Toon posts:

[PowerDNS] Refused melding, maar niet alle domeinen

Pagina: 1
Acties:

Vraag

vrijdag 20 augustus 2021 12:28

Acties:
  • 0 Henk 'm!
  • Crazy-
  • Registratie: Januari 2002
  • Laatst online: 18-09 20:57

Crazy-

Best life ever

Topicstarter
Opstelling:

ns1: BIND (directadmin, web) master
ns2: BIND (directadmin, web) master
ns3: PowerDNS / slave

Glue records voor zwel IPv4 / IPv6 volledig ingesteld bij SIDN op correcte IP adressen etc.

Test 1[
Domein 1: abcservices.nl
Hosted: ns2
Resultaat: werkt

--- de testen doe ik vanaf mijn lokale pc, via een KPN lijn --- (Zie edit onderaan)

code:
1
2
3
4
5
6

nslookup abcservices.nl ns2.reliahost.nl
Server:     ns3.reliahost.nl
Address:    2a01:7c8:aac6:356:5054:ff:feaf:6b57#53

Name:   abcservices.nl
Address: 149.210.250.174


code:
1
2
3
4
5
6

nslookup abcservices.nl ns3.reliahost.nl
Server:     ns3.reliahost.nl
Address:    2a01:7c8:aac6:356:5054:ff:feaf:6b57#53

Name:   abcservices.nl
Address: 149.210.250.174


Dat werkt dus prima

echter _ALLE_ domeinnamen op NS1 geven een refused melding vanaf NS3.

Test 1[
Domein 1: uwwebsite.nl
Hosted: ns1
Resultaat: refused

code:
1
2
3
4
5
6

nslookup uwwebsite.nl ns1.reliahost.nl
Server:     ns1.reliahost.nl
Address:    2a01:7c8:aaca:25::1#53

Name:   uwwebsite.nl
Address: 136.144.171.59


code:
1
2
3
4
5

nslookup uwwebsite.nl ns3.reliahost.nl
Server:     ns3.reliahost.nl
Address:    2a01:7c8:aac6:356:5054:ff:feaf:6b57#53

** server can't find uwwebsite.nl: [b]REFUSED[/b]


code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19

dig @ns3.reliahost.nl uwwebsite.nl

; <<>> DiG 9.10.6 <<>> @ns3.reliahost.nl uwwebsite.nl
; (2 servers found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: REFUSED, id: 57945
;; flags: qr rd; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 1
;; WARNING: recursion requested but not available

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;uwwebsite.nl.          IN  A

;; Query time: 6 msec
;; SERVER: 2a01:7c8:aac6:356:5054:ff:feaf:6b57#53(2a01:7c8:aac6:356:5054:ff:feaf:6b57)
;; WHEN: Fri Aug 20 12:29:31 CEST 2021
;; MSG SIZE  rcvd: 41


code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32

$ dig @ns1.reliahost.nl uwwebsite.nl

; <<>> DiG 9.10.6 <<>> @ns1.reliahost.nl uwwebsite.nl
; (2 servers found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 35328
;; flags: qr aa rd; QUERY: 1, ANSWER: 1, AUTHORITY: 2, ADDITIONAL: 5
;; WARNING: recursion requested but not available

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;uwwebsite.nl.          IN  A

;; ANSWER SECTION:
uwwebsite.nl.       3600    IN  A   136.144.171.59

;; AUTHORITY SECTION:
uwwebsite.nl.       3600    IN  NS  ns3.reliahost.nl.
uwwebsite.nl.       3600    IN  NS  ns1.reliahost.nl.

;; ADDITIONAL SECTION:
ns1.reliahost.nl.   60  IN  A   136.144.171.59
ns1.reliahost.nl.   60  IN  AAAA    2a01:7c8:aaca:25::1
ns3.reliahost.nl.   60  IN  A   37.97.201.118
ns3.reliahost.nl.   60  IN  AAAA    2a01:7c8:aac6:356:5054:ff:feaf:6b57

;; Query time: 6 msec
;; SERVER: 2a01:7c8:aaca:25::1#53(2a01:7c8:aaca:25::1)
;; WHEN: Fri Aug 20 12:29:35 CEST 2021
;; MSG SIZE  rcvd: 191



config PDNS
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16

allow-notify-from=ip_ns1,ip_ns2
disable-axfr=yes
gmysql-dbname=
gmysql-host=
gmysql-password=
gmysql-port=
gmysql-user=
guardian=yes
launch=gmysql
local-address=0.0.0.0, ::
loglevel=8
setgid=pdns
setuid=pdns
slave=yes
superslave=true
version-string=anonymous



Poging 1:
ik heb al alle domeinen uit de PowerDNS database gegooid, opnieuw ingeladen mbv. AXFR (gaat allemaal prima...)

extra info
- DNSSEC staat ingeschakeld voor alle domeinnamen
- alle domeinnamen vanaf NS1 geven refused op NS3 (fault)
- alle domeinen vanaf NS2 geven netjes resultaat vanaf NS3
- MXToolBox (DNS Checkup) als https://dnschecker.org geven allemaal prima resultaten qua bekende IP adressen en (GLUE) records

Er is echter 1 vreemd dingetje bij MXToolBox DNS checkup:

Voor alle domeinen zijn de GLUE records opnieuw ingesteld (dinsdag):

ns1 domeinen:
GLUE NS1 + NS3

ns2 domeinen:
GLUE NS2 + NS3

wat mij alleen opvalt is dat MXToolbox DNS Checkup nog dit geeft:

code:
1
2
3
4
5
6

ns1.reliahost.nl
ns3.reliahost.nl
ns2.reliahost.nl

Local NS list does not match Parent NS list
149.210.250.174 was reported by the parent, but not locally<br/>37.97.201.118 was reported locally, but not by the parent


hier hoort (in dit geval) ns2.reliahost.nl niet meer bij. Als ik kijk bij SIDN etc staat ook alles goed ingeregeld

het probleem is nu dat sporadisch de domeinnamen niet bereikbaar zijn, omdat ze via ns3 een resolve krijgen : refused. Dus geen DNS record

ik zit werkelijk met m'n handen in het haar moment 8)7


EDIT:
het meeste bizarre vind ik wel dat als ik een DNS check doe via mxtoolbox ik van beide nameservers, dus ook ns3, correcte responses krijg!

Momenteel zit ik op een KPN lijn:: dit geeft deze problemen!
Zodra ik via VPN inlog op een andere locatie (geen kpn) werkt het vlekkeloos!

[ Voor 37% gewijzigd door Crazy- op 20-08-2021 12:46 ]

12,85kWp - ZB 7,5m2/400l - 5kW Pana H WP (CV&SWW) - 13,8kWh accu

Beste antwoord (via Crazy- op 20-08-2021 13:23)

vrijdag 20 augustus 2021 13:13

  • canonball
  • Registratie: Juli 2004
  • Laatst online: 16:32

canonball

De vraag die bij jouw fout ging, gaat bij mij goed (van kpn lijn), de source zal niet uitmaken omdat je wel een antwoord kreeg. Ik denk dat het na een poosje goed gaat.
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14

$ dig @ns3.reliahost.nl uwwebsite.nl 
; <<>> DiG 9.16.1-Ubuntu <<>> @ns3.reliahost.nl uwwebsite.nl
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 1333
;; flags: qr aa rd; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1
;; WARNING: recursion requested but not available
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 1232
;; QUESTION SECTION:
;uwwebsite.nl.                  IN      A
;; ANSWER SECTION:
uwwebsite.nl.           3600    IN      A       136.144.171.59

kan het probleem zijn dat een aanpassing niet automatisch wordt doorgegeven? Als AXFR wel lukt, denk ik dat de notify niet wordt opgepakt/ontvangen/verstuurd.


verder kan ik het niet helemaal verklaren, maar:
code:
1

@z-server:~$ dig @ns1.reliahost.nl uwwebsite.nl any
geeft alle records, inclusief dnssec info
code:
1

@z-server:~$ dig @ns3.reliahost.nl uwwebsite.nl any
geeft alle records, maar niet dnssec info.

Het lijkt er dus op dat de ns3 geen dnssec info heeft.
code:
1

 dig @ns3.reliahost.nl uwwebsite.nl a +dnssec
bevestigd dat, dit geeft geen dnssec info, de ns1 wel

Alleen zou een slave wel gewoon deze dnssec info moeten hebben, het is onderdeel van de zone, niet een setting. Kan het zijn dat jouw database geen tabel heeft daarvoor.

KPN gebruikt overigens dnssec verificatie op hun resolvers, het kan dus kloppen dat het dan foute geeft, aangezien dnssec bij de sidn wel aanstaat.

Ik denk dus dat je een dnssec probleem hebt.

Alle reacties

vrijdag 20 augustus 2021 12:38

Acties:
  • 0 Henk 'm!
  • c-nan
  • Registratie: Juni 2008
  • Laatst online: 17:29

c-nan

Ik raak een beetje in de war door je OP. Eerst geef je aan dat het prima werkt met een domein, vervolgens met een ander domein niet.

Je voert commands uit maar het is niet duidelijk op welke server je dat doet. Maakt dat verschil?

Daarnaast werk je in je voorbeelden steeds met IPv6, maar in je GLUE records weer met IPv4.

Heb je in named.conf het volgende opgenomen?
code:
1

recursion no;

Zo ja, haal dat eens weg en kijk of je verschil ziet.

Niet permanent aan laten staan, dit is puur om even te testen.

[ Voor 22% gewijzigd door c-nan op 20-08-2021 12:43 ]

EU DNS: 86.54.11.100

vrijdag 20 augustus 2021 12:48

Acties:
  • 0 Henk 'm!
  • Crazy-
  • Registratie: Januari 2002
  • Laatst online: 18-09 20:57

Crazy-

Best life ever

Topicstarter
c-nan schreef op vrijdag 20 augustus 2021 @ 12:38:
Ik raak een beetje in de war door je OP. Eerst geef je aan dat het prima werkt met een domein, vervolgens met een ander domein niet.

Je voert commands uit maar het is niet duidelijk op welke server je dat doet. Maakt dat verschil?

Daarnaast werk je in je voorbeelden steeds met IPv6, maar in je GLUE records weer met IPv4.

Heb je in named.conf het volgende opgenomen?
code:
1

recursion no;

Zo ja, haal dat eens weg en kijk of je verschil ziet.

Niet permanent aan laten staan, dit is puur om even te testen.
Heb het e.e.a aan de OP aangepast - hopelijk duidelijker.

De BIND servers werken prima, recursion no; heeft dus geen nut voor de NS3 (powerDns) machine.


Waar ik aan zit te denken is dat het misgaat ergens (...) met de DNSSEC

[ Voor 4% gewijzigd door Crazy- op 20-08-2021 13:02 ]

12,85kWp - ZB 7,5m2/400l - 5kW Pana H WP (CV&SWW) - 13,8kWh accu

vrijdag 20 augustus 2021 13:13

Acties:
  • Beste antwoord
  • 0 Henk 'm!
  • canonball
  • Registratie: Juli 2004
  • Laatst online: 16:32

canonball

De vraag die bij jouw fout ging, gaat bij mij goed (van kpn lijn), de source zal niet uitmaken omdat je wel een antwoord kreeg. Ik denk dat het na een poosje goed gaat.
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14

$ dig @ns3.reliahost.nl uwwebsite.nl 
; <<>> DiG 9.16.1-Ubuntu <<>> @ns3.reliahost.nl uwwebsite.nl
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 1333
;; flags: qr aa rd; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1
;; WARNING: recursion requested but not available
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 1232
;; QUESTION SECTION:
;uwwebsite.nl.                  IN      A
;; ANSWER SECTION:
uwwebsite.nl.           3600    IN      A       136.144.171.59

kan het probleem zijn dat een aanpassing niet automatisch wordt doorgegeven? Als AXFR wel lukt, denk ik dat de notify niet wordt opgepakt/ontvangen/verstuurd.


verder kan ik het niet helemaal verklaren, maar:
code:
1

@z-server:~$ dig @ns1.reliahost.nl uwwebsite.nl any
geeft alle records, inclusief dnssec info
code:
1

@z-server:~$ dig @ns3.reliahost.nl uwwebsite.nl any
geeft alle records, maar niet dnssec info.

Het lijkt er dus op dat de ns3 geen dnssec info heeft.
code:
1

 dig @ns3.reliahost.nl uwwebsite.nl a +dnssec
bevestigd dat, dit geeft geen dnssec info, de ns1 wel

Alleen zou een slave wel gewoon deze dnssec info moeten hebben, het is onderdeel van de zone, niet een setting. Kan het zijn dat jouw database geen tabel heeft daarvoor.

KPN gebruikt overigens dnssec verificatie op hun resolvers, het kan dus kloppen dat het dan foute geeft, aangezien dnssec bij de sidn wel aanstaat.

Ik denk dus dat je een dnssec probleem hebt.

vrijdag 20 augustus 2021 13:16

Acties:
  • 0 Henk 'm!
  • Crazy-
  • Registratie: Januari 2002
  • Laatst online: 18-09 20:57

Crazy-

Best life ever

Topicstarter
Ik heb inderdaad ook het idee dat het een DNSSEC issue is:

code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16

    Found 1 DS records for uwwebsite.nl in the nl zone
    DS=7354/SHA-256 has algorithm RSASHA256
    Found 1 RRSIGs over DS RRset
    RRSIG=30171 and DNSKEY=30171 verifies the DS RRset
    Found 2 DNSKEY records for uwwebsite.nl
    DS=7354/SHA-256 verifies DNSKEY=7354/SEP
    No RRSIGs found
    ns1.reliahost.nl is authoritative for uwwebsite.nl
    uwwebsite.nl A RR has value 136.144.171.59
    Found 1 RRSIGs over A RRset
    RRSIG=30510 and DNSKEY=30510 verifies the A RRset
    The A RRset was not signed by any trusted keys
uwwebsite.nl    
    ns3.reliahost.nl is authoritative for uwwebsite.nl
    uwwebsite.nl A RR has value 136.144.171.59
    No RRSIGs found


hier komt duidelijk naar voren dat NS3 inderdaad geen RRSIGs teruggeeft ...
jouw opmerking dat een slave alleen records teruggeeft beaam ik ook; des te vreemder dat ik geen DNSSEC resultaat krijg

edit
De settings
code:
1

gmysql_dnssec
was er niet, deze toegevoegd met 'yes' en nu komen de responses qua DNSSEC (beter) Terug. nog niet bij KPN (...) maar dat kost tijd nomaliter

[ Voor 9% gewijzigd door Crazy- op 20-08-2021 13:23 ]

12,85kWp - ZB 7,5m2/400l - 5kW Pana H WP (CV&SWW) - 13,8kWh accu

vrijdag 20 augustus 2021 13:23

Acties:
  • 0 Henk 'm!
  • canonball
  • Registratie: Juli 2004
  • Laatst online: 16:32

canonball

Zover ik begrijp uit de config gebruik je een mysql db?
Dan kun je als eerste kijken of de tabellen er zijn enzoja of de inhoud er is.

Als het een productie domein is, is het snelste even bij sidn de keys weghalen, zodat de impact vermindert.

vrijdag 20 augustus 2021 13:33

Acties:
  • 0 Henk 'm!
  • Crazy-
  • Registratie: Januari 2002
  • Laatst online: 18-09 20:57

Crazy-

Best life ever

Topicstarter
canonball schreef op vrijdag 20 augustus 2021 @ 13:23:
Zover ik begrijp uit de config gebruik je een mysql db?
Dan kun je als eerste kijken of de tabellen er zijn enzoja of de inhoud er is.

Als het een productie domein is, is het snelste even bij sidn de keys weghalen, zodat de impact vermindert.
Correct - ik zie nu inderdaad records qua SIGNED toegevoegd worden, conform de domeinnamen die het hebben. (nog niet alles is doorgevoerd)
Qua productie issues is het geen groot probleem - beperkt gebruikt / selectief. Dus maak mij daar niet druk om.

enige wat wellicht nog een issue is de verkeerde resolving van 3 NS records van reliahost.nl; waar dit er maar 2 moeten zijn voor het domeinnaam zelf (NS records). Deze geeft nog steeds Ns2 terug, maar die geldt niet als NS record dit domein.

allang blij dat dit probleem opgelost is; nu hopen dat kpn nog de boel 'oppakt'

12,85kWp - ZB 7,5m2/400l - 5kW Pana H WP (CV&SWW) - 13,8kWh accu

Pagina: 1
Reageer

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq