» »

Težave z DNS strežnikom

Težave z DNS strežnikom

alsu ::

Pozdravljeni,

glede na to, da si prvič postavljam lasten DNS strežnik, mi niso povsem jasne nekatere stvari. Tisto, kar mi v tem trenutku ni povsem jasno je to, da DNS strežnik normalno deluje, ko do spletnih strani dostopajo uporabniki s slovenskega omrežja medtem ko z zunanjega omrežja vrne, da naslova ni mogoče 'resolvat'.

Naj še opišem zadevo, kako sem vse skupaj skonfiguriral.

Trenutno imam 1 statični IP naslov, kupljeno domeno v tujini 'mywebsite.com', vanj sem vpisal svoja NS naslova torej:

ns1.mywebsite.com - > kaže na moj statični ip naslov.
ns2.mywebsite.com - > prav tako kaže na moj statični ip naslov.

Master zone izgleda takole:

ttl 38400
mywebsite.com.  IN  SOA ns1.mywebsite.com. webmaster.mywebsite.com. (
            1452989086
            10800
            3600
            604800
            38400 )
mywebsite.com.            IN      A       89.212.***.***
mail.mywebsite.com.       IN      A       89.212.***.***
www.mywebsite.com.  IN  CNAME   mywebsite.com.
ns1.mywebsite.com.        IN      A       89.212.***.***
ns2.mywebsite.com.        IN      A       89.212.***.***
mywebsite.com.    IN      NS      ns1.mywebsite.com.
mywebsite.com.    IN      NS      ns2.mywebsite.com.
mywebsite.com.    IN      MX      10 mail.mywebsite.com.
ftp.mywebsite.com.        IN      A       89.212.***.***

nslookup in pa dig mi izpišeta kot je treba.

Name:   mywebsite.com
Address: 89.212.***.***

DIG:

;; ANSWER SECTION:
mywebsite.com.      25391   IN  A   89.212.***.***


v kolikor pa poskušam zadevo preverit z nekim tujim servisom, mi javi da zadeva ni dosegljiva ali pa da NS naslov nima pravilen A vnos. V glavnem čudno se mi zdi to, da uporabniki z različnih ponudnikov v Sloveniji dostopajo normalno do spletne strani, ko pa ostalim v tujini izpiše 'name lookup timed out'.

Ali v mojem primeru gre še vedno za tki. DNS propogacijo saj je DNS strežnik postavljen pred dvema dnevoma ali gre enostavno za napako/e v konfiguraciji.

Hvala za pomoč

Miha 333 ::

Če domena uporablja NS strežnike na lastni domeni, moraš narediti glue record pri registrarju.

SeMiNeSanja ::

Imeti moraš primarni in sekundarni DNS, kar je že prvi fail, če imaš oboje na istem strežniku IP naslovu, saj nima kdo reševati querije, če tvoj strežnik ni dosegljiv.

Priporočam, da se dogovoriš se s svojim ISP-jem, da bo gostil sekundarni DNS za tvojo domeno.

Kar se tiče A zapisov, mi ni bilo nikoli čisto jasno zakaj se v enih primerih uporablja varianta

example.com A 12.34.56.78

v drugih pa

example.com. A 12.34.56.78

Mislim, da celo obe varianti delujeta (jaz imam na Bind-u A zapise brez tiste pikice na koncu imena).

Glede na to, da ti 'lokalno' deluje nslookup, kakor tudi preko tvojega ISP-ja, bi načeloma res lahko posumil, da nekaj ni v redu nekje 'višje'.
'glue' record, ki ga je Miha 333 omenil, ne vem, če bo krivec, saj brez njega nebi mogel resolvati niti preko ISP-jevega DNS strežnika, temveč zgolj lokalno.

Ali je kakšna možnost, da A query-ji iz tujine sploh ne pridejo do tvojega strežnika? Imaš možnost, da to preveriš na požarni pregradi?
Teoretično bi namreč lahko ISP filtriral DNS queryje za 'nepoznane domene', ki prihajajo iz tujine. Pred časom je bilo precej sitnosti z DNS ojačitvenimi napadi, kar je vsak poskusil potem reševati po svoje. Posvet z upravljalcem DNS-a pri tvojem ISP bi ti lahko dal bolj konkreten odgovor.

Ker ne vemo, za katero domeno se gre, žal ne moremo sami ničesar preveriti.

c3p0 ::

Če nimaš pike, se doda trenutni $ORIGIN, ki je privzeto ime domene.

$ORIGIN domena.com
www IN A ... ; je www.domena.com

Če imaš piko na koncu, se $ORIGIN ne doda.

Zgodovina sprememb…

  • spremenil: c3p0 ()

alsu ::

Preveril tudi požarne zide, sprostil promet skozi port 53, se dvakrat prepričal da je vse ok, ampak še vedno zadeva ni v funkciji. Naslov moje domene je alvosec pika com.

Bom pa seveda preveril še pri ponudniku, če majo kakšne restrikcije.

alsu ::

Glue record mislim da imam urejen, če misliva na isto zadevo.

mojadomena.com -> ns1.mojadomena.com -> IP naslov, ki sem ga ročno vpisal.

eniLS ::

http://www.intodns.com/alvosec.com
Zgleda da imaš še kar nekaj napak.

c3p0 ::

Bi rekel, da mu ISP blokira nizke porte.

alsu ::

Vam normalno odpre stran?

SeMiNeSanja ::

alsu je izjavil:

Preveril tudi požarne zide, sprostil promet skozi port 53, se dvakrat prepričal da je vse ok, ampak še vedno zadeva ni v funkciji. Naslov moje domene je alvosec pika com.

Bom pa seveda preveril še pri ponudniku, če majo kakšne restrikcije.


Če si preveril požarni zid je že ok - ampak bojim se, da si preveril zgolj pravila.

Obvezno preveri PROMET. Nastavi logiranje za DNS promet, naredi nekaj queryjev iz tujine in poglej loge, če je vsa stvar sploh prišla do tvoje požarne pregrade.

Če ni......

Sicer ne vem, kako je z .com domenami. Če imaš .si domeno, ti Arnes ne bo 'objavil' domeno, dokler zadeva ne gre brez težav skozi njihov DNS check. Možno, da pri .com domenah niso tako 'dlakocepski', ampak po svoje je kar prav, da Arnes stvari ne spusti naprej, če niso poštimane kakor treba. Če jih že v štartu ne poštimaš, jih namreč (po vsej verjetnosti) nikoli ne boš.

alsu ::

Promet sem že včeraj spremljal ker je en požarni zid pred strežnikom. Gledal loge, spisal rule za nemoten prehod prometa skozi port 53 (UDP + TCP).

Ampak sem se danes poglobil v zadevo in spremljal promet na mašini kjer je firewall ter opazil, da ob večkratnem poizkusu z DNS queryji promet sploh ne pride do mašine?!

Spremljal sem požarni zid in hkrati strežnik ampak nič. Kot da je nekakšna pregrada pri ISP-ju. Danes čakam odgovor z njihove strani.

Morda se še komu sanja kaj bi lahko bilo narobe?

SeMiNeSanja ::

Nisi povedal, katerega providerja imaš.

Na T-2 lahko kontaktiraš DNS(at)T-2.si in z njimi razvozljaš morebitne težave.

Drugi providerji imajo tudi običajno kakšnega specialca za to področje, s katerim skupaj preverita, kje se zadeva zaustavi in zakaj. Pokličeš na helpdesk in jih povprašaš za upravitelja DNS sistema.

Ko ga boš že imel na liniji, pa se z njim še dogovori, da ti prevzamejo sekundarni strežnik, tako da boš zaščiten pred izpadi tvojega strežnika.

l0wc4 ::

Jaz sem sedaj iz T-2 omrežja potestiral

dig www.alvosec.com

;www.alvosec.com. IN A

;; ANSWER SECTION:
www.alvosec.com. 38400 IN A 89.212.246.202

;; AUTHORITY SECTION:
alvosec.com. 38400 IN NS ns1.alvosec.com.
alvosec.com. 38400 IN NS ns2.alvosec.com.
alvosec.com. 38400 IN NS alvosec.com.

;; ADDITIONAL SECTION:
ns1.alvosec.com. 172797 IN A 89.212.246.202
ns2.alvosec.com. 172797 IN A 89.212.246.202
alvosec.com. 38400 IN A 89.212.246.202

;; Query time: 5585 msec
;; SERVER: 172.16.100.50#53(172.16.100.50)
;; WHEN: Wed Jan 20 09:42:56 2016
;; MSG SIZE rcvd: 147

in ti sedaj očitno deluje.

Kot so ti svetovali, sekundarni DNS obesi nekam drugam na drug IP. Je kar nekja servisov, ki ti omogočajo free sekundarni DNS. Zmanjšaj si še TTL za vse zapise. Imaš za port 53 odprt tako UDP kot TCP?

Zgodovina sprememb…

  • spremenil: l0wc4 ()

Ales ::

Pa pazi, če zmanjšaš TTL zdaj z recimo 24 ur na 1 uro, bo ta sprememba vidna šele čez 24 ur. Da se ne boš čudil, zakaj ne dela.
https://modronebo.net
Domene, gostovanje, strežniki, design

SeMiNeSanja ::

Lokalno že dela, problem je iz sveta...

alsu ::

Sekundarni bom reševal takoj ko rešim s primarnim, tako da mi to ni zdaj glavna skrb.

Vprašanja sem že poslal na T-2, ampak še vedno čakam na odgovor. Zame je ni druge razlage, kakor to da je pri njih neka blokada.

Kot sem že dejal, je port 53 omogočen na obeh protokolih (TCP in UDP), kakor na routerju tako tudi na hardverskem firewall-u in pa na samem sistemu strežnika. Že samo dejstvo, da zadeva deluje lokalno na različnih ISP-jih, dokazuje da je zadeva po moje pravilno skonfigurirana.

In pa še nekaj, ali ima kakšne veze to ker še vedno ni urejen PTR zapis z njihove strani?

P.S. pozabil sem povedat, da sem zadevo testiral z direktnim priklopom na router, brez vmesnega firewall-a, pa je situacija bila ista.

Zgodovina sprememb…

  • spremenil: alsu ()

l0wc4 ::

Po moje ni težava niti pri tebi niti na T-2. Jaz bi na tvojem mestu zadeve pustil minimalno 24 ur tako kot so, saj iz T-2 omrežja delujejo. Verjetno se propagacija (ne vem če je to slovenska beseda), ni še naredila in glede na to, da konstantno delaš spremembe se tudi ne bo naredila še tako hitro. Torej, edino kaj še naredi je to, da zmanjšaš TTL, reloadaj named in pusti zadevo stat 24 ur. V kolikor jutri ne bo delalo, si sekundarca naredi nekje drugje, če nimaš nikjer možnosti mi pošlji ZS in ti na svojih strežnikih naredim sekundarca. OK?

alsu ::

OK, TTL sem zmanjšal na 3600, naredil reload sedaj pa - time to wait...

SeMiNeSanja ::

In pa še nekaj, ali ima kakšne veze to ker še vedno ni urejen PTR zapis z njihove strani?


Kako to misliš? PTR imaš ti v svojih zapisih.

Če pogledaš rezultate na strani http://www.intodns.com/alvosec.com ti že da nekaj namigov, da nekaj očitno preprečuje dostop do tvojega DNS strežnika.

Zanimivo pa je, da RIPE-ov test nedelegiranih strežnikov kot rezultat vrne 'all tests are OK', medtem ko pade na testu delegiranih, češ da niti NS zapisov ni na voljo.

Kot sem že rekel, obstaja možnost, da T-2 iz tujine blokira DNS query-je za vse domene, ki jim niso 'poznane' kot gostujoče na njihovem omrežju.

Z delegacijo T-2 DNS strežnika kot sekundarnega bi načeloma lahko ubil dve muhi na en mah. Poleg tega pa po RFC-ju MORAŠ imeti najmanj 2 DNS serverja. Če 2x navedeš istega, je goljufanje pravil, kar lahko tudi kje povzroči kakšno dodatno težavico.

Zgodovina sprememb…

alsu ::

Mislil sem na reverse lookup:

nslookup my-ip -> mi vrne hostname t-2-ja, sedaj pa mi urejajo da mi vrne hostname - moje domene.

l0wc4 ::

To ni pomembno (PTR) oz. ne vpliva na tole. Počakaj. Če ne bo, pa ti sekundarca kreiram.

SeMiNeSanja ::

alsu je izjavil:

Mislil sem na reverse lookup:

nslookup my-ip -> mi vrne hostname t-2-ja, sedaj pa mi urejajo da mi vrne hostname - moje domene.

Tudi če ti reverse ne dela in prikazuje static-blablabla-.t-2.net, mora vse ostalo delati.

Reverse lahko postane precej zoprna zadeva, če ga imaš primary na lastnem strežniku, sploh če imaš dodeljen kakšen mali segment naslovov. Za začetek je zagotovo bolj varno, da reverse dela T-2 za tebe.

l0wc4 ::

Kot vidim, sedaj deluje. :D

alsu ::

Deluje! :) Veliko olajšanje... V glavnem hvala vsem, ki so bili vključeni v debati.

Bi pa še zaprosil mode, če lahko zakrijejo domeno in IP naslov z ***.

Hvala in lep dan.

NoName ::

Na svojem DNS serverju imaš odprt razreševalni strežnik, ki se lahko uporablja kot vmesna točka DDoS napadov... Svetujem, da omejiš rekurzivno razreševanje, saj bo v nasprotnem primeru kdaj glava bolela, ti boš pa čisto po nepotrebnem krivil ISPja, da ti ne da tolk pipce, kot jo plačuješ...
I can see dumb people...They're all around us... Look, they're even on this forum!

SeMiNeSanja ::

NoName je izjavil:

Na svojem DNS serverju imaš odprt razreševalni strežnik, ki se lahko uporablja kot vmesna točka DDoS napadov... Svetujem, da omejiš rekurzivno razreševanje, saj bo v nasprotnem primeru kdaj glava bolela, ti boš pa čisto po nepotrebnem krivil ISPja, da ti ne da tolk pipce, kot jo plačuješ...

Pa še res je.

Hecno, da ni nikomur drugemu padlo v oči. Mogoče, ker tisti DNS checkerji niso 'prišli skozi', ker bi vsaj kakšen na tem testu prižgal rdečo lučko.

wifito ::

Živjo,

Prosil bi za pomoč pri urejanju DNS zapisov za email:

Trenutno imam narejeno takole:

A zapis na IP od serverja to seveda dela OK za preusmeritev na spletno stran ( z mailom predvidevam da nima veze)

A zapis mail.imedomene.com na IP serverja

MX zapis mail.imedomene.com na imedomene.com

Ko vpišem podatke v telefon, lahko normalno pošiljam in sprejemam maile. Problem pa je, ker ne deluje pošiljanje in prejemanje izven domene. Sepravi, maile si lahko pošiljajo samo lokalni userji, ne glede ali so na lokalni mreže ali preko druge WAN povezave. Sem mislil, da je težava ker še ni bilo osvežitve dns zapisov samo je sedaj že 2dni tako.

Pa prosim brez norčevanja J sem skoraj 100%, da sem te MX zapise narobe spesnil, čudno mi je da sploh lokalno stvar dela

SeMiNeSanja ::

Ti mešaš vse pojme.

Izmenjava maila med mail serverji nima nobene veze z možnostjo pošiljanja in prejemanja maila na računalnikih uporabnikov.

MX zapise preveri na mxtoolbox.com - če kaj ni kot mora biti, boš videl že tam.

Uporabniki pa logično ne morejo kar tako pošiljati maila, saj večina ISP-jev blokira port 25, tako da morajo nastaviti pošiljanje na mail server svojega ISP-ja ali pa se preko VPN povezati do tvojega strežnika. V prvem primeru pa je tudi problem pošiljati mail kot ime@firma.si, če nisi na omrežju tvojega ISP-ja, poleg tega pa bo verjetno še zaznamovan kot spam, ker ni bil v svet poslan s firminega strežnika.

V glavnem, daj se najprej poglobiti v to, kako mail sploh deluje in potem sestavi ustrezna navodila za svoje zaposlene.

Ales ::

wifito je izjavil:

Živjo,

Prosil bi za pomoč pri urejanju DNS zapisov za email:

Trenutno imam narejeno takole:

A zapis na IP od serverja to seveda dela OK za preusmeritev na spletno stran ( z mailom predvidevam da nima veze)

A zapis mail.imedomene.com na IP serverja

MX zapis mail.imedomene.com na imedomene.com

Ko vpišem podatke v telefon, lahko normalno pošiljam in sprejemam maile. Problem pa je, ker ne deluje pošiljanje in prejemanje izven domene. Sepravi, maile si lahko pošiljajo samo lokalni userji, ne glede ali so na lokalni mreže ali preko druge WAN povezave. Sem mislil, da je težava ker še ni bilo osvežitve dns zapisov samo je sedaj že 2dni tako.

Pa prosim brez norčevanja J sem skoraj 100%, da sem te MX zapise narobe spesnil, čudno mi je da sploh lokalno stvar dela

Preveri MX zapise, kakor je bilo omenjeno, ali pa napiši konkretno za katero domeno se gre, sicer ti živ bog ne more pomagati. No, lahko tudi copy-pastaš sem konkretne DNS zapise (vse!) in zakriješ domeno in IP-je, če ravno hočeš.

Ampak takole na prvo žogo se mi zdi, da si DNS prav nastavil. Težava je najbrž v nastavitvah samega mail strežnika in avtentikaciji uporabnikov oz. dovoljenjih za pošiljanje pošte zunanjim SMTP strežnikom. Zato si lahko pošiljajo med sabo, drugam pa ne.
https://modronebo.net
Domene, gostovanje, strežniki, design

sodnicaN ::

joj s temi mail strežniki so vedno samo problemi, če je možno ti toplo priporočam da uporabiš zunanjo rešitev

SeMiNeSanja ::

sodnicaN je izjavil:

joj s temi mail strežniki so vedno samo problemi, če je možno ti toplo priporočam da uporabiš zunanjo rešitev

Od kje ti to, da so vedno težave z mail strežniki?

Jaz furam svojega že 20 let, pa nisem nikoli imel kakšnih resnih težav.
Seveda pa moraš znat zadeve skonfigurirat.
Kako že lepo rečejo "nije žvaka za seljaka"?

Bakunin ::

sendmail.cf FTW
http://ipv6.si/


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Propagacija domene

Oddelek: Omrežja in internet
7349 (168) akastrin
»

Pomoc pri postavitvi postfix mail streznika

Oddelek: Izdelava spletišč
182473 (2250) srus
»

Vpis DNS strežnika v vrhnji DNS

Oddelek: Omrežja in internet
377774 (6265) kronik
»

DNS strežnik

Oddelek: Omrežja in internet
226254 (5843) jype
»

home page

Oddelek: Izdelava spletišč
91089 (872) Seadoo

Več podobnih tem