-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1
Hi,
ich habe seit einiger Zeit auf allen meinen Nameservern Probleme, die komplette Zone nic.ch zu resolven. Diese Probleme beschränken sich ausschließlich auf nic.ch, mir ist keine andere Zone aufgefallen, die Probleme macht. Vermutlich treten die Probleme seit September 2009, also mit Umstellung auf DNSSec, auf. (Ich kann es leider nicht hundertprozent genau datieren.)
Nach einigen Debuggingschritten bin ich etwas ratlos. Meine Firewall läßt in beiden Fällen (bei jeweils auch einem komplett anderen Provider) alles durch, was Port 53 anbelangt. Auch ein Ausschalten der Firewall bringt die selben ergebnisse. Auch ein Test mit verschiedenen anderen DNSSec-Domainen, auch solchen, die groß sind und somit fragmentiert werden (sollten, meine MTU ist 1500), stellen keine Probleme dar. Ein tcpdump zeigt aber recht schnell, daß von den UDP-Paketen von nic.ch immer nur das erste ankommt und alle weiteren nicht auf meinem Netzwerkinterface aufschlagen.
Nun meine Frage: Hat oder hatte jemand von euch schon ähnliche Probleme und wie wurden sie behoben? Wenn es sich bei nic.ch um eine unwichtige Domain handeln würde, wäre es mir ja egal, aber sie ist ja doch nicht ganz so unwichtig.
Gruß Klaus Ethgen - -- Klaus Ethgen http://www.ethgen.de/ pub 2048R/D1A4EDE5 2000-02-26 Klaus Ethgen Klaus@Ethgen.de Fingerprint: D7 67 71 C4 99 A6 D4 FE EA 40 30 57 3C 88 26 2B
Does your firewall also allow egress tcp sessions on port 53? Can you run tcpdump while trying to resolve? And what address(es) specifically fail for you?
DNSSEC issue? TCP port 53 erlaubt? Firewall Inspection bug? (does your fw knows about DNSSec packets?)
-steven
Klaus Ethgen wrote:
Hi,
ich habe seit einiger Zeit auf allen meinen Nameservern Probleme, die komplette Zone nic.ch zu resolven. Diese Probleme beschränken sich ausschließlich auf nic.ch, mir ist keine andere Zone aufgefallen, die Probleme macht. Vermutlich treten die Probleme seit September 2009, also mit Umstellung auf DNSSec, auf. (Ich kann es leider nicht hundertprozent genau datieren.)
Nach einigen Debuggingschritten bin ich etwas ratlos. Meine Firewall läßt in beiden Fällen (bei jeweils auch einem komplett anderen Provider) alles durch, was Port 53 anbelangt. Auch ein Ausschalten der Firewall bringt die selben ergebnisse. Auch ein Test mit verschiedenen anderen DNSSec-Domainen, auch solchen, die groß sind und somit fragmentiert werden (sollten, meine MTU ist 1500), stellen keine Probleme dar. Ein tcpdump zeigt aber recht schnell, daß von den UDP-Paketen von nic.ch immer nur das erste ankommt und alle weiteren nicht auf meinem Netzwerkinterface aufschlagen.
Nun meine Frage: Hat oder hatte jemand von euch schon ähnliche Probleme und wie wurden sie behoben? Wenn es sich bei nic.ch um eine unwichtige Domain handeln würde, wäre es mir ja egal, aber sie ist ja doch nicht ganz so unwichtig.
Gruß Klaus Ethgen
_______________________________________________ swinog mailing list swinog@lists.swinog.ch http://lists.swinog.ch/cgi-bin/mailman/listinfo/swinog
On 16.06.10 10:22, Klaus Ethgen wrote:
Maybe You want try this for debugging...
https://www.dns-oarc.net/oarc/services/replysizetest
Beat
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA512
Hi,
langsam zeigt das Problem seine Facetten und fängt an, haarig zu werden.
Ich habe nun weiter an dem Problem gefeilt, aber einen Namensauflösung von nic.ch bekomme ich nicht hin.
Bisher hatte ich übersehen, daß auf einem meiner zwei betroffenen Systeme wirklich die Firewall das Problem ist, obwohl ich hätte schwören können, das ich dies geprüft hatte. Wie auch immer, mein zweites System, das bei hetzner, hat keine Probleme mit fragmentierten (UDP-)Paketen. Dort ist also dieses Problem schonmal auszuschließen. (dig +norec +dnssec nic.ch @130.59.1.80 geht)
Wie auch immer, der verdammte bind weigert sich jedoch beharrlich, die Zone auch nur ansatzweise aufzulösen! Witzigerweise sehe ich, wenn ich die Auflösung über bind mache, nur jeweils ein fragmentiertes Paket im tcpdump während ich bei dig das vollständige Paket sehe.
Bind habe ich nun auch auf eine aktuellere Version upgedated, nachdem ich Hinweise bekommen habe, daß möglicherweise die Version 9.3 nen Problem haben könnte. Aber auch das hat nix geholfen.
Leider kann ich keines der beiden Systeme mal so eben schnell auf nen unstablen 2.6'er Kernel updaten um zu sehen, ob es am Kernel liegt. Aber ich kann mir nicht vorstellen, das der Kernel 2.4 Probleme mit Fragmentierten Paketen hätte, zumal ja die Anfragen per dig direkt oder auch per ping mit großen Paketen durchgehen.
Wenn hier noch irgendwer eine Idee hat, mittlerweile würde ich fast alles probieren.
Gruß Klaus - -- Klaus Ethgen http://www.ethgen.de/ pub 2048R/D1A4EDE5 2000-02-26 Klaus Ethgen Klaus@Ethgen.de Fingerprint: D7 67 71 C4 99 A6 D4 FE EA 40 30 57 3C 88 26 2B
You might want to search for layer 2 problems such as MTU problems e.g. imagine Jumbo Frames on a network, where one switch/router doesn't support them. I once had a loooong headache because of such a silly misconfiguration...
Cheers, Viktor
On 06.07.2010 11:13, Klaus Ethgen wrote:
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA512
Hi,
langsam zeigt das Problem seine Facetten und fängt an, haarig zu werden.
Ich habe nun weiter an dem Problem gefeilt, aber einen Namensauflösung von nic.ch bekomme ich nicht hin.
Bisher hatte ich übersehen, daß auf einem meiner zwei betroffenen Systeme wirklich die Firewall das Problem ist, obwohl ich hätte schwören können, das ich dies geprüft hatte. Wie auch immer, mein zweites System, das bei hetzner, hat keine Probleme mit fragmentierten (UDP-)Paketen. Dort ist also dieses Problem schonmal auszuschließen. (dig +norec +dnssec nic.ch @130.59.1.80 geht)
Wie auch immer, der verdammte bind weigert sich jedoch beharrlich, die Zone auch nur ansatzweise aufzulösen! Witzigerweise sehe ich, wenn ich die Auflösung über bind mache, nur jeweils ein fragmentiertes Paket im tcpdump während ich bei dig das vollständige Paket sehe.
Bind habe ich nun auch auf eine aktuellere Version upgedated, nachdem ich Hinweise bekommen habe, daß möglicherweise die Version 9.3 nen Problem haben könnte. Aber auch das hat nix geholfen.
Leider kann ich keines der beiden Systeme mal so eben schnell auf nen unstablen 2.6'er Kernel updaten um zu sehen, ob es am Kernel liegt. Aber ich kann mir nicht vorstellen, das der Kernel 2.4 Probleme mit Fragmentierten Paketen hätte, zumal ja die Anfragen per dig direkt oder auch per ping mit großen Paketen durchgehen.
Wenn hier noch irgendwer eine Idee hat, mittlerweile würde ich fast alles probieren.
Gruß Klaus
Klaus Ethgen http://www.ethgen.de/ pub 2048R/D1A4EDE5 2000-02-26 Klaus EthgenKlaus@Ethgen.de Fingerprint: D7 67 71 C4 99 A6 D4 FE EA 40 30 57 3C 88 26 2B -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.10 (GNU/Linux)
iQEVAwUBTDOcYJ+OKpjRpO3lAQqV9ggAnFZ+VOIV1CMorEzEL4xWe8QY4vHEUony FkbiqcZiZaBKfKW93ZwWiUk4g48wnQvwe2i2Pka8chIoexC/mKiFbsFMwJ30/WNI ewzXazoTlniRiVGV7tMwsw3UtnnHjnRIJHmcGdfTXOuZa4aKtsfxeb7Z1ZKUQR82 VRJMP328D3zXx+5lhi7dqxKdDsGbVI+0UA6hi3LtuFdfUD+hrhT8easkYW3BgO5c qSpKrpXw+PhH0EBBfS7E1gqzn0W/p/DYUxUVPRv5iDCwyu/O28dbQ4yaznFswj/E 5rreMkl9WXa7u09uGcahx4Vvj83QfTmUKOxizbsfZ0aLdKUJVUmt0g== =pGdn -----END PGP SIGNATURE-----
swinog mailing list swinog@lists.swinog.ch http://lists.swinog.ch/cgi-bin/mailman/listinfo/swinog
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA512
Hi,
mittlerweile ist das Problem mit tatkräftiger Hilfe von Alexander gelöst.
Das Problem war, daß Switch recht zeitnah letztes Jahr kurz vor der Einführung von dnssec auch noch eine andere Änderung gemacht hatte, die mit der vor Jahren nötig gewordenen Option root-delegation-only kollidierte, wo ich ch nicht in der Ausnahme drin hatte (was auch bisher nicht notwendig war).
Sollte also noch wer außer mir diese Option verwenden, müßte ch in die Liste der Ausnahmen aufgenommen werden.
Das Problem hatte nichts mit DNSSEC als solches zu tun, äußerte sich nur so.
Gruß Klaus - -- Klaus Ethgen http://www.ethgen.de/ pub 2048R/D1A4EDE5 2000-02-26 Klaus Ethgen Klaus@Ethgen.de Fingerprint: D7 67 71 C4 99 A6 D4 FE EA 40 30 57 3C 88 26 2B
-
Beat Siegenthaler -
Klaus Ethgen -
Klaus Ethgen
-
Pim van Pelt -
Steven Glogger -
Viktor Steinmann