LINUX.ORG.RU
ФорумAdmin

При использовании dnsmasq отвалился достук к App Store у iOS клиентов

 , ,


0

1

Всем привет!

На сервере с Centos 7 уже пару лет как настроен и работает dnsmasq, но на днях стали поступать жалобы от iOS клиентов, что перестал работать App Store - при открытии приложения «Can’t connect». Другие службы/сайты и прочее работает нормально. Такое ощущения, что нормально не ресолвятся суб домены Apple. В логах на сервере вижу вот такую картину при попытке входа в App Store:

dnsmasq[8479]: query[A] api-edge.apps.apple.com from 10.8.0.4
dnsmasq[8479]: forwarded api-edge.apps.apple.com to 84.200.69.80
dnsmasq[8479]: reply api-edge.apps.apple.com is <CNAME>
dnsmasq[8479]: reply api-edge.apps-lb.itunes-apple.com.akadns.net is <CNAME>
dnsmasq[8479]: reply api-edge.apps.apple.com.edgekey.net is <CNAME>
dnsmasq[8479]: reply e673.dsce9.akamaiedge.net is 23.11.238.50
dnsmasq[8479]: query[A] api-edge.apps.apple.com from 10.8.0.4
dnsmasq[8479]: cached api-edge.apps.apple.com is <CNAME>
dnsmasq[8479]: cached api-edge.apps-lb.itunes-apple.com.akadns.net is <CNAME>
dnsmasq[8479]: cached api-edge.apps.apple.com.edgekey.net is <CNAME>
dnsmasq[8479]: cached e673.dsce9.akamaiedge.net is 23.11.238.50
dnsmasq[8479]: query[A] api-edge.apps.apple.com from 10.8.0.4
dnsmasq[8479]: cached api-edge.apps.apple.com is <CNAME>
dnsmasq[8479]: cached api-edge.apps-lb.itunes-apple.com.akadns.net is <CNAME>
dnsmasq[8479]: cached api-edge.apps.apple.com.edgekey.net is <CNAME>
dnsmasq[8479]: cached e673.dsce9.akamaiedge.net is 23.11.238.50

Кэширование убирал - та же самая картина: нет доступа к App Store.

Куда копать?

Было у меня похожее с шатерстоком, из-за того что ответ DNS не помещался в один пакет сервер отсылал его через TCP, а TCP у меня был отключен на 53 порту.

Sherman ()
Ответ на: комментарий от Sherman

Разрешил TCP на 53-м порту - без изменений: App Store не открывается.

Было:


-A INPUT -s 10.8.0.0/24 -p udp -m udp --dport 53 -j ACCEPT

Стало:


-A INPUT -s 10.8.0.0/24 -p udp -m udp --dport 53 -j ACCEPT
-A INPUT -s 10.8.0.0/24 -p tcp -m tcp --dport 53 -j ACCEPT

JohnnyW ()

Такое ощущения, что нормально не ресолвятся суб домены Apple.

Что бы не было ощущением, для начала пропишите для теста на клиенте статиком 8.8.8.8 и проверьте.

anc ★★★★★ ()
Ответ на: комментарий от anc

Тут такой момент: клиенты подключаются к серверу через openvpn, который ультимативно пушит им dhcp-option DNS 10.8.0.1 (это сервер с dnsmasq), соотвественно изменение DNS сервера на устройстве клиента не помогает. Ещё неделю назад всё было ок, приложения обновлялись, в App Store девайсы заходили. За это время в настройках сервера ничего не менялось. Стор отвалился на всех iOS девайсах.

JohnnyW ()
Ответ на: комментарий от JohnnyW

Ещё неделю назад всё было ок, приложения обновлялись, в App Store девайсы заходили.

Если у себя ничего не меняли, то возможно у меня для вас плохие новости, на 13-ю версию iOS обновился, что делать хз. Я другую проблему поймал. Тоже мучаюсь.

anc ★★★★★ ()
Ответ на: комментарий от anc

Стор отвалился у девайсов с iOS 9.3.5 - 13.1.1. Там и телефоны, и планшеты.

то возможно у меня для вас плохие новости, на 13-ю версию iOS обновился, что делать хз. Я другую проблему поймал. Тоже мучаюсь.

Можно откатиться на 12.4.1 - её ещё подписывают.

JohnnyW ()
Ответ на: комментарий от JohnnyW

Можно откатиться на 12.4.1 - её ещё подписывают.

Я не знаю где и что произошло, для меня это напоминает «шинду», хз где, хз что. Какой-то непонятный метод подбора, который в себя включает и перезагрузки. Наборы разные, например на 7-ом iphone у одного человека работает одним образом, у другого по другому. Изначально вроде был поставлен диагноз по версиям самого железа, потом пошло в разы «веселее». Уже вешаюсь с этими обновлениями.

anc ★★★★★ ()
Ответ на: комментарий от JohnnyW

У меня всё хуже, свои установленные самоподписные CA перестали работать. Схрена это даже на 12.4.1 произошло когда оно до выпуска 13.1 робило вообще не понятно. И вот чсх можно поудалять акки использующие этот CA, ребутнутся (обязательно), удалить этот профиль CA, ребутнуться (обязательно), потом все назад. И все работает, wtf так и хочется спросить? Вы не испортили сам принцип, он остался старым, можно использовать свой CA, но черт возьми какого оно просто на пустом месте перестало работать? И перестало работать на некоторых устройствах, например на старых работает, на новых поломали. А версия та же самая 12.4.1. Вообще это так... слезы... рассказывать про весь этот секас могу долго... когда удаляешь CA «он: зашибись удалили» пробуешь установить, «а он у тебя уже есть», а уж про визуализацию... когда видишь пункт профилей который в настройках начинает сам «прыгать» между пунктами то вверх то вниз та ещё песня.
«Откопайте Джобса»

anc ★★★★★ ()