înregistrare Logare
Puncte:0
avatar Server

Sapă brusc +nocmd pop3.pauperis.org aaaa +noall +răspunsul nu returnează nimic

drapel cn
peris

comanda dig +nocmd pop3.pauperis.org aaaa +noall +answer returnează următoarele în laptopul meu:

pop3.pauperis.org. 3111 ÎN CNAME pauperis.org.
pauperis.org. 3111 IN AAAA 2001:41d0:1:8ade::1

dar aceeași comandă pe serverul meu, dintr-o dată, după nicio schimbare aparentă a configurației, nu returnează nimic:

# dig +nocmd pop3.pauperis.org aaaa +noall +answer
#

Acesta este răspunsul pe serverul meu, dar cu +urmă opțiune:

dig +nocmd pop3.pauperis.org aaaa +noall +answer +trace
. 44679 ÎN NS e.root-servers.net.
. 44679 ÎN NS m.root-servers.net.
. 44679 ÎN NS l.root-servers.net.
. 44679 ÎN NS b.root-servers.net.
. 44679 ÎN NS g.root-servers.net.
. 44679 ÎN NS i.root-servers.net.
. 44679 ÎN NS a.root-servers.net.
. 44679 ÎN NS d.root-servers.net.
. 44679 ÎN NS h.root-servers.net.
. 44679 ÎN NS f.root-servers.net.
. 44679 ÎN NS j.root-servers.net.
. 44679 ÎN NS k.root-servers.net.
. 44679 ÎN NS c.root-servers.net.
. 44679 IN RRSIG NS 8 0 518400 20220316050000 20220303040000 9799 . WHZ//zKcRc0aFze+haFiC5a0GwaCwCsopDkMLzMZrOTTvejeb96R01h+ 2mlnsd4qivrbop0a7fBz+Vs/m+YVOPku+vCO/fnZ+NW/KgrtXpHoPopE WayXrfwtEC+Iu/G7gD1bePIhXqeEMSYlfLD84g7ezASeXc4q3Yrfw3+s SnKkG/vwlZ3IFcSw90bqyYoV597fRLZYdEoUzDjp9onU/NcwqmWJ6muV Ms2IO7kHTaUfMO7z6mgf5PGC2ylTywz+4WZLFd6t8QvZypEMGFwPSxJ2 W86Sdh2QJSDznW3V5CFW3tW+59ZzKsJHuGlHTwqem+egipZMXoMW9y+F 08ZVlg==
;; S-au primit 1137 de octeți de la 127.0.0.1#53(127.0.0.1) în 0 ms

org. 172800 ÎN NS b2.org.afilias-nst.org.
org. 172800 ÎN NS a2.org.afilias-nst.info.
org. 172800 ÎN NS d0.org.afilias-nst.org.
org. 172800 ÎN NS a0.org.afilias-nst.info.
org. 172800 ÎN NS b0.org.afilias-nst.org.
org. 172800 ÎN NS c0.org.afilias-nst.info.
org.           86400 IN DS 26974 8 2 4FEDE294C53F438A158C41D39489CD78A86BEB0D8A0AEAFF14745C0D 16E1DE32
org. 86400 IN RRSIG DS 8 1 86400 20220321170000 20220308160000 9799 . m3lulShGydigMRJiRixpAFeO9YBBkntgr2Gk42/sts9JLeGVavWmrAyd 5uFDMPf+DqWjgz65BCR1kipEpJAbETmqiwf17rrk9yDIXYGDfrdv04tg w5+4LjANeRzCqr9CH2FFokRt5cl2AdCSn2kNonndSM72Zfhots5ggn8G nTXyt3Aj3Hg4xagS1ZqPhodM15r95NVWw4ozPywSt76vI/oOgEBF6ckw Hz9AEg5i4MdSoLTwiT9fLE51KfiJQO6Xfp8ZANUFtwrydLb0pqJtXMbC BoJnhXjyjWzlOA5/ze5PR3nCh7tbtbTdxdowiB2Jrc3j5Cirfw7dAske TAjiiQ==
;; S-au primit 817 octeți de la 192.36.148.17#53(i.root-servers.net) în 3 ms

pauperis.org. 86400 IN NS ns111.ovh.net.
pauperis.org. 86400 IN NS dns111.ovh.net.
pauperis.org. 86400 IN DS 18975 7 2 9CE6DA2D7883298D589BDBD5DFD29BB76FB24329C12B453A055F06F6 4EEC0C0C
pauperis.org. 86400 IN RRSIG DS 8 2 86400 20220322152315 20220301142315 30573 org. mE8EiULvqr8ZBCDb6rQnXHlxVoZtaTzbLjMtRi9w2jyGYYcKbX0m8N7R +b4NmqrsiQa7nz3DBbDDwt8IbXZfEIqVmGLJrx7Gp+uMDECa54mz06kG Xz1LWb6j/B6CA+1+fa+MyDBJt7A6inBLZQix8Fr9xkWRYznsQqyeeHnW YYo=
;; S-au primit 305 octeți de la 199.19.57.1#53(d0.org.afilias-nst.org) în 83 ms

pop3.pauperis.org. 3600 ÎN CNAME pauperis.org.
pop3.pauperis.org. 3600 IN RRSIG CNAME 8 3 3600 20220403112323 20220304112323 37698 pauperis.org. OhXaHFQ1xfLU2T3zjUIBpKsW6k62NZVlnCf4aQKUhbtDcVTGbWDNbwo7 MkpsDh2zpwG3vIqzqdw9t0Uuq7A1U+TDH0SetnBDVvlR1dNNZRbtBdvlR1dNNZRbtEiWdwgEiWiVdwgEiWiBdwgEiW9dNzRbEiWdwg77/NNZRbtEiWdwg787
pauperis.org. 3600 IN AAAA 2001:41d0:1:8ade::1
pauperis.org. 3600 IN RRSIG AAAA 8 2 3600 20220403112323 20220304112323 37698 pauperis.org. dZP/Vxls3u1x8lMQ4A4NULX/UMrf7M+YkBNim4pJ/O9qkHCHn3N19Fku JciU5LCsWd4dw856ejt6CLBDy1c5RSADfrP+q3O3x9kstsgrH+WfqkHCHn3N19Fku JciU5LCsWd4dw856ejt6CLBDy1c5RSADfrP+q3O3x9kstsgrH+WfkstsgrH+WfqkHCHn3N19Fku JciU5LCsWd4dw856ejt6CLBDy1c5RSADfrP+q3O3x9kstsgrH+WfkstsgrH+WfqkHCHn3N19Fku+HetzXF0P8C0J0P800000000000000000009
;; S-au primit 432 de octeți de la 2001:41d0:1:4a9b::1#53(dns111.ovh.net) în 3 ms

Ar putea cineva să spună ce ar putea merge rău?

Multumesc mult anticipat :)

19
0 + 0
Puncte:1
Patrick Mevzek avatar Server
drapel cn
Patrick Mevzek

Vedea https://dnsviz.net/d/pop3.pauperis.org/YifJYQ/dnssec/ acest nume are o configurație greșită DNSSEC (caz tipic de nepotrivire a DS înregistrare la părinte, alias registru, și DNSKEY înregistrări găsite la copil). Acest lucru trebuie rezolvat înainte ca întregul domeniu să funcționeze corect.

Ușor de observat și prin compararea unui răspuns normal printr-un solutor de validare (deci cu validarea DNSSEC) și apoi interzicând în mod explicit validarea DNSSEC:

$ dig pop3.pauperis.org @9.9.9.9

; <<>> DiG 9.18.0 <<>> pop3.pauperis.org @9.9.9.9
;; opțiuni globale: +cmd
;; Se trimite:
;; ->>HEADER<<- opcode: QUERY, stare: NOERROR, id: 39260
;; steaguri: rd ad; ÎNTREBARE: 1, RĂSPUNS: 0, AUTORITATE: 0, SUPLIMENTARE: 1

;; PSEUDOSECȚIE OPT:
; EDNS: versiunea: 0, steaguri:; udp: 4096
; COOKIE: c145784edda54901
;; SECȚIUNEA DE ÎNTREBĂRI:
;pop3.pauperis.org. ÎN A

;; DIMENSIUNEA ÎNTREBĂRII: 58

;; Am răspuns:
;; ->>HEADER<<- opcode: QUERY, stare: SERVFAIL, id: 39260
;; steaguri: qr rd ra; ÎNTREBARE: 1, RĂSPUNS: 0, AUTORITATE: 0, SUPLIMENTARE: 1

;; PSEUDOSECȚIE OPT:
; EDNS: versiunea: 0, steaguri:; udp: 512
; EDE: 9 (DNSKEY lipsă)

SERVFAIL pot fi o mulțime de lucruri, dar erorile fatale DNSSEC sunt întotdeauna SERVFAIL codul de eroare, apoi rețineți în trecere eroarea DNS extinsă: DNSKEY Lipsește .

Și apoi aceeași ocolire a DNSSEC (mulțumită pentru dig +cd steag):

$ dig pop3.pauperis.org @9.9.9.9 +cd

; <<>> DiG 9.18.0 <<>> pop3.pauperis.org @9.9.9.9 +cd
;; opțiuni globale: +cmd
;; Se trimite:
;; ->>HEADER<<- opcode: QUERY, stare: NOERROR, id: 1480
;; steaguri: rd ad cd; ÎNTREBARE: 1, RĂSPUNS: 0, AUTORITATE: 0, SUPLIMENTARE: 1

;; PSEUDOSECȚIE OPT:
; EDNS: versiunea: 0, steaguri:; udp: 4096
; COOKIE: c028e114f2c210f8
;; SECȚIUNEA DE ÎNTREBĂRI:
;pop3.pauperis.org. ÎN A

;; DIMENSIUNEA ÎNTREBĂRII: 58

;; Am răspuns:
;; ->>HEADER<<- opcode: QUERY, stare: NOERROR, id: 1480
;; steaguri: qr rd ra cd; ÎNTREBARE: 1, RĂSPUNS: 2, AUTORITATE: 0, SUPLIMENTARE: 1

;; PSEUDOSECȚIE OPT:
; EDNS: versiunea: 0, steaguri:; udp: 1232
;; SECȚIUNEA DE ÎNTREBĂRI:
;pop3.pauperis.org. ÎN A

;; SECȚIUNEA RĂSPUNSURI:
pop3.pauperis.org. 1h ÎN CNAME pauperis.org.
pauperis.org. 1h IN A 91.121.85.222

Acum primești NICIO EROARE. Simplul fapt de a elimina validarea DNSSEC face ca lucrurile să funcționeze este o bună dovadă că eroarea este legată de DNSSEC.

0 + 0
drapel cn
peris
Multumesc mult pentru ajutorul tau. În acest caz, DNSSEC este gestionat de OVH, deoarece tocmai trebuia să activez caseta de selectare DNSSEC pentru ca acesta să funcționeze. Am făcut-o acum câțiva ani, dar se pare că eșuează de câteva luni.
0
Răspunde
Patrick Mevzek avatar
drapel cn
Patrick Mevzek
"Deoarece a trebuit doar să activez caseta de selectare DNSSEC pentru ca acesta să funcționeze." DNSSEC este, din păcate, mai complicat decât o simplă casetă de selectare. Furnizorul dvs. de DNS s-ar putea să vă ascundă o mulțime de dificultăți, ceea ce este frumos, dar DNSSEC deseori nu este „declanșează și uită”. Adaugă o oarecare securitate, dar adaugă și o oarecare complexitate. Aici este ciudat că registrul avea o înregistrare DS pentru domeniul tău (ceea ce înseamnă DNSSEC activat), dar apoi se pare că nu a fost activat la furnizorul tău DNS. Dacă domeniul dvs. este important (cum ar fi pierdeți bani când se sparge), vă sugerez să vă asigurați că îl monitorizați prin alte mijloace.
0
Răspunde
Patrick Mevzek avatar
drapel cn
Patrick Mevzek
FWIW și posteritate noua vizualizare a domeniului dvs. în DNSViz: https://dnsviz.net/d/pop3.pauperis.org/Yif0JA/dnssec/ (afișând atât DNSSEC, cât și totul ok) Recomand tuturor să folosească DNSViz pentru orice depanare problema, este de mare ajutor.
0
Răspunde
drapel cn
peris
Salut, multumesc mult pentru raspuns. M-a ajutat foarte mult, deoarece nu aveam idee de unde venea problema.Știam logica din spatele DNSSEC, dar deoarece OVH oferă această funcționalitate pentru toate domeniile gestionate, am uitat complet de ea. Am verificat totul, dar nu am crezut că ar putea exista o eroare în numele lor. După ce a dezactivat DNSSEC pe OVH Manager și a așteptat câteva ore, a funcționat din nou. :)
0
Răspunde
Patrick Mevzek avatar
drapel cn
Patrick Mevzek
Da, dar atunci nu ești imun la problema revenirii mai târziu, iar Murphy ajutând în cel mai rău moment, dacă nu ești sigur cum s-a întâmplat să ai o înregistrare DS la registry fără DNSKEY corespunzător în zona ta. Poate că furnizorul tău de DNS și-a rotit cheile și ți-a cerut să actualizezi DS-ul (mai ales dacă nu sunt și registratorul de sponsorizare al domeniului) și dacă nu ai făcut-o, s-ar putea să se fi rotit oricum împingându-te în situația în care actualul DS nu face asta. potrivește orice DNSKEY din zonă. Ar fi mai bine dacă puteți activa din nou DNSSEC, dar nu puteți dacă nu înțelegeți cazul
0
Răspunde
drapel cn
peris
Da, înțeleg perfect. Evident că am activat din nou DNSSEC și a funcționat ca și farmec. Dețin aproximativ 9 domenii gestionate prin OVH și acesta a fost singurul care a început să dea greș. Oricum, mulțumesc mult pentru pont. Mi-a facut ziua :)
0
Răspunde
drapel romania
SEF 777
întrebarea această in alte limbi:

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.