Forum Turris
Fórum Turris Nápověda

Milí majitelé routerů Turris,

toto fórum bylo 9. 12. 2016 zmrazeno a nahrazeno naším novým Turris fórem. Ještě chvíli bude dostupné k prohlížení, ale již zde není možné přispívat. Více informací naleznete v oznámení o uzavření fóra.

Dear Turris routers users,

this forum has been frozen on Dec 9th, 2016 and replaced by our new Turris forum. It will be read-only accessible for some time after. For more information, read the announcement about closing the forum.

Nahoru Téma Veřejnost / Všeobecná diskuse / Nejede mi DNS
- - Od scythe Dne 2015-10-15 21:51
Dobrý den,
prosím o radu: již několik týdnů pátrám po příčině chyby u DNS - viz test.

Typ testu                       Stav
Konektivita IPv4               OK
Dostupnost IPv4 brány    OK
Konektivita IPv6               Chyba
Dostupnost IPv6 brány    Chyba
DNS                               Chyba
DNSSEC                       OK

Vyzkoušel jsem:
- zapnutí/vypnutí forwardování
- kontrola času
- DNS lokálního poskytovatele, Google i prázdné
- zkoumání problému spolu s poskytovatelem s výsledkem, že netuší kde by mohla být chyba

Stav je
- Router Asus, který doted používám při identickém nastavení IP, masky, brány a DNS funguje
- Router Turris vidí do internetu pouze pokud použiji přímo IP
- Nemohu provést registraci routeru Turris protože toto vyžaduje připojení na internet

Děkuji za každý nápad
Nadřazený - - Od Ondřej Caletka (>>>) Dne 2015-10-16 22:01
Chyba bude s největší pravděpodobností v síti ISP. Začněte tím, že vypnete forwardování. Pokračujte tím, že požádáte ISP, aby zkontroloval, že prochází udp/53 pakety beze změny a to i ve velikostech větších než 512 bajtů. Speciálně ho upozorněte, že pokud má nějaké „bezpečnostní“ zařízení Cisco, musí změnit výchozí konfiguraci.

Koukněte do logů, na co si unbound stěžuje. Váš předchozí router zcela jistě neprováděl DNSSEC validaci, takže se spokojil i s nějak zmanipulovaným obsahem DNS. Turris takovou manipulaci detekuje a nepřipustí.
Nadřazený - - Od Ronaldok Dne 2015-10-21 19:09
Mám stejný problém, uvidím co mi na to napíše ISP.
Nadřazený - Od Ronaldok Dne 2015-10-22 18:26
Tak DNS na zařízeních přes LANkabel funguje ale nefunguje na wifi zařízení, kde může být problém?
Nadřazený - - Od PabloRadegast (>) Dne 2015-10-22 07:58
Tak UPC mi odpovedelo totok:
-------------------------------------------------------------------------------------------------
Nemohu ověřit, jestli prochází UDP/53 pakety beze změny a to i ve velikostech větších než 512 bajtů . Port 53/udp máte zavřený.

nmap -p53 -sU  89.103.126.126

Starting Nmap 5.35DC1 ( http://nmap.org ) at 2015-10-19 12:51 CEST
Nmap scan report for ip-89-103-126-126.net.upcbroadband.cz (89.103.126.126)
Host is up (0.017s latency).
PORT   STATE  SERVICE
53/udp closed domain

Pokud tuto informaci chcete ověřit oproti nějakému veřejnému DNS, zkuste příkaz hping3 příklad viz níže.

hping3 -2 -p 53 -d 1024 62.24.64.2
HPING 62.24.64.2 (eth0 62.24.64.2): udp mode set, 28 headers + 1024 data bytes
len=46 ip=62.24.64.2 ttl=56 id=4858 seq=0 rtt=35.1 ms
len=46 ip=62.24.64.2 ttl=56 id=4952 seq=1 rtt=11.2 ms
len=46 ip=62.24.64.2 ttl=56 id=5033 seq=2 rtt=5.9 ms
len=46 ip=62.24.64.2 ttl=56 id=5127 seq=3 rtt=15.4 ms

UDP pakety nemusí vždy projít/vrátit se, je to dáno návrhem protokolu. Vyzkoušjte si jaká velikost paketů prochází. 512b by neměl být problém.
-------------------------------------------------------------------------------------------------
Tak nevim, jak tomu mam rozumnet. Mam je pozadat, aby mi ten port 53 otevreli? Nebo mam neco prenastavit v Turrisu?
Nadřazený - - Od Ondřej Caletka (>>>) Dne 2015-10-22 09:32
Pokud je vaším ISP společnost UPC, tak u nich téměř jistě chyba není. Manipulace s provozem se téměř vždy týkají menších společností. Nezbývá tedy, než se podívat do logu /var/log/messages, na co si unbound stěžuje.
Nadřazený - - Od PabloRadegast (>) Dne 2015-10-22 09:42
Takze z logu mohu po otestovani pripojeni v rozhrani Foris vycist toto k unboundu:

2015-10-22T10:39:14+02:00 info unbound[]: [21197:0] info: service stopped (unbound 1.5.1).
2015-10-22T10:39:14+02:00 info unbound[]: [21197:0] info: server stats for thread 0: 58 queries, 10 answers from cache, 48 recursions, 0 prefetch
2015-10-22T10:39:14+02:00 info unbound[]: [21197:0] info: server stats for thread 0: requestlist max 23 avg 5.125 exceeded 0 jostled 0
2015-10-22T10:39:14+02:00 info unbound[]: [21197:0] info: average recursion processing time 1.117449 sec
2015-10-22T10:39:14+02:00 info unbound[]: [21197:0] info: histogram of recursion processing times
2015-10-22T10:39:14+02:00 info unbound[]: [21197:0] info: [25%]=0.0172942 median[50%]=0.049152 [75%]=0.857286
2015-10-22T10:39:14+02:00 info unbound[]: [21197:0] info: lower(secs) upper(secs) recursions
2015-10-22T10:39:14+02:00 info unbound[]: [21197:0] info:    0.000000    0.000001 4
2015-10-22T10:39:14+02:00 info unbound[]: [21197:0] info:    0.008192    0.016384 6
2015-10-22T10:39:14+02:00 info unbound[]: [21197:0] info:    0.016384    0.032768 9
2015-10-22T10:39:14+02:00 info unbound[]: [21197:0] info:    0.032768    0.065536 4
2015-10-22T10:39:14+02:00 info unbound[]: [21197:0] info:    0.065536    0.131072 1
2015-10-22T10:39:14+02:00 info unbound[]: [21197:0] info:    0.131072    0.262144 3
2015-10-22T10:39:14+02:00 info unbound[]: [21197:0] info:    0.262144    0.524288 1
2015-10-22T10:39:14+02:00 info unbound[]: [21197:0] info:    0.524288    1.000000 5
2015-10-22T10:39:14+02:00 info unbound[]: [21197:0] info:    1.000000    2.000000 3
2015-10-22T10:39:14+02:00 info unbound[]: [21197:0] info:    2.000000    4.000000 3
2015-10-22T10:39:14+02:00 info unbound[]: [21197:0] info:    4.000000    8.000000 1
2015-10-22T10:39:14+02:00 info unbound[]: [21197:0] info:    8.000000   16.000000 2
2015-10-22T10:39:15+02:00 notice unbound[]: [22370:0] notice: init module 0: validator
2015-10-22T10:39:15+02:00 notice unbound[]: [22370:0] notice: init module 1: iterator
2015-10-22T10:39:15+02:00 info unbound[]: [22370:0] info: start of service (unbound 1.5.1).
2015-10-22T10:39:18+02:00 warning syslog[]: Missing message-id in rpc-reply.

A totok se mi zobrazuje pokazde, kdyz zmacknu tlacitko Otestovat pripojeni.

Pro jistotu prikladam obsah souboru /etc/config/unbound:

config unbound 'server'
  option verbosity '1'
  list interface '0.0.0.0'
  list interface '::0'
  option port '53'
  option outgoing_range '60'
  option outgoing_num_tcp '1'
  option incoming_num_tcp '1'
  option msg_buffer_size '8192'
  option msg_cache_size '100k'
  option msg_cache_slabs '1'
  option num_queries_per_thread '30'
  option rrset_cache_size '100K'
  option rrset_cache_slabs '1'
  option infra_cache_slabs '1'
  option infra_cache_numhosts '200'
  list access_control '0.0.0.0/0 allow'
  list access_control '::0/0 allow'
  option pidfile '/var/run/unbound.pid'
  option root_hints '/etc/unbound/named.cache'
  option target_fetch_policy '2 1 0 0 0'
  option harden_short_bufsize 'yes'
  option harden_large_queries 'yes'
  option auto_trust_anchor_file '/etc/unbound/root.key'
  option key_cache_size '100k'
  option key_cache_slabs '1'
  option neg_cache_size '10k'
  option prefetch 'yes'
  option prefetch_key 'yes'
  option forward_upstream '0'

config unbound 'python'

config unbound 'remote_control'
  option control_enable 'no'
  list control_interface '0.0.0.0'
  list control_interface '::0'

config unbound 'includes'
  list include_path '/etc/unbound/ad_servers.conf'
Nadřazený - - Od Ondřej Caletka (>>>) Dne 2015-10-22 15:21
Poslaný log ukazuje jen restart unbounda, žádnou chybu. Co je v souboru /etc/unbound/ad_servers.conf? Jak vypadá soubor /etc/unbound/root.key?
Nadřazený - Od PabloRadegast (>) Dne 2015-10-22 15:43
V souboru /etc/unbound/ad_servers.conf jsou blokovane reklamni servry. Tady je ukazka:

server:
local-zone: "101com.com." redirect
local-data: "101com.com. IN A 127.0.0.1"
local-zone: "101order.com." redirect
local-data: "101order.com. IN A 127.0.0.1"
local-zone: "123found.com." redirect
local-data: "123found.com. IN A 127.0.0.1"
local-zone: "123pagerank.com." redirect
local-data: "123pagerank.com. IN A 127.0.0.1"
local-zone: "180hits.de." redirect
local-data: "180hits.de. IN A 127.0.0.1"
local-zone: "180searchassistant.com." redirect
local-data: "180searchassistant.com. IN A 127.0.0.1"

Tady je obsah /etc/unbound/root.key:

; autotrust trust anchor file
;;id: . 1
;;last_queried: 1445503155 ;;Thu Oct 22 10:39:15 2015
;;last_success: 1445503155 ;;Thu Oct 22 10:39:15 2015
;;next_probe_time: 1445544126 ;;Thu Oct 22 22:02:06 2015
;;query_failed: 0
;;query_interval: 43200
;;retry_time: 8640
.  172800  IN  DNSKEY  257 3 8 AwEAAagAIKlVZrpC6Ia7gEzahOR+9W29euxhJhVVLOyQbSEW0O8gcCjFFVQUTf6v58fLjwBd0YI0EzrAcQqBGCzh/RStIoO8g0NfnfL2MTJRkxoXbfDaUeVPQuYEhg37NZWAJQ9VnMVDxP/VHL496M/QZxkjf5/Efucp2gaDX6RS6CXpoY68LsvPVjR0ZSwzz1apAzvN9dlzEheX7ICJBBtuA6G3LQpzW5hOA2hzCTMjJPJ8LbqF6dsV6DoBQzgul0sGIcGOYl7OyQdXfZ57relSQageu+ipAdTTJ25AsRTAoub8ONGcLmqrAmRLKBP1dfwhYB4N7knNnulqQxA+Uk1ihz0= ;{id = 19036 (ksk), size = 2048b} ;;state=2 [  VALID  ] ;;count=0 ;;lastchange=1440448887 ;;Mon Aug 24 22:41:27 2015
Nadřazený - - Od PabloRadegast (>) Dne 2015-10-27 12:24
Jenom pro informaci. Nejsem si jisty, cim to bylo, ale uz to funguje. Mam za to, ze to bylo nastavenim rozhrani WAN6, kde jsem mel nastaveno IPv6-over-IPv4 (6to4). Kdyz jsem to mel nastavene, tak DNS blblo, kdyz jsem to mel vypnute, tak DNS sla. Zmenil jsem to tak, ze jsem si nastavil WAN6 na IPv6-in-IPv4 (RFC4213) tunel pres Hurricane Electric a uz to fachci bez problemu.
Ale mohlo to byt cimkoliv jinym. Jenom mi to uz ted funguliruje bez problemu a jedinou zmenu jsem udelal prave v tom WAN6.
Nadřazený - Od Ondřej Caletka (>>>) Dne 2015-10-27 14:16
To je možné, že to byla příčina. 6to4 je velmi nespolehlivá služba pro získání IPv6 konektivity a s čistým svědomím ji nelze doporučit.
Nadřazený - Od scythe Dne 2015-11-30 16:04
Tak nakonec u ISP to nebylo - pomohl reset Turrisu, kdyby mě to napadlo hned, ušetřil bych pár hodin času nejen sobě
Nadřazený - Od mipi Dne 2015-11-05 22:47
stava se mi to také, jednou jsem provedl cele obnoveni, po druhe je natazení konfigurace a vse bylo ok
- - Od Bummer Dne 2015-11-05 16:53
Zdravím.

Od včerejšího výpadku elektřiny mi na Turrisu nejede DNS (po ručním nastavení DNS serverů na stanicích v síti se na web dostanu). Po pročtení tohoto příspěvku jsem zjistil, že je soubor root.key v /etc/unbound prázdný, což je předpokládám špatně. Jak ten klíč získám zpátky?

Díky,
Honza.
Nadřazený - - Od Ondřej Caletka (>>>) Dne 2015-11-05 16:56 Hlasů 1
Zapište do souboru toto:
. IN DS 19036 8 2 49AAC11D7B6F6446702E54A1607371607A1A41855200FD2CE1CDDE32F24E8FB5

Zdroj: https://www.unbound.net/documentation/howto_anchor.html
Nadřazený - - Od Bummer Dne 2015-11-06 18:58
Vřelé díky, zafungovalo to.
Nadřazený - - Od mipi Dne 2015-12-20 14:26
Ahoj, předem se omlouvám, v linuxu jsem začátečník. Mám stejný problém, opakovaně, vždy net jede ale dns ne, doteď jsem to řešil resetem nastavení, nebo resetem turrise. pokoušel jsem se podívat do toho root.key, ele nedaří se mi, dokonce mi to hlásí že /etc/unbound neexistuje. Mohl bych \\\\\vás počádat o přesné znění příkazu, jak se tam dostanu a případně jak vložit ten výše uvedený klíč?
Předem děkuji
Nadřazený - - Od mipi Dne 2015-12-21 16:02
Tak, jsem na to nepřišel :-( takže jsem přistoupil k reinstalaci Turrise. Se stejným nastavením, vše opět běželo. Tedy necelých 12h a potom opět stejný problém. DHCP nedá adresu, DNS nejede. Tak jsem se podíval přes MC do root. key a ten byl ale se záznamem (ostatní píšou, že ho mají prázdný), nicméně jsem to přepsal výše uvedeným klíčem a vše opět šlape. TO JE PRIMA, ALE CO S TÍM DÁL, přeci to nebudu každý den přepisovat, napadá Vás něco?
Díky
Nadřazený - - Od mipi Dne 2015-12-25 17:34
Tak vidím že jsem tu sám a píšu si deníček :fat:
Poslední oprava proběhla úspěšně a vydržela asi půl dne. dnes další přepsání /etc/unbound/root.key a vše jede  opět dál. Prosím Vás o pomoc co s tím. U CZ.NIC jsem už na 35% s výpadky.
Nadřazený - - Od Václav Pávek (>) Dne 2015-12-25 20:46
Pokud máš IPv4 konektivitu tak zkus vypnout přes Luci WAN6 (Síť -> Rozhraní -> WAN6 + vypnout).
Nadřazený - - Od mipi Dne 2015-12-25 21:08
Ano mám IP4, IP6 jen ve vnitřní síti. Děkuji za radu, vyzkouším :-)
Nadřazený - Od mipi Dne 2016-01-10 14:57
Tak, rada vypnout IP6, pomohla na 14 dní, nyní opět DNS nefunkční a musím provést úkon znovu. Napadá někoho něco?
Děkuji
- - Od Ronaldok Dne 2015-11-16 09:27
Zničeho nic od 15.11 od cca 1 hodiny vecerní se neodesílají data. Router sem zkusil restartovat ale nic. Změny v nastavení se neprováděli. Není výpadek serverů než se začnu koukat do nastavení co se kde stalo? Net na PC bez rpoblému. Test DNS neprojde. Díky za info
Nadřazený - Od Bummer Dne 2015-11-16 19:51
Mrkněte do mého příspěvku nad Vaším, zda nemáte také prázdný soubor /etc/unbound/root.key.
Nahoru Téma Veřejnost / Všeobecná diskuse / Nejede mi DNS

Powered by mwForum 2.29.3 © 1999-2013 Markus Wichitill