19
DNS: Query refused?
Hallo
Eine Bitte an die DNS Experten. Ein- / ausschliessen oder Out of the Box Ansätze etc.
Das ist der Sachverhalt:
open.hpi.de wurde von einem DNS Server nicht gefunden.
Die Anfrage wurde verworfen
Hintergrund
Der DNS Server (Linux) ist privat, läuft in einem Rechenzentrum und wird von eine Gruppe IT Experten in Ihrer Freizeit betreut. Der DNS Experte der Gruppe hat die Logfiles geprüft und er hat keine Information gefunden.
Wenn ein DNS Server eine Anfrage nicht beantworteten kann, dann wird sie nach oben weiter gereicht. Diese wurde verworfen.
Grösseres Bild
Seit zirka 72 Stunden konnte ich über diese DNS Resolver diese Website auf keinem der Geräte mehr aufrufen.
Als ich gestern die Resolver aus der DNS Konfiguration des Routers entfernte, ging es wieder. Heute morgen habe ich einen Test mit nslookup gemacht. Davon stammt dieser Screenshot.
Wenn ich mich über den VPN Server des Vereines verbinde, dann kann ich Domain auflösen:
In diesem LAN hat es keine komplexen Elemente wie andere Server, Firewalls, etc. IPv6 wird nicht genutzt. Ist jedoch nicht konsequent an allen Orten deaktiviert.
Es ist kein echtes Problem, weil ich über andere DNS Server gehen kann. Aber ich sehe es als Möglichkeit, etwas tiefer in die Thematik DNS einzusteigen.
Danke / Grüsse
Edit1: VPN Aspekt eingefügt
Eine Bitte an die DNS Experten. Ein- / ausschliessen oder Out of the Box Ansätze etc.
Das ist der Sachverhalt:
open.hpi.de wurde von einem DNS Server nicht gefunden.
Die Anfrage wurde verworfen
Hintergrund
Der DNS Server (Linux) ist privat, läuft in einem Rechenzentrum und wird von eine Gruppe IT Experten in Ihrer Freizeit betreut. Der DNS Experte der Gruppe hat die Logfiles geprüft und er hat keine Information gefunden.
Wenn ein DNS Server eine Anfrage nicht beantworteten kann, dann wird sie nach oben weiter gereicht. Diese wurde verworfen.
Grösseres Bild
Seit zirka 72 Stunden konnte ich über diese DNS Resolver diese Website auf keinem der Geräte mehr aufrufen.
Als ich gestern die Resolver aus der DNS Konfiguration des Routers entfernte, ging es wieder. Heute morgen habe ich einen Test mit nslookup gemacht. Davon stammt dieser Screenshot.
Wenn ich mich über den VPN Server des Vereines verbinde, dann kann ich Domain auflösen:
In diesem LAN hat es keine komplexen Elemente wie andere Server, Firewalls, etc. IPv6 wird nicht genutzt. Ist jedoch nicht konsequent an allen Orten deaktiviert.
Es ist kein echtes Problem, weil ich über andere DNS Server gehen kann. Aber ich sehe es als Möglichkeit, etwas tiefer in die Thematik DNS einzusteigen.
Danke / Grüsse
Edit1: VPN Aspekt eingefügt
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 7715346008
Url: https://administrator.de/contentid/7715346008
Printed on: April 30, 2024 at 15:04 o'clock
19 Comments
Latest comment
Moin,
der DNS Resolver blockt Anfragen aus deinem IP Subnetz, Stichwort ACL.
Ohne die Konfiguration des DNS-Servers wird das ein Ratespiel als eine qualifizierter Beitrag.
Gruß,
Dani
der DNS Resolver blockt Anfragen aus deinem IP Subnetz, Stichwort ACL.
Ohne die Konfiguration des DNS-Servers wird das ein Ratespiel als eine qualifizierter Beitrag.
Gruß,
Dani
Hallo Dani
Leider nein. Nur diese Domain wird geblockt
Alle anderen DNS Querys wurden auf mehreren Geräten beantwortet.
Zweitens hätte das der Admin in den Logs des DNS Servers gesehen.
Und diese Person arbeitet an jedem Tag im Jahr mit 100% Fokus und jahrzehntelanger Erfahrung.
Beste Grüsse
Leider nein. Nur diese Domain wird geblockt
Alle anderen DNS Querys wurden auf mehreren Geräten beantwortet.
Zweitens hätte das der Admin in den Logs des DNS Servers gesehen.
Und diese Person arbeitet an jedem Tag im Jahr mit 100% Fokus und jahrzehntelanger Erfahrung.
Beste Grüsse
Zitat von @PeterGyger:
Und diese Person arbeitet an jedem Tag im Jahr mit 100% Fokus und jahrzehntelanger Erfahrung.
Und wieso kann dir diese Person dann nicht sagen was Sache ist, wenn sie angeblich sooooooo Kompetent ist ?? Und diese Person arbeitet an jedem Tag im Jahr mit 100% Fokus und jahrzehntelanger Erfahrung.
.Wenn ein traceroute bis an den DNS-Resolver kommt und Port 53UDP/TCP auf der Strecke nicht geblockt werden, und dieser dir dann verbietet Anfragen für diese Domain zu stellen, dann ist das sein Bier. Wireshark zeigt es dir!
Und ein Resolver kann auch je nach Absender-Adresse / Subnetz verschiedene "Views" ausliefern, also je nach Quelle unterschiedliche Ergebnisse liefern.
Btw. wenn man mit nslookup hantiert sollte man Best-Practice immer einen Punkt an das Ende der TLD setzen, sonst probiert nslookup mehrere Domains durch, auch mit angehängtem primärem DNS-Suffix des Rechners!
Zeppel
2
Hallo zeppel
Das mit dem Punkt habe ich vergessen! Einfach zu wenig Zeit um regelmässig damit zu hantieren.
Wireshark ist das nächste was ich vorhabe. Vielleicht schaffe ich es heute noch
Traceroute / tracert prüfen ich dann auch gleich.
Hast Du eine Fachmeinung, wieso es bei einer VPN Verbindung mit dem Server klappt?
Das spricht ja grundsätzlich für die ACL These, die Daniel vorhin geäussert hat.
Danke Dir für die Hinweise und Argumente
Beste Grüsse
Das mit dem Punkt habe ich vergessen! Einfach zu wenig Zeit um regelmässig damit zu hantieren.
Wireshark ist das nächste was ich vorhabe. Vielleicht schaffe ich es heute noch
Traceroute / tracert prüfen ich dann auch gleich.
Hast Du eine Fachmeinung, wieso es bei einer VPN Verbindung mit dem Server klappt?
Das spricht ja grundsätzlich für die ACL These, die Daniel vorhin geäussert hat.
Danke Dir für die Hinweise und Argumente
Beste Grüsse
Zitat von @PeterGyger:
Hast Du eine Fachmeinung, wieso es bei einer VPN Verbindung mit dem Server klappt?
Das spricht ja grundsätzlich für die ACL These, die Daniel vorhin geäussert hat.
Ja, ein Resolver kann ja je nach Absender-Adresse / Subnetz verschiedene "Views" ausliefern, also je nach Quelle unterschiedliche Ergebnisse liefern oder auch verbieten.Hast Du eine Fachmeinung, wieso es bei einer VPN Verbindung mit dem Server klappt?
Das spricht ja grundsätzlich für die ACL These, die Daniel vorhin geäussert hat.
Oder deine IP hat zu viele Anfragen an den Resolver abgefeuert so das dieser nun Anfragen an diese Domain blockt, evt. läuft da ein DDoS Filter.
2
Hallo Zeppel
Resolver - Views
Hast Du mir da ein paar Fachbegriffe, dass ich in den Büchern / Web nachlesen kann? Oder geht es hier auch um ACL
"IP und zu viele Anfragen"
Unlogisch bzw. kann nicht sein. Es sind mehrere Endgeräte die über diesen Resolver gehen.
Sie schicken unterschiedliche DNSs Request ab. Nur diese TLD wurde zeitgleich auf allen Geräten nicht korrekt beantwortet. Vor zirka 3 Tagen.
Das spricht für mich eher für ein Grey / Blacklistening oder ACL
Da fällt mir gerade auf, dass ich in der Frage am Anfang nicht alle Details genannt habe. Die Website konnte aufgerufen werden. Jedoch wurde mitgeteilt, dass der Server down sei:
Was nicht stimmte, da ich an anderen Standorten Zugriff hatte. Leider dachte ich auch nicht daran, über das mobile IP Netz zu testen.
Beste Grüsse
Resolver - Views
Hast Du mir da ein paar Fachbegriffe, dass ich in den Büchern / Web nachlesen kann? Oder geht es hier auch um ACL
"IP und zu viele Anfragen"
Unlogisch bzw. kann nicht sein. Es sind mehrere Endgeräte die über diesen Resolver gehen.
Sie schicken unterschiedliche DNSs Request ab. Nur diese TLD wurde zeitgleich auf allen Geräten nicht korrekt beantwortet. Vor zirka 3 Tagen.
Das spricht für mich eher für ein Grey / Blacklistening oder ACL
Da fällt mir gerade auf, dass ich in der Frage am Anfang nicht alle Details genannt habe. Die Website konnte aufgerufen werden. Jedoch wurde mitgeteilt, dass der Server down sei:
Was nicht stimmte, da ich an anderen Standorten Zugriff hatte. Leider dachte ich auch nicht daran, über das mobile IP Netz zu testen.
Beste Grüsse
Hallo,
In der Dokumentation zu bind:
https://kb.isc.org/docs/aa-01031 findest du Alles zu DNS. Ist aber leider unübersichtlich.
Grüße
lcer
In der Dokumentation zu bind:
https://kb.isc.org/docs/aa-01031 findest du Alles zu DNS. Ist aber leider unübersichtlich.
Grüße
lcer
1
Wenn ich mich über den VPN Server des Vereines verbinde, dann kann ich Domain auflösen:
Bestätigt dann aber eher @Dani 's Theorie das DNS Zugriffe auf den Servern von fremden IP Netzen geblockt sind. Frag die erfahrene Admin "Person"!Wireshark ist dein bester Freund und dig ist sicher auch einen Test wert...
"IP und zu viele Anfragen"
War sicher so gemeint das pro Zeitfenster zuviele DNS Requests kommen und die spezifische IP dann wegen DDoS Verdacht geblockt wird.Zitat von @lcer00:
Hallo,
In der Dokumentation zu bind:
https://kb.isc.org/docs/aa-01031 findest du Alles zu DNS. Ist aber leider unübersichtlich.
Grüße
lcer
Hallo,
In der Dokumentation zu bind:
https://kb.isc.org/docs/aa-01031 findest du Alles zu DNS. Ist aber leider unübersichtlich.
Grüße
lcer
Hallo Icer
Das erinnert mich an die Anfänge mit Powershell, wo die Reference über mehrere MSDN Sites verstreut war.
Aber die Suchfunktion hat mich bereits zu einem Einstieg geführt.
Besten Dank!
Beste Grüsse
Hallo
Ich habe gerade mehrere Seiten zu Bind und named.conf gelesen
U.a. diese
Im (älteren) O'Reilly Buch zu [docstore.mik.ua/orelly/networking_2ndEd/dns/ch12_07.htm BIND ]steht im Kapitel diese Aussage:
This one has two possible causes. Either your name server does not support inverse queries (older nslookup s only) or an access list is preventing the lookup.
D.h. die Ursache war eine ACL - wie Daniel geschrieben hat.
Warum plötzlich eine Access Liste in Bind aktiv wurde und nach dem löschen der DNS Konfiguration im Router alles wieder OK war, lässt sich nicht mehr herleiten - IMHO
Fall geschlossen
Danke an alle
Beste Grüsse
Ich habe gerade mehrere Seiten zu Bind und named.conf gelesen
U.a. diese
Im (älteren) O'Reilly Buch zu [docstore.mik.ua/orelly/networking_2ndEd/dns/ch12_07.htm BIND ]steht im Kapitel diese Aussage:
This one has two possible causes. Either your name server does not support inverse queries (older nslookup s only) or an access list is preventing the lookup.
D.h. die Ursache war eine ACL - wie Daniel geschrieben hat.
Warum plötzlich eine Access Liste in Bind aktiv wurde und nach dem löschen der DNS Konfiguration im Router alles wieder OK war, lässt sich nicht mehr herleiten - IMHO
Fall geschlossen
Danke an alle
Beste Grüsse
1
Moin,
Gruß,
Dani
Warum plötzlich eine Access Liste in Bind aktiv wurde und nach dem löschen der DNS Konfiguration im Router alles wieder OK war, lässt sich nicht mehr herleiten - IMHO
ich weiß schon warum wir bei uns alle Konfigurationsänderungen aufzeichnen und via GIT versionieren. Damit waren wir auch ein paar Experten los...Gruß,
Dani
1
Hallo Dani
Das ist sicher eine "Best Practice".
Andererseits werden wir durch generative KI einige Experten ersetzen können. Trouble Shooting wird uns erhalten bleiben, da Komplexität bzw. das Wirkungsgefüge schwer abzuschätzen sind.
Da wir uns nicht kennen ist es natürlich schwierig einzuschätzen, wie kritisch ich mit dem Begriff "Experten" umgehe.
Als Beispiel habe ich ChatGPT nach den Details einer naemd.conf.options Datei gefragt
Beste Grüsse
Das ist sicher eine "Best Practice".
Andererseits werden wir durch generative KI einige Experten ersetzen können. Trouble Shooting wird uns erhalten bleiben, da Komplexität bzw. das Wirkungsgefüge schwer abzuschätzen sind.
Da wir uns nicht kennen ist es natürlich schwierig einzuschätzen, wie kritisch ich mit dem Begriff "Experten" umgehe.
Als Beispiel habe ich ChatGPT nach den Details einer naemd.conf.options Datei gefragt
In dieser `named.conf.options` Datei wird die Konfiguration für den BIND DNS-Server festgelegt. Hier sind einige der wichtigsten Optionen, die in dieser Datei konfiguriert wurden:
- `directory "/var/cache/bind";` gibt das Arbeitsverzeichnis für BIND an.
- `recursion yes;` aktiviert rekursive Abfragen.
- `allow-recursion { trusted; };` erlaubt rekursive Abfragen von "vertrauenswürdigen" Clients.
- `listen-on { 10.128.10.11; };` gibt an, dass BIND nur auf der privaten IP-Adresse 10.128.10.11 lauschen soll.
- `allow-transfer { none; };` deaktiviert Zonentransfers standardmäßig.
- `forwarders { 8.8.8.8; 8.8.4.4; };` gibt an, dass Anfragen, die nicht von BIND beantwortet werden können, an die DNS-Server 8.8.8.8 und 8.8.4.4 weitergeleitet werden.Beste Grüsse
Und als Forwarder dann wieder Googles Schnüffel- und Schnorchelserver. Ein Schelm wer Böses dabei denkt. "Generative KI" eben... 
1Als Beispiel habe ich ChatGPT nach den Details einer naemd.conf.options Datei gefragt
Autsch da muss man gar nicht erst weiterlesen ...Andererseits werden wir durch generative KI einige Experten ersetzen können
Da sind die Katastrophen jetzt schon vorprogrammiert, wenn da niemand mehr sitzt der die Sachen vernünftig interpretieren kann. 👎2
Guten Morgen
Ihr habt Recht. Ihr seid wahrscheinlich so ziemlich die letzte Generation die noch jedes Detail auswendig konfigurieren kann. Mit Google hat es angefangen und die generative KI besorgt den Rest...
Wenn man die automatische Rechtschreibekorrektur ausschaltet, können viele keine fehlerfreie A4 Seite schreiben.
Lastwagen folgen dem NAVI auf einen Bergpfad, wo nachher ein Helikopter sie rausholen muss.
Oder die Neulenker. Wer kann noch schalten, seitlich parkieren, mit Anhänger rückwärts einparkieren, das Fahrzeug mit der Handbremse um 180% Grad drehen, etc.?
Hier ein Szenario betreffend der aktuellen Entwicklung mit OpenSource Modellen und Agenten.
Ich bin offen und kritisch. Ich beobachte die Entwicklung, nutze die Potentiale und lerne von jedem und allem der mich in der Praxis überzeugt.
Dieses Forum hat ein geballtes Know How, wie ich es nur von Stack Overflow kenne. Ich wünsche mir sehr, dass Ihr nie in Rente geht... 🤗 🤩 🤣
Vielen Dank für all das was ich bereits von Euch lernen konnte
Beste Grüsse
Ihr habt Recht. Ihr seid wahrscheinlich so ziemlich die letzte Generation die noch jedes Detail auswendig konfigurieren kann. Mit Google hat es angefangen und die generative KI besorgt den Rest...
Wenn man die automatische Rechtschreibekorrektur ausschaltet, können viele keine fehlerfreie A4 Seite schreiben.
Lastwagen folgen dem NAVI auf einen Bergpfad, wo nachher ein Helikopter sie rausholen muss.
Oder die Neulenker. Wer kann noch schalten, seitlich parkieren, mit Anhänger rückwärts einparkieren, das Fahrzeug mit der Handbremse um 180% Grad drehen, etc.?
Hier ein Szenario betreffend der aktuellen Entwicklung mit OpenSource Modellen und Agenten.
Ich bin offen und kritisch. Ich beobachte die Entwicklung, nutze die Potentiale und lerne von jedem und allem der mich in der Praxis überzeugt.
Dieses Forum hat ein geballtes Know How, wie ich es nur von Stack Overflow kenne. Ich wünsche mir sehr, dass Ihr nie in Rente geht... 🤗 🤩 🤣
Vielen Dank für all das was ich bereits von Euch lernen konnte
Beste Grüsse
Was sind denn "Neulenker"?? Neue Lenker für das Fahrrad? Wohl schon wieder mal so eine "zügeln" Sache, oder? 🤔
Ich wünsche mir sehr, dass Ihr nie in Rente geht...
Schöner hätte ein Lob nicht ausfallen können! 💪😉
Du sprichst kein Alemanisch? Bist Du ein Bayer, Hanse oder Friese? 😎😂
Neulenker sind die Greenhörner am Auto Steuer. In der Schweiz nennen wir sie Lernfahrer. Erkennbar am Schild mit dem weissen "L" auf blauem Grund.
Seit Frau Merkel die Regierung übernommen hatte, haben wir laufend neue Kollegen aus Deutschland. Daher verstehen wir auch mehr und mehr Wörter wie Urlaub (Ferien) oder Neulenker (Lernfahrer) 😉 😜
Neulenker sind die Greenhörner am Auto Steuer. In der Schweiz nennen wir sie Lernfahrer. Erkennbar am Schild mit dem weissen "L" auf blauem Grund.
Seit Frau Merkel die Regierung übernommen hatte, haben wir laufend neue Kollegen aus Deutschland. Daher verstehen wir auch mehr und mehr Wörter wie Urlaub (Ferien) oder Neulenker (Lernfahrer) 😉 😜
Grüezi!
Neue Lenker heissen hier Fahranfänger oder Führerscheinneulinge. 😉
Ich wusste es...wieder die "Zügelei" 🤣
Neue Lenker heissen hier Fahranfänger oder Führerscheinneulinge. 😉
Ich wusste es...wieder die "Zügelei" 🤣
1oder Neulenker (Lernfahrer)
Dachte dabei immer an L wie Looser oder Lutscher als ich das gesehen habe 1
