Problem z serwerem nazw / domeną

[daffx]

Cześć,

Na wht nie doczekałem się odpowiedzi a więc +1 post tutaj.

Mam domenę zakupioną na ovh (glue i serwery nazw ustawione na ns1/2.domena.tld + skierowane po ip)

1 vpsa na którym mam postawiony centos web panel, i chcę podpiąć pod ten serwer domenę z własnymi nsami. 

Wszystko niby fajnie pięknie, ale nie działa... Błąd z dnsami prawdopodobnie, tylko teraz nie wiem czy po stronie konfiguracji binda czy ovh.

intodns.com wypluwa coś takiego 

Cytat

DNS servers responded

ERROR: One or more of your nameservers did not respond: The ones that did not respond are: 164.132.188.xxx

dig ns daffyy.xyz @localhost

; <<>> DiG 9.9.4-RedHat-9.9.4-50.el7_3.1 <<>> ns daffyy.xyz @localhost
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 56481
;; flags: qr aa rd; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 3
;; WARNING: recursion requested but not available

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;daffyy.xyz.                    IN      NS

;; ANSWER SECTION:
daffyy.xyz.             86400   IN      NS      ns1.daffyy.xyz.
daffyy.xyz.             86400   IN      NS      ns2.daffyy.xyz.

;; ADDITIONAL SECTION:
ns1.daffyy.xyz.         14400   IN      A       164.132.188.xxx
ns2.daffyy.xyz.         14400   IN      A       164.132.188.xxx

;; Query time: 0 msec
;; SERVER: 127.0.0.1#53(127.0.0.1)
;; WHEN: Mon Sep 11 21:09:50 CEST 2017
;; MSG SIZE  rcvd: 107

dig ns daffyy.xyz

; <<>> DiG 9.9.4-RedHat-9.9.4-50.el7_3.1 <<>> ns daffyy.xyz
;; global options: +cmd
;; connection timed out; no servers could be reached

Konfiguracja binda:

named.conf

//
// named.conf
//
// Provided by Red Hat bind package to configure the ISC BIND named(8) DNS
// server as a caching only nameserver (as a any DNS resolver only).
//
// See /usr/share/doc/bind*/sample/ for example named configuration files.
//
// See the BIND Administrator's Reference Manual (ARM) for details about the
// configuration located in /usr/share/doc/bind-{version}/Bv9ARM.html

options {
	listen-on port 53 { any; };
	listen-on-v6 port 53 { ::1; };
	directory 	"/var/named";
	dump-file 	"/var/named/data/cache_dump.db";
	statistics-file "/var/named/data/named_stats.txt";
	memstatistics-file "/var/named/data/named_mem_stats.txt";
	allow-query     { any; };

	/* 
	 - If you are building an AUTHORITATIVE DNS server, do NOT enable recursion.
	 - If you are building a RECURSIVE (caching) DNS server, you need to enable 
	   recursion. 
	 - If your recursive DNS server has a public IP address, you MUST enable access 
	   control to limit queries to your legitimate users. Failing to do so will
	   cause your server to become part of large scale DNS amplification 
	   attacks. Implementing BCP38 within your network would greatly
	   reduce such attack surface 
	*/
	recursion no;

	dnssec-enable yes;
	dnssec-validation yes;

	/* Path to ISC DLV key */
	bindkeys-file "/etc/named.iscdlv.key";

	managed-keys-directory "/var/named/dynamic";

	pid-file "/run/named/named.pid";
	session-keyfile "/run/named/session.key";
};

logging {
        channel default_debug {
                file "data/named.run";
                severity dynamic;
        };
};

zone "." IN {
	type hint;
	file "named.ca";
};

include "/etc/named.rfc1912.zones";
include "/etc/named.root.key";



// zone daffyy.xyz
zone "daffyy.xyz" {
                                   type master;
                                        file "/var/named/daffyy.xyz.db";};
// zone_end daffyy.xyz

zone "ns1.daffyy.xyz" {type master;file "/var/named/ns1.daffyy.xyz.db";};
zone "ns2.daffyy.xyz" {type master;file "/var/named/ns2.daffyy.xyz.db";};

Strefy:

; Panel %version%
; Zone file for daffyy.xyz
$TTL 14400
daffyy.xyz.      86400      IN      SOA      ns1.daffyy.xyz.      daffyy.daffyy.xyz.      (
      				2017091115 ;serial, todays date+todays
      				86400 ;refresh, seconds
      				7200 ;retry, seconds
      				3600000 ;expire, seconds
      				86400 ;minimum, seconds
      )


daffyy.xyz.      86400      IN      NS      ns1.daffyy.xyz.
daffyy.xyz.      86400      IN      NS      ns2.daffyy.xyz.
daffyy.xyz.      0      IN      A      164.132.188.xxx
localhost.daffyy.xyz.      0      IN      A      127.0.0.1
daffyy.xyz.      0      IN      MX      5      daffyy.xyz.
mail      0      IN      CNAME      daffyy.xyz.
www      0      IN      CNAME      daffyy.xyz.
ftp      0      IN      CNAME      daffyy.xyz.
;      Add      additional            
s1      14400      IN      A      164.132.188.xxx
daffyy.xyz.      14400      IN      TXT      "v=spf1 +a +mx +ip4:164.132.188.xxx ~all"
ns1.daffyy.xyz. 14400 IN A 164.132.188.xxx
ns2.daffyy.xyz. 14400 IN A 164.132.188.xxx

; Panel %version%
; Zone file for ns1.daffyy.xyz
$TTL 14400
ns1.daffyy.xyz.      86400      IN      SOA      ns1.daffyy.xyz.      info.centos-webpanel.com.      (
      				2013071600 ;serial, todays date+todays
      				86400 ;refresh, seconds
      				7200 ;retry, seconds
      				3600000 ;expire, seconds
      				86400 ;minimum, seconds
      )
ns1.daffyy.xyz. 86400 IN NS ns1.daffyy.xyz.
ns1.daffyy.xyz. 86400 IN NS ns2.daffyy.xyz.
ns1.daffyy.xyz. 14400 IN A 164.132.188.xxx

i 2 taka sama dla ns2

Nie wiem dlaczego panel utworzył dodatkowe 2 strefy dla nsx, ale na stronie raczej nikt nie zgłasza problemu czyli powinno to działać.

Odczekałem 3 dni od zmiany dnsów i nadal nic, ktoś jakieś pomysły?

[theqkash]

Czy Twój serwer DNS nie jest czasem odcięty od sieci? 

 

[daffx]

Mało realne, systemowy firewall wyłączony a do firewalla od ovh dodany nawet port 53

https://www.whatsmydns.net/#NS/daffyy.xyz Widać to nawet tutaj, 1 lub kilka lokalizacji rozpoznaje te nsy

[theqkash]

Ja niestety z kilku spośród swoich serwerów nie jestem w stanie połączyć się z Twoim serwerem DNS i pobrać rekordów dla domeny.

[daffx]

Ew. bind może nasłuchiwać na złym interfejsie, teraz zobaczyłem 2 osobne venet0 - 127.0.0.1 a venet0:0 to świat tylko, że to też mało realne skoro jest "any". W dodatku przez niektóre serwery proxy można się dostać na domenę, także nie wiem co może być nie tak ;/

+ to

tcp        0      0 164.132.188.163:53      0.0.0.0:*               LISTEN      169/named
tcp        0      0 127.0.0.1:53            0.0.0.0:*               LISTEN      169/named
tcp6       0      0 ::1:53                  :::*                    LISTEN      169/named
udp        0      0 164.132.188.163:53      0.0.0.0:*                           169/named
udp        0      0 127.0.0.1:53            0.0.0.0:*                           169/named
udp6       0      0 ::1:53                  :::*                                169/named

root@dds:~# telnet 164.132.188.163 53
Trying 164.132.188.163...
Connected to 164.132.188.163.

inny vps

 

Edytowane 11 Września 2017 przez daffx

[oui]

Ja tez nie mogę się połączyć na ten adres IP (po UDP, TCP działa). Musisz sprawdzić czy jakiś firewall nie blokuje.

[SomeGuy]

Spróbuj położyć chwilowo CSFa, zrestartować DNS i odpytać z lokalnego komputera serwer. 

dig daffyy.xyz @164.132.188.163

 

[theqkash]

No i teraz resolvuje ładnie.

Domena u mnie już działa.

[daffx]

Dobra, głupi ja. Kto by pomyślał, że game firewall będzie blokował port binda ;-; Można close

[theqkash]

Dobrze, że udało się rozwiązać problem

Temat zamykam.