Probleme mit Bind

[iceblox]

Hallo,

ich hab auf einem Server einen Bind laufen und habe nun ein merkwürdiges Problem.

Einige Provider scheinen Probleme zu haben, IPs von meinem DNS zu bekommen. Wenn jemand von T-Online z.B. auf eine Domain zugreifen will, die dort gehostet wird, dann kommt zu 80% die Meldung, dass kein DNS vorhanden ist (was auch immer der IE damit meint).

Von mir aus der Uni raus geht es aber einwandfrei. Woran könnte das liegen?

Achso, also der Server hat 4 IPs, auf allen lauscht er auf Anfragen und alles sind Master-Zones keine Slaves. Recursive Lookups und Zonetransfers sind ausgeschaltet.

Gruß

ice

[Bukker]

Habe mal dazu ne Frage: Was ist ein BIND ?

Is das ne Abkürzung für etwas und ich weis nix davon oder wie is das ?

[2-frozen]

Auszug von http://www.isc.org/products/BIND/

ISC BIND

BIND (Berkeley Internet Name Domain) is an implementation of the Domain Name System (DNS) protocols and provides an openly redistributable reference implementation of the major components of the Domain Name System, including:

a Domain Name System server (named)

a Domain Name System resolver library

tools for verifying the proper operation of the DNS server

The BIND DNS Server is used on the vast majority of name serving machines on the Internet, providing a robust and stable architecture on top of which an organization's naming architecture can be built. The resolver library included in the BIND distribution provides the standard APIs for translation between domain names and Internet addresses and is intended to be linked with applications requiring name service.

Oder kurz: BIND ist ein DNS-Server

[Bukker]

Aaaaha,... Danke - Wieder eine graue Gehirnzelle mehr

[dr.disk]

Einige Provider haben Probleme von Deinem DNS IPs zu bekommen? Ist Dein Nameserver ein öffentlicher Nameserver?

Oder muß es heißen: mein DNS löst nicht alle IPs aus dem Internet richtig auf?

Werd zur der Frage mal ein bisschen genauer. Was für eine Bind-Version hast Du? Hoffentlich keinen 4er. Auf was für einem System läuft er?

[iceblox]

Einige Provider haben Probleme IPs von meinem öffentlichen DNS Server aufzulösen, wie ich gesagt habe.

Es läuft BIND 9.2.0 unter SuSE 7.3 Pro. Ich hab keine Ahnung, wieso die da Probleme machen, bisher sind mir Probleme mit T-Online und SurfEU bekannt.

Viel mehr relevantes wüsste ich so auch nicht. Läuft halt auf 4 IPs, nur Master Zones keine Slave Zones.

[DanielB]

http://www.acmebw.com/askmrdns/

[iceblox]

Original geschrieben von DanielB

http://www.acmebw.com/askmrdns/

Netter Link, nur leider nutzlos, da dort meine Frage meines Erachtens nach nicht auftaucht...

[DanielB]

Hmm... ich bin bei T-Online, hast du mal ne Bespieldomain mit der es nicht funktioniert ?

[iceblox]

z.B.

real.cyberscan.org

www.hackerattack.org

stats.hackerattack.org

die gehen häufig nicht, meistens müssen T-Online User paarmal 'nen Reload im Browser machen, damit das geht.

[iceblox]

Hmmm, es geht immernoch nicht, wie kann sowas kommen, dass einige Provider die IPs nicht auflösen können, andere aber doch.

[chweiss]

Hi,

ein einfaches nslookup hatte bei mir auch Probleme und meldete ebenfalls, daß der DNS-Server nicht gefunden wurde.

Beim zweiten Versuch funktionierte es.

Ich schlage vor, daß Netzwerk zu checken (vielleicht Timeouts?) und Debug in bind zu aktivieren.

P.S.: Müssen auf den Servern so viele Services (ftp, login, bnc, lpd, tomcat, etc.) aktiv sein?

Gruß,

Christian

[chweiss]

Hi nochmal,

Reverse-DNS scheint überhaupt nicht zu funktionieren. Hast Du das konfiguriert?

Vielleicht spielt dieses Problem in Dein jetziges mit rein.

Gruß,

Christian

[iceblox]

Also, auf dem Server laufen nur folgende services:

ftpd, sshd, bind, httpd, pop3 und ein mysqld der von aussen nicht erreichbar sein sollte alles andere sind Bots.

Reverse DNS ist total egal, denn wie man sehen kann, ist der Server nicht für rDNS Anfragen zuständig.

Das mit Debug kann ich probieren, ich seh nur denn Sinn nicht so ganz.

[iceblox]

Ok, ich habs mit debuglevel 10 probiert und folgendes:

wenn ein Client ein IP sucht:

Feb 23 22:58:40.592 client 194.109.6.xxx#53: UDP request

Feb 23 22:58:40.592 client 194.109.6.xxx#53: using view '_default'

Feb 23 22:58:40.592 client 194.109.6.xxx#53: request is not signed

Feb 23 22:58:40.592 client 194.109.6.xxx#53: query

Feb 23 22:58:40.592 client 194.109.6.xxx#53: ns_client_attach: ref = 1

Feb 23 22:58:40.592 dns_zone_attach: zone cyberscan.org/IN: eref = 2, irefs = 0

Feb 23 22:58:40.592 client 194.109.6.xxx#53: query approved

Feb 23 22:58:40.593 dns_zone_detach: zone cyberscan.org/IN: eref = 1, irefs = 0

Feb 23 22:58:40.593 client 194.109.6.xxx#53: send

Feb 23 22:58:40.593 client 194.109.6.xxx#53: sendto

Feb 23 22:58:40.593 client 194.109.6.xxx#53: ns_client_detach: ref = 0

Feb 23 22:58:40.594 client 194.109.6.xxx#53: senddone

Feb 23 22:58:40.594 client 194.109.6.xxx#53: next

Feb 23 22:58:40.594 client 194.109.6.xxx#53: endrequest

Wenn hingegen jemand eine Fehlermeldung bekommt, dann steht auch keine Anfrage im Log (wie nicht anders zu erwarten war)

[chweiss]

Du brauchst Dich nicht auf den Schlips getreten fühlen.

Obwohl man keinen Sinn in irgendwelchen Tests, oder ähnliches sieht, heißt es nicht, daß einem die Schlußfolgerungen aus diesen nicht weiterhelfen.

Laß' mich nochmal ins blaue Testen/Tippen:

---schnipp---

miami@localhost$ nslookup -type=ns real.cyberscan.org

Server: xxx.xxx.xxx.xxx

Address: xxx.xxx.xxx.xxx#53

*** Can't find real.cyberscan.org: No answer

miami@localhost$ nslookup -type=ns real.cyberscan.org

Server: xxx.xxx.xxx.xxx

Address: xxx.xxx.xxx.xxx#53

Non-authoritative answer:

*** Can't find real.cyberscan.org: No answer

Authoritative answers can be found from:

cyberscan.org

origin = dns1.angjelina.ch

mail addr = hisi.hrz.tu-chemnitz.de

serial = 1010474798

refresh = 10800

retry = 3600

expire = 604801

minimum = 60800

---schnapp---

Dies sieht für mich so aus, als ob Dein DNS nicht authorative für diese Domain ist. Authorative scheint "dns1.angjelina.ch" zu sein.

Da Du forwarding disabled hast, holt sich Dein DNS-Server nicht die Antwort von "angjelina" und gibt somit nur eine Näherung an den Anfrager weiter:

*** Can't find real.cyberscan.org: No answer

Mit dem Hinweis, das die Antwort jedoch bei "dns1.angjelina.ch" zu finden ist.

Jo, bei meiner ersten Antwort hatte ich noch Debug bei nslookup enabled und sah, daß er von z. B. "real.cyberscan.org" ein reverse lookup machen wollte...

Meiner Meinung solltest Du forwarding enablen. Ein Versuch ist's schonmal wert.

Gib bitte bescheid, wie die Situation mit forwarding aussieht,

Christian

[iceblox]

dns1.angjelina.ch ist mein dns 62.67.214.[100|101|102]

[chweiss]

Wenn ich ehrlich bin, glaube ich selber nicht, was ich geschrieben habe.

Weil, mal funktioniert's, mal nicht.

[iceblox]

So, jetzt kanns auch erstmal ne Weile nicht gehen... Der Server ist aus

[DevilDawn]

Sag mal Bescheid wenn du wieder on gehst, sieht mir nach ner vergurkten bind config aus

[iceblox]

so, läuft wieder... hier die imho wichtigen teile der named.conf (also alles ausser die zone-files, das würde zuviel werden)

options {

directory "/var/named";

listen-on-v6 { none; };

notify yes;

allow-transfer {

62.67.214.100;

62.67.214.101;

62.67.214.102;

62.67.222.173;

};

allow-recursion {

62.67.214.100;

62.67.214.101;

62.67.214.102;

62.67.222.173;

};

recursion no;

auth-nxdomain yes;

transfers-in 1;

transfer-format one-answer;

max-transfer-time-in 1;

};

zone "localhost" in {

type master;

file "localhost.zone";

};

zone "0.0.127.in-addr.arpa" in {

type master;

file "127.0.0.zone";

};

zone "." in {

type hint;

file "root.hint";

};

#ganz viele domains wie z.B.:

zone "cyberscan.org" {

type master;

file "/var/named/cyberscan.org.hosts";

};

[chweiss]

Schön, und wo *genau* lag jetzt der Fehler?

[stiV]

D:\Dokumente und Einstellungen\stiV>nslookup www.hackerattack.org

Server: WS01IS01.highway.telekom.at

Address: 195.3.96.67

DNS request timed out.

timeout was 2 seconds.

DNS request timed out.

timeout was 2 seconds.

*** Zeitüberschreitung bei Anforderung an WS01IS01.highway.telekom.at

wie man sieht bin ich aus österreich ... und bei mir gehtz nicht.

[iceblox]

und ich weiss immernoch nicht wieso das nicht geht... hmmm... die named.conf sieht für mich ganz ok aus

[DevilDawn]

Das ganze ist recht krank.

Wenn ich für eine "funktionierende" Domain die Nameserver abfrage, bekomme ich sowas:

[ae@storm] > dig jsod.de. NS


;; ANSWER SECTION:

jsod.de.		3h20m2s IN NS	ns15.schlund.de.

jsod.de.		3h20m2s IN NS	ns16.schlund.de.


;; ADDITIONAL SECTION:

ns15.schlund.de.	48m23s IN A	195.20.224.105

ns16.schlund.de.	50m38s IN A	212.227.123.12

Also die Domain-NS Records und die A-Records zu den Nameservern. Jetzt das mal für dich:

[ae@storm] > dig hackerattack.org NS


;; ANSWER SECTION:

hackerattack.org.	1d1h15m IN NS	DNS2.ANGJELINA.CH.

hackerattack.org.	1d1h15m IN NS	DNS1.ANGJELINA.CH.

NS-Records kommen, aber keine A-Records. Was macht ein resolver dann? er guckt nach wo er die IPs für ANGJELINA.CH herbekommt.

[ae@storm] > dig angjelina.ch NS


;; ANSWER SECTION:

angjelina.ch.		10h46m17s IN NS  dns2.free-bsd.org.

angjelina.ch.		10h46m17s IN NS  dns1.free-bsd.org.

Super, wieder nur NS-Records. Auf ein neues...

[ae@storm] > dig free-bsd.org NS


;; ANSWER SECTION:

free-bsd.org.		3h58m36s IN NS	b.ns.ods.org.

free-bsd.org.		3h58m36s IN NS	a.ns.ods.org.

free-bsd.org.		3h58m36s IN NS	a.ns.uk.ods.org.


;; ADDITIONAL SECTION:

b.ns.ods.org.		3h58m36s IN A	64.3.150.189

a.ns.ods.org.		3h58m36s IN A	66.28.41.162

a.ns.uk.ods.org.	3h58m36s IN A	212.100.224.241

Endlich eine Antwort. Woraufhin man rausfindet, das dns1.free-bsd.org == dns1.angjelina.ch ist. Wieso existieren keine A-Records dafür und wieso benutzt diese Domain als DNS einen NS-Record der zwar anders heißt, aber dieselbe IP hat? Extrem kranke Config. Please Fix.