[MASOCH-L] Problema com DNS self-hosted

Eduardo Rigler erigler at gmail.com
Sat Oct 8 13:39:28 BRT 2016


DNS é algo tão simples e tão chato às vezes.

Meu cenário é parecido, com a diferença que meu NS1 fica interno e com NAT
para ips de 2 operadoras diferentes, já o NS2 fica fora e recentemente
comecei a testar a HE.net como NS3 em alguns domínios.

Certa vez quis dar uma de "esperto" aumentando a segurança e resolvi
alterar a regra do NS de TCP/UDP para somente UDP, uma vez que não faria
sentido porta TCP para um servidor DNS.

Dias/semanas depois precisei atualizar um registro e demorei algum tempo
para entender porque os registros não estavam propagando para o NS2, era a
bendita regra que eu tinha fuçado

A página de ferramentas do registro.br já me salvou de poucas e boas
principalmente para validar a serial em cada um dos NS (
http://registro.br/cgi-bin/nicbr/dnscheck).

Márcio, tenho um cenário bem parecido com o seu, inclusive nas operadoras e
no firewall usado e, estando a porta direcionada corretamente pode tirar o
pfsense do problema e mitigar os seus servidores DNS pois o problema estará
neles, às vezes uma linha errada já cria uma treta dessas. No seu lugar a
primeira coisa que eu faria era voltar o backup de antes da mudança,
atualizar a serial e ver o que acontece.

Se puder nos mantenha informados :-)

[]'s
Eduardo.

Em 7 de out de 2016 5:26 PM, "Marcio Vogel Merlone dos Santos" <
marcio.merlone at a1.ind.br> escreveu:

Olá Pessoal,

Somos uma pequena empresa de engenharia mas mantemos nossa estrutura
pública de internet (NS, MX, etc) internamente por um link Copel e outro
Algar, cada um com um NS e MX. O MX1 e NS1 estão no mesmo endereço/link
desde o começo do ano.

Esta semana tive que mudar apenas o MX2 e NS2 de local e então aproveitei
para implementar o DNSSEC.

Há dois dias estou tendo problemas em que alguns domínios na internet não
conseguem consultar nosso DNS e como consequência perdemos comunicação por
email com estes domínios. Primeira medida foi dar rollback no DNSSEC mas
sem sucesso.

Testando com ferramentas online algumas reportam tudo OK e outras não:

OK:

 * http://dnscheck.iis.se/
 * https://intodns.com/a1.ind.br
 * https://www.dnssniffer.com/tools/dnscheck
 * http://www.kloth.net/services/dig.php

Erro:

 * http://www.ipok.com.br/dnsreportcgi.php?tool=dnsreport&valor=a1.ind.br
 * http://www.howismydns.com/dns-dnstest
 * http://dnscheck.pingdom.com/?domain=a1.ind.br
 * http://www.dnsstuff.com/tools/dnsreport.ch/#dnsReport|type=d
omain&&value=a1.ind.br

Curioso que no caso do IPOK o teste de ping no 187.72.92.2 (ns1.a1.ind.br)
vai com sucesso. Já falei com a operadora e me garantiram que não tem
nenhum problema do lado deles. Em meu firewall (pfSense) puxei a regra que
dá acesso pro topo, antes de qualquer bloqueio, sem resultado.

Alguém consegue fazer algum sentido nisto? Se alguém puder me ajudar fico
muito grato, não consigo mais imaginar onde está o problema.

Grato e bom fim de semana.


-- 
*Marcio Merlone*
__
masoch-l list
https://eng.registro.br/mailman/listinfo/masoch-l


More information about the masoch-l mailing list