DNS: Query refused?
Hallo
Eine Bitte an die DNS Experten. Ein- / ausschliessen oder Out of the Box Ansätze etc.
Das ist der Sachverhalt:
open.hpi.de wurde von einem DNS Server nicht gefunden.
Die Anfrage wurde verworfen
Hintergrund
Der DNS Server (Linux) ist privat, läuft in einem Rechenzentrum und wird von eine Gruppe IT Experten in Ihrer Freizeit betreut. Der DNS Experte der Gruppe hat die Logfiles geprüft und er hat keine Information gefunden.
Wenn ein DNS Server eine Anfrage nicht beantworteten kann, dann wird sie nach oben weiter gereicht. Diese wurde verworfen.
Grösseres Bild
Seit zirka 72 Stunden konnte ich über diese DNS Resolver diese Website auf keinem der Geräte mehr aufrufen.
Als ich gestern die Resolver aus der DNS Konfiguration des Routers entfernte, ging es wieder. Heute morgen habe ich einen Test mit nslookup gemacht. Davon stammt dieser Screenshot.
Wenn ich mich über den VPN Server des Vereines verbinde, dann kann ich Domain auflösen:
In diesem LAN hat es keine komplexen Elemente wie andere Server, Firewalls, etc. IPv6 wird nicht genutzt. Ist jedoch nicht konsequent an allen Orten deaktiviert.
Es ist kein echtes Problem, weil ich über andere DNS Server gehen kann. Aber ich sehe es als Möglichkeit, etwas tiefer in die Thematik DNS einzusteigen.
Danke / Grüsse
Edit1: VPN Aspekt eingefügt
Eine Bitte an die DNS Experten. Ein- / ausschliessen oder Out of the Box Ansätze etc.
Das ist der Sachverhalt:
open.hpi.de wurde von einem DNS Server nicht gefunden.
Die Anfrage wurde verworfen
Hintergrund
Der DNS Server (Linux) ist privat, läuft in einem Rechenzentrum und wird von eine Gruppe IT Experten in Ihrer Freizeit betreut. Der DNS Experte der Gruppe hat die Logfiles geprüft und er hat keine Information gefunden.
Wenn ein DNS Server eine Anfrage nicht beantworteten kann, dann wird sie nach oben weiter gereicht. Diese wurde verworfen.
Grösseres Bild
Seit zirka 72 Stunden konnte ich über diese DNS Resolver diese Website auf keinem der Geräte mehr aufrufen.
Als ich gestern die Resolver aus der DNS Konfiguration des Routers entfernte, ging es wieder. Heute morgen habe ich einen Test mit nslookup gemacht. Davon stammt dieser Screenshot.
Wenn ich mich über den VPN Server des Vereines verbinde, dann kann ich Domain auflösen:
In diesem LAN hat es keine komplexen Elemente wie andere Server, Firewalls, etc. IPv6 wird nicht genutzt. Ist jedoch nicht konsequent an allen Orten deaktiviert.
Es ist kein echtes Problem, weil ich über andere DNS Server gehen kann. Aber ich sehe es als Möglichkeit, etwas tiefer in die Thematik DNS einzusteigen.
Danke / Grüsse
Edit1: VPN Aspekt eingefügt
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 7715346008
Url: https://administrator.de/forum/dns-query-refused-7715346008.html
Ausgedruckt am: 22.12.2024 um 10:12 Uhr
19 Kommentare
Neuester Kommentar
Zitat von @PeterGyger:
Und diese Person arbeitet an jedem Tag im Jahr mit 100% Fokus und jahrzehntelanger Erfahrung.
Und wieso kann dir diese Person dann nicht sagen was Sache ist, wenn sie angeblich sooooooo Kompetent ist ?? .Und diese Person arbeitet an jedem Tag im Jahr mit 100% Fokus und jahrzehntelanger Erfahrung.
Wenn ein traceroute bis an den DNS-Resolver kommt und Port 53UDP/TCP auf der Strecke nicht geblockt werden, und dieser dir dann verbietet Anfragen für diese Domain zu stellen, dann ist das sein Bier. Wireshark zeigt es dir!
Und ein Resolver kann auch je nach Absender-Adresse / Subnetz verschiedene "Views" ausliefern, also je nach Quelle unterschiedliche Ergebnisse liefern.
Btw. wenn man mit nslookup hantiert sollte man Best-Practice immer einen Punkt an das Ende der TLD setzen, sonst probiert nslookup mehrere Domains durch, auch mit angehängtem primärem DNS-Suffix des Rechners!
Zeppel
Zitat von @PeterGyger:
Hast Du eine Fachmeinung, wieso es bei einer VPN Verbindung mit dem Server klappt?
Das spricht ja grundsätzlich für die ACL These, die Daniel vorhin geäussert hat.
Ja, ein Resolver kann ja je nach Absender-Adresse / Subnetz verschiedene "Views" ausliefern, also je nach Quelle unterschiedliche Ergebnisse liefern oder auch verbieten.Hast Du eine Fachmeinung, wieso es bei einer VPN Verbindung mit dem Server klappt?
Das spricht ja grundsätzlich für die ACL These, die Daniel vorhin geäussert hat.
Oder deine IP hat zu viele Anfragen an den Resolver abgefeuert so das dieser nun Anfragen an diese Domain blockt, evt. läuft da ein DDoS Filter.
Hallo,
In der Dokumentation zu bind:
https://kb.isc.org/docs/aa-01031 findest du Alles zu DNS. Ist aber leider unübersichtlich.
Grüße
lcer
In der Dokumentation zu bind:
https://kb.isc.org/docs/aa-01031 findest du Alles zu DNS. Ist aber leider unübersichtlich.
Grüße
lcer
Wenn ich mich über den VPN Server des Vereines verbinde, dann kann ich Domain auflösen:
Bestätigt dann aber eher @Dani 's Theorie das DNS Zugriffe auf den Servern von fremden IP Netzen geblockt sind. Frag die erfahrene Admin "Person"!Wireshark ist dein bester Freund und dig ist sicher auch einen Test wert...
"IP und zu viele Anfragen"
War sicher so gemeint das pro Zeitfenster zuviele DNS Requests kommen und die spezifische IP dann wegen DDoS Verdacht geblockt wird.
Moin,
Gruß,
Dani
Warum plötzlich eine Access Liste in Bind aktiv wurde und nach dem löschen der DNS Konfiguration im Router alles wieder OK war, lässt sich nicht mehr herleiten - IMHO
ich weiß schon warum wir bei uns alle Konfigurationsänderungen aufzeichnen und via GIT versionieren. Damit waren wir auch ein paar Experten los...Gruß,
Dani
Als Beispiel habe ich ChatGPT nach den Details einer naemd.conf.options Datei gefragt
Autsch da muss man gar nicht erst weiterlesen ...Andererseits werden wir durch generative KI einige Experten ersetzen können
Da sind die Katastrophen jetzt schon vorprogrammiert, wenn da niemand mehr sitzt der die Sachen vernünftig interpretieren kann. 👎oder Neulenker (Lernfahrer)
Dachte dabei immer an L wie Looser oder Lutscher als ich das gesehen habe