauperis.org. В

;; РАЗМЕР ЗАПРОСА: 58

;; Получил ответ:
;; ->>HEADER<<- код операции: QUERY, статус: SERVFAIL, id: 39260
;; флаги: qr rd ra; ЗАПРОС: 1, ОТВЕТ: 0, АВТОРИЗАЦИЯ: 0, ДОПОЛНИТЕЛЬНО: 1

;; ДОПОЛНИТЕЛЬНЫЙ ПСЕВДОРАЗДЕЛ:
; ЭДНС: версия: 0, флаги:; UDP: 512
; EDE: 9 (DNSKEY отсутствует)

SERVFAIL много чего может быть, но фатальные ошибки DNSSEC всегда SERVFAIL код ошибки, а затем обратите внимание на ошибку расширенного DNS: DNSKEY отсутствует .

А потом то же самое в обход DNSSEC (спасибо рыть +кд флаг):

$ копать pop3.pauperis.org @9.9.9.9 +cd

; <<>> DiG 9.18.0 <<>> pop3.pauperis.org @9.9.9.9 +cd
;; глобальные параметры: +cmd
;; Отправка:
;; ->>HEADER<<- код операции: QUERY, статус: NOERROR, id: 1480
;; флаги: rd ad cd; ЗАПРОС: 1, ОТВЕТ: 0, АВТОРИЗАЦИЯ: 0, ДОПОЛНИТЕЛЬНО: 1

;; ДОПОЛНИТЕЛЬНЫЙ ПСЕВДОРАЗДЕЛ:
; ЭДНС: версия: 0, флаги:; UDP: 4096
; ПЕЧЕНЬЕ: c028e114f2c210f8
;; РАЗДЕЛ ВОПРОСОВ:
;pop3.pauperis.org. В

;; РАЗМЕР ЗАПРОСА: 58

;; Получил ответ:
;; ->>HEADER<<- код операции: QUERY, статус: NOERROR, id: 1480
;; флаги: qr rd ra cd; ЗАПРОС: 1, ОТВЕТ: 2, АВТОРИЗАЦИЯ: 0, ДОПОЛНИТЕЛЬНО: 1

;; ДОПОЛНИТЕЛЬНЫЙ ПСЕВДОРАЗДЕЛ:
; ЭДНС: версия: 0, флаги:; УДП: 1232
;; РАЗДЕЛ ВОПРОСОВ:
;pop3.pauperis.org. В

;; РАЗДЕЛ ОТВЕТОВ:
pop3.pauperis.org. 1 час В CNAME pauperis.org.
pauperis.org. 1ч В 91.121.85.222

Теперь вы получаете НЕТ ОШИБКИ. Простой факт удаления проверки DNSSEC заставляет все работать, что является хорошим доказательством того, что ошибка связана с DNSSEC.

флаг cn
Большое спасибо за вашу помощь. В этом случае DNSSEC управляется OVH, так как мне просто нужно было включить флажок DNSSEC, чтобы он заработал. Я сделал это несколько лет назад, но, похоже, он терпит неудачу в течение нескольких месяцев.
Patrick Mevzek avatar
флаг cn
«Поскольку мне просто нужно было включить флажок DNSSEC, чтобы он работал». DNSSEC, к сожалению, сложнее, чем просто флажок. Ваш DNS-провайдер может скрывать от вас множество трудностей, и это хорошо, но DNSSEC действительно часто не работает по принципу «запустил и забыл». Это добавляет некоторую безопасность, но также и некоторую сложность. Здесь странно, что в реестре была запись DS для вашего домена (что означает, что DNSSEC включен), но, похоже, она не была включена у вашего DNS-провайдера. Если ваш домен важен (например, вы теряете деньги, когда он ломается), я предлагаю вам следить за ним другими способами.
Patrick Mevzek avatar
флаг cn
FWIW и потомство новое представление вашего домена в DNSViz: https://dnsviz.net/d/pop3.pauperis.org/Yif0JA/dnssec/ (показаны как DNSSEC, так и все в порядке). Я настоятельно рекомендую всем использовать DNSViz для устранения неполадок. проблема, это очень полезно.
флаг cn
Привет, большое спасибо за ваш ответ. Это очень помогло, так как я понятия не имел, откуда возникла проблема.Я знал логику DNSSEC, но, поскольку OVH предлагает эту функцию для всех управляемых доменов, я совершенно забыл об этом. Я все проверил, но не думал, что может быть ошибка от их имени. После отключения DNSSEC в OVH Manager и ожидания в течение нескольких часов он снова заработал. :)
Patrick Mevzek avatar
флаг cn
Да, но тогда вы не застрахованы от того, что проблема вернется позже, и Мерфи поможет в самый неподходящий момент, если вы не уверены, как так получилось, что у вас была запись DS в реестре без соответствующего DNSKEY в вашей зоне. Возможно, ваш провайдер DNS поменял свои ключи и попросил вас обновить DS (особенно если они не являются также спонсирующими регистраторами домена), и если вы этого не сделали, они, возможно, просто поменяли свои ключи, что подтолкнуло вас к ситуации, когда текущая DS не работает. соответствует любому DNSKEY в зоне. Было бы лучше, если бы вы могли снова включить DNSSEC, но вы не можете, если не понимаете регистр
флаг cn
Да, я прекрасно это понимаю. Очевидно, я снова включил DNSSEC, и он работал как часы. У меня около 9 доменов, все они управляются через OVH, и только этот начал давать сбои. В любом случае, большое спасибо за подсказку. Это сделало мой день :)

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.