DNS má problémy s doménami České spořitelny

Software [CZ] SW pomoc [CZ]
,
1

Zdravím, mám dlouhodobý problém s doménami České spořitelny. Často mi nefungují

servis24.cz
george.csas.cz
bezpecnost.csas.cz

image

Prvních třeba 10 sekund vyhazují ERR_NAME_NOT_RESOLVED a pak naskočí a nějakou dobu fungují, ale kolikrát než stihnu zadat platbu je to zpátky v ERR_NAME_NOT_RESOLVED.

Zkoušel jsem změnit DNS server z Cloudflare na Google, reflash na nejnovější TOS 4.0.5, ale pořád stejný problém. Žádné jiné domény tento problém nemají a od jednoho subjektu to dělají všechny.

Nějaké nápady? Díky.

Připojení VDSL2 (365Internet)
image

2

No, vím(e) o co jde. Oni a řada dalších mají rozbité podpisy. (Ve smyslu že dokazují i neexistenci něčeho co autoři jejich serveru “nezamýšleli”.)

Jde to pro daná jména dočasně obejít konfigurací, ale věřím že dost brzy by se do TOS 4.0.x měl dostat i lepší (a “automatický”) workaround. EDIT: podobně jako 3.11.x už delší dobu má.

2 Likes
3

Já si všiml toho, že https://blog.avast.com/ přes CZ.NIC servery nefunguje. Jakmile to změním na Cloudfare, tak je to bez problémů.

4

Nepomohlo by kdyby jim vsichni uživatelé turrisu napsali at si to opravi ? Taky me to stve…

5

My jsme se snažili s nimi přímo komunikovat když to bylo “aktuální” – i ten první odkaz jsme zveřejnili už před rokem a půl, ale výsledek vidíte. Nakonec jsme to my (a 1.1.1.1) kdo jejich chyby obchází, protože nás prostě je pořád evidentně málo. V tomto případě nám to naštěstí nakonec dalo i méně práce než ten tlak na ně.

Ten Avast mi zní odlišně; hned nevidím žádné problémy, ještě zkusím zkoumat jindy. (Speciálně na ODVR ten workaround už je.)

2 Likes
6

Kdyby to bylo na mě tak už tu banku dávno nepoužíváme, bohužel jsem na to taky moc malý pán. Nemáte nějaký seznam postižených domén, které je třeba přidat do NTA seznamu?

Zatím jsem přidal ty 3 zmiňované a uvidíme:

trust_anchors.set_insecure({ 'servis24.cz', 'george.csas.cz', 'bezpecnost.csas.cz' })
7

Celá csas.cz vypadá postiženě, takže bych ji tam dal rovnou tak. Domény ČEZu si ještě pamatuji (cez.cz a cezdistribuce.cz). Rozhodně je výskytů více, ale z hlavy nevím.

1 Like
8

No, neznal jsem dobře situaci. Z komunikace s Turris týmem vyplynulo, že v TOS 4 ten workaround nebude. TOS 3 a TOS 5 už ho mají.

1 Like
9

Ahoj,

kdyby nekdo resil stejny problem na Turrisu 1.x s TOS 5, tak do /etc/unbound/user.conf pridat

server:
    domain-insecure: "csas.cz."
forward-zone:
    name: "csas.cz."
    forward-addr: 8.8.8.8

a pak do /etc/config/resolver (pokud tam uz neni)

config resolver 'unbound_includes'
        list include_path '/etc/unbound/user.conf'

restart a shitka funguje. Diky @zajdee

2 Likes
10

Díky za dokumentaci. Myslím si, že se nám to všem bude ještě hodit, protože CSAS má DNS rozbité dodnes. https://twitter.com/Oskar456/status/1360541687848837120?s=20

Mít DNS rozhašený víc než rok, tomu říkám umění.
Sám pozoruju na T-Mobile DSL, že mi nedorazí první fragment DNS odpovědi na DNSKEY.

Schválně zkuste sami. Pokud vám tenhle příkaz zatuhne, máte stejný problém. Není to ale problém, který potkal @BrozikCZ. Prostě experti v ČSAS to mají rozbitý.

dig -tdnskey csas.cz @ddnsa.csas.cz.
11

Mně tohle projde, ze dvou různých sítí. Možná to dělá zařízení někde blíže (u T-Mobile?). Každopádně, aktuální resolvery by se dnes už měly fragmentaci vyhýbat, což můžete v digu odsimulovat přes +bufsize=1232.

12

Veškeré problémy s DNS překladem mi ustaly od té doby co používám forwarding na vlastní DNS server v AdGuard Home instanci u které mám nastavený paralelní resolve s několika upstream providery. Nese to sebou mimo jiné i bonus podstatně rychlějšího překladu (<20ms), hlavně teda u adres které nebývají tak často v cache.

image
image1207×660 32 KB

13

Tak to vypada, ze cez.cz ma podobny problem. Aplikoval jsem znovu postup z DNS má problémy s doménami České spořitelny - #9 by BrozikCZ a funguje.