Testez actualizarea unui server Debian 10 la Debian 11.
Serverul rulează bind9 ca DNS autoritar primar pentru un număr de domenii și pe Debian 10 funcționează bine de doi ani. (BIND v.9.11.5)
La un nou test Debian 11 VPS (BIND 9.16.15), cu fișiere de configurare specifice site-ului copiate (deocamdată doar pentru 1 domeniu de testare), bind9 funcționează normal când interogările (A, AAAA, MX) sunt trimise prin IPv4, dar nu există niciun răspuns la utilizarea IPv6.
Am un firewall nftables care permite intrarea pachetelor pentru portul 53, iar dacă activez înregistrarea firewall-ului pentru UDP dport 53, toate pachetele de interogare IPv6 și IPv4 sunt afișate.
Când bind9 pornește, raportează în syslog că ascultă pe adresa IPv6.
ss arată procesul de ascultare pe IPv6.
Daca folosesc jurnal de interogări rndc și urmăriți fișierul jurnal, interogările IPv4 sunt înregistrate, dar interogările IPv6 nu.
Este ca și cum pachetele UDP primite se pierd între firewall și bind9.
Niciun alt proces nu ascultă pe portul 53, deoarece dacă opresc rularea bind9, ss nu listează nimic.
Alte servicii (de exemplu, SSH) funcționează perfect pe IPv6.
Ale mele named.conf.options arata asa:
Opțiuni {
directorul „/var/cache/bind”;
allow-query-cache { niciunul; };
permite-interogare { orice; };
recursiunea nu;
//================================================== =========================
// Dacă BIND înregistrează mesaje de eroare despre expirarea cheii rădăcină,
// va trebui să vă actualizați cheile. Consultați https://www.isc.org/bind-keys
//================================================== =========================
dnssec-validation auto;
listen-on-v6 port 53 { oricare; };
};
Deci, ce alte teste pot face pentru a rezolva acest lucru?
(Există o a doua problemă cu BIND care poate să nu aibă legătură: o eroare „permisiune refuzată” în timpul unui transfer de zonă la un DNS secundar.)
