ungebunden / nsd gibt SERVFAIL zurück und löst lokales LAN-DNS auf. nsd alleine funktioniert gut

9

Ich habe ungebunden als lokalen rekursiven DNS-Server verwendet. Gerade nsd hinzugefügt, um lokales LAN-DNS einzurichten. nsd lauscht auf Port 53530 und das funktioniert einwandfrei:

$ dig @127.0.0.1 data2.datanet.home -p 53530

; <<>> DiG 9.9.2-P2 <<>> @127.0.0.1 data2.datanet.home -p 53530
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 59577
;; flags: qr aa rd; QUERY: 1, ANSWER: 1, AUTHORITY: 1, ADDITIONAL: 1
;; WARNING: recursion requested but not available

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;data2.datanet.home.            IN      A

;; ANSWER SECTION:
data2.datanet.home.     600     IN      A       192.168.1.62

;; AUTHORITY SECTION:
datanet.home.           600     IN      NS      ns1.datanet.home.

;; Query time: 0 msec
;; SERVER: 127.0.0.1#53530(127.0.0.1)
;; WHEN: Mon Jun 15 07:16:24 2015
;; MSG SIZE  rcvd: 81

Wenn Sie durch die lokale ungebundene gehen, funktioniert es nicht:

$ dig @127.0.0.1 data2.datanet.home

; <<>> DiG 9.9.2-P2 <<>> @127.0.0.1 data2.datanet.home
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: SERVFAIL, id: 47645
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;data2.datanet.home.            IN      A

;; Query time: 0 msec
;; SERVER: 127.0.0.1#53(127.0.0.1)
;; WHEN: Mon Jun 15 07:18:02 2015
;; MSG SIZE  rcvd: 47

Folgendes bekomme ich mit Ausführlichkeit in das ungebundene Protokoll: 4

Jun 15 06:12:39 pizza.yoderdev.com unbound[1947]: [1947:0] info: validator operate: query router.datanet.home. A IN
Jun 15 06:12:39 pizza.yoderdev.com unbound[1947]: [1947:0] debug: validator: pass to next module
Jun 15 06:12:39 pizza.yoderdev.com unbound[1947]: [1947:0] debug: mesh_run: validator module exit state is module_wait_module
Jun 15 06:12:39 pizza.yoderdev.com unbound[1947]: [1947:0] debug: iterator[module 1] operate: extstate:module_state_initial event:
Jun 15 06:12:39 pizza.yoderdev.com unbound[1947]: [1947:0] debug: process_request: new external request event
Jun 15 06:12:39 pizza.yoderdev.com unbound[1947]: [1947:0] debug: iter_handle processing q with state INIT REQUEST STATE
Jun 15 06:12:39 pizza.yoderdev.com unbound[1947]: [1947:0] info: resolving router.datanet.home. A IN
Jun 15 06:12:39 pizza.yoderdev.com unbound[1947]: [1947:0] debug: request has dependency depth of 0
Jun 15 06:12:39 pizza.yoderdev.com unbound[1947]: [1947:0] info: use stub datanet.home. NS IN
Jun 15 06:12:39 pizza.yoderdev.com unbound[1947]: [1947:0] debug: cache delegation returns delegpt
Jun 15 06:12:39 pizza.yoderdev.com unbound[1947]: [1947:0] info: DelegationPoint<datanet.home.>: 0 names (0 missing), 1 addrs (0 r
Jun 15 06:12:39 pizza.yoderdev.com unbound[1947]: [1947:0] debug:    ip4 127.0.0.1 port 53530 (len 16)
Jun 15 06:12:39 pizza.yoderdev.com unbound[1947]: [1947:0] debug: iter_handle processing q with state INIT REQUEST STATE (stage 2)
Jun 15 06:12:39 pizza.yoderdev.com unbound[1947]: [1947:0] info: resolving (init part 2):  router.datanet.home. A IN
Jun 15 06:12:39 pizza.yoderdev.com unbound[1947]: [1947:0] info: use stub datanet.home. NS IN
Jun 15 06:12:39 pizza.yoderdev.com unbound[1947]: [1947:0] debug: iter_handle processing q with state INIT REQUEST STATE (stage 3)
Jun 15 06:12:39 pizza.yoderdev.com unbound[1947]: [1947:0] info: resolving (init part 3):  router.datanet.home. A IN
Jun 15 06:12:39 pizza.yoderdev.com unbound[1947]: [1947:0] debug: iter_handle processing q with state QUERY TARGETS STATE
Jun 15 06:12:39 pizza.yoderdev.com unbound[1947]: [1947:0] info: processQueryTargets: router.datanet.home. A IN
Jun 15 06:12:39 pizza.yoderdev.com unbound[1947]: [1947:0] debug: processQueryTargets: targetqueries 0, currentqueries 0 sentcount
Jun 15 06:12:39 pizza.yoderdev.com unbound[1947]: [1947:0] info: DelegationPoint<datanet.home.>: 0 names (0 missing), 1 addrs (0 r
Jun 15 06:12:39 pizza.yoderdev.com unbound[1947]: [1947:0] debug:    ip4 127.0.0.1 port 53530 (len 16)
Jun 15 06:12:39 pizza.yoderdev.com unbound[1947]: [1947:0] debug: attempt to get extra 3 targets
Jun 15 06:12:39 pizza.yoderdev.com unbound[1947]: [1947:0] debug: skip addr on the donotquery list ip4 127.0.0.1 port 53530 (len 1
Jun 15 06:12:39 pizza.yoderdev.com unbound[1947]: [1947:0] debug: No more query targets, attempting last resort
Jun 15 06:12:39 pizza.yoderdev.com unbound[1947]: [1947:0] debug: configured stub servers failed -- returning SERVFAIL
Jun 15 06:12:39 pizza.yoderdev.com unbound[1947]: [1947:0] debug: store error response in message cache
Jun 15 06:12:39 pizza.yoderdev.com unbound[1947]: [1947:0] debug: return error response SERVFAIL

Insbesondere was ist damit? [1947: 0] debug: überspringe addr auf der donotquery liste ip4 127.0.0.1 port 53530 (len 1 Das scheint der Schlüssel zu sein, aber ich bin mir wirklich nicht sicher, warum es das sagt.

Hier ist meine gesamte unbound.conf:

server:
  interface: 127.0.0.1
  interface: 192.168.1.50
  use-syslog: yes
  username: "unbound"
  directory: "/etc/unbound"
  trust-anchor-file: trusted-key.key
  access-control: 192.168.1.0/24 allow
  verbosity: 2
  local-zone: "1.168.192.in-addr.arpa" nodefault
remote-control:
  control-enable: yes
  control-interface: 127.0.0.1
  control-port: 8953
  server-key-file: "/etc/unbound/unbound_server.key"
  server-cert-file: "/etc/unbound/unbound_server.pem"
  control-key-file: "/etc/unbound/unbound_control.key"
  control-cert-file: "/etc/unbound/unbound_control.pem"

stub-zone:
  name: "datanet.home"
  stub-addr: 127.0.0.1@53530
#  stub-first: yes
stub-zone:
  name: "1.168.192.in-addr.arpa"
  stub-addr: 127.0.0.1@53530

nsd.conf hat viele Kommentare, also nicht sicher, ob ich es einfügen soll, aber auf jeden Fall scheint nsd gut zu funktionieren. Es ist so ziemlich das gleiche wie im enthaltenen Beispiel conf, außer dass der Port geändert, das Steuerelement aktiviert und die Zonen hinzugefügt werden.

Ich bin verblüfft, daher wären alle Ideen willkommen!

Micah Yoder
quelle

Antworten:

12

Diese Zeile aus dem Protokoll zeigt das Problem an:

Jun 15 06:12:39 pizza.yoderdev.com unbound[1947]: [1947:0] debug: skip addr on the donotquery list ip4 127.0.0.1 port 53530 (len 1

Standardmäßig verweigert Unbound das Senden von DNS-Abfragen an localhost. Um es zu Abfrage localhost zu aktivieren, setzen die do-not-query-localhostauf noim server-Abschnitt der Unbound Konfiguration:

server:
  interface: 127.0.0.1
  interface: 192.168.1.50
  [...]
  do-not-query-localhost: no

Eine Beschreibung der Option finden Sie in der Dokumentation zu unbound.conf .

olav
quelle
Nun, das sieht richtig aus, aber meine schnellen Tests zeigen nicht, dass es gelöst wird. Ich bin jetzt auf der Arbeit und werde mehr aussehen, wenn ich nach Hause komme. Vielen Dank!
Micah Yoder
Dies ist in der Tat seltsam: Mit dieser Änderung gibt die obige Ausgrabung an ungebunden (die zweite) genau das gleiche Ergebnis an den Benutzer zurück (SERVFAIL). Wenn ich mir jedoch das ungebundene Protokoll ansehe, das zum Zeitpunkt dieser Abfrage generiert wurde, zeigt es, dass es die richtige Antwort vom Upstream erhalten hat. Im Protokoll gibt es keinen Hinweis auf eine SERVFAIL-Antwort!
Micah Yoder
Leider keine Vorschläge von mir. Alles was ich sagen kann ist, dass das Entfernen der do-not-query-localhostOption auf meinem Nameserver mir SERVFAIL gibt, wenn ich nach einer Stub-Zone suche, während das erneute Einfügen funktioniert.
Olav
Ich schätze, ich werde das akzeptieren und noch mehr graben und vielleicht nachfragen, was noch los ist ...
Micah Yoder
1
+1 zu antworten: Upvoting, weil diese Antwort einige klare Ratschläge gab, die geholfen haben. Vielleicht war meine Situation nicht identisch mit der ursprünglichen Veröffentlichung, aber der Rat half immer noch, eine schnelle Lösung für etwas zu finden, das nicht funktionierte.
TOOGAM
0

Bei Fragen zu Unbound und NSD können Sie die von NLnet Labs betriebenen Mailinglisten verwenden ( https://www.nlnetlabs.nl/support/mailing-lists/ ). Auf diesen Mailinglisten gibt es eine großartige Community, die sehr reaktionsschnell ist (einschließlich der Softwareentwickler von Unbound und NSD).

Benno Overeinder
quelle