LINUX.ORG.RU
ФорумAdmin

Не работает dig TXT, dig +trace для некоторых доменов после апгрейда циска-роутера

 , ,


0

1

Всем привет! Парни, нужен коллективный разум. Жила-была сетка с кошкой ISR4451 во главе под 15-м ИОСом и все было ок, но дернул меня черт обновить кошку до 16.9.7. Во время обновления никакие аксес-листы не потерялись и не добавились, пострадал только айписек, который сюда отношения не имеет. Т.е. роутинг, аксес-листы и пр. остались прежними. НО блин началась свистопляска с резолвом ДНС на внутренних ресурсах за кошкой.

Пример ресурса. Только что засетапленная виртуалка. Настройки: 

root@oda-vm-ayakubov:~# cat /etc/resolv.conf | grep -v '^#.*'
nameserver 4.2.2.2
nameserver 8.8.8.8

root@oda-vm-ayakubov:~# ip ro
default via 172.16.0.1 dev ens160 proto static
172.16.0.0/20 dev ens160 proto kernel scope link src 172.16.0.213

root@oda-vm-ayakubov:~# netstat -i -u
Kernel Interface table
Iface      MTU    RX-OK RX-ERR RX-DRP RX-OVR    TX-OK TX-ERR TX-DRP TX-OVR Flg
ens160    1500    18474      0      0 0          5589      0      0      0 BMRU
lo       65536      382      0      0 0           382      0      0      0 LRU

root@oda-vm-ayakubov:/var/log# cat /etc/nsswitch.conf | grep hosts
hosts:          files dns
root@oda-vm-ayakubov:/var/log# nscd

Command 'nscd' not found, but can be installed with:

apt install nscd   # version 2.31-0ubuntu9.2, or
apt install unscd  # version 0.53-1build4

Суть проблемы: 

root@oda-vm-ayakubov:~# ping perkinscoie.com
PING perkinscoie.com (198.22.100.111) 56(84) bytes of data.
64 bytes from 198-22-100-111.perkinscoie.com (198.22.100.111): icmp_seq=1 ttl=243 time=45.2 ms
64 bytes from 198-22-100-111.perkinscoie.com (198.22.100.111): icmp_seq=2 ttl=243 time=45.2 ms
^C
--- perkinscoie.com ping statistics ---
2 packets transmitted, 2 received, 0% packet loss, time 1002ms
rtt min/avg/max/mdev = 45.173/45.183/45.193/0.010 ms

root@oda-vm-ayakubov:~# dig perkinscoie.com
; <<>> DiG 9.16.1-Ubuntu <<>> perkinscoie.com
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 11154
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 8192
;; QUESTION SECTION:
;perkinscoie.com.               IN      A

;; ANSWER SECTION:
perkinscoie.com.        3600    IN      A       198.22.100.111

;; Query time: 20 msec
;; SERVER: 4.2.2.2#53(4.2.2.2)
;; WHEN: Sat Jun 26 07:36:12 MST 2021
;; MSG SIZE  rcvd: 60

root@oda-vm-ayakubov:~# dig mail.ru
; <<>> DiG 9.16.1-Ubuntu <<>> mail.ru
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 34167
;; flags: qr rd ra; QUERY: 1, ANSWER: 4, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;mail.ru.                       IN      A

;; ANSWER SECTION:
mail.ru.                1       IN      A       94.100.180.200
mail.ru.                1       IN      A       217.69.139.202
mail.ru.                1       IN      A       217.69.139.200
mail.ru.                1       IN      A       94.100.180.201

;; Query time: 8 msec
;; SERVER: 4.2.2.2#53(4.2.2.2)
;; WHEN: Sat Jun 26 07:36:22 MST 2021
;; MSG SIZE  rcvd: 100

root@oda-vm-ayakubov:~# dig infusionmail.com

; <<>> DiG 9.16.1-Ubuntu <<>> infusionmail.com
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 31540
;; flags: qr rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 8192
;; QUESTION SECTION:
;infusionmail.com.              IN      A

;; ANSWER SECTION:
infusionmail.com.       300     IN      A       208.76.26.8
infusionmail.com.       300     IN      A       208.76.26.7

;; Query time: 72 msec
;; SERVER: 4.2.2.2#53(4.2.2.2)
;; WHEN: Sat Jun 26 07:36:32 MST 2021
;; MSG SIZE  rcvd: 77

root@oda-vm-ayakubov:~# dig infusionmail.com TXT

; <<>> DiG 9.16.1-Ubuntu <<>> infusionmail.com TXT
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 41805
;; flags: qr rd ra; QUERY: 1, ANSWER: 7, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 8192
;; QUESTION SECTION:
;infusionmail.com.              IN      TXT

;; ANSWER SECTION:
infusionmail.com.       300     IN      TXT     "v=spf1 a:infusionsoft.com ip4:208.76.24.0/22 ip4:35.227.130.0/24 ip4:34.82.162.0/24 -all"
infusionmail.com.       300     IN      TXT     "google-site-verification=4xQNvC13eVCQ_1x1iNzwNMWHmBVE1WpoJ-jXRSLcuzk"
infusionmail.com.       300     IN      TXT     "google-site-verification=EpUyaR22MgO7Py1LBeE_ig6Nu_NZtxRLY8rcikzKnOc"
infusionmail.com.       300     IN      TXT     "google-site-verification=TI25JngNHg9IvruHs04SSagVLYbC9d7SNhXcLPv1vCM"
infusionmail.com.       300     IN      TXT     "google-site-verification=Tm9iaFgH7tuuIPJhBhIHK_mqf-r2atSZ3xJ1kHLLcGM"
infusionmail.com.       300     IN      TXT     "google-site-verification=PSyjHBMAZTRuG6a3q1AIN72Lm83r_k9n4-hsXinb8hE"
infusionmail.com.       300     IN      TXT     "google-site-verification=8lUJ7lV0ms4uswn7007h7wpYMNtTvOgNmnfmTJ8wZnU"

;; Query time: 64 msec
;; SERVER: 4.2.2.2#53(4.2.2.2)
;; WHEN: Sat Jun 26 07:36:39 MST 2021
;; MSG SIZE  rcvd: 632

root@oda-vm-ayakubov:~# dig perkinscoie.com TXT

; <<>> DiG 9.16.1-Ubuntu <<>> perkinscoie.com TXT
;; global options: +cmd
;; connection timed out; no servers could be reached

root@oda-vm-ayakubov:~# dig k2._domainkey.infusionmail.com TXT

; <<>> DiG 9.16.1-Ubuntu <<>> k2._domainkey.infusionmail.com TXT
;; global options: +cmd
;; connection timed out; no servers could be reached

root@oda-vm-ayakubov:~# dig +trace yahoo.com

; <<>> DiG 9.16.1-Ubuntu <<>> +trace yahoo.com
;; global options: +cmd
;; connection timed out; no servers could be reached

root@oda-vm-ayakubov:~# dig +trace ya.ru

; <<>> DiG 9.16.1-Ubuntu <<>> +trace ya.ru
;; global options: +cmd
;; connection timed out; no servers could be reached

root@oda-vm-ayakubov:~# dig @8.8.8.8 +trace ya.ru

; <<>> DiG 9.16.1-Ubuntu <<>> @8.8.8.8 +trace ya.ru
; (1 server found)
;; global options: +cmd
;; connection timed out; no servers could be reached

Бог с ней с этой кошкой - я их саппорт измучал, дописали в итоге разрешения в аксес-листы для 53-го порта снаружи и обратно. Вопрос у меня такой: что такого могло измениться на кошке, что началось ВОТ ЭТО? Провайдеров обоих спросил - ни потерь, ни ошибок, ни фрагментации на интерфейсах нет. Хост чистый, ДНСы гугла, никаких внутренних ДНСов на серверах и кошке не использую. Ощущение, что трейс не может получить список рутовых ДНС, а с ТХТ я вообще не понимаю как так может быть. Буду благодарен за любые идеи на тему и пришлю любую диагнозу.


TXT может не работать из-за размера пакета (кто-то режет большие UDP-пакеты).
Там есть DNS inspection?
Попробуй по TCP (dig +tcp).

bigbit ★★★★★
()
Ответ на: комментарий от bigbit

Увы, в данном случае, но это не ASA - DNS inspection нет там. Все что есть - это банальный ресолв и все.

У меня тоже ощущение, что кошка режет пакеты, но вот что странно:

root@oda-vm-ayakubov:/var/log# dig +tcp @4.2.2.2 perkinscoie.com TXT

; <<>> DiG 9.16.1-Ubuntu <<>> +tcp @4.2.2.2 perkinscoie.com TXT
; (1 server found)
;; global options: +cmd
;; connection timed out; no servers could be reached

root@oda-vm-ayakubov:/var/log# dig @4.2.2.2 perkinscoie.com TXT

; <<>> DiG 9.16.1-Ubuntu <<>> @4.2.2.2 perkinscoie.com TXT
; (1 server found)
;; global options: +cmd
;; connection timed out; no servers could be reached

root@oda-vm-ayakubov:/var/log# dig @4.2.2.2 google.com TXT

; <<>> DiG 9.16.1-Ubuntu <<>> @4.2.2.2 google.com TXT
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 22428
;; flags: qr rd ra; QUERY: 1, ANSWER: 9, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 8192
;; QUESTION SECTION:
;google.com.                    IN      TXT

;; ANSWER SECTION:
google.com.             14      IN      TXT     "google-site-verification=wD8N7i1JTNTkezJ49swvWW48f8_9xveREV4oB-0Hf5o"
google.com.             14      IN      TXT     "docusign=05958488-4752-4ef2-95eb-aa7ba8a3bd0e"
google.com.             14      IN      TXT     "v=spf1 include:_spf.google.com ~all"
google.com.             14      IN      TXT     "globalsign-smime-dv=CDYX+XFHUw2wml6/Gb8+59BsH31KzUr6c1l2BPvqKX8="
google.com.             14      IN      TXT     "apple-domain-verification=30afIBcvSuDV2PLX"
google.com.             14      IN      TXT     "facebook-domain-verification=22rm551cu4k0ab0bxsw536tlds4h95"
google.com.             14      IN      TXT     "MS=E4A68B9AB2BB9670BCE15412F62916164C0B20BB"
google.com.             14      IN      TXT     "google-site-verification=TV9-DBe4R80X4v0M4U_bd_J9cpOJM0nikft0jAgjmsQ"
google.com.             14      IN      TXT     "docusign=1b0a6754-49b1-4db5-8540-d2c12664b289"

;; Query time: 11 msec
;; SERVER: 4.2.2.2#53(4.2.2.2)
;; WHEN: Sat Jun 26 10:59:56 MST 2021
;; MSG SIZE  rcvd: 625

С гугла-то (и не только) ТХТ записи получаются без проблем. А тут блин сразу SERVFAIL. iptables - пустой. 

 root@oda-vm-ayakubov:/var/log# iptables -L -n
Chain INPUT (policy ACCEPT) target prot opt source destination
Chain FORWARD (policy ACCEPT) target prot opt source destination
Chain OUTPUT (policy ACCEPT) target prot opt source destination

wsdx
() автор топика
Ответ на: комментарий от bigbit

Еще забыл сказать. У меня роутер в провайдеров смотрит двумя короткими /29 роутинговыми сетками и вот в одной из них у меня живет сервачок, который напрямую к провайдеру ходит - и на нем-то все хорошо, все резолвится и TXT получается. То есть явно у кошки рыльце в пуху, но с другой стороны - только часть доменов с проблемами, остальные-то, вроде гугла, нормально себя ведут. Как так может быть? От хоста тоже не зависит - этот новый тестовый уже не первый по счету.

wsdx
() автор топика
Ответ на: комментарий от bigbit

Кажется я нашел больной зуб. Если это оно канеш. Смысл такой. Сервер, который рядом с роутером в провайдера ходит пишет в dig ; EDNS: version: 0, flags:; udp: 512, а серваки внутри сети по какой-то причине делают 8192 или 4096 байта. И эти 4-8кбайт и не пролезают через кошку. Осталось понять, как это пофиксить, если это оно канеш.

wsdx
() автор топика
Ответ на: комментарий от bigbit

Мысль годная, но к сожалению к моей ситуации отношения не имеет - я проверил. Факт в том, что DNS UDP не пролезают через кошку. Какая-то фигня все же после обновления. DNSSEC опять же не работает - тоже после обновления, пришлось выключить - видимо по той же причине.

wsdx
() автор топика
Ответ на: комментарий от bigbit

Настроил на кошке DNS spoofing и сделал кошку форвардом для внутренних ДНС. И блин - заработали ТХТ. Но диг трейс все так же не работает. Cisco support предлагает DF-бит сбрасывать через роут-мап, но что-то я сомневаюсь, что это поможет. :(

wsdx
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Admin