Unbound a DNS České spořitelny

Strechyl · « **kdy:** 12. 02. 2021, 10:10:04 »

Dobry den, mam jednoduchy dotaz, nevim co se deje ale u ceske sporitelny asi dochazi ke zmenam v DNS zaznamech a cachovaci DNS unbound ma s tim problem.

Stranky jsou chvili dostupne pak ne atd. Problem je vzdy jen u Ceske sporitelny. Mohl by mi nekdo poradit jak byto slo efektivne vyresit ?

Kdyz si dam naprimo DNS googlu tak problem neni

Napriklad nejakym nastavenim v unbound DNS?

Dekuji za odpoved.

Reklama

Radek Zajíc · « **Odpověď #1 kdy:** 12. 02. 2021, 11:24:07 »

1) Ktere stranky (jaky hostname)?
2) Jaka verze unboundu?
3) Jak je unbound nakonfigurovany?
4) Co rika developer console v browseru ve chvili, kdy stranky "nejsou" dostupne? Jaka je tam IP adresa, jaky je chybovy kod?
5) Co rika `dig <hostname-sporitelny> @<ip-adresa-unboundu>` ve chvili, kdy jsou stranky dostupne, a co rika ve chvili, kdy dostupne nejsou?
6) Jaky OS, prohlizec, ISP?

Strechyl · « **Odpověď #2 kdy:** 12. 02. 2021, 20:01:44 »

Citace: Radek Zajíc 12. 02. 2021, 11:24:07

1) Ktere stranky (jaky hostname)?
2) Jaka verze unboundu?
3) Jak je unbound nakonfigurovany?
4) Co rika developer console v browseru ve chvili, kdy stranky "nejsou" dostupne? Jaka je tam IP adresa, jaky je chybovy kod?
5) Co rika `dig <hostname-sporitelny> @<ip-adresa-unboundu>` ve chvili, kdy jsou stranky dostupne, a co rika ve chvili, kdy dostupne nejsou?
6) Jaky OS, prohlizec, ISP?

Tak jako prvni sem musel vypnout modul validator v unbound jinak domena csas.cz nefungovala vubec, asi problem s DNSSEC na domene.

Aktualne nejde jejich bankovnictvi George ci jak se ten nesmysl jmenuje.

Vypis z console, kde je jasne videt proc

Kód: [Vybrat]

$ dig george.csas.cz +trace

; <<>> DiG 9.16.11 <<>> george.csas.cz +trace
;; global options: +cmd
.                       13360   IN      NS      d.root-servers.net.
.                       13360   IN      NS      e.root-servers.net.
.                       13360   IN      NS      f.root-servers.net.
.                       13360   IN      NS      g.root-servers.net.
.                       13360   IN      NS      h.root-servers.net.
.                       13360   IN      NS      i.root-servers.net.
.                       13360   IN      NS      j.root-servers.net.
.                       13360   IN      NS      k.root-servers.net.
.                       13360   IN      NS      l.root-servers.net.
.                       13360   IN      NS      m.root-servers.net.
.                       13360   IN      NS      a.root-servers.net.
.                       13360   IN      NS      b.root-servers.net.
.                       13360   IN      NS      c.root-servers.net.
.                       13360   IN      RRSIG   NS 8 0 518400 20210225170000 20210212160000 42351 . HBOyQEdF9fLsUy+WQihbUAxK5FGsmPzHVqF97ySETbWuaLM9z71IsKB1 5Hv3AsQ1bPnZ6Y7RZjUxkNQOe36F3VG6uO2PVvLf6/gAn2b+qag9Njdz QhmpwZQNBc14Ce4fuXxPG8HRsJHxR+u+rd0bIng39kbZZvtJnEihuCYn TjY5UosSseB1n2pQfOqFHi6PMm6yW1qH1Kurg32TiMqT2J43UEzz7eHP P5WjLN6qchsewFgO4IERvO+pYxZxr+Y4ulvmfXGRayQrdOVcYVKtPcgP +7TU6f5nVZ0uL19Pau8m4ZxzZYSjJWRUJN9kkZKQWRfDWaxuewvTGT5O 9B3OqA==
;; Received 525 bytes from 10.0.254.3#53(10.0.254.3) in 33 ms

cz.                     172800  IN      NS      a.ns.nic.cz.
cz.                     172800  IN      NS      b.ns.nic.cz.
cz.                     172800  IN      NS      c.ns.nic.cz.
cz.                     172800  IN      NS      d.ns.nic.cz.
cz.                     86400   IN      DS      20237 13 2 CFF0F3ECDBC529C1F0031BA1840BFB835853B9209ED1E508FFF48451 D7B778E2
cz.                     86400   IN      RRSIG   DS 8 1 86400 20210225170000 20210212160000 42351 . sAJjn65tx9gZ19xeI8CUnmmFbgU6VT39xu6qxtSVXhjlaghxp9M1fYW7 Q7OvWfTIDyn60xk52zbRTTMqf8DkuG1sO0mWqdQXHGEJiXaAlWCQBMjO K7MCihkewS8I42C5FmDdR+JqHOmVIPEQ+xfAbKUG1h5nZZX832Wj+9RH bkF87V4rgk2mSjxpMvejfcPL5eC9vMFfIb/G//Q9L6c5D30JktBIX8hz LBWLTWGBPaBp5MDMrJ9YV2irLiJc8iaGBTXChbe78D10HX7LhLdIOtsu 05m5URd6fzIQQjoAjsGDZKddXbiJIJIZ51UqQF4tKQZjgUU0D6Py+pJi oSD0KQ==
;; Received 625 bytes from 192.58.128.30#53(j.root-servers.net) in 16 ms

csas.cz.                3600    IN      NS      ddnsa.csas.cz.
csas.cz.                3600    IN      NS      ddnsb.csas.cz.
csas.cz.                3600    IN      DS      8196 7 2 C5C7974E1DC3BF036F8744A4D919E03EF01D8D6167DB6201940CA870 59558EE3
csas.cz.                3600    IN      RRSIG   DS 13 2 3600 20210222033127 20210209190543 12877 cz. 6jY31JBWk6L5IrfPNq8F1zvgTWo/DBOPymcOE3vP1VFdvwhwlkzoc7N8 KIiZoFB/b++s66U9nggFkWQSf+DMzA==
couldn't get address for 'ddnsa.csas.cz': failure
couldn't get address for 'ddnsb.csas.cz': failure
dig: couldn't get address for 'ddnsa.csas.cz': no more

Hamparle · « **Odpověď #3 kdy:** 12. 02. 2021, 20:05:42 »

Funguje tahle stránečka : vpravo nahoře --> DNS Auth Trace

Strechyl · « **Odpověď #4 kdy:** 12. 02. 2021, 20:11:36 »

Citace: Hamparle 12. 02. 2021, 20:05:42

Funguje tahle stránečka : vpravo nahoře --> DNS Auth Trace

Výstup z teto stranky

Kód: [Vybrat]

Tracing to george.csas.cz[a] via a.root-servers.net., maximum of 1 retries
a.root-servers.net. (198.41.0.4)
 |\___ d.ns.nic.cz [cz] (2001:0678:0001:0000:0000:0000:0000:0001) Not queried
 |\___ d.ns.nic.cz [cz] (193.29.206.1)
 |     |\___ ddnsb.csas.cz [csas.cz] (194.50.240.192) Got authoritative answer
 |      \___ ddnsa.csas.cz [csas.cz] (194.50.240.64) Got authoritative answer
 |\___ c.ns.nic.cz [cz] (2001:0678:0011:0000:0000:0000:0000:0001) Not queried
 |\___ c.ns.nic.cz [cz] (194.0.14.1)
 |     |\___ ddnsb.csas.cz [csas.cz] (194.50.240.192) (cached)
 |      \___ ddnsa.csas.cz [csas.cz] (194.50.240.64) (cached)
 |\___ b.ns.nic.cz [cz] (2001:0678:0010:0000:0000:0000:0000:0001) Not queried
 |\___ b.ns.nic.cz [cz] (194.0.13.1)
 |     |\___ ddnsb.csas.cz [csas.cz] (194.50.240.192) (cached)
 |      \___ ddnsa.csas.cz [csas.cz] (194.50.240.64) (cached)
 |\___ a.ns.nic.cz [cz] (2001:0678:000f:0000:0000:0000:0000:0001) Not queried
  \___ a.ns.nic.cz [cz] (194.0.12.1)
       |\___ ddnsb.csas.cz [csas.cz] (194.50.240.192) (cached)
        \___ ddnsa.csas.cz [csas.cz] (194.50.240.64) (cached)

Domain Queried : george.csas.cz

ns1.afraid.org not found in nameserver list.

Jeste musim podotknout ze vyuzivam root.hints z teto stranky:

https://www.internic.net/domain/named.cache

Reklama

Radek Zajíc · « **Odpověď #5 kdy:** 12. 02. 2021, 21:37:49 »

Sice nevim, proc jste vetsinu mych puvodnich otazek odignoroval, ale zkusim jeste doplnit toto:
jak vypada traceroute na 194.50.240.64 a 194.50.240.192?
jak vypada vystup prikazu

Kód: [Vybrat]

dig george.csas.cz @194.50.240.64
dig +tcp george.csas.cz @194.50.240.64
dig george.csas.cz @194.50.240.192
dig +tcp george.csas.cz @194.50.240.192

Strechyl · « **Odpověď #6 kdy:** 12. 02. 2021, 22:19:32 »

Citace: Radek Zajíc 12. 02. 2021, 21:37:49

Sice nevim, proc jste vetsinu mych puvodnich otazek odignoroval, ale zkusim jeste doplnit toto:
jak vypada traceroute na 194.50.240.64 a 194.50.240.192?
jak vypada vystup prikazu
Kód: [Vybrat]
dig george.csas.cz @194.50.240.64
dig +tcp george.csas.cz @194.50.240.64
dig george.csas.cz @194.50.240.192
dig +tcp george.csas.cz @194.50.240.192

V podstate neignoroval z predchoziho prispevku je zrejme ze neexistuje zaznam pro

ddnsa.csas.cz
ddnsb.csas.cz

1. Stranku jsem uvedl
2. Jedna se o nejnovejsi verzi Unbound
3. Unbound funguje jako cache server
konfigurace nasledujici:

Kód: [Vybrat]

server:
  prefetch: yes
#module-config: "iterator"
  interface: 0.0.0.0
  domain-insecure: "csas.cz"
  use-syslog: yes
  hide-identity: yes
  hide-version: yes
  do-daemonize: no
  # Disable IPv6
  do-ip6: no
  prefer-ip6: no
  #
  cache-max-ttl: 14400
  cache-min-ttl: 0
  username: "unbound"
  directory: "/etc/unbound"
  trust-anchor-file: trusted-key.key
  root-hints: root.hints
  port: 53

4. Nepodstatne protoze vim ze nejsou dostupne domeny, ktere sem uvedl
5. Vystup z digu uz sem poslal
6. Nepodstatne, server spravuju ja o ISP nejde

Duvod je jednoduchy a to nedostupnost

ddnsa.csas.cz
ddnsb.csas.cz

resp. tyto polozky nemaji zaznam v cache a nevim proc.

Strechyl · « **Odpověď #7 kdy:** 12. 02. 2021, 23:08:45 »

Diky vsem,

asi to muzeme uzavrit ... po updatu na verzi 1.13.1 a rebootu dns stroje se preklad rozjel, zrejme se jedna o chybu ve verzi 1.13

Strechyl · « **Odpověď #8 kdy:** 13. 02. 2021, 08:27:49 »

Citace: Strechyl 12. 02. 2021, 23:08:45

Diky vsem,

asi to muzeme uzavrit ... po updatu na verzi 1.13.1 a rebootu dns stroje se preklad rozjel, zrejme se jedna o chybu ve verzi 1.13

Tak jeste zmena, rano vstanu a preklad nejde.

Problem je v tom, ze zmena neni propsana ve vsech serverech a pripada mi ze unbound to vyhodnoti tak ze adresy neexistujou.

viz:

zde zaznam neni

Kód: [Vybrat]

dig @192.203.230.10 ddnsb.csas.cz

; <<>> DiG 9.16.11 <<>> @192.203.230.10 ddnsb.csas.cz
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 33324
;; flags: qr rd; QUERY: 1, ANSWER: 0, AUTHORITY: 4, ADDITIONAL: 9
;; WARNING: recursion requested but not available

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;ddnsb.csas.cz.			IN	A

;; AUTHORITY SECTION:
cz.			172800	IN	NS	a.ns.nic.cz.
cz.			172800	IN	NS	b.ns.nic.cz.
cz.			172800	IN	NS	c.ns.nic.cz.
cz.			172800	IN	NS	d.ns.nic.cz.

;; ADDITIONAL SECTION:
a.ns.nic.cz.		172800	IN	A	194.0.12.1
b.ns.nic.cz.		172800	IN	A	194.0.13.1
c.ns.nic.cz.		172800	IN	A	194.0.14.1
d.ns.nic.cz.		172800	IN	A	193.29.206.1
a.ns.nic.cz.		172800	IN	AAAA	2001:678:f::1
b.ns.nic.cz.		172800	IN	AAAA	2001:678:10::1
c.ns.nic.cz.		172800	IN	AAAA	2001:678:11::1
d.ns.nic.cz.		172800	IN	AAAA	2001:678:1::1

;; Query time: 9 msec
;; SERVER: 192.203.230.10#53(192.203.230.10)
;; WHEN: Sat Feb 13 08:22:47 CET 2021
;; MSG SIZE  rcvd: 289

a zde ano

Kód: [Vybrat]

dig @193.29.206.1 ddnsb.csas.cz

; <<>> DiG 9.16.11 <<>> @193.29.206.1 ddnsb.csas.cz
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 49046
;; flags: qr rd; QUERY: 1, ANSWER: 0, AUTHORITY: 2, ADDITIONAL: 3
;; WARNING: recursion requested but not available

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 1232
;; QUESTION SECTION:
;ddnsb.csas.cz.			IN	A

;; AUTHORITY SECTION:
csas.cz.		3600	IN	NS	ddnsa.csas.cz.
csas.cz.		3600	IN	NS	ddnsb.csas.cz.

;; ADDITIONAL SECTION:
ddnsa.csas.cz.		3600	IN	A	194.50.240.64
ddnsb.csas.cz.		3600	IN	A	194.50.240.192

;; Query time: 9 msec
;; SERVER: 193.29.206.1#53(193.29.206.1)
;; WHEN: Sat Feb 13 08:19:32 CET 2021
;; MSG SIZE  rcvd: 114

Chova se toproste tak ze je dotaz na adresu a je hot na prvni cache kde zaznam neni takze adresu neprelozim

Radek Zajíc · « **Odpověď #9 kdy:** 13. 02. 2021, 09:38:01 »

192.203.230.10 je IP z rozsahu NASA
Zbeznym googlenim jde o korenovy nameserver
Korenove nameservery jsou autoritativni, ne rekurzivni. Odkazuji vas jen na servery, ktere hostuji .cz domenu. Delaji to tak spravne.

Porad jste neposlal ty tracerouty a digy doptavajici se primo nameserveru Sporky.

Unbound ma parametr verbosity, kdyz ho nastavite na uroven 5 a poslete sem logy, treba z nich neco pujde vycist. https://nlnetlabs.nl/documentation/unbound/unbound.conf/
Prvnim krokem ale ma byt overeni, jestli neni problem mezi vasim strojem s unboundem a stroji sporky - coz overi ty tracerouty a dig na nameservery sporky. Treba vas zabanovali.

czechsys · « **Odpověď #10 kdy:** 13. 02. 2021, 10:33:06 »

Dejte sem konfiguraci unboundu, jednoznacne tam mate nejakou botu.

Radek Zajíc · « **Odpověď #11 kdy:** 13. 02. 2021, 11:26:25 »

Podle https://dnssec-analyzer.verisignlabs.com/csas.cz občas timeoutuje odpověď od autoritativních nameserverů Spořky (ddnsa.csas.cz, ddnsb.csas.cz). Otestoval jsem to na TMCZ DSL (MTU 1492), timeoutuje mi to taky, stačí provést dotaz s velkou odpovědí:

Kód: [Vybrat]

dig -tdnskey csas.cz @ddnsa.csas.cz
dig -tdnskey csas.cz @ddnsb.csas.cz

Odpovědi s malým payloadem dorazí, např.

Kód: [Vybrat]

dig -ta csas.cz @ddnsa.csas.cz
dig -ta csas.cz @ddnsb.csas.cz

Wireshark/tcpdump zaznamenává jen druhý fragment odpovědi, takže to někdo na cestě zahazuje.

K tomu navíc zrovna pro george.csas.cz mají v odpovědi A i CNAME záznam, což není úplně košer.

Strechyl · « **Odpověď #12 kdy:** 15. 02. 2021, 09:40:58 »

Citace: czechsys 13. 02. 2021, 10:33:06

Dejte sem konfiguraci unboundu, jednoznacne tam mate nejakou botu.

Konfiguraci jsem uváděl výše

Kód: [Vybrat]

server:
  prefetch: yes
#module-config: "iterator"
  interface: 0.0.0.0
  domain-insecure: "csas.cz"
  use-syslog: yes
  hide-identity: yes
  hide-version: yes
  do-daemonize: no
  # Disable IPv6
  do-ip6: no
  prefer-ip6: no
  #
  cache-max-ttl: 14400
  cache-min-ttl: 0
  username: "unbound"
  directory: "/etc/unbound"
  trust-anchor-file: trusted-key.key
  root-hints: root.hints
  port: 53

V konfiguraci pravděpodobně problém nebude

Strechyl · « **Odpověď #13 kdy:** 15. 02. 2021, 11:29:07 »

Takze jen to shrnu...

Problém nebude v konfiguraci unboudu ale u České spořitelny, resp v jejich záznamech a systémech celkově, jelikož jim ten slavný George nejde aktuálně ani na google DNS. Hláška "Dočasně nedostupné přihlášení" se střídá s celkovou nedostupností webu.

Tessicz · « **Odpověď #14 kdy:** 15. 02. 2021, 12:46:43 »

Na Facebooku k tomu píší:

Citace

ℹ Dnešní mrazivé ráno vyřadilo dočasně z provozu naše digitální bankovnictví. 🤖 Všem se moc omlouváme za jeho nedostupnost. Pracujeme na tom, aby byl George co nejrychleji opět dostupný...

jak úsměvné..

Unbound a DNS České spořitelny

Strechyl

Unbound a DNS České spořitelny

Reklama

Radek Zajíc

Re:Unbound a DNS České spořitelny

Strechyl

Re:Unbound a DNS České spořitelny

Hamparle

Re:Unbound a DNS České spořitelny

Strechyl

Re:Unbound a DNS České spořitelny

Reklama

Radek Zajíc

Re:Unbound a DNS České spořitelny

Strechyl

Re:Unbound a DNS České spořitelny

Strechyl

Re:Unbound a DNS České spořitelny

Strechyl

Re:Unbound a DNS České spořitelny

Radek Zajíc

Re:Unbound a DNS České spořitelny

czechsys

Re:Unbound a DNS České spořitelny

Radek Zajíc

Re:Unbound a DNS České spořitelny

Strechyl

Re:Unbound a DNS České spořitelny

Strechyl

Re:Unbound a DNS České spořitelny

Tessicz

Re:Unbound a DNS České spořitelny