Forum Turris
Fórum Turris Nápověda

Milí majitelé routerů Turris,

toto fórum bylo 9. 12. 2016 zmrazeno a nahrazeno naším novým Turris fórem. Ještě chvíli bude dostupné k prohlížení, ale již zde není možné přispívat. Více informací naleznete v oznámení o uzavření fóra.


Dear Turris routers users,

this forum has been frozen on Dec 9th, 2016 and replaced by our new Turris forum. It will be read-only accessible for some time after. For more information, read the announcement about closing the forum.

Nahoru Téma Majitelé routerů / Technická podpora / Nefunkčnost některých webových stránek
- - Od vasekg Dne 2014-03-31 06:20
Dobrý den, od prvního dne po zapojení Turrisu registruji nefunkčnost některých webových stránek, na které se nedá připojit.
Když jsem se první den nemohl dostat na nějaké nábožensky laděné stránky stránky, myslel jsem, že se jedná o Boží vůli, protože jsem ateista.
Jenže druhý den jsem se nemohl dostat na další weby a to si již pamatuji adresu: kissdelta.cz a hudebnimasakry.cz
Dnes ráno mi další majitel Turrisu potvrdil, že ani jemu tyto adresy nejedou. Ping na tyto adresy přitom vždy proběhne v pořádku.

Nevím, jestli mám pátrat někde v nastavení routeru, či tyto weby nejdou úmyslně, protože třeba byly vyhodnoceny jako nebezpečné, ale chtěl jsem to sem napsat dříve, že začnu pátrat sám, třeba tyto problémy potkaly i další majitele Turrisu.

s pozdravem Vašek
Nadřazený - - Od Ondřej Caletka (>>>) Dne 2014-03-31 08:30 Hlasů 3
Zdravím,

TL;DR: Vypněte ve Forisu (jednoduché webové rozhraní) v záložce DNS zatržítko „Používat forwardování“ a všechno pojede.

Tohle je příklad kombinace nevhodně nastavených domén (které používají wildcard ve stylu * CNAME @), spolu se softwarovými chybami nejpoužívanějšího nameserveru BIND (na straně vašeho ISP). Pokud DNS klient, v tomto případě Unbound v Turrisu, chce provádět validaci DNSSEC dat u záznamů syntetizovaných z žolíků (jako v tomto případě), nedostane od nadřazeného nameserveru záznam typu closest enclosure, bez kterého není možné syntetizovaný záznam validovat. Unbound proto vrátí návratový kód SERVFAIL.

O problému se v odborných kruzích ví, ale skoro nikoho netrápí, protože skoro nikdo (kromě uživatelů routerů Turris) doma DNSSEC nevaliduje (velké validující resolvery zase nepotřebují dotazy předávat dál, tak se jich problém netýká) a také v žádné jiné národní doméně neexistuje tak velké procento podepsaných zón, aby někoho problém reálně zasáhl. Nezbývá tedy než počkat, až ISC prohlásí novou verzi BINDa (která problémem netrpí) za stabilní a ISP na ni přejdou.

Kdysi jsem vytvořil syntetický test pro odhalování podobných problémů. Na stránce http://wildcarddnssec.jdem.cz/ byste měli vidět všechna políčka zeleně.

PS: Díky za příklady konkrétních domén, dlouho jsem o žádné reálné nevěděl.
Nadřazený - Od vasekg Dne 2014-03-31 08:33
Děkuji za odpověď, provedu.

V.
Nadřazený - - Od limos.mojeid.cz Dne 2014-06-11 09:10
Mne se zase stava, ze po nejake dobe unbound prestane resolvovat nejake domeny, ktere po bootu resolvoval. Nemel jsem cas to hloubeji zkoumat, ale vypadly i domeny jako google.com. Zbezny pohled do logu rika, ze unbound se snazil kontaktovat nadrazeny DNS server pomoci IPv6, ale IPv6 na wanu nemam, takze to umrelo. Budu to jeste hloubeji zkoumat. Nestava se to nekomu?
Nadřazený - Od Michal Vaner (>>) Dne 2014-06-11 11:44
Dobrý den

Teorie říká, že by nedostupnost některého ze serverů (např. toho na IPv6) neměla zamezit funkčnosti a že by se prostě měl pokusit kontaktovat jiný a navíc si zapamatovat (alespoň chvíli), že tenhle nefunguje. Ty hlášky v logu se objevují běžně a jsou víceméně neškodné (jen by prostě bylo nějaké zdržení za ten nepovedený pokus po IPv6).

Každopádně, unboundu určitě jde nastavit, aby IPv6 vůbec nepoužíval.
- - Od vasekg Dne 2014-03-31 08:44
Změnu jsem provedl, router odpověděl, že došlo k chybě. Nicméně po kontrole záložky DNS se parametr tvářil jako nezaškrtnutý, takže jsem restartoval router a hallelujah, funguje to :)

Pokud chcete zaslat to chybové hlášení, mohu vám ho poslat.

V.
Nadřazený - Od Jan Čermák (>>) Dne 2014-03-31 08:59
Počítám, že to bylo chybové hlášení Forisu (červený titulek s typem chyby a bloky se žlutým pozadím). Poprosím o zaslání na jan.cermak@nic.cz, díky.
- - Od quick Dne 2014-09-21 08:32
Dobrý den.
Několik měsíců jsem byl s Turrisem naprosto spokojen, vše fungovalo, jak má.
Z nějakého důvodu se mi přestala načítat stránka www.aliexpress.com, která dotaď fungovala normálně.
Pokud Turris obejdu (připojím se např přes mobilního operátora, nebo přímo na svého ISP před Turrisem), tak vše funguje jak má.
Zkoušel jsem i vypnout forwardování a stále se stránka neotevírá. Nevím, zda se to týká i jiných stránek.
Nepřidávali jste do pravidel firewallu něco, co by to mohla způsobit?
Tato nefunkčnost je pro mne docela kritická!
K nefunkčnosti došlo před několika dny. Nevím to přesně.
Nadřazený - - Od Mira.S Dne 2014-09-21 12:55
U mne to funguje,
zkoušel jste "LuCi"-"Síť"-"Diagnostika"-"Nslookup" jestli funguje překlad adresy na IP?
Nadřazený - - Od quick Dne 2014-09-21 14:39 Upraveno 2014-09-21 14:42
Takže na parametr www.aliexpress.com, dostanu odpověď:
nslookup: can't resolve 'www.aliexpress.com': Name or service not known

a na parametr aliexpress.com, dostanu tuto:
Name:      aliexpress.com
Address 1: 205.204.96.1

Pokud IP zadám rovnou do prohlížeče, stránka se normálně otevře.
Chyba v DNS??

WAN mám nastaveno na DHCP...

Copak to může být?
Nadřazený - - Od Mira.S Dne 2014-09-21 15:01 Upraveno 2014-09-21 15:06
U mne úplně v pohodě
Server:    127.0.0.1
Address 1: 127.0.0.1 localhost

Name:      www.aliexpress.com
Address 1: 205.204.96.1


řekl bych, že by stačilo vymazat cache v dns resolveru, ale nevím přesně jak,
tak to zkuste restartovat "LuCi"-"Systém"-"Po spuštění" a tam "dnsmasq"
Nadřazený - - Od quick Dne 2014-09-21 15:08 Upraveno 2014-09-21 15:15
Vím, že je chyba u mne. Konkrétně někde v mém Turrisu.
Potřebuji se jen dopátrat toho, kde je, jak se objevila a jak ji odstranit...

proč, když do adresy aliexpressu přidám www, obdržím chybu a bez www ne.
proč nedochází ke korektnímu překladu adresy na ip?

Při kliknutí na link na stránce aliexpress.com, na kterou jsem se dostal po zadání IP, opět chyba!
Jako by byl určitý rozsah IP v Turrisu zakázán...  :(

Nikdo jiný toto neřešil???

Reset dnsmasq nepomohl...
Nadřazený - Od quick Dne 2014-09-21 15:20
Takže teď jsem znovu spustil Forwarding a zdá se, že to začalo fungovat.
Díky za radu s resetem dns resolveru.
Napadlo mne, že resetovat resolver, s vypnutým forwardingem moc smysluplné není...
Ještě jednou díky!
Nadřazený - - Od Mira.S Dne 2014-09-21 15:40 Upraveno 2014-09-21 15:47
No tak jsem zapátral, DNS servery pro aliexpress.com
aliexpress.com  nameserver = nsp2.alibabaonline.com
aliexpress.com  nameserver = ns8.alibabaonline.com
aliexpress.com  nameserver = nshz.alibabaonline.com
aliexpress.com  nameserver = nsp.alibabaonline.com

jenže ejhle
www.aliexpress.com      canonical name = www.gds.aliexpress.com
tak jdu dále a pro gds.aliexpress.com je sada jmenných serverů tato:
gds.aliexpress.com      nameserver = gdsns1.aliexpress.com
gds.aliexpress.com      nameserver = gdsns2.aliexpress.com

OK beru a tak se zeptáme prvního z nich co má být www.gds.aliexpress.com
a odpověď
Server:  gdsns1.aliexpress.com
Addresses:  140.205.66.254, 198.11.138.254

DNS request timed out.
    timeout was 2 seconds.

To je divné jmenný server neodpovídá, buď je na indexu a nebo je něco špatně
tak zkusíme SOA záznam
gds.aliexpress.com
        primary name server = gdsns1.aliexpress.com
        responsible mail addr = hostmaster.gds.aliexpress.com
        serial  = 2014072519
        refresh = 1800 (30 mins)
        retry   = 600 (10 mins)
        expire  = 3600 (1 hour)
        default TTL = 360 (6 mins)

No a jsme doma - systémák buď právě přestavuje a nebo je zoufalec
TTL 6-minut !!! expire 1 hour !!! a pokud napsal serial dle linuxových zvyklostí
tak to tam takhle visí od 25.7.2014 (i když 19 verze za jediný den je i na mne trochu moc)

Takže závěr chtěl jsem vám poradit si do

"LuCi"-"Síť"-"DHCP a DNS" a tam je volba "Přeposílání DNS" přidat /aliexpress.com/205.204.114.4
a ještě druhý /gds.aliexpress.com/42.120.227.254
tyhle mi docela slušně odpovídají (ale ze 4 když najdu jeden je divné),

Násilné ale funkční by bylo zadat do /etc/host další řádek
s hodnotou
205.204.96.1 www.aliexpress.com
ale to snad nebude třeba.

Ještě jiná možnost svěřit se strýčkovi googlu a to přeposílání DNS hodit na něj tedy
/aliexpress.com/8.8.8.8
/gds.aliexpress.com/8.8.8.8
Nadřazený - Od Jan Čermák (>>) Dne 2014-09-22 07:46
Dvě věci - zaprvé, Vámi uváděné nastavení v LuCI nebude mít na funkci vliv, protože se jako resolver nepoužívá dnsmasq, ale Unbound, který konfigurační rozhraní v LuCI nemá. A zadruhé, obcházet chyby při překládání domén způsobem, jaký jste uvedl, je s prominutím prasárna (pro metodu s /etc/hosts bych možná našel i nějaký peprnější výraz). Vypnutí forwardingu byl správný krok, proč - o tom tu na fóru jsou už hromady diskuzí.
Nadřazený - Od Ondřej Caletka (>>>) Dne 2014-09-22 11:22

> No a jsme doma - systémák buď právě přestavuje a nebo je zoufalec
> TTL 6-minut !!! expire 1 hour !!! a pokud napsal serial dle linuxových zvyklostí
> tak to tam takhle visí od 25.7.2014 (i když 19 verze za jediný den je i na mne trochu moc)


Na takové závěry bych si netroufl. Jednak se jistě jedná o CDN, takže je logické, že TTL bude velmi krátké (není neobvyklé ani 0), jednak hodnoty refresh, retry a expire zde nejspíš nemají žádný význam, protože tahle zóna zřejmě nebude mít žádné slave servery.

K původnímu problému: Jediné, co mě napadá je, jestli náhodou IP adresy zmíněných dvou DNS serverů neskočily na nějakém blacklistě v Turrisu, nebo naopak neskončila vaše adresa Turrisu, na blacklistu u Aliexpressu. DNSSECem to nejspíš nebude, protože doména aliexpres zabezpečená není. Omezením velikosti nejspíš také ne.

Když se bude problém opakovat, můžete zkusit debugging pomocí # unbound-host -d -f /etc/unbound/root.key www.aliexpress.com. Z toho by se mohlo dát přijít na to, kde je chyba.
Nahoru Téma Majitelé routerů / Technická podpora / Nefunkčnost některých webových stránek

Powered by mwForum 2.29.3 © 1999-2013 Markus Wichitill