Delegarea subdomeniului PowerDNS, fără răspunsuri

Am probleme la redirecționarea subdomeniului către alt DNS.

Eu am:

domeniu existent principal: d și subdomeniu nou:

| 8412 | 42 | test1.d | NS | ns1.test.test1.d
| 8413 | 42 | test1.d | NS | ns2.test.test1.d
| 8414 | 42 | ns1.test.test1.d | A | 10.64.91.100
| 8415 | 42 | ns2.test.test1.d | A | 10.64.91.200

si returneaza:

 dig admin.test1.d

; <<>> DiG 9.10.6 <<>> admin.test1.d
; (1 server găsit)
;; opțiuni globale: +cmd
;; Am raspuns:
;; ->>HEADER<<- opcode: QUERY, stare: NOERROR, id: 23733
;; steaguri: qr rd; ÎNTREBARE: 1, RĂSPUNS: 0, AUTORITATE: 2, SUPLIMENTARE: 3
;; AVERTISMENT: recursiunea este solicitată, dar nu este disponibilă

;; PSEUDOSECȚIE OPT:
; EDNS: versiunea: 0, steaguri:; udp: 1232
;; SECȚIUNEA DE ÎNTREBĂRI:
;admin.test1.d. ÎN A

;; SECȚIUNEA AUTORITATE:
test1.d. 60 IN NS ns1.test.test1.d.
test1.d. 60 IN NS ns2.test.test1.d.

;; SECȚIUNE SUPLIMENTARĂ:
ns2.test.test1.d. 60 IN A 10.64.91.200
ns1.test.test1.d. 60 IN A 10.64.91.100

Dar nu returnează corect înregistrările. Exemplul de înregistrare A este goală.

Dacă întreb 10.64.91.100 înregistrările sunt returnate corect.

dig @10.64.91.100 admin.test1.d

; <<>> DiG 9.10.6 <<>> @10.64.91.100 admin.test1.d
; (1 server găsit)
;; opțiuni globale: +cmd
;; Am raspuns:
;; ->>HEADER<<- opcode: QUERY, stare: NOERROR, id: 27387
;; steaguri: qr aa rd; ÎNTREBARE: 1, RĂSPUNS: 2, AUTORITATE: 0, SUPLIMENTARE: 1
;; AVERTISMENT: recursiunea este solicitată, dar nu este disponibilă

;; PSEUDOSECȚIE OPT:
; EDNS: versiunea: 0, steaguri:; udp: 1232
;; SECȚIUNEA DE ÎNTREBĂRI:
;admin.test1.d. ÎN A

;; SECȚIUNEA RĂSPUNSURI:
admin.test1.d. 86400 IN A 10.64.91.50

Pdns-ul meu de configurare:

allow-axfr-ips=10.64.91.112

also-notify=10.64.91.112

only-notify=10.64.91.112

api=da

api-key=XXXXXXXXX


daemon=da

default-soa-content=ns1.test.eu1.d. admin.domain.pl. 0 10800 3600 604800 3600

default-ttl=3600

disable-axfr=nu

gardian=da

include-dir=/etc/powerdns/pdns.d

lansare=

local-address=10.64.91.111

local-port=53

log-dns-details=pornit

loglevel=4

maestru=da

fire-receptor=2

setgid=pdns

setuid=pdns

sclav=nu

server web=da

adresa serverului web=10.64.91.111


webserver-allow-from=10.64.91.20

Webserver-port=8081

query-cache-ttl=60

MySQL:

# Configurare MySQL
# Lansați backend-ul gmysql
lansare+=gmysql
# parametri gmysql
gmysql-host=localhost
gmysql-port=3306
gmysql-dbname=XXXX
gmysql-user=XXXX
gmysql-parola=XXXX
gmysql-dnssec=da
# gmysql-socket=

Vreo idee?

am văzut

Subdomeniu și delegare Powerdns

și https://nsrc.org/workshops/2010/sanog16/raw-attachment/wiki/DNS/dns4-presentation.pdf

Ar trebui să funcționeze.

In 10.64.91.100 si 10.64.91.100 folosesc dnsdist.

/etc/dnsdist/dnsdist.conf 
-- fișierul de configurare dnsdist, un exemplu poate fi găsit în /usr/share/doc/dnsdist/examples/

-- dezactivați sondarea stării de securitate prin DNS

setLocal("0.0.0.0:53")
setACL({"0.0.0.0/0", "::/0"})

server nou({address="10.64.91.111:54"})
server nou({address="10.64.91.112:54"})
setServerPolicy(aleator)

în 10.64.91.111 și 10.64.91.112 folosesc PowerDNS Recursor.

cat /etc/powerdns/recursor.conf 
local-address=10.64.91.111
local-port=54
permit-de la=10.0.0.0/8, 127.0.0.0/8, 10.12.0.0/16, 10.13.0.0/16, 195.88.50.0/26, 10.66.0.0/16, 10.64.0.0
înainte-zone=d=10.64.91.111:53

Dacă înțeleg corect întrebarea, se pare că este doar un caz de așteptări nepotrivite.

In primul săpa comanda din întrebare se pare că interogați direct serverul autorizat și, atunci când este întrebat despre numele din zona copil delegată, acesta răspunde doar cu informații de referință.
Acesta este într-adevăr tot ceea ce se așteaptă de la un server autorizat, nu se întâmplă nimic neașteptat aici.

Pentru un test complet din perspectiva unei mașini client (în loc de doar un pas din seria de interogări necesare pentru a obține răspunsul final), ați direcționa interogarea către un server de rezolvare. Dacă aceasta este o piesă lipsă din infrastructură, aceasta ar fi, de exemplu, una dintre PowerDNS Recursor (spre deosebire de PowerDNS Authoritative), Unbound, BIND cu recursiunea activată, Knot Resolver etc.

Acesta este tipul de server care ar fi configurat pe mașinile client (în rezoluție.conf sau orice mecanism de configurare pe care îl are sistemul de operare client) și care va urma lanțul de delegații pentru a obține efectiv răspunsurile pe care clienții le solicitau, spre deosebire de un server autorizat care are rolul de a servi doar datele pe care le are (și în cazul unei delegări, trimițând doar o trimitere așa cum se vede în întrebare).

Bine, funcționează.

Am adăugat în recursor.conf dont-query și am șters 10.0.0.0/8.

Implicit este:

Implicit: 127.0.0.0/8, 10.0.0.0/8, 100.64.0.0/10, 169.254.0.0/16, 192.168.0.0/16, 172.16.0.0/12, :/1/128, ::/1/1/108 fe80::/10, 0.0.0.0/8, 192.0.0.0/24, 192.0.2.0/24, 198.51.100.0/24, 203.0.113.0/24, 240.0.0.0/4, ::/ff96, ::/ff96 :0:0/96, 100::/64, 2001:db8::/32