Błąd debugowania DNS

Debuguję błąd rozdzielczości DNS dla domeny auth.otc.t-systems.comz serwerem Cloudflare, ale utknąłem. Dziwną rzeczą jest to, że wyszukiwanie kończy się powodzeniem / niepowodzeniem w zależności od komputera, na którym uruchomione jest zapytanie, ale nie mogę zrozumieć, gdzie różni się konfiguracja.

Błąd zawsze dotyczy następującego komunikatu: server can't find auth.otc.t-systems.com: SERVFAIL

1.1.1.1 jest DNS Cloudflare.

Co próbowałem do tej pory:

Działa nslookup auth.otc.t-systems.com 1.1.1.1na różnych maszynach:
- Na moim komputerze nie działa z internetem w pracy i w domu (jednak w obu przypadkach działa z DNS Google).
- Nie działa na komputerze kolegi z dostępem do Internetu w pracy.
- Udaje się to w sesji ssh do zdalnego serwera.
Teraz zakładam, że w naszym pracy w Internecie jest jakaś dziwna konfiguracja, która powoduje, że wyszukiwanie kończy się niepowodzeniem. Jednak nie wiem, czego powinienem szukać, i znalazłem również niektóre internetowe usługi nslookup, które również zawodzą:
- Nie działa: https://network-tools.com/nslook/Default.asp?domain=auth.otc.t-systems.com&type=1&server=1.1.1.1&class=1&port=53&timeout=5000&go.x=21&go.y=13
- Działa: http://www.kloth.net/services/nslookup.php

Wszelkie wskazówki, jak mogę to dalej debugować?

networking domain-name-system Thomas Obermüller
źródło

Czy próbowałeś również z 1.0.0.1IPv6 lub jeśli masz IPv6 2606:4700:4700::1111i 2606:4700:4700::1001wszystkie one również są CloudFlare. Zobacz także blog.cloudflare.com/fixing-reachability-to-1-1-1-1-globally i jego ostatni akapit podający sposoby zgłaszania problemu.

Patrick Mevzek,

Odpowiedzi:

Spróbuj użyć dig. Dwadzieścia lat temu starali się wycofać nslookup, ale teraz jest głęboko zakorzeniony w pamięci mięśniowej i niemożliwy do pozbycia się, ale kopanie jest znacznie lepsze. Na przykład.

dig +trace auth.otc.t-systems.com @1.1.1.1

Śledzi w pełni dla Ciebie rozdzielczość i możesz zobaczyć, gdzie się różnią.

Sirch
źródło

Dzięki, nie wiedziałem tego o nslookup. Próbowałem teraz polecenia dig i, co dziwne, zwraca poprawne ip na moim komputerze. Tutaj opublikowałem dane wyjściowe polecenia zarówno na moim komputerze, jak i na komputerze lokalnym gist.github.com/thomas88/600d367387505a13223a5270c89eedda . Niezależnie od wykopalisk, moja przeglądarka (Chrome na Macu) wydaje się bardziej zgodna z nslookup - nie może rozwiązać adresu.

Thomas Obermüller,

Nie ma żadnego powodu, aby oczekiwać różnych wyników dla digi nslookupdla tego zapytania. Ponieważ jednak 1.1.1.1jest to adres anycast, wynik może się różnić w zależności od tego, który serwer ostatecznie obsługuje zapytanie.

kasperd

Chrome, będąc klientem sieciowym, może Cię przekierowywać. Czy nagłówek http ... curl -I <strona internetowa, do której próbujesz uzyskać dostęp> ujawnia coś na temat przesyłania dalej?

Sirch,

Jaki jest sens używania obu +tracei @1.1.1.1? Czy na pewno rozumiesz, jak te opcje działają razem?

Barmar

Tak, jestem pewien, że rozumiem, jak one działają razem. Celem użycia @ <adres> byłoby określenie serwerów dns, których używa jego klient w dwóch lokalizacjach. W podanym przykładzie jest to cloudflare, ale jeśli inny klient korzysta z innego serwera dns, zostanie tam podany. Na przykład, gdzie jestem, adres serwera w resolv.conf jest adresem firmowym, ale nadal mogę rozwiązać z 1.1.1.1

Sirch

Ludzie sieci używali od wieku 1.1.1.1 jako zamiennik innego prywatnego adresu w losowych interfejsach przełączników / routerów AP. (Jestem w tej chwili w miejscu, w którym publiczny adres IP setek bezprzewodowych punktów dostępowych to 1.1.1.1)

Założę się o pieniądze w maszynach, w których nie możesz rozmawiać z wersją 1.1.1.1 Cloufare, że masz tam (natychmiastową) trasę dla takiego interfejsu.

Na przykład w moim przypadku 1.1.1.1 podaje mój adres IP:

$ sudo tcpdump -i any -n host 1.1.1.1 and port 67
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on any, link-type LINUX_SLL (Linux cooked), capture size 262144 bytes
13:11:51.037186 IP 1.1.1.1.67 > 10.x.x.x.68: BOOTP/DHCP, Reply, length 296
13:11:51.037250 IP 1.1.1.1.67 > 10.x.x.x.68: BOOTP/DHCP, Reply, length 296

Rui F. Ribeiro
źródło

Dlatego RFC 3849 i RFC 5737 muszą być rygorystycznie egzekwowane.

kasperd

„Zbyt niska” jest jednak trudną podstawą do ustalenia czegokolwiek. Cloudflare ma wiele punktów PoP. 64 bytes from 1.1.1.1: icmp_seq=1 ttl=58 time=1.30 msto mój RTT do rzeczy.

Håkan Lindqvist

@ HåkanLindqvist Twoja wartość nie wydają się zbyt niskie opóźnienie dla połączenia zewnętrznego .... ale tak, nie wiarygodne dane.

Rui F Ribeiro

@RuiFRibeiro Opóźnienie wydaje się być odpowiednie dla łączności w tym samym mieście bez powiązania z dużym opóźnieniem. (Traceroute pokazuje 4 adresy w ramach mojego ISP, adres Cloudflare na giełdzie internetowej w moim mieście, a następnie 1.1.1.1.)

Håkan Lindqvist

Wygląda na to, że mogę uzyskać dostęp do Cloudflare DNS, ale dla mnie domena nie działa. Uruchomiłem nslookup dla auth.otc.t-systems.comi serverfault.com. Oto wynik z tcpdump: gist.github.com/thomas88/03acc781f45c9427863b1876c75acb4d

Thomas Obermüller