DNS Resolver problem (2.7)

Konstanti

@tty1

Насколько я вижу выше , добавляет суффикс добавляет сам хост
120.21
как только получает ответ server failure
возможно , что home.arpa - это ваша внутренняя зона

tty1

@Konstanti, совершенно верно, это дефолтная локальная зона.
То есть это уже следствие failure, понял.

Разобрал трафик с логами, очень интересно. В общем когда hihonor.com не резолвился из внутренней сети, я во внешнем трафике не обнаружил ничего совершенно! Ни одного запроса по данному хосту. Но в логах unbound вот такая песня (пришлось грузить на pastebin, форум не пропускает):
https://pastebin.com/raw/CHmL72sT

Затем в 14:22 хост стал пинговаться из сети, в логах unbound следующее:
https://pastebin.com/raw/NGYTLTgZ

Помогите интерпретировать? Опыта не хватает :(
Что вижу своим дилетантским взглядом, в первом случае запросы (sending to target: <com.>) отправлялись на IPv6 адрес, во втором, когда адрес успешно возвращался - IPv4. Тут может быть какая-то связь?
Есть еще один домен (контрольный), по которому есть точное время, когда он не резолвился и когда он же начал находиться. Чуть позже аналогично проанализирую логи по нему.

Konstanti

@tty1
я правильно понимаю , что у Вас в качестве вышестоящего DNS настроены

192.52.178.30
192.35.51.30

и когда все ок , вы видите трафик к этим ДНС серверам

но когда все плохо , по непонятной причине , у вас начинают отправляться запросы к

2001:503:d414::30
2001:500:856e::30
2001:502:8cc::30
и тд и тп
по сути это тоже самое , только ipv6

ADDITIONAL SECTION:
a.gtld-servers.net. 172800 IN A 192.5.6.30
b.gtld-servers.net. 172800 IN A 192.33.14.30
c.gtld-servers.net. 172800 IN A 192.26.92.30
d.gtld-servers.net. 172800 IN A 192.31.80.30
e.gtld-servers.net. 172800 IN A 192.12.94.30
f.gtld-servers.net. 172800 IN A 192.35.51.30
g.gtld-servers.net. 172800 IN A 192.42.93.30
h.gtld-servers.net. 172800 IN A 192.54.112.30
i.gtld-servers.net. 172800 IN A 192.43.172.30
j.gtld-servers.net. 172800 IN A 192.48.79.30
k.gtld-servers.net. 172800 IN A 192.52.178.30
l.gtld-servers.net. 172800 IN A 192.41.162.30
m.gtld-servers.net. 172800 IN A 192.55.83.30
a.gtld-servers.net. 172800 IN AAAA 2001:503:a83e::2:30
b.gtld-servers.net. 172800 IN AAAA 2001:503:231d::2:30
c.gtld-servers.net. 172800 IN AAAA 2001:503:83eb::30
d.gtld-servers.net. 172800 IN AAAA 2001:500:856e::30
e.gtld-servers.net. 172800 IN AAAA 2001:502:1ca1::30
f.gtld-servers.net. 172800 IN AAAA 2001:503:d414::30
g.gtld-servers.net. 172800 IN AAAA 2001:503:eea3::30
h.gtld-servers.net. 172800 IN AAAA 2001:502:8cc::30
i.gtld-servers.net. 172800 IN AAAA 2001:503:39c1::30
j.gtld-servers.net. 172800 IN AAAA 2001:502:7094::30
k.gtld-servers.net. 172800 IN AAAA 2001:503:d2d::30
l.gtld-servers.net. 172800 IN AAAA 2001:500:d937::30
m.gtld-servers.net. 172800 IN AAAA 2001:501:b1f9::30

tty1

@Konstanti вообще говоря нет.
Даже предположить не могу, откуда взялись сервера 192.52.178.30 и 192.35.51.30.

Вот настройки относительно DNS (если мы об одном):

И собственно очень редко к ним действительно шлюз обращается, возвращает имена. Но крайне редко

stiff

@tty1
А что если дернуть этот пункт:

в использование только внешних DNS?

Konstanti

@tty1

В режиме "Default" unbound лезет на корневые сервера ( Ваш случай)
В режиме "Forwarding" он лезет на сервера из Ваших настроек 8.8.8.8 или 1.1.1.1

попробуйте

If this option is set, DNS queries will be forwarded to the upstream DNS servers defined under System > General Setup or those obtained via DHCP/PPP on WAN (if DNS Server Override is enabled there).

tty1

@Konstanti включил, в трафике побежали запросы на 1.1.1.1 и 8.8.8.8
DNSBL вроде не отвалился, зеленый (из за него не хотел переходить полностью на DNS Forwarder).
Наблюдаю!)
Но вообще посмотрел на других pf (у меня полно их, все правда версии 2.6) без Enable Forwarding Mode работает, таких приколов нет. Понять бы в чем причина :(

werter

Добрый
@tty1

В режиме "Forwarding" он лезет на сервера из Ваших настроек 8.8.8.8 или 1.1.1.1

Поставить галку на Форвард в настройках unbound забывают 99.9% настраивающих (

tty1

@werter а почему "забывают"?
У меня более 10 pfSense в разных местах работают без этой галки, с подобным поведением первый случай.
Можете объяснить причину такого поведения, опираясь на трафик и детальные логи unbound?

Konstanti

@tty1
Мое мнение - не надо "лезть" напрямую на корневые сервера ДНС за информацией, они служат несколько для другого
Используйте галку , чтобы получать информацию от общеизвестных DNS серверов

ТОй информации , что Вы предоставили , недостаточно , чтобы попробовать понять , почему Вам вдруг перестают отвечать на запросы сервера ...... нужен трафик с WAN интерфейса
и лучше не виде картинок , а в виде pcap файла .....
(но надо ли это ? )

tty1

@Konstanti понял, благодарю за участие!)

Трафик то есть с WAN полный в формате pcap, но не хотелось выкладывать целиком))

Konstanti

@tty1
Тогда придется самому анализировать запрос и ответ , если очень хочется разобраться

rotor

Странно...
у нас проблема ушла сама собой, уже неделю мониторю, нет проблемы.
в журнале Unbound стало чише и всё что я заметил...

werter

@tty1

У меня более 10 pfSense в разных местах работают без этой галки, с подобным поведением первый случай.
Можете объяснить причину такого поведения, опираясь на трафик и детальные логи unbound?

1 Потому что БЕЗ этой галки ваш пф будет пользовать КОРНЕВЫЕ днс, а не те, что вы указали в настройках.

2 НЕ ИСПОЛЬЗОВАТЬ гуглоднс - к ним завтра доступ прикроют и останетесь без инета. Для конторы хватит и я-днс.