Podivně (ne)funkční DNS resolving

@commar Taktéž mám pevnou IP a IPv6. Ale nepoužívám DNS forwarding. Jako úplný DNS resolver mi slouží Turris.

Narazil jsem pravděpodobně na stejný problém s DNS resolverem Turris. Můj nový Xbox se nepřipojil na Microsoft Store, přestože jinak bylo připojení k internetu v pořádku. Můj problém vyřešilo zapnutí přeposílání DNS ve Foris. Mám první verzi Turris s OS 3.10.2 a jsem připojený přes ujezd.net.

Jestli Turris tým hraje i na počet hlášení, tak se přidávám - po minulém updatu (z 18. 6., ne dnešní) mi taky nešel OneDrive, občas nějaký web nešel, na mobilu někdy spadlo připojení. Po zapnutí “Používat přeposílání” ve Forisu -> DNS se to rozjelo. Ale přesto mi na některých webech nejedou CSS, načítání webů někdy trvá…

To nebude tento problém. Tady primární problém vidím opravdu někde v resolveru Turrise. Protože já (a dle ohlasů i další) jsem měl vypnuté přeposílání DNS, takže by se resolvery UPC nebo jakéhokoliv jiného ISP neměly používat, vše by měl obstarat Turris. A v tu chvíli vznikl problém s DNS. Pokud přeposílání zapnu, pak DNS funguje v pořádku - což je také aktuálně můj workardound, že přeposílám dotazy na Cloudflare DNS. Ale není to řešení problému, je to jen obejití. Proto bych do toho rád zapojil někoho z Turris teamu, aby se na to zkusil podívat, protože to skutečně vypadá na problém resolvingu Turrise.

Ve Vašem případě souhlasím. Má odpověď byla namířena na pavel8. Nefunkčnost některých DNS jmen je nebezpečně široké téma.

Tohle vlákna obsahuje také příspěvky, které se netýkají problému s Microsoft Storem a jeho služeb, tak všechny příspěvky, které se netýkají tohoto problému přesunu do jiného vlákna během dnešního dne.

Každopádně jsme se podívali s @vcunat na problém s Microsoft Store.

Dospěli jsme k závěru, že Unbound ve verzi 1.7.1 nezvládá resolvovat některé domény Microsoftu, například store-images.s-microsoft.com a jak lze vidět z DnsViz.net, tak Microsoft bohužel má problém s DNS záznamy.
Pokusíme se Microsoft kontaktovat, aby se na to podívali.

Ve výchozím nastavení pro Unbound používáme qname-minimisation: yes s tím, že se zde nacházela chyba, která by s tím mohla souviset, protože na DNS dotaz na daný server se vrátila odpověď SERVFAIL.
Dnes vyšla nová verze Unboundu ve verzi 1.7.3, kde se nachází oprava, kterou vyzkoušel @vcunat lokálně a já před malou chvíli v testu, že aplikace Windows Store na OS Windows 10 nehlásí chybu a načítá se bez jakýkoliv problémů, a proto bychom rádi v nejbližší době vydali Turris OS 3.10.3, kde bude novější verze Unboundu.

Don’t count CNAME response types received during qname minimisation as query restart.

@pavel8: Jestli máte UPC, tak doporučuji odškrtnout používání přeposílání.
Více zde: Neotevřu některé weby - internet a modem OK

Já bych se s přesouváním neukvapoval, protože unbound nějakou chybičku mít bude.
Já osobně nemám problém s nezobrazováním webů, ale když androidí aplikací NetMetr zkouším doma připojení, tak při zkoušení DNS serverů to najde na poprvé jenom 10 že zkoušených 37, na podruhé tak 30 a az na potřetí to najde IP až na všech 37 DNS serverů. A to i když mám povolené forwardování a nebo ne. ISP mám SYS-DATA.COM(/Brouzdej.net) a Turris 1.1 .

Do soukr.zpravy mohu dát open ID čísla měření na Netmetru.

Jen jedna související otázka, chystá se přechod na Knot Resolver u starých Turrisu?

Zatim nechysta, byli bychom radi, ale z technickych duvodu to aktualne neni uplne jednoduche. Snad casem prijde doba kdy to bude mozne.

Já jsem teď experimentoval v configu souboru /etc/config/resolver s parametrem

option num_queries_per_thread ‘30’

který je tam původně (30). A po nastavení na 1000 (nešetřil jsem) mi v té android aplikaci NetMetr, test DNS projde ihned.

Nezkusil by někdo kdo má problémů s tím Microsoft storem zvednout tu hodnotu?

Problém s MS jmény nastával i na mém desktopu kde jsem měl vysoký default. (Dle dokumentace 512 nebo 1024.)

Problemy s DNS resolvingem jsem zaznamenal jak na Trurris 1.0, tak na Omnii. Mám za to, že to souvisí mimo jiné s tím, že DNS vrací IPv6 adresy, ale konektivita (po sucirity záplatě na routeru providera) nefunguje. Mě pomohlo na WAN zakázat IPv6 (snad dočasně).

Hezký večer

Tento problém pozorujete na posledních verzích? Mám zatím 3.9.6 Omnia, IPv6 na routeru zaplou, resolver knot, DNSSEC zaple, forwarding vyply, a zatim zadne problemy nepozoruji.

Ano, tento problém pozoruji na posledních verzích. Ale jsme v úplně jiné situaci :slight_smile: Já mám Turris 1.1, který nepoužívá Knot, ale Unbound z nějakých technických důvodů, viz info výše. A já nemám ani IPv6, kde se to třeba zase může chovat trochu jinak.

Ale tady je ten problém asi vyřešený, protože je to nějaký problém v DNS u Microsoftu spolu s nějakou jednou konkrétní verzí Unbound (proto se ten problém na Omnii neprojevuje). Po aktualizaci Unbound na novější verzi by problém měl být vyřešený.

Rozumím… Na foru jsem si prave vsiml i prispevku, od majitelu Omnie, v tomto vlakne napr. @pavel8, tak jsem se ptal pro jistotu. Snad to bude tak, jak rikate :slight_smile:

IPv6: DNS vrací adresy typu na který se klient zeptá. v4 a v6 jsou rozdílné dotazy, na úrovní DNS protokolu (A a AAAA).

Problém je když se resolver pokouší kontaktovat nameservery po IPv6 v situaci kdy IPv6 nefunguje, protože to vede ke zbytečným timeoutům. Už pár měsíců je proto v Omnii skript který rozbité IPv6 detekuje a v takové situaci zakazuje resolveru IPv6 takto zkoušet používat.

Původní problém by snad měla řešit aktualizace která je nyní v RC.

2 Likes

Diky za informaci. Z Linuxu problemy nemam (fedora), ale nektere mobily a Win10 ty timeouty dostavaji (tedy, pokud po upgrade zapomenu zakazat ipV6 na WAN):

Dotaz z Windows vypada takhle:
C:\Users\ales>nslookup
Default Server: UnKnown
Address: 192.168.0.1

> seznam.cz
Server:  UnKnown
Address:  192.168.0.1

Non-authoritative answer:
Name:    seznam.cz
Addresses:  2a02:598:2::1053
          77.75.79.39

Jen nevim, zda je to vlastnost windows, nebo to jde prenastavit. V Omnii jsem se snazil DHCP IPv6 vypnout, ale jak je videt, asi jsem to neudelal dobre (chtel jsem, aby mi Omnie [ani Tuirris] nematla klienty predstavou, ze by IPv6 mohlo vubec existvat, kdyz mam bouzel smulu a nefunguje mi).

Da se nejak overit, zda funguje skript na detekci nepouzitelneho IPv6?

Hezky vecer!

  • připojte se přes ssh k routeru
  • přejděte do příkazové řádky pro knot-resolver: socat - /tmp/kresd/tty/*
  • “příkaz” net.ipv6 by měl vrátit false

Upgrade 3.10.3 opravil problém s MS Store. Nyní je přístupný

Pro úplnost uvádím DNS nastavení:
Používat přeposílání - NE
Vypnout DNSSEC - NE
v LuCI Network/Interfaces/WAN/Advanced Settings/Use DNS servers advertised by peer - NE, Use custom DNS servers - NE

1 Like