DNS Resolver problem (2.7)

tty1

Наконец-то сегодня удалось захватить пакеты в момент проблемы!
Как раз приехал, говорят не открывается vk.com (на самом деле много чего, просто по нему заметили).
Судорожно ломанулся в консоль (лишь бы успеть, знаю, что проблема сама по себе проходит через время!), собрал трафик с LAN и с WAN интерфейсов.
Насколько я понимаю, сначала запрос адресуется локальному резолверу, который возвращает Server Failure (response развернул на скрине), затем судя по всему пытается запросить от корня у IANA, но почему то с добавлением суффикса home.arpa и соответственно возвращает No such name vk.com.home.arpa

На WAN порту во время первого запроса само собой ничего нет, далее следуют запросы во внешку (к iana.org) с просьбой подсказать адрес vk.com.home.arpa и соответственно получает ответ, что не знаю такого имени.

Ради эксперимента выключил pfBlockerNG - vk.com сразу же открылся. Я включил блокировщик обратно, ВК продолжает работать (в принципе оно и понятно, вероятнее всего адрес уже берется из локального кэша ПК). Тогда решил еще на всякий случай посмотреть трафик на ПК. Но сайт wireshark.org не открылся (так же не возвращался IP адрес). Отключил pfBlockerNG - загрузил вайршарк без проблем. Опять включил блокировщик - работают ВК и wireshark.org (очевидно, что тут локальный кэш в деле!). Далее wireshark попросил установить npcap ну и вы поняли :) npcap.com не открылся (то есть версия, что возможно включение/отключение pfBlocker приводит к перезапуску резолвера и всё начинает работать провалилась).
Из наблюдений: такое ощущение, что проблема имеет периодичность (чаще всего жалуются в первой половине дня, около 10-11-12 часов - сильно примерно!). Думал может в это время обновляются алиасы и происходит рестарт pfBlocker, в течение которого резолвер не отвечает на запросы. Посмотрел в cron - обновление алиасов происходит в 12:30 (выходит мимо). Да и может ли Reload длиться минут 7-10? Вряд ли же.
В настройках заинтересовала галка Resolver Live Sync (по дефолту она выключена!). Из описания: "Enable When enabled, updates to the DNS Resolver DNSBL database will be performed Live without reloading the Resolver. This will allow for more frequent DNSBL Updates (ie: Hourly) without losing DNS Resolution." - чушутся руки её установить, однако решил уточнить, правильно ли я понимаю её смысл!?

PS. ну и да, в логах (системных, unbound) никаких ошибок, предупреждений по прежнему нет.

UPD: посмотрел внимательно cron, обновление алиасов это немного другая задача (update_urltables), обновление pfBlocker происходит каждые 8 часов (но по времени не совпадает - 0, 8, 16).

tty1

Вот еще вчера нашел интересный кусочек трафика.
google.com не резолвится, однако прямо в то же самое время резолвер отдаёт адрес adblockplus.org

То есть резолвер в этот момент работает! Почему то не возвращает адреса определенных доменов (в подавляющем большинстве случаев это зона .COM).
Хотел повысить уровень логирования до Level 3 (Query level information) - утонул в потоке данных :(
Очень прошу помочь в диагностике. Куда смотреть, что собирать?
Очень актуально! :(

Konstanti

@tty1

а с вышестоящим DNS сервером как происходит общение ?
без DNSSEC ? или ... ?

tty1

@Konstanti said in DNS Resolver problem (2.7):

@tty1

а с вышестоящим DNS сервером как происходит общение ?
без DNSSEC ? или ... ?

Вообще когда начались проблемы, я по советам с форума выключил DNSSEC, но проблема осталась. Вчера снова включил (раз нет разницы).
Вышестоящими серверами у меня указаны 8.8.8.8 и 1.1.1.1 (изначально стояли провайдерские, я из заменил быстро - грешил на них потому что).

Konstanti

@tty1

Мое мнение . надо смотреть и изучать трафик с вышестоящим сервером
Почему появляется ошибка 2

tty1

@Konstanti собираю пакеты с фильтром udp/tcp 53 на WAN.
Так же увеличил размер логов и включил расширенное логирование в DNS Resolver (Query level information).

UPD: во вчерашнем дампе трафика с WAN вообще не вижу обращений ни к 8.8.8.8 ни к 1.1.1.1.

tty1

Мельком решил посмотреть что там насобиралось в WAN трафике, увидел в самых свежих пакетах снова такое:

Снова добавляет суффикс home.arpa! Причем выше всё нормально, запрашивает google.com и прочие домены без него... Что за фантастика, почему он так делает??? :)
Так как пакеты свежие, решил проверить, доступен ли сейчас этот домен (hihonor.com).
Залез на одну из машин, запустил пинг:

ping hihonor.com
ping: hihonor.com: Временный сбой в разрешении имен

запустил с домашнего:

ping hihonor.com
PING hihonor.com (43.134.158.9) 56(84) bytes of data.
64 bytes from 43.134.158.9 (43.134.158.9): icmp_seq=2 ttl=40 time=279 ms

Самое главное, что теперь у меня есть точное время, когда возникла проблема с резолвом! Вечером буду смотреть трафик (ожидаю в это время там увидеть DNS Query hihonor.com.home.arpa) и смотреть расширенные логи unbound в это же время (информации там конечно очень много и к сожалению во многом малопонятной для меня).
Дополню обязательно!

Konstanti

@tty1

Насколько я вижу выше , добавляет суффикс добавляет сам хост
120.21
как только получает ответ server failure
возможно , что home.arpa - это ваша внутренняя зона

tty1

@Konstanti, совершенно верно, это дефолтная локальная зона.
То есть это уже следствие failure, понял.

Разобрал трафик с логами, очень интересно. В общем когда hihonor.com не резолвился из внутренней сети, я во внешнем трафике не обнаружил ничего совершенно! Ни одного запроса по данному хосту. Но в логах unbound вот такая песня (пришлось грузить на pastebin, форум не пропускает):
https://pastebin.com/raw/CHmL72sT

Затем в 14:22 хост стал пинговаться из сети, в логах unbound следующее:
https://pastebin.com/raw/NGYTLTgZ

Помогите интерпретировать? Опыта не хватает :(
Что вижу своим дилетантским взглядом, в первом случае запросы (sending to target: <com.>) отправлялись на IPv6 адрес, во втором, когда адрес успешно возвращался - IPv4. Тут может быть какая-то связь?
Есть еще один домен (контрольный), по которому есть точное время, когда он не резолвился и когда он же начал находиться. Чуть позже аналогично проанализирую логи по нему.

Konstanti

@tty1
я правильно понимаю , что у Вас в качестве вышестоящего DNS настроены

192.52.178.30
192.35.51.30

и когда все ок , вы видите трафик к этим ДНС серверам

но когда все плохо , по непонятной причине , у вас начинают отправляться запросы к

2001:503:d414::30
2001:500:856e::30
2001:502:8cc::30
и тд и тп
по сути это тоже самое , только ipv6

ADDITIONAL SECTION:
a.gtld-servers.net. 172800 IN A 192.5.6.30
b.gtld-servers.net. 172800 IN A 192.33.14.30
c.gtld-servers.net. 172800 IN A 192.26.92.30
d.gtld-servers.net. 172800 IN A 192.31.80.30
e.gtld-servers.net. 172800 IN A 192.12.94.30
f.gtld-servers.net. 172800 IN A 192.35.51.30
g.gtld-servers.net. 172800 IN A 192.42.93.30
h.gtld-servers.net. 172800 IN A 192.54.112.30
i.gtld-servers.net. 172800 IN A 192.43.172.30
j.gtld-servers.net. 172800 IN A 192.48.79.30
k.gtld-servers.net. 172800 IN A 192.52.178.30
l.gtld-servers.net. 172800 IN A 192.41.162.30
m.gtld-servers.net. 172800 IN A 192.55.83.30
a.gtld-servers.net. 172800 IN AAAA 2001:503:a83e::2:30
b.gtld-servers.net. 172800 IN AAAA 2001:503:231d::2:30
c.gtld-servers.net. 172800 IN AAAA 2001:503:83eb::30
d.gtld-servers.net. 172800 IN AAAA 2001:500:856e::30
e.gtld-servers.net. 172800 IN AAAA 2001:502:1ca1::30
f.gtld-servers.net. 172800 IN AAAA 2001:503:d414::30
g.gtld-servers.net. 172800 IN AAAA 2001:503:eea3::30
h.gtld-servers.net. 172800 IN AAAA 2001:502:8cc::30
i.gtld-servers.net. 172800 IN AAAA 2001:503:39c1::30
j.gtld-servers.net. 172800 IN AAAA 2001:502:7094::30
k.gtld-servers.net. 172800 IN AAAA 2001:503:d2d::30
l.gtld-servers.net. 172800 IN AAAA 2001:500:d937::30
m.gtld-servers.net. 172800 IN AAAA 2001:501:b1f9::30

tty1

@Konstanti вообще говоря нет.
Даже предположить не могу, откуда взялись сервера 192.52.178.30 и 192.35.51.30.

Вот настройки относительно DNS (если мы об одном):

И собственно очень редко к ним действительно шлюз обращается, возвращает имена. Но крайне редко

stiff

@tty1
А что если дернуть этот пункт:

в использование только внешних DNS?

Konstanti

@tty1

В режиме "Default" unbound лезет на корневые сервера ( Ваш случай)
В режиме "Forwarding" он лезет на сервера из Ваших настроек 8.8.8.8 или 1.1.1.1

попробуйте

If this option is set, DNS queries will be forwarded to the upstream DNS servers defined under System > General Setup or those obtained via DHCP/PPP on WAN (if DNS Server Override is enabled there).

tty1

@Konstanti включил, в трафике побежали запросы на 1.1.1.1 и 8.8.8.8
DNSBL вроде не отвалился, зеленый (из за него не хотел переходить полностью на DNS Forwarder).
Наблюдаю!)
Но вообще посмотрел на других pf (у меня полно их, все правда версии 2.6) без Enable Forwarding Mode работает, таких приколов нет. Понять бы в чем причина :(

werter

Добрый
@tty1

В режиме "Forwarding" он лезет на сервера из Ваших настроек 8.8.8.8 или 1.1.1.1

Поставить галку на Форвард в настройках unbound забывают 99.9% настраивающих (

tty1

@werter а почему "забывают"?
У меня более 10 pfSense в разных местах работают без этой галки, с подобным поведением первый случай.
Можете объяснить причину такого поведения, опираясь на трафик и детальные логи unbound?

Konstanti

@tty1
Мое мнение - не надо "лезть" напрямую на корневые сервера ДНС за информацией, они служат несколько для другого
Используйте галку , чтобы получать информацию от общеизвестных DNS серверов

ТОй информации , что Вы предоставили , недостаточно , чтобы попробовать понять , почему Вам вдруг перестают отвечать на запросы сервера ...... нужен трафик с WAN интерфейса
и лучше не виде картинок , а в виде pcap файла .....
(но надо ли это ? )

tty1

@Konstanti понял, благодарю за участие!)

Трафик то есть с WAN полный в формате pcap, но не хотелось выкладывать целиком))

Konstanti

@tty1
Тогда придется самому анализировать запрос и ответ , если очень хочется разобраться

rotor

Странно...
у нас проблема ушла сама собой, уже неделю мониторю, нет проблемы.
в журнале Unbound стало чише и всё что я заметил...