bugblatterbeast
Anmeldungsdatum: 30. Januar 2008
Beiträge: 457
|
Meine Test-Container haben Einträge in meinem lokalen DNS Server. Der Grund dafür ist, dass ich immer wieder neue Subdomains für unterschiedliche Tests anlegen muss und /etc/hosts keine Wildcards akzeptiert aber mein lokaler Bind Server schon. Immer wenn ich nach einem Neustart meiner Workstation einen der Container starte, habe ich (erst seit ein paar Wochen - der Zeitpunkt ist leider nicht genauer eingrenzbar) für eine Weile folgendes Problem: 1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32 | $ sudo lxc-start testserver1
$ ssh root@testserver1.local-net
ssh: Could not resolve hostname testserver1.local-net: No address associated with hostname
$ nslookup testserver1.local-net
Server: 127.0.0.53
Address: 127.0.0.53#53
Non-authoritative answer:
*** Can't find testserver1.local-net: No answer
$ nmcli device show enp6s0 | grep IP4.DNS
IP4.DNS[1]: 192.168.1.1
$ dig testserver1.local-net @192.168.1.1
; <<>> DiG 9.18.18-0ubuntu0.22.04.1-Ubuntu <<>> testserver1.local-net @192.168.1.1
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 3602
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;testserver1.local-net. IN A
;; ANSWER SECTION:
testserver1.local-net. 604772 IN A 10.0.3.67
;; Query time: 8 msec
;; SERVER: 192.168.1.1#53(192.168.1.1) (UDP)
;; WHEN: Mon Dec 04 19:26:18 CET 2023
;; MSG SIZE rcvd: 58
|
Dieser Zustand hält für eine Weile an und nach ein paar Minuten funktioniert dann alles und ich kann von der Workstation aus auf den Container zugreifen. Es erholt sich aber nur dann, wenn man die Adresse auch abfragt. Der Befehl scheint keinen Einfluss auf das Problem zu haben. Zumindest geht es nicht schneller, wenn ich es damit versuche. Das klingt jetzt natürlich nicht wirklich dramatisch und man kann so weit erst mal gut damit leben für einen Moment zu warten, bis der Container erreichbar ist. Das Problem ist aber, dass es für jede einzelne Sub-Domain das gleiche ist. Wenn man eine Sub-Domain nach dem Start der Workstation und des betreffenden Containers zum ersten Mal abfragt scheitert die lokale DNS-Auflösung obwohl der zuständige DNS-Server die Subdomain korrekt auflöst und erst nach ein paar Minuten funktioniert es dann. Gruß
|
DJKUhpisse
Supporter, Wikiteam
Anmeldungsdatum: 18. Oktober 2016
Beiträge: 17665
Wohnort: in deinem Browser, hier auf dem Bildschirm
|
Läuft auf dem gleiche Rechner BIND und systemd-resolve?
|
bugblatterbeast
(Themenstarter)
Anmeldungsdatum: 30. Januar 2008
Beiträge: 457
|
WICHTIGER HINWEIS: Ich habe seit ein paar Wochen eine neue FritzBox (7490) und die Dinger stellen sich wirklich ganz schön an, was die Auflösung lokaler Adressen betrifft. Es sieht zwar auf den ersten Blick nicht so aus, würde mich aber nicht wundern wenn das Problem damit zu tun hätte. Die FritzBox ist für das Netzwerk Router, DHCP und DNS-Server. Die FritzBox selbst bezieht aber nicht den DNS des Providers sondern greift auf einen lokalen PI-Hole zu, der wiederum primär auf meinen BIND und sekundär auf öffentliche DNS-Server zugreift. Wenn Ihr jetzt wegen dieser komplizierten DNS-Konfiguration die Hände über dem Kopf zusammenschlagt kann ich das gut verstehen. Das Problem ist aber leider folgendes: Jedes mal wenn ich versucht habe das eleganter zu lösen und z.B. den Lokalen DNS-Server per DHCP an die Clients zu verteilen, dann hat die FritzBox immer wieder aus Angst vor DNS-Rebind einen Herzinfarkt bekommen, wenn ich eine lokale Adresse aufgerufen habe. Immer wenn ich die DNS-Auflösung mit dig teste funktioniert auch alles. In der Praxis gibt es aber das oben beschriebene Problem.
|
bugblatterbeast
(Themenstarter)
Anmeldungsdatum: 30. Januar 2008
Beiträge: 457
|
DJKUhpisse schrieb: Läuft auf dem gleiche Rechner BIND und systemd-resolve?
Nein, Bind läuft auf einem pi
|
DJKUhpisse
Supporter, Wikiteam
Anmeldungsdatum: 18. Oktober 2016
Beiträge: 17665
Wohnort: in deinem Browser, hier auf dem Bildschirm
|
Zeige auf dem Problem-PC resolvectl
cat /etc/hosts
cat /etc/nsswitch.conf
cat /etc/resolv.conf
|
bugblatterbeast
(Themenstarter)
Anmeldungsdatum: 30. Januar 2008
Beiträge: 457
|
gerne resolvectl
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27 | $ resolvectl
Global
Protocols: -LLMNR -mDNS -DNSOverTLS DNSSEC=no/unsupported
resolv.conf mode: stub
Link 2 (enp6s0)
Current Scopes: DNS
Protocols: +DefaultRoute +LLMNR -mDNS -DNSOverTLS DNSSEC=no/unsupported
Current DNS Server: fd00::eadf:70ff:fe2c:3639
DNS Servers: 192.168.1.1 fd00::eadf:70ff:fe2c:3639 2003:ca:bf36:5d00:eadf:70ff:fe2c:3639
DNS Domain: fritz.box
Link 3 (wlp5s0)
Current Scopes: none
Protocols: -DefaultRoute +LLMNR -mDNS -DNSOverTLS DNSSEC=no/unsupported
Link 4 (lxcbr0)
Current Scopes: none
Protocols: -DefaultRoute +LLMNR -mDNS -DNSOverTLS DNSSEC=no/unsupported
Link 5 (docker0)
Current Scopes: none
Protocols: -DefaultRoute +LLMNR -mDNS -DNSOverTLS DNSSEC=no/unsupported
Link 8 (vethZYZ3LK)
Current Scopes: none
Protocols: -DefaultRoute +LLMNR -mDNS -DNSOverTLS DNSSEC=no/unsupported
|
/etc/hosts
| $ cat /etc/hosts
127.0.0.1 localhost
127.0.1.1 yessir-icanboogie
# The following lines are desirable for IPv6 capable hosts
::1 ip6-localhost ip6-loopback
fe00::0 ip6-localnet
ff00::0 ip6-mcastprefix
ff02::1 ip6-allnodes
ff02::2 ip6-allrouters
|
/etc/nsswitch.conf
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21 | $ cat /etc/nsswitch.conf
# /etc/nsswitch.conf
#
# Example configuration of GNU Name Service Switch functionality.
# If you have the `glibc-doc-reference' and `info' packages installed, try:
# `info libc "Name Service Switch"' for information about this file.
passwd: files systemd
group: files systemd
shadow: files
gshadow: files
hosts: files mdns4_minimal [NOTFOUND=return] dns
networks: files
protocols: db files
services: db files
ethers: db files
rpc: db files
netgroup: nis
|
/etc/resolv.conf
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24 | $ cat /etc/resolv.conf
# This is /run/systemd/resolve/stub-resolv.conf managed by man:systemd-resolved(8).
# Do not edit.
#
# This file might be symlinked as /etc/resolv.conf. If you're looking at
# /etc/resolv.conf and seeing this text, you have followed the symlink.
#
# This is a dynamic resolv.conf file for connecting local clients to the
# internal DNS stub resolver of systemd-resolved. This file lists all
# configured search domains.
#
# Run "resolvectl status" to see details about the uplink DNS servers
# currently in use.
#
# Third party programs should typically not access this file directly, but only
# through the symlink at /etc/resolv.conf. To manage man:resolv.conf(5) in a
# different way, replace this symlink by a static file or a different symlink.
#
# See man:systemd-resolved.service(8) for details about the supported modes of
# operation for /etc/resolv.conf.
nameserver 127.0.0.53
options edns0 trust-ad
search fritz.box
|
|
DJKUhpisse
Supporter, Wikiteam
Anmeldungsdatum: 18. Oktober 2016
Beiträge: 17665
Wohnort: in deinem Browser, hier auf dem Bildschirm
|
DNS Servers: 192.168.1.1 fd00::eadf:70ff:fe2c:3639 2003:ca:bf36:5d00:eadf:70ff:fe2c:3639
Woher kommt der Letztere?
Wenn der befragt wird, wird dein DNS umgangen. Da systemd-resolve zufällig wählt, passiert das nur manchmal. Wireshark anschmeißen, mitschneiden und nach icmpv6 filtern und die Router-Advertisements angucken. Kommt der von da?
|
bugblatterbeast
(Themenstarter)
Anmeldungsdatum: 30. Januar 2008
Beiträge: 457
|
DJKUhpisse schrieb: DNS Servers: 192.168.1.1 fd00::eadf:70ff:fe2c:3639 2003:ca:bf36:5d00:eadf:70ff:fe2c:3639
Woher kommt der Letztere?
Die kommen alle drei über DHCP von der Fritzbox und sind alle auch Adressen der Fritzbox. Dass da an dritter Stelle auch die globale Adresse propagiert wird ist mir noch nie aufgefallen. Die Einstellungen wurden von der alten FritzBox exportiert und auf die neue importiert. Ich vermute, dass das vorher auch schon so war. Kann es aber nicht mit Sicherheit sagen. Als erstes werde ich mal die FritzBox Option "DNSv6-Server im Heimnetz" deaktivieren, weil ich keine Idee habe, wofür ich die brauchen könnte.
|
lubux
Anmeldungsdatum: 21. November 2012
Beiträge: 13938
|
bugblatterbeast schrieb: DJKUhpisse schrieb: DNS Servers: 192.168.1.1 fd00::eadf:70ff:fe2c:3639 2003:ca:bf36:5d00:eadf:70ff:fe2c:3639
Woher kommt der Letztere?
Die kommen alle drei über DHCP von der Fritzbox und sind alle auch Adressen der Fritzbox. Dass da an dritter Stelle auch die globale Adresse propagiert wird ist mir noch nie aufgefallen.
Teste mal im W/LAN der FritzBox mit:
dig -6 a heise.de +short @fd00::eadf:70ff:fe2c:3639
dig -6 a ulm.de +short @2003:ca:bf36:5d00:eadf:70ff:fe2c:3639
?
|
bugblatterbeast
(Themenstarter)
Anmeldungsdatum: 30. Januar 2008
Beiträge: 457
|
Ich habe jetzt die Option "DNSv6-Server im Heimnetz" deaktiviert und mich außerdem entschieden es noch mal zu probieren, mit der FritzBox über DHCP den lokalen DNS-Server zu propagieren. Habe mir gerade eine neue Lease geholt. 1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27 | $ resolvectl
Global
Protocols: -LLMNR -mDNS -DNSOverTLS DNSSEC=no/unsupported
resolv.conf mode: stub
Link 2 (enp6s0)
Current Scopes: DNS
Protocols: +DefaultRoute +LLMNR -mDNS -DNSOverTLS DNSSEC=no/unsupported
Current DNS Server: 192.168.1.53
DNS Servers: 192.168.1.53
DNS Domain: fritz.box
Link 3 (wlp5s0)
Current Scopes: none
Protocols: -DefaultRoute +LLMNR -mDNS -DNSOverTLS DNSSEC=no/unsupported
Link 4 (lxcbr0)
Current Scopes: none
Protocols: -DefaultRoute +LLMNR -mDNS -DNSOverTLS DNSSEC=no/unsupported
Link 5 (docker0)
Current Scopes: none
Protocols: -DefaultRoute +LLMNR -mDNS -DNSOverTLS DNSSEC=no/unsupported
Link 9 (vethmkLwwq)
Current Scopes: none
Protocols: -DefaultRoute +LLMNR -mDNS -DNSOverTLS DNSSEC=no/unsupported
|
Zunächst fällt sofort folgendes auf: Egal welche ausgefallene Subdomain ich mir im Wildcard-Bereich ausdenke ("asdf12345.testserver1.local-net"), ich bekomme sofort die richtige Adresse aufgelöst. Mal schauen, ob mich die FritzBox auch mit ihrem DNS-Rebind-Schutz in Ruhe lässt, wenn ich jetzt auf meinen lokalen Servern arbeite.
|
bugblatterbeast
(Themenstarter)
Anmeldungsdatum: 30. Januar 2008
Beiträge: 457
|
lubux schrieb: Teste mal im W/LAN der FritzBox mit:
dig -6 a heise.de +short @fd00::eadf:70ff:fe2c:3639
dig -6 a ulm.de +short @2003:ca:bf36:5d00:eadf:70ff:fe2c:3639
| $ dig -6 a heise.de +short @fd00::eadf:70ff:fe2c:3639
193.99.144.80
$ dig -6 a ulm.de +short @2003:ca:bf36:5d00:eadf:70ff:fe2c:3639
13.69.68.7
|
Gruß
|
lubux
Anmeldungsdatum: 21. November 2012
Beiträge: 13938
|
bugblatterbeast schrieb: $ dig -6 a ulm.de +short @2003:ca:bf36:5d00:eadf:70ff:fe2c:3639
13.69.68.7
Das ist auch meine Erfahrung, es gibt kein Problem mit der globalen IPv6-Adresse der FritzBox in ihrem W/LAN. Sie muss aber im neighbor-cache der Clients drin sein. Siehe:
ip -6 neighbor show
|
bugblatterbeast
(Themenstarter)
Anmeldungsdatum: 30. Januar 2008
Beiträge: 457
|
lubux schrieb: Das ist auch meine Erfahrung, es gibt kein Problem mit der globalen IPv6-Adresse der FritzBox in ihrem W/LAN. Sie muss aber im neighbor-cache der Clients drin sein. Siehe:
ip -6 neighbor show
| $ ip -6 neighbor show
fe80::eadf:70ff:fe2c:3639 dev enp6s0 lladdr e8:df:70:2c:36:39 router REACHABLE
2003:ca:bf36:5d00:eadf:70ff:fe2c:3639 dev enp6s0 lladdr e8:df:70:2c:36:39 router STALE
|
|
bugblatterbeast
(Themenstarter)
Anmeldungsdatum: 30. Januar 2008
Beiträge: 457
|
Auch nach meinen Änderungen an den DHCP-Einstellungen (Umstellung des DNS-Servers auf den lokalen DNS-Server 192.168.1.53) und Beziehen einer neuen Lease habe ich leider immer noch das gleiche Problem. | $ dig +short fileserver2
$ dig +short fileserver2 @192.168.1.53
192.168.1.52
|
EDIT:
Kann es sein, dass diese Beobachtung jetzt mit der von der FritzBox festgelegten Search Domain zusammenhängt?
| $ nslookup fileserver2
Server: 127.0.0.53
Address: 127.0.0.53#53
Non-authoritative answer:
Name: fileserver2.fritz.box
Address: 192.168.1.52
|
Ich kann anscheinend ganz normal auf den Ersatz-Fileserver zugreifen.
|
lubux
Anmeldungsdatum: 21. November 2012
Beiträge: 13938
|
bugblatterbeast schrieb: Kann es sein, dass diese Beobachtung jetzt mit der von der FritzBox festgelegten Search Domain zusammenhängt?
Was genau meinst Du damit? ... welche Beobachtung?
Wie ist die Ausgabe von:
cat /etc/systemd/resolved.conf
?
|