petergyger
Goto Top

DNS: Query refused?

Hallo

Eine Bitte an die DNS Experten. Ein- / ausschliessen oder Out of the Box Ansätze etc.

Das ist der Sachverhalt:
dns-prop

open.hpi.de wurde von einem DNS Server nicht gefunden.
Die Anfrage wurde verworfen

Hintergrund
Der DNS Server (Linux) ist privat, läuft in einem Rechenzentrum und wird von eine Gruppe IT Experten in Ihrer Freizeit betreut. Der DNS Experte der Gruppe hat die Logfiles geprüft und er hat keine Information gefunden.

Wenn ein DNS Server eine Anfrage nicht beantworteten kann, dann wird sie nach oben weiter gereicht. Diese wurde verworfen.

Grösseres Bild
Seit zirka 72 Stunden konnte ich über diese DNS Resolver diese Website auf keinem der Geräte mehr aufrufen.
Als ich gestern die Resolver aus der DNS Konfiguration des Routers entfernte, ging es wieder. Heute morgen habe ich einen Test mit nslookup gemacht. Davon stammt dieser Screenshot.

Wenn ich mich über den VPN Server des Vereines verbinde, dann kann ich Domain auflösen:
dns-prop1

In diesem LAN hat es keine komplexen Elemente wie andere Server, Firewalls, etc. IPv6 wird nicht genutzt. Ist jedoch nicht konsequent an allen Orten deaktiviert.

Es ist kein echtes Problem, weil ich über andere DNS Server gehen kann. Aber ich sehe es als Möglichkeit, etwas tiefer in die Thematik DNS einzusteigen.

Danke / Grüsse

Edit1: VPN Aspekt eingefügt

Content-ID: 7715346008

Url: https://administrator.de/forum/dns-query-refused-7715346008.html

Ausgedruckt am: 22.12.2024 um 10:12 Uhr

Dani
Lösung Dani 02.07.2023 aktualisiert um 16:29:08 Uhr
Goto Top
Moin,
der DNS Resolver blockt Anfragen aus deinem IP Subnetz, Stichwort ACL.
Ohne die Konfiguration des DNS-Servers wird das ein Ratespiel als eine qualifizierter Beitrag.

Gruß,
Dani
PeterGyger
PeterGyger 02.07.2023 um 16:30:43 Uhr
Goto Top
Hallo Dani

Leider nein. Nur diese Domain wird geblockt
Alle anderen DNS Querys wurden auf mehreren Geräten beantwortet.

Zweitens hätte das der Admin in den Logs des DNS Servers gesehen.
Und diese Person arbeitet an jedem Tag im Jahr mit 100% Fokus und jahrzehntelanger Erfahrung.

Beste Grüsse
7426148943
7426148943 02.07.2023 aktualisiert um 16:58:21 Uhr
Goto Top
Zitat von @PeterGyger:
Und diese Person arbeitet an jedem Tag im Jahr mit 100% Fokus und jahrzehntelanger Erfahrung.
Und wieso kann dir diese Person dann nicht sagen was Sache ist, wenn sie angeblich sooooooo Kompetent ist ?? face-big-smile.
Wenn ein traceroute bis an den DNS-Resolver kommt und Port 53UDP/TCP auf der Strecke nicht geblockt werden, und dieser dir dann verbietet Anfragen für diese Domain zu stellen, dann ist das sein Bier. Wireshark zeigt es dir!

Und ein Resolver kann auch je nach Absender-Adresse / Subnetz verschiedene "Views" ausliefern, also je nach Quelle unterschiedliche Ergebnisse liefern.

Btw. wenn man mit nslookup hantiert sollte man Best-Practice immer einen Punkt an das Ende der TLD setzen, sonst probiert nslookup mehrere Domains durch, auch mit angehängtem primärem DNS-Suffix des Rechners!

Zeppel
PeterGyger
PeterGyger 02.07.2023 um 16:58:55 Uhr
Goto Top
Hallo zeppel

Das mit dem Punkt habe ich vergessen! Einfach zu wenig Zeit um regelmässig damit zu hantieren.

Wireshark ist das nächste was ich vorhabe. Vielleicht schaffe ich es heute noch
Traceroute / tracert prüfen ich dann auch gleich.

Hast Du eine Fachmeinung, wieso es bei einer VPN Verbindung mit dem Server klappt?
Das spricht ja grundsätzlich für die ACL These, die Daniel vorhin geäussert hat.

Danke Dir für die Hinweise und Argumente

Beste Grüsse
7426148943
7426148943 02.07.2023 aktualisiert um 17:02:59 Uhr
Goto Top
Zitat von @PeterGyger:
Hast Du eine Fachmeinung, wieso es bei einer VPN Verbindung mit dem Server klappt?
Das spricht ja grundsätzlich für die ACL These, die Daniel vorhin geäussert hat.
Ja, ein Resolver kann ja je nach Absender-Adresse / Subnetz verschiedene "Views" ausliefern, also je nach Quelle unterschiedliche Ergebnisse liefern oder auch verbieten.
Oder deine IP hat zu viele Anfragen an den Resolver abgefeuert so das dieser nun Anfragen an diese Domain blockt, evt. läuft da ein DDoS Filter.
PeterGyger
PeterGyger 02.07.2023 um 17:20:04 Uhr
Goto Top
Hallo Zeppel

Resolver - Views
Hast Du mir da ein paar Fachbegriffe, dass ich in den Büchern / Web nachlesen kann? Oder geht es hier auch um ACL

"IP und zu viele Anfragen"
Unlogisch bzw. kann nicht sein. Es sind mehrere Endgeräte die über diesen Resolver gehen.
Sie schicken unterschiedliche DNSs Request ab. Nur diese TLD wurde zeitgleich auf allen Geräten nicht korrekt beantwortet. Vor zirka 3 Tagen.
Das spricht für mich eher für ein Grey / Blacklistening oder ACL

Da fällt mir gerade auf, dass ich in der Frage am Anfang nicht alle Details genannt habe. Die Website konnte aufgerufen werden. Jedoch wurde mitgeteilt, dass der Server down sei:
openhpi-down

Was nicht stimmte, da ich an anderen Standorten Zugriff hatte. Leider dachte ich auch nicht daran, über das mobile IP Netz zu testen.

Beste Grüsse
lcer00
lcer00 02.07.2023 um 17:31:25 Uhr
Goto Top
Hallo,

In der Dokumentation zu bind:
https://kb.isc.org/docs/aa-01031 findest du Alles zu DNS. Ist aber leider unübersichtlich.

Grüße

lcer
aqui
aqui 02.07.2023 aktualisiert um 17:44:29 Uhr
Goto Top
Wenn ich mich über den VPN Server des Vereines verbinde, dann kann ich Domain auflösen:
Bestätigt dann aber eher @Dani 's Theorie das DNS Zugriffe auf den Servern von fremden IP Netzen geblockt sind. Frag die erfahrene Admin "Person"!
Wireshark ist dein bester Freund und dig ist sicher auch einen Test wert... face-wink
"IP und zu viele Anfragen"
War sicher so gemeint das pro Zeitfenster zuviele DNS Requests kommen und die spezifische IP dann wegen DDoS Verdacht geblockt wird.
PeterGyger
PeterGyger 02.07.2023 um 17:37:15 Uhr
Goto Top
Zitat von @lcer00:

Hallo,

In der Dokumentation zu bind:
https://kb.isc.org/docs/aa-01031 findest du Alles zu DNS. Ist aber leider unübersichtlich.

Grüße

lcer

Hallo Icer

Das erinnert mich an die Anfänge mit Powershell, wo die Reference über mehrere MSDN Sites verstreut war.
Aber die Suchfunktion hat mich bereits zu einem Einstieg geführt.
Besten Dank!

Beste Grüsse
PeterGyger
PeterGyger 02.07.2023 um 18:23:58 Uhr
Goto Top
Hallo

Ich habe gerade mehrere Seiten zu Bind und named.conf gelesen

U.a. diese

Im (älteren) O'Reilly Buch zu [docstore.mik.ua/orelly/networking_2ndEd/dns/ch12_07.htm BIND ]steht im Kapitel diese Aussage:
This one has two possible causes. Either your name server does not support inverse queries (older nslookup s only) or an access list is preventing the lookup.


D.h. die Ursache war eine ACL - wie Daniel geschrieben hat.

Warum plötzlich eine Access Liste in Bind aktiv wurde und nach dem löschen der DNS Konfiguration im Router alles wieder OK war, lässt sich nicht mehr herleiten - IMHO
Fall geschlossen

Danke an alle

Beste Grüsse
Dani
Dani 03.07.2023 um 22:01:13 Uhr
Goto Top
Moin,
Warum plötzlich eine Access Liste in Bind aktiv wurde und nach dem löschen der DNS Konfiguration im Router alles wieder OK war, lässt sich nicht mehr herleiten - IMHO
ich weiß schon warum wir bei uns alle Konfigurationsänderungen aufzeichnen und via GIT versionieren. Damit waren wir auch ein paar Experten los...


Gruß,
Dani
PeterGyger
PeterGyger 04.07.2023 um 08:41:49 Uhr
Goto Top
Hallo Dani

Das ist sicher eine "Best Practice".

Andererseits werden wir durch generative KI einige Experten ersetzen können. Trouble Shooting wird uns erhalten bleiben, da Komplexität bzw. das Wirkungsgefüge schwer abzuschätzen sind.

Da wir uns nicht kennen ist es natürlich schwierig einzuschätzen, wie kritisch ich mit dem Begriff "Experten" umgehe.

Als Beispiel habe ich ChatGPT nach den Details einer naemd.conf.options Datei gefragt

In dieser `named.conf.options` Datei wird die Konfiguration für den BIND DNS-Server festgelegt. Hier sind einige der wichtigsten Optionen, die in dieser Datei konfiguriert wurden:

- `directory "/var/cache/bind";` gibt das Arbeitsverzeichnis für BIND an.  
- `recursion yes;` aktiviert rekursive Abfragen.
- `allow-recursion { trusted; };` erlaubt rekursive Abfragen von "vertrauenswürdigen" Clients.  
- `listen-on { 10.128.10.11; };` gibt an, dass BIND nur auf der privaten IP-Adresse 10.128.10.11 lauschen soll.
- `allow-transfer { none; };` deaktiviert Zonentransfers standardmäßig.
- `forwarders { 8.8.8.8; 8.8.4.4; };` gibt an, dass Anfragen, die nicht von BIND beantwortet werden können, an die DNS-Server 8.8.8.8 und 8.8.4.4 weitergeleitet werden.


Beste Grüsse
aqui
aqui 04.07.2023 um 09:02:34 Uhr
Goto Top
Und als Forwarder dann wieder Googles Schnüffel- und Schnorchelserver. Ein Schelm wer Böses dabei denkt. "Generative KI" eben... face-sad
7426148943
7426148943 04.07.2023 aktualisiert um 09:08:59 Uhr
Goto Top
Als Beispiel habe ich ChatGPT nach den Details einer naemd.conf.options Datei gefragt
Autsch da muss man gar nicht erst weiterlesen ...
Andererseits werden wir durch generative KI einige Experten ersetzen können
Da sind die Katastrophen jetzt schon vorprogrammiert, wenn da niemand mehr sitzt der die Sachen vernünftig interpretieren kann. 👎
PeterGyger
PeterGyger 04.07.2023 um 09:21:02 Uhr
Goto Top
Guten Morgen

Ihr habt Recht. Ihr seid wahrscheinlich so ziemlich die letzte Generation die noch jedes Detail auswendig konfigurieren kann. Mit Google hat es angefangen und die generative KI besorgt den Rest...

Wenn man die automatische Rechtschreibekorrektur ausschaltet, können viele keine fehlerfreie A4 Seite schreiben.
Lastwagen folgen dem NAVI auf einen Bergpfad, wo nachher ein Helikopter sie rausholen muss.
Oder die Neulenker. Wer kann noch schalten, seitlich parkieren, mit Anhänger rückwärts einparkieren, das Fahrzeug mit der Handbremse um 180% Grad drehen, etc.?

Hier ein Szenario betreffend der aktuellen Entwicklung mit OpenSource Modellen und Agenten.

Ich bin offen und kritisch. Ich beobachte die Entwicklung, nutze die Potentiale und lerne von jedem und allem der mich in der Praxis überzeugt.

Dieses Forum hat ein geballtes Know How, wie ich es nur von Stack Overflow kenne. Ich wünsche mir sehr, dass Ihr nie in Rente geht... 🤗 🤩 🤣

Vielen Dank für all das was ich bereits von Euch lernen konnte

Beste Grüsse
aqui
aqui 04.07.2023 um 09:45:32 Uhr
Goto Top
Was sind denn "Neulenker"?? Neue Lenker für das Fahrrad? Wohl schon wieder mal so eine "zügeln" Sache, oder? 🤔
Ich wünsche mir sehr, dass Ihr nie in Rente geht...
Schöner hätte ein Lob nicht ausfallen können! 💪😉
PeterGyger
PeterGyger 04.07.2023 aktualisiert um 10:05:24 Uhr
Goto Top
Du sprichst kein Alemanisch? Bist Du ein Bayer, Hanse oder Friese? 😎😂

Neulenker sind die Greenhörner am Auto Steuer. In der Schweiz nennen wir sie Lernfahrer. Erkennbar am Schild mit dem weissen "L" auf blauem Grund.

l-schild

Seit Frau Merkel die Regierung übernommen hatte, haben wir laufend neue Kollegen aus Deutschland. Daher verstehen wir auch mehr und mehr Wörter wie Urlaub (Ferien) oder Neulenker (Lernfahrer) 😉 😜
aqui
aqui 04.07.2023 um 10:46:38 Uhr
Goto Top
Grüezi!
Neue Lenker heissen hier Fahranfänger oder Führerscheinneulinge. 😉
Ich wusste es...wieder die "Zügelei" 🤣
7426148943
7426148943 04.07.2023 aktualisiert um 10:59:19 Uhr
Goto Top
oder Neulenker (Lernfahrer)
Dachte dabei immer an L wie Looser oder Lutscher als ich das gesehen habe face-big-smile