URL: https://www.opennet.ru/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 97365
[ Назад ]
Исходное сообщение
"Постоянные перебои в работе Bind9 на Debian 9.7"
Отправлено konstantin811 , 05-Фев-19 17:03 
Есть работающий как кэширующий DNS Bind 9 на Debian 5.0. Перенёс эту конфигурацию (перетащил конфиги) на новый сервер на Debian 9.7. Поставилась версия BIND 9.10.3-P4-Debian DNS очень странно работает. То резолвит за пару милисекунд всё, то тупит по секунд 20 и иногда вообще выкидывает ошибку в стиле - Your request could not be processed because an error occurred contacting the DNS server. The DNS server may be temporarily unavailable, or there could be a network problem. когда с браузера лезешь через него куда то.

Логи настроил в отдельном файле. какие то проблем не вижу особо.
Вот например -


dig @192.168.77.5 rambler.ru
; <<>> DiG 9.8.4-rpz2+rl005.12-P1 <<>> @192.168.77.5 rambler.ru ; (1 server found) ;; global options: +cmd ;; connection timed out; no servers could be reached

и всё... повторяю запрос через пару минут -


dig @192.168.87.5 rambler.ru
; <<>> DiG 9.8.4-rpz2+rl005.12-P1 <<>> @192.168.77.5 rambler.ru ; (1 server found) ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 53507 ;; flags: qr rd ra; QUERY: 1, ANSWER: 4, AUTHORITY: 4, ADDITIONAL: 6
;; QUESTION SECTION: ;rambler.ru. IN A
;; ANSWER SECTION: rambler.ru. 300 IN A 81.19.82.9 rambler.ru. 300 IN A 81.19.82.10 rambler.ru. 300 IN A 81.19.82.11 rambler.ru. 300 IN A 81.19.82.8
;; AUTHORITY SECTION: rambler.ru. 1090 IN NS ns2.rambler.ru. rambler.ru. 1090 IN NS ns5.rambler.ru. rambler.ru. 1090 IN NS ns4.rambler.ru. rambler.ru. 1090 IN NS ns3.rambler.ru.
;; ADDITIONAL SECTION: ns2.rambler.ru. 3344 IN A 81.19.73.8 ns2.rambler.ru. 1649 IN AAAA 2a02:6b0:6:2::1:53 ns3.rambler.ru. 337 IN A 81.19.83.8 ns4.rambler.ru. 3079 IN A 81.19.73.9 ns4.rambler.ru. 3040 IN AAAA 2a02:6b0:6:2::2:53 ns5.rambler.ru. 337 IN A 81.19.83.9
;; Query time: 13 msec ;; SERVER: 192.168.77.5#53(192.168.87.5) ;; WHEN: Tue Feb 5 14:04:31 2019 ;; MSG SIZE rcvd: 284

и такие провалы постоянно. Не понимаю где ещё посмотреть. Что это и как лечить.

На данный момент конфиг такой


options {
        directory "/var/cache/bind";
version "Go away!";
allow-query {127.0.0.1/8; 192.168.0.0/16; 10.0.0.0/8; 172.16.0.0/12; 93.191.62.0/23; };
// allow-query-cache { any; }
allow-recursion {127.0.0.1/8; 192.168.0.0/16; 10.0.0.0/8; 172.16.0.0/12; 93.191.62.0/23; };
allow-transfer { 212.5.66.14; 212.15.127.1; 195.128.64.3; 212.5.64.43; };
forward first;
forwarders { 212.5.66.14; 195.128.64.3; 212.5.64.43; 212.15.127.1; 212.15.122.253; };
//forwarders { 8.8.8.8; 8.8.4.4; };

// dnssec-enable yes;
dnssec-lookaside no;
dnssec-validation no;
// fetch-glue no;
// query-source address * port 53;
//recursion yes;

        // If there is a firewall between you and nameservers you want
        // to talk to, you may need to fix the firewall to allow multiple
        // ports to talk.  See http://www.kb.cert.org/vuls/id/800113
        // If your ISP provided one or more IP addresses for stable
        // nameservers, you probably want to use them as forwarders.
        // Uncomment the following block, and insert the addresses replacing
        // the all-0's placeholder.
        // forwarders {
        //      0.0.0.0;
        // };
        auth-nxdomain no;    # conform to RFC1035
        listen-on-v6 { none; };
// allow-notimy {none;};
};


Содержание
Сообщения в этом обсуждении
"Постоянные перебои в работе Bind9 на Debian 9.7"
Отправлено Аноним , 05-Фев-19 17:11 
Зачем тебе forwarders? Выруби их нафиг и сам корневые сервера запрашивай.
"Постоянные перебои в работе Bind9 на Debian 9.7"
Отправлено konstantin811 , 05-Фев-19 17:17 
> Зачем тебе forwarders? Выруби их нафиг и сам корневые сервера запрашивай.

Ты думаешь из-за этого проблема?
Вообще это кэширующий DNS и до этого такая конфигурация много лет работала на другой системе под Debian 5 и старой версией BIND 9.5 вроде или типа того.

"Постоянные перебои в работе Bind9 на Debian 9.7"
Отправлено eRIC , 05-Фев-19 20:01 
> Ты думаешь из-за этого проблема?

проблема с forwarders, как уже аноним вам написал:
forwarders { 212.5.66.14; 195.128.64.3; 212.5.64.43; 212.15.127.1; 212.15.122.253; };

уберите их или оставьте пару всегда рабочих и надежных.

>Вообще это кэширующий DNS и до этого такая конфигурация много лет работала на другой системе под >Debian 5 и старой версией BIND 9.5 вроде или типа того.

ничего не говорит, много чего у вышестояших DNS серверов поменялось. возможно также наблюдается эффект DNS Flag Day 2019 (с 1 февраля вступил в действие)

"Постоянные перебои в работе Bind9 на Debian 9.7"
Отправлено konstantin811 , 05-Фев-19 20:04 
>> Ты думаешь из-за этого проблема?
> проблема с forwarders, как уже аноним вам написал:
> forwarders { 212.5.66.14; 195.128.64.3; 212.5.64.43; 212.15.127.1; 212.15.122.253;
> };
> уберите их или оставьте пару всегда рабочих и надежных.

Так это DNS провайдера.
Ну могу 8.8.8.8 и 8.8.4.4 поставить.
Но правда я так делал уже вроде бы. Не помогло.


>>Вообще это кэширующий DNS и до этого такая конфигурация много лет работала на другой системе под >Debian 5 и старой версией BIND 9.5 вроде или типа того.
> ничего не говорит, много чего у вышестояших DNS серверов поменялось. возможно также
> наблюдается эффект DNS Flag Day 2019 (с 1 февраля вступил в
> действие)

Нет. Я выключаю ради теста этот сервер и включаю старый на Debian 5.0 и там всё работает и сейчас.

"Постоянные перебои в работе Bind9 на Debian 9.7"
Отправлено eRIC , 05-Фев-19 20:10 
> Так это DNS провайдера.

тоже ничего не говорит, не всегда можно этим серверам доверять

> Ну могу 8.8.8.8 и 8.8.4.4 поставить.
> Но правда я так делал уже вроде бы. Не помогло.

значит копаем дальше, возможно в ваших сетевых настройках или возможно замудренных firewall правил.

> Нет. Я выключаю ради теста этот сервер и включаю старый на Debian
> 5.0 и там всё работает и сейчас.

тогда берем бумагу и ручку, потом пишем по каждому столбику отличия настроек в Debian 5.0 и настроек Debian 9.7. вы уверены что все настройки в один один и идентичны? может со временем на Debian 9.7 что-то еще понавесили?


"Постоянные перебои в работе Bind9 на Debian 9.7"
Отправлено konstantin811 , 05-Фев-19 20:30 
>[оверквотинг удален]
>> Ну могу 8.8.8.8 и 8.8.4.4 поставить.
>> Но правда я так делал уже вроде бы. Не помогло.
> значит копаем дальше, возможно в ваших сетевых настройках или возможно замудренных firewall
> правил.
>> Нет. Я выключаю ради теста этот сервер и включаю старый на Debian
>> 5.0 и там всё работает и сейчас.
> тогда берем бумагу и ручку, потом пишем по каждому столбику отличия настроек
> в Debian 5.0 и настроек Debian 9.7. вы уверены что все
> настройки в один один и идентичны? может со временем на Debian
> 9.7 что-то еще понавесили?

Да. Уже сравнилэ Всё было идентично. И бинд и сеть и resolv.conf и хостнейм и что там ещё даже не знаю..

"Постоянные перебои в работе Bind9 на Debian 9.7"
Отправлено lavr , 05-Фев-19 20:20 
>[оверквотинг удален]
>> уберите их или оставьте пару всегда рабочих и надежных.
> Так это DNS провайдера.
> Ну могу 8.8.8.8 и 8.8.4.4 поставить.
> Но правда я так делал уже вроде бы. Не помогло.
>>>Вообще это кэширующий DNS и до этого такая конфигурация много лет работала на другой системе под >Debian 5 и старой версией BIND 9.5 вроде или типа того.
>> ничего не говорит, много чего у вышестояших DNS серверов поменялось. возможно также
>> наблюдается эффект DNS Flag Day 2019 (с 1 февраля вступил в
>> действие)
> Нет. Я выключаю ради теста этот сервер и включаю старый на Debian
> 5.0 и там всё работает и сейчас.

И это говорит о том что сервера НАСТРОЕНЫ по-разному, в том числе
и iptables и nat.

В какой-то момент возникают сетевые проблемы.

У Вас:
forwarders {...};
forwarder first;

если нет ответа от forwarders, то first - должен ответить сам.
Получаем что ответа от forwarders не дождались или ошибка, Ваш bind
должен отрезолвить сам и не может, в итоге получаете ошибку.
Если определите что происходит, почему и forwarders и ваш кеш-сервер
в некий момент времени возвращают ошибку, все срастется.

Только зачем использовать bind, если unbound реально удобней и лучше.

"Постоянные перебои в работе Bind9 на Debian 9.7"
Отправлено konstantin811 , 05-Фев-19 20:29 
>[оверквотинг удален]
> и iptables и nat.
> В какой-то момент возникают сетевые проблемы.
> У Вас:
> forwarders {...};
> forwarder first;
> если нет ответа от forwarders, то first - должен ответить сам.
> Получаем что ответа от forwarders не дождались или ошибка, Ваш bind
> должен отрезолвить сам и не может, в итоге получаете ошибку.
>  Если определите что происходит, почему и forwarders и ваш кеш-сервер
> в некий момент времени возвращают ошибку, все срастется.

Да вот не понятно. Логи смотрел - не понятно мне.

> Только зачем использовать bind, если unbound реально удобней и лучше.

На данный момент вообще не настроен и не включен iptables (фаервол выше уровнем)

>Только зачем использовать bind, если unbound реально удобней и лучше.

А вот тут спасибо большое за совет. Надо будет почитать.
Только вот чем он лучше?

"Постоянные перебои в работе Bind9 на Debian 9.7"
Отправлено lavr , 05-Фев-19 20:53 
>[оверквотинг удален]
>> forwarder first;
>> если нет ответа от forwarders, то first - должен ответить сам.
>> Получаем что ответа от forwarders не дождались или ошибка, Ваш bind
>> должен отрезолвить сам и не может, в итоге получаете ошибку.
>>  Если определите что происходит, почему и forwarders и ваш кеш-сервер
>> в некий момент времени возвращают ошибку, все срастется.
> Да вот не понятно. Логи смотрел - не понятно мне.
>> Только зачем использовать bind, если unbound реально удобней и лучше.
> На данный момент вообще не настроен и не включен iptables (фаервол выше
> уровнем)

Так старый и новый debian один в один или нет?!

Ищите разницу между настройками серверов. Что-то тут не так...

Смотрите что происходит с сетью в момент отлупа и что происходит
с bind, в том смысле что - Вы не получаете ответа от forwarders
по таймауту или что-то происходит с сетью. С какого ip идут
запросы к forwarders и во внешний мир?

Как проверяете, с debian сервера или с клиентского компьютера?

Что будет, если в момент отлупа Вы с клиентского PC сделаете
запрос но к 8.8.8.8? Работает ли в этот момент резолв с роутера?

>>Только зачем использовать bind, если unbound реально удобней и лучше.
> А вот тут спасибо большое за совет. Надо будет почитать.
> Только вот чем он лучше?

Дык почитайте...

"Постоянные перебои в работе Bind9 на Debian 9.7"
Отправлено eRIC , 05-Фев-19 20:47 
> У Вас:
> forwarders {...};
> forwarder first;
> если нет ответа от forwarders, то first - должен ответить сам.
> Получаем что ответа от forwarders не дождались или ошибка, Ваш bind
> должен отрезолвить сам и не может, в итоге получаете ошибку.
>  Если определите что происходит, почему и forwarders и ваш кеш-сервер
> в некий момент времени возвращают ошибку, все срастется.

в добавок recursion yes; закоментирован, хотя есть allow-recursion { ... }


"Постоянные перебои в работе Bind9 на Debian 9.7"
Отправлено eRIC , 05-Фев-19 20:07 
> dig @192.168.77.5 rambler.ru
> dig @192.168.87.5 rambler.ru

и

> ;; Query time: 13 msec ;; SERVER: 192.168.77.5#53(192.168.87.5) ;; WHEN: Tue Feb

у вашего сервера несколько IP адресов на каждую вашу подсеть 192.168.0.0/16?

"Постоянные перебои в работе Bind9 на Debian 9.7"
Отправлено konstantin811 , 05-Фев-19 20:27 
>> dig @192.168.77.5 rambler.ru
>> dig @192.168.87.5 rambler.ru
> и
>> ;; Query time: 13 msec ;; SERVER: 192.168.77.5#53(192.168.87.5) ;; WHEN: Tue Feb
> у вашего сервера несколько IP адресов на каждую вашу подсеть 192.168.0.0/16?

Не, это один) Я менял просто айпишники реальные немного))

"Постоянные перебои в работе Bind9 на Debian 9.7"
Отправлено Pahanivo , 06-Фев-19 13:47 
> //recursion yes;

хм. Интересненько.
Включи логи да посмотри где упирается. И логи есть, и tcpdump.

"Постоянные перебои в работе Bind9 на Debian 9.7"
Отправлено rayder , 08-Фев-19 17:30 
а не включен ли случаем ipv6?